NIK ujawnia nędzny stan zabezpieczeń polskiej cyberprzestrzeni

Przypomnijmy, że w 2013 roku Ministerstwo Administracji iCyfryzacji pochwaliło się dokumentem pod tytułem Polityka ochronycyberprzestrzeni Rzeczypospolitej Polskiej.Przeczytać w nim można m.in., że z uwagi na wzrost zagrożeńdla systemów teleinformatycznych, od których całkowita separacja jestniemożliwa, a także fakt rozproszonej odpowiedzialności zabezpieczeństwo teleinformatyczne, jest niezbędne skoordynowaniedziałań, które umożliwią szybkie i efektywne reagowanie na atakiwymierzone przeciwko systemom teleinformatycznym i oferowanym przeznie usługom, a niniejsząPolityką Rząd Rzeczypospolitej Polskiej przyjmuje, że poprzez swoichprzedstawicieli bierze czynny udział w zapewnieniu bezpieczeństwazasobów informacyjnych Państwa, jego obywateli oraz realizuje swojekonstytucyjne obowiązki.

Deklaracje spisane w języku miłym sercu każdegourzędnika przekładać się miały też na konkretne działania. Itak premier powołać miał zespół odpowiedzialny za opracowywanierekomendacji dla rządu w zakresie działań związanych zbezpieczeństwem cyberprzestrzeni, w jednostkach administracjirządowej powołać miano też etatowych pełnomocników ds. bezpieczeństwacyberprzestrzeni, odpowiedzialnych za prowadzenie analiz ryzyka,wdrażanie procedur reagowania na incydenty czy przygotowywanie planówawaryjnych. Planowano też stworzyć cały system szkoleń dla takichpełnomocników.

W tym roku NIK przyjrzał się bliżejstanowi działań organów państwowych w zakresie monitorowania iprzeciwdziałania zagrożeniom w cyberprzestrzeni. Objęte kontroląinstytucje – Ministerstwo Spraw Wewnętrznych, MinisterstwoAdministracji i Cyfryzacji, Ministerstwo Obrony Narodowej, AgencjęBezpieczeństwa Wewnętrznego, Rządowe Centrum Bezpieczeństwa, Naukowąi Akademicką Sieć Komputerową, Urząd Komunikacji Elektronicznej,Komendę Główną Policji oraz Straż Graniczną – sprawdzono podtym kątem od 2008 roku.

Wyniki kontroli pokazują, że dlaorganów administracji państwowej cyberprzestrzeń to wciąż terraincognita. Inspektorzy NIK stwierdzili otwarcie: Podmiotypaństwowe nie prowadzą spójnych i systemowych działań związanych zochroną cyberprzestrzeni RP. Kierownictwo administracji rządowejnie ma świadomości nowych zagrożeń, a zaniedbania obowiązkówzwiązanych z cyberochroną ciągną się już całe lata. Co zabawne,najgorzej sytuacja wygląda w Ministerstwie Spraw Wewnętrznych orazMinisterstwie Administracji i Cyfryzacji, teoretycznie najbardziejodpowiedzialnych za stan bezpieczeństwa polskiej Sieci. Od podziałuMSWiA na dwa ministerstwa, praktycznie wycofano się z inicjatywzwiązanych z cyberochroną, nie przekazano nawet dokumentacji i zadańnowym ministerstwom.

Pomimo szumnych deklaracji z Politykiochrony cyberprzestrzeni RP, praktyka wyglądała całkiemzwyczajnie. W MAiC wyznaczono jedną osobę do doraźnego zajmowania sięcyberzagrożeniami, dopiero w lutym zeszłego roku zwiększono liczbęzajmujących się tym osób do czterech. Zespół,który miałby odpowiadać za wdrożenie Politykipowołano dopiero po informacji orozpoczęciu kontroli NIK. Stworzony w Komendzie Głównej Policjirejestr incydentów informatycznych był pusty, mimo że przez ostatniedwa lata dostał od zespołu CERT-u ok. 2 tys. powiadomień ozagrożeniach dla jej systemów.

Lepiej wedługkontrolerów NIK-u wypadły tylko ABW, MON i NASK, których zespoły CERTuznano za utrzymywane na wysokimpoziomie. Nie ma jednak żadnejkoordynacji takich działań, nie ma żadnego ośrodku dysponującego iśrodkami prawnymi i technicznymi, by rozwiązywać takie problemy. Coza tym idzie, nie ma możliwości wypracowania standardów działań dlatych wszystkich organów administracji niższego szczebla, liczących żew razie problemów ktoś im pomoże.

Być może w tejsytuacji lepszym rozwiązaniem byłby outsourcing? Jak wiadomo,prywatne firmy ochroniarskie zajmują się dziś zabezpieczaniem wielujednostek wojskowych. Może prywatne firmy zajmujące siębezpieczeństwem IT lepiej by sobie poradziły w dziedzinie ochronypolskiej cyberprzestrzeni?