Miażdżące wstępne wyniki kontroli ochrony polskiej cyberprzestrzeni. Najgorzej radzą sobie MAC i MSW

28-11-2014, 18:33

Raport Najwyższej Izby Kontroli na temat bezpieczeństwa cyberprzestrzeni RP ma zostać przedstawiony w pierwszym kwartale przyszłego roku. Uczestnicy konferencji Security Case Study 2014 mieli jednak okazję poznać wstępne ustalenia NIK, które nie napawają optymizmem.

Zapowiedź przeprowadzenia kontroli w tym zakresie pojawiła się w połowie czerwca. Do NIK zaczęły bowiem docierać sygnały, że administracja państwowa od roku nie jest w stanie wdrożyć Polityki Ochrony Cyberprzestrzeni RP, o której w Dzienniku Internautów pisaliśmy jeszcze na etapie konsultacji. Dokument ten został ostatecznie przyjęty przez Radę Ministrów 25 czerwca 2013 r. (można się z nim zapoznać np. na stronie MAC).

Najwyższa Izba Kontroli postanowiła sprawdzić, czy istnieje spójny system działania organów administracji państwowej dotyczący monitorowania i przeciwdziałania zagrożeniom w cyberprzestrzeni. Kontrolą zostały objęte:

  • Ministerstwo Spraw Wewnętrznych,
  • Ministerstwo Administracji i Cyfryzacji,
  • Ministerstwo Obrony Narodowej,
  • Agencja Bezpieczeństwa Wewnętrznego,
  • Rządowe Centrum Bezpieczeństwa,
  • Naukowa i Akademicka Sieć Komputerowa,
  • Urząd Komunikacji Elektronicznej,
  • Komenda Główna Policji,
  • Straż Graniczna.

Badano aktywność tych instytucji od 2008 r. ze szczególnym uwzględnieniem dwóch ostatnich lat. Pierwsze wnioski z kontroli zostały zaprezentowane przez Marka Bieńkowskiego, dyrektora Departamentu Porządku i Bezpieczeństwa Wewnętrznego NIK, na konferencji Security Case Study zorganizowanej w tym tygodniu przez Fundację Bezpieczna Cyberprzestrzeń.

Zatrważające wyniki kontroli

Według Gazety Prawnej kontrolerzy najgorzej ocenili aktywność Ministerstwa Administracji i Cyfryzacji, a przecież jest to podmiot, który ma koordynować realizację Polityki Ochrony Cyberprzestrzeni RP. Nie pierwszy raz się okazało, że „szewc bez butów chodzi” – MAC przystąpił do wdrażania u siebie Polityki dopiero po otrzymaniu informacji, że będzie w tym zakresie kontrolowany. Wiele działań było prowadzonych ad hoc, bez przygotowania i oddelegowania do nich odpowiedniej liczby ludzi, a z raportów ministerstwa wynikało, że zagrożenia związane z cyberprzestrzenią mają ograniczony zasięg i nie rodzą skutków ekonomicznych dla państwa.

Kontrolerzy zwrócili uwagę, że podzielone w 2011 r. MSWiA nie przekazało dokumentacji z zakresu ochrony cyberprzestrzeni nowo utworzonym resortom. Dla Ministerstwa Spraw Wewnętrznych był to wystarczający powód, by nie angażować się w tę problematykę. Z przedstawionych przez Bieńkowskiego wstępnych wyników kontroli można wysnuć wniosek, że pracownikom MSW brakuje świadomości obowiązków związanych z bezpieczeństwem informatycznym państwa.

Pozostałe instytucje wypadły nieco lepiej, ich bolączką jest jednak nieumiejętność nawiązywania między sobą współpracy. Dobrze to widać np. na linii CERT – Policja. Gazeta Prawna podaje, że w ciągu ostatnich dwóch lat Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL zgłosił policjantom blisko 2 tys. przypadków naruszenia cyberbezpieczeństwa, ale nikt nie pofatygował się o wpisanie ich do ewidencji.

Podsumowając, nieprawidłowości wykryto w każdej z badanych instytucji. Realizacja zadań wynikających z Polityki Ochrony Cyberprzestrzeni RP kuleje, istotnym problemem jest także brak kompleksowych regulacji prawnych. Trzeba np. uregulować relacje pomiędzy podmiotami państwowymi a firmą NASK, która od lat angażuje się w obsługę zdarzeń naruszających bezpieczeństwo. Nie warto też biernie czekać na wejście w życie odpowiedniej dyrektywy unijnej. Bardziej konkretne zalecenia NIK powinniśmy poznać w pierwszym kwartale 2015 r. wraz z premierą raportu.


  
znajdź w serwisie

RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy