NIK ujawnia nędzny stan zabezpieczeń polskiej cyberprzestrzeni

Strona główna Aktualności

O autorze

W minionym tygodniu w Warszawie odbyła się konferencja Security Case Study 2014, poświęcona szeroko rozumianym zagadnieniom bezpieczeństwa IT. W jej trakcie przedstawiono m.in. wstępne ustalenia Najwyższej Izby Kontroli w kwestii bezpieczeństwa polskiej cyberprzestrzeni, podchodzące z opracowywanego właśnie raportu. Jego publikacja zaplanowana jest na pierwszy kwartał 2015, ale już teraz na podstawie wstępnych ustaleń można powiedzieć, że kraj nasz słabo jest przygotowany do realiów współczesnej cyberwojny.

Przypomnijmy, że w 2013 roku Ministerstwo Administracji i Cyfryzacji pochwaliło się dokumentem pod tytułem Polityka ochrony cyberprzestrzeni Rzeczypospolitej Polskiej. Przeczytać w nim można m.in., że z uwagi na wzrost zagrożeń dla systemów teleinformatycznych, od których całkowita separacja jest niemożliwa, a także fakt rozproszonej odpowiedzialności za bezpieczeństwo teleinformatyczne, jest niezbędne skoordynowanie działań, które umożliwią szybkie i efektywne reagowanie na ataki wymierzone przeciwko systemom teleinformatycznym i oferowanym przez nie usługom, a niniejszą Polityką Rząd Rzeczypospolitej Polskiej przyjmuje, że poprzez swoich przedstawicieli bierze czynny udział w zapewnieniu bezpieczeństwa zasobów informacyjnych Państwa, jego obywateli oraz realizuje swoje konstytucyjne obowiązki.

Deklaracje spisane w języku miłym sercu każdego urzędnika przekładać się miały też na konkretne działania. I tak premier powołać miał zespół odpowiedzialny za opracowywanie rekomendacji dla rządu w zakresie działań związanych z bezpieczeństwem cyberprzestrzeni, w jednostkach administracji rządowej powołać miano też etatowych pełnomocników ds. bezpieczeństwa cyberprzestrzeni, odpowiedzialnych za prowadzenie analiz ryzyka, wdrażanie procedur reagowania na incydenty czy przygotowywanie planów awaryjnych. Planowano też stworzyć cały system szkoleń dla takich pełnomocników.

W tym roku NIK przyjrzał się bliżej stanowi działań organów państwowych w zakresie monitorowania i przeciwdziałania zagrożeniom w cyberprzestrzeni. Objęte kontrolą instytucje – Ministerstwo Spraw Wewnętrznych, Ministerstwo Administracji i Cyfryzacji, Ministerstwo Obrony Narodowej, Agencję Bezpieczeństwa Wewnętrznego, Rządowe Centrum Bezpieczeństwa, Naukową i Akademicką Sieć Komputerową, Urząd Komunikacji Elektronicznej, Komendę Główną Policji oraz Straż Graniczną – sprawdzono pod tym kątem od 2008 roku.

Wyniki kontroli pokazują, że dla organów administracji państwowej cyberprzestrzeń to wciąż terra incognita. Inspektorzy NIK stwierdzili otwarcie: Podmioty państwowe nie prowadzą spójnych i systemowych działań związanych z ochroną cyberprzestrzeni RP. Kierownictwo administracji rządowej nie ma świadomości nowych zagrożeń, a zaniedbania obowiązków związanych z cyberochroną ciągną się już całe lata. Co zabawne, najgorzej sytuacja wygląda w Ministerstwie Spraw Wewnętrznych oraz Ministerstwie Administracji i Cyfryzacji, teoretycznie najbardziej odpowiedzialnych za stan bezpieczeństwa polskiej Sieci. Od podziału MSWiA na dwa ministerstwa, praktycznie wycofano się z inicjatyw związanych z cyberochroną, nie przekazano nawet dokumentacji i zadań nowym ministerstwom.

Pomimo szumnych deklaracji z Polityki ochrony cyberprzestrzeni RP, praktyka wyglądała całkiem zwyczajnie. W MAiC wyznaczono jedną osobę do doraźnego zajmowania się cyberzagrożeniami, dopiero w lutym zeszłego roku zwiększono liczbę zajmujących się tym osób do czterech. Zespół, który miałby odpowiadać za wdrożenie Polityki powołano dopiero po informacji o rozpoczęciu kontroli NIK. Stworzony w Komendzie Głównej Policji rejestr incydentów informatycznych był pusty, mimo że przez ostatnie dwa lata dostał od zespołu CERT-u ok. 2 tys. powiadomień o zagrożeniach dla jej systemów.

Lepiej według kontrolerów NIK-u wypadły tylko ABW, MON i NASK, których zespoły CERT uznano za utrzymywane na wysokim poziomie. Nie ma jednak żadnej koordynacji takich działań, nie ma żadnego ośrodku dysponującego i środkami prawnymi i technicznymi, by rozwiązywać takie problemy. Co za tym idzie, nie ma możliwości wypracowania standardów działań dla tych wszystkich organów administracji niższego szczebla, liczących że w razie problemów ktoś im pomoże.

Być może w tej sytuacji lepszym rozwiązaniem byłby outsourcing? Jak wiadomo, prywatne firmy ochroniarskie zajmują się dziś zabezpieczaniem wielu jednostek wojskowych. Może prywatne firmy zajmujące się bezpieczeństwem IT lepiej by sobie poradziły w dziedzinie ochrony polskiej cyberprzestrzeni?

© dobreprogramy
s