Przejdź na

NIK ujawnia nędzny stan zabezpieczeń polskiej cyberprzestrzeni

W minionym tygodniu w Warszawie odbyła się konferencja SecurityCase Study 2014, poświęcona szeroko rozumianym zagadnieniombezpieczeństwa IT. W jej trakcie przedstawiono m.in. wstępneustalenia Najwyższej Izby Kontroli w kwestii bezpieczeństwa polskiejcyberprzestrzeni, podchodzące z opracowywanego właśnie raportu. Jegopublikacja zaplanowana jest na pierwszy kwartał 2015, ale już terazna podstawie wstępnych ustaleń można powiedzieć, że kraj nasz słabojest przygotowany do realiów współczesnej cyberwojny.

Obraz
Adam Golański

Przypomnijmy, że w 2013 roku Ministerstwo Administracji iCyfryzacji pochwaliło się dokumentem pod tytułem Polityka ochronycyberprzestrzeni Rzeczypospolitej Polskiej.Przeczytać w nim można m.in., że z uwagi na wzrost zagrożeńdla systemów teleinformatycznych, od których całkowita separacja jestniemożliwa, a także fakt rozproszonej odpowiedzialności zabezpieczeństwo teleinformatyczne, jest niezbędne skoordynowaniedziałań, które umożliwią szybkie i efektywne reagowanie na atakiwymierzone przeciwko systemom teleinformatycznym i oferowanym przeznie usługom, a niniejsząPolityką Rząd Rzeczypospolitej Polskiej przyjmuje, że poprzez swoichprzedstawicieli bierze czynny udział w zapewnieniu bezpieczeństwazasobów informacyjnych Państwa, jego obywateli oraz realizuje swojekonstytucyjne obowiązki.

Deklaracje spisane w języku miłym sercu każdegourzędnika przekładać się miały też na konkretne działania. Itak premier powołać miał zespół odpowiedzialny za opracowywanierekomendacji dla rządu w zakresie działań związanych zbezpieczeństwem cyberprzestrzeni, w jednostkach administracjirządowej powołać miano też etatowych pełnomocników ds. bezpieczeństwacyberprzestrzeni, odpowiedzialnych za prowadzenie analiz ryzyka,wdrażanie procedur reagowania na incydenty czy przygotowywanie planówawaryjnych. Planowano też stworzyć cały system szkoleń dla takichpełnomocników.

W tym roku NIK przyjrzał się bliżejstanowi działań organów państwowych w zakresie monitorowania iprzeciwdziałania zagrożeniom w cyberprzestrzeni. Objęte kontroląinstytucje – Ministerstwo Spraw Wewnętrznych, MinisterstwoAdministracji i Cyfryzacji, Ministerstwo Obrony Narodowej, AgencjęBezpieczeństwa Wewnętrznego, Rządowe Centrum Bezpieczeństwa, Naukowąi Akademicką Sieć Komputerową, Urząd Komunikacji Elektronicznej,Komendę Główną Policji oraz Straż Graniczną – sprawdzono podtym kątem od 2008 roku.

Wyniki kontroli pokazują, że dlaorganów administracji państwowej cyberprzestrzeń to wciąż terraincognita. Inspektorzy NIK stwierdzili otwarcie: Podmiotypaństwowe nie prowadzą spójnych i systemowych działań związanych zochroną cyberprzestrzeni RP. Kierownictwo administracji rządowejnie ma świadomości nowych zagrożeń, a zaniedbania obowiązkówzwiązanych z cyberochroną ciągną się już całe lata. Co zabawne,najgorzej sytuacja wygląda w Ministerstwie Spraw Wewnętrznych orazMinisterstwie Administracji i Cyfryzacji, teoretycznie najbardziejodpowiedzialnych za stan bezpieczeństwa polskiej Sieci. Od podziałuMSWiA na dwa ministerstwa, praktycznie wycofano się z inicjatywzwiązanych z cyberochroną, nie przekazano nawet dokumentacji i zadańnowym ministerstwom.

Pomimo szumnych deklaracji z Politykiochrony cyberprzestrzeni RP, praktyka wyglądała całkiemzwyczajnie. W MAiC wyznaczono jedną osobę do doraźnego zajmowania sięcyberzagrożeniami, dopiero w lutym zeszłego roku zwiększono liczbęzajmujących się tym osób do czterech. Zespół,który miałby odpowiadać za wdrożenie Politykipowołano dopiero po informacji orozpoczęciu kontroli NIK. Stworzony w Komendzie Głównej Policjirejestr incydentów informatycznych był pusty, mimo że przez ostatniedwa lata dostał od zespołu CERT-u ok. 2 tys. powiadomień ozagrożeniach dla jej systemów.

Lepiej wedługkontrolerów NIK-u wypadły tylko ABW, MON i NASK, których zespoły CERTuznano za utrzymywane na wysokimpoziomie. Nie ma jednak żadnejkoordynacji takich działań, nie ma żadnego ośrodku dysponującego iśrodkami prawnymi i technicznymi, by rozwiązywać takie problemy. Coza tym idzie, nie ma możliwości wypracowania standardów działań dlatych wszystkich organów administracji niższego szczebla, liczących żew razie problemów ktoś im pomoże.

Być może w tejsytuacji lepszym rozwiązaniem byłby outsourcing? Jak wiadomo,prywatne firmy ochroniarskie zajmują się dziś zabezpieczaniem wielujednostek wojskowych. Może prywatne firmy zajmujące siębezpieczeństwem IT lepiej by sobie poradziły w dziedzinie ochronypolskiej cyberprzestrzeni?

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Windows 11 z nową aktualizacją. Poprawi m.in. Eksplorator plików
Windows 11 z nową aktualizacją. Poprawi m.in. Eksplorator plików
Linux 7.1 RC2 dostępny. Poprawki KVM i narzędzia AI
Linux 7.1 RC2 dostępny. Poprawki KVM i narzędzia AI
Ministerstwo Cyfryzacji: 355 mln zł na chmurę rządową i cyfrową tożsamość
Ministerstwo Cyfryzacji: 355 mln zł na chmurę rządową i cyfrową tożsamość
Microsoft usuwa pasek boczny z Edge'a. Copilot zostaje
Microsoft usuwa pasek boczny z Edge'a. Copilot zostaje
Windows 10 u co czwartego gracza. Nowe dane Steam
Windows 10 u co czwartego gracza. Nowe dane Steam
Wiadomość o nadpłacie za gaz. Podszywają się pod Orlen
Wiadomość o nadpłacie za gaz. Podszywają się pod Orlen
Zapowiedź zmian w mObywatelu. Rewolucja dla kierowców
Zapowiedź zmian w mObywatelu. Rewolucja dla kierowców
Odpalił Dooma w... chatbocie. Ty też możesz
Odpalił Dooma w... chatbocie. Ty też możesz
YouTube włącza PIP dla wszystkich użytkowników
YouTube włącza PIP dla wszystkich użytkowników
Kabel USB-C: co sprawdzić przed zakupem?
Kabel USB-C: co sprawdzić przed zakupem?
Aktualizacja KSeF 2.0. Pozwala zgłaszać fałszywe faktury
Aktualizacja KSeF 2.0. Pozwala zgłaszać fałszywe faktury
Nowość w Uberze. Rośnie konkurencja dla Booking
Nowość w Uberze. Rośnie konkurencja dla Booking
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE