Polska nie jest bezpieczna w cyberprzestrzeni

Polska nie ma narodowej strategii ochrony cyberprzestrzeni. Nie ma struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników, nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań. Nie zostały zidentyfikowane nawet podstawowe zagrożenia dla krajowej infrastruktury teleinformatycznej, a co najgorsze - nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią.

Izba podkreśla, że aktywność naszego państwa paraliżował przede wszystkim brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych. Grzechem polskiej administracji jest także bierne oczekiwanie na rozwiązania, które w tym zakresie ma zaproponować Unia Europejska.

Premier powinien się bardziej zaangażować

W ocenie NIK, istotnym czynnikiem wpływającym negatywnie na realizację zadań w obszarze bezpieczeństwa w cyberprzestrzeni było niewystarczające zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów, w celu rozstrzygania kwestii spornych między poszczególnymi urzędami oraz zapewnienia współdziałania organów i instytucji związanych z bezpieczeństwem teleinformatycznym państwa.

Jako działania pozytywne w obszarze ochrony cyberprzestrzeni można wskazać w szczególności:

- powołanie i utrzymywanie na wysokim poziomie zespołów CERT (zespołów ds. bezpieczeństwa informatycznego) przez takie instytucje jak NASK, ABW oraz MON;

- utworzenie przez Ministra Obrony Narodowej systemu reagowania na incydenty komputerowe w resorcie obrony narodowej oraz wyspecjalizowanej jednostki - Narodowego Centrum Kryptologii;

- upowszechnianie przez Rządowe Centrum Bezpieczeństwa wytycznych i dobrych praktyk z zakresu ochrony teleinformatycznej infrastruktury krytycznej;

- prowadzenie przez NASK i Policję aktywnych działań edukacyjnych dotyczących m.in. przestępczości komputerowej i bezpieczeństwa w cyberprzestrzeni.

Każdy chroni po swojemu

NIK zauważa, że poszczególne kontrolowane podmioty posiadały własne, odrębne procedury zapobiegania zagrożeniom w cyberprzestrzeni. Ale suma tych systemów nie tworzyła spójnej całości - jednego spójnego systemu.

Kontrola wykazała, że Minister Administracji i Cyfryzacji, któremu bezpośrednio przypisano obowiązki związane z ochroną cyberprzestrzeni, nie realizował należących do niego zadań w zakresie inicjowania i koordynowania działań innych podmiotów w dziedzinie bezpieczeństwa teleinformatycznego państwa. Minister Administracji i Cyfryzacji nie dysponował zasobami pozwalającymi na realną realizację zadań dotyczących zarządzania krajowym system ochrony cyberprzestrzeni oraz nie miał uprawnień do oddziaływania na inne instytucje, które odmawiały współpracy lub nierzetelnie i nieterminowo wywiązywały się z przypisanych im obowiązków.

Minister Spraw Wewnętrznych nie realizował żadnych zadań związanych z budową krajowego systemu ochrony cyberprzestrzeni. Działania Ministra w obszarze bezpieczeństwa IT ograniczały się do własnych sieci oraz systemów resortowych - jednak nawet w tym zakresie były prowadzone w sposób nierzetelny.

NIK zauważyła, że obowiązujące obecnie przepisy Prawa telekomunikacyjnego są wadliwie sformułowane i nie mogą być w praktyce wykorzystywane do realizacji zadań związanych z bezpieczeństwem IT. Było to przyczyną zaniechania wykonywania obowiązków przez Prezesa Urzędu Komunikacji Elektronicznej, dotyczących w szczególności pozyskiwania informacji o incydentach występujących w cyberprzestrzeni oraz informowania obywateli o zagrożeniach związanych z korzystaniem z Internetu.

Koordynowany przez Rządowe Centrum Bezpieczeństwa system zarządzania kryzysowego nie jest komplementarny i spójny z działaniami w zakresie bezpieczeństwa teleinformatycznego oraz w niewystarczającym stopniu uwzględnia nowe zagrożenia dla infrastruktury krytycznej państwa, jakimi są zagrożenia występujące w cyberprzestrzeni.

Jednostki organizacyjne Policji podejmowały działania związane ze zwalczaniem przestępczości komputerowej oraz aktywnie uczestniczyły w kampaniach edukacyjno-informacyjnych, dotyczących bezpiecznego korzystania z Internetu. Komendant Główny Policji nie podjął natomiast rzetelnych działań w celu wdrożenia w Policji realnego i kompleksowego systemu reagowania na zagrożenia i incydenty w cyberprzestrzeni.

Minister Obrony Narodowej aktywnie realizował zadania w zakresie budowy resortowego systemu reagowania na incydenty komputerowe oraz uczestniczył w budowie krajowego systemu ochrony cyberprzestrzeni.

Kierownictwo Agencji Bezpieczeństwa Wewnętrznego realizowało zadania związane z zapobieganiem i reagowaniem na incydenty komputerowe w systemach podmiotów administracji państwowej, polegające m.in. na stworzeniu i utrzymywaniu systemu wczesnego ostrzegania ARAKIS.GOV oraz Zespołu CERT.GOV.PL. Aktywność ABW podlegała jednak istotnym ograniczeniom, wynikającym w szczególności z niewystarczających zasobów i braku formalnego umocowania Zespołu CERT.GOV.PL.

Kierownictwo Naukowej i Akademickiej Sieci Komputerowej podejmowało liczne działania, które NIK oceniła jako dobre praktyki w zakresie ochrony cyberprzestrzeni. Dotyczyły one w szczególności powołania i utrzymywania zespołu CERT Polska.

Prawo nie nadąża

NIK odnotowała, że od 2008 roku prowadzone były prace nad narodową strategią ochrony cyberprzestrzeni. Kolejne wersje tego dokumentu nie były jednak zatwierdzane ze względu na ich nierzetelne przygotowanie i sprzeczne interesy różnych instytucji, zaangażowanych w przygotowywanie strategii. W czerwcu 2013 r. Rada Ministrów przyjęła „Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej" - dokument będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi. Nieliczne zadania wynikające bezpośrednio z „Polityki" nie były realizowane przez większość skontrolowanych przez NIK podmiotów, co pozwala stwierdzić, że praktyczne zastosowanie strategii w celu poprawy bezpieczeństwa teleinformatycznego państwa było raczej symboliczne.

Wciąż nie zostały opracowane także założenia systemu finansowania działań związanych z ochroną cyberprzestrzeni RP. Nie przydzielono żadnych dodatkowych środków na ich realizację, co w ocenie NIK, praktycznie sparaliżowało działania podmiotów państwowych w zakresie bezpieczeństwa teleinformatycznego. Zasoby poszczególnych jednostek objętych kontrolą były bowiem nieadekwatne w stosunku do przypisanych im obowiązków.

Nie prowadzono żadnych prac legislacyjnych, które miałyby na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym państwa. Nie przeprowadzono inwentaryzacji rozproszonych w różnych aktach prawnych przepisów związanych z cyberbezpieczeństwem, ani nie zdefiniowano pożądanych kierunków zmian legislacyjnych. Nie przygotowano nawet założeń aktu normatywnego, określającego strukturę krajowego systemu ochrony cyberprzestrzeni i jego uczestników.

MAC nie zrobił nic

W Polsce wciąż nie funkcjonuje spójny krajowy system reagowania na incydenty komputerowe. Czynności z zakresu reagowania na incydenty są realizowane przez funkcjonujące niezależnie od siebie państwowe i prywatne zespoły CERT, zajmujące się swoimi własnymi obszarami oddziaływania. Kierownictwo administracji państwowej nie podejmowało działań w celu wypracowania założeń pożądanej struktury zespołów reagowania, ustanowienia kanałów wymiany informacji oraz powołania CERTu narodowego, koordynującego działania wielu podmiotów i odpowiadającego za współpracę międzynarodową.

Minister Administracji i Cyfryzacji, który zgodnie z zapisami strategii odpowiada za koordynację krajowego systemu reagowania na incydenty komputerowe, nie realizował żadnych zadań w tym zakresie.

Administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju incydentów występujących w cyberprzestrzeni, a ustanowiony w Prawie telekomunikacyjnym system zbierania i rejestrowania takich informacji okazał się być całkowicie nieskuteczny.

Tworzone w Polsce plany kryzysowe, w tym w szczególności Krajowy Plan Zarządzania Kryzysowego, odnosiły się wyłącznie do zdarzeń konwencjonalnych, takich jak np. katastrofy naturalne i nie uwzględniały zmiany charakteru zagrożeń, wynikającej m.in. z postępu technologicznego. Obowiązujące przepisy dotyczące zarządzania kryzysowego oraz Prawa telekomunikacyjnego nie były wykorzystywane w celu opracowania procedur obowiązujących w sytuacjach kryzysowych związanych z cyberprzestrzenią, a kierownictwo odpowiedzialnych podmiotów państwowych nie dostrzegało potrzeby podjęcia działań w tym zakresie.

NIK dostrzega wysiłki podejmowane przez ABW (we współpracy z NASK) w celu realizacji projektu dotyczącego wytworzenia, utrzymywania i rozbudowy systemu wczesnego ostrzegania - ARAKIS.GOV. W ramach tego przedsięwzięcia w kilkudziesięciu instytucjach publicznych zainstalowano sondy systemu, dzięki którym uzyskiwano informacje o zagrożeniach w sieci Internet. Jednak ze względu na braki finansowe, dobrowolność udziału w projekcie oraz instalowanie sond wyłącznie w podmiotach publicznych, zasięg oddziaływania systemu ARAKIS.GOV oraz pozyskiwanych za jego pomocą danych miały ograniczony zakres.

Administracja publiczna nie wypracowała dotąd zintegrowanego i systemowego wspierania przez państwo badań w obszarze ochrony cyberprzestrzeni oraz możliwości praktycznego zastosowania ich wyników w celu poprawy bezpieczeństwa teleinformatycznego.

W ocenie NIK, ustalenia kontroli wskazują na konieczność bezzwłocznego podjęcia skoordynowanych, systemowych działań, prowadzących do wdrożenia realnych mechanizmów ochrony cyberprzestrzeni RP. W celu wyeliminowania najpoważniejszej przeszkody, która sparaliżowała aktywność państwa w tym zakresie w latach 2008-2014, tj. sprzecznych interesów poszczególnych instytucji publicznych, konieczne jest bezpośrednie zaangażowanie w realizację tych zadań najwyższego kierownictwa administracji rządowej - Rady Ministrów i Prezesa Rady Ministrów. Kolejnymi warunkami efektywnej ochrony cyberprzestrzeni, jest wdrożenie mechanizmów współpracy podmiotów prywatnych i państwowych oraz zapewnienie odpowiedniego finansowania działań związanych z bezpieczeństwem IT.

Konsumenci

Pozew grupowy oszukanych na pompy ciepła. Sąd wydał zabezpieczenie

Sąd Okręgowy w Gdańsku udzielił zabezpieczenia roszczeń w postępowaniu grupowym o ustalenie nieważności umów o kredyt konsumencki na zakup pomp ciepła. Bank wypłacił pieniądze sprzedawcom pomp ciepła, choć urządzenia te nie trafiły do ich klientów.

Materiał Promocyjny

Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę

Sądy i trybunały

Dr Tomasz Zalasiński: W Trybunale Konstytucyjnym gorzej już nie będzie

Ostatnie osiem lat to najgorszy okres w historii Trybunału Konstytucyjnego, który został doprowadzony na skraj organizacyjnej i etycznej zapaści. Gorzej zapewne nie będzie, bo to byłoby trudne – twierdzi dr Tomasz Zalasiński, konstytucjonalista.

Konsumenci

TSUE wydał ważny wyrok dla frankowiczów. To pokłosie sprawy Getin Banku

TSUE orzekł, że rozpoznanie skarg frankowiczów ma nastąpić w rozsądnym terminie i uwzględniać indywidualne zarzuty.

Nieruchomości

Właściciele starych budynków mogą mieć problem. Wygasają ważne przepisy

Z końcem 2024 r. wygasa obowiązek gmin zapewnienia lokali zamiennych lokatorom mieszkającym w budynkach wymagających rozbiórki lub remontu. Jeżeli nie będzie zmiany przepisów, obowiązek ten spocznie wyłącznie na właścicielach budynków, którzy ani nie mają na to pieniędzy, ani nie dysponują zasobem lokali zamiennych - alarmuje rzecznik praw obywatelskich.

Materiał Promocyjny

Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite

Bank wspiera rozwój pasji, dlatego miał już w swojej ofercie konto gamingowe, atrakcyjne wizerunki kart płatniczych oraz skórek w aplikacji nawiązujących do gier. Teraz, chcąc dotrzeć do młodych, stworzył w ramach trybu kreatywnego swoją mapę symulacyjną w Fortnite, łącząc innowacyjną rozgrywkę z edukacją finansową i udostępniając graczom możliwość stworzenia w wirtualnym świecie własnego banku.

Prawo rodzinne

Przy rozwodzie z żoną trzeba się też rozstać z częścią krów

Mąż przez kilkanaście lat utrzymywał stado krów, które dostał od rodziców. Przy rozwodzie i podziale majątku dorobkowego okazuje się, że stado należy już do wspólnego majątku i trzeba się nim podzielić.

Materiał Promocyjny

Jaecoo J7 w leasingu od 1670 zł/mies.

Materiał Promocyjny

Jak zadbać o siebie? Zacznij swój self-care od teraz!

Nie czekaj do nowego roku, by zadbać o siebie! Poznaj proste nawyki self-care, które wprowadzą równowagę, zdrowie i energię do Twojego życia.

Materiał Promocyjny

Konsultacje nowej odsłony programu „Czyste Powietrze”

Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej (NFOŚiGW) przedstawił do szerokich konsultacji społecznych projekt nowej odsłony programu priorytetowego „Czyste Powietrze”.

Uczestnicy webinaru rozmawiali o rynku i sposobach przeciwdziałania nieuczciwym praktykom

Biznes

Jak skutecznie chronić rynek Unii Europejskiej

Konkurowanie na rynku jest naturalne i napędza rozwój. Jednak problem zaczyna się, gdy ktoś dla zbudowania swojej pozycji stosuje nieuczciwe praktyki. Wtedy państwa powinny reagować w celu ochrony firm czy nawet całych sektorów gospodarki.

Walka o klimat

Trzeba zadbać o to, by recyklat został w Polsce

Polski recyklat jest pożądany na rynku europejskim – mówi Paweł Lesiak, wiceprezes firmy Interzero.

Nowa Energia

Korolec: Konkurencyjna Europa? Już nie stać nas na czekanie

Technologicznie nie nadążamy za innymi krajami, bo w Europie wcześniej nie nastąpiły odpowiednie inwestycje. Stąd konieczność pożyczenia i wydania dużych pieniędzy, które powinny przełożyć się na obniżkę kosztów produkcji produktów cleantech na naszym kontynencie - uważa Marcin Korolec, były minister środowiska, prezes Fundacji Promocji Pojazdów Elektrycznych oraz Instytutu Zielonej Gospodarki.

Materiał Partnera

2024: intensywny rok dla PreZero

Rok ten przyniósł wyjątkową dynamikę wydarzeń w PreZero, a także w kluczowych obszarach dla branży gospodarki odpadami w Polsce.

Przemysł Obronny

Nasze produkty są wszędzie, gdzie wykorzystuje się hydraulikę

Szybko reagujemy na potrzeby klienta. Potrafimy sprawnie dostosować do nich nasze rozwiązania. Dzięki temu jesteśmy rozpoznawalnym producentem na świecie i monopolistą w Polsce – mówi Rafał Worek, wiceprezes Ponaru Wadowice.

Materiał Promocyjny

Jak bezpiecznie sprzedawać w Internecie?

Planujesz sprzedać niepotrzebne rzeczy przez Internet? Robisz porządki w szafie? Znalazłeś nieużywane ubrania albo rzeczy, które tylko zbierają kurz? To świetnie się składa! Sprzedaż online to doskonały sposób na to, aby dać przedmiotom „drugie życie”, a do tego zasilić domowy budżet dodatkowym zarobkiem. Niestety, nie wszyscy kupujący mają uczciwe zamiary. Jak handlować w sieci bezpiecznie i bez stresu? Dzisiaj odpowiadamy na te pytania! Internet to świetne miejsce do sprzedaży. Tysiące ludzi codziennie szuka okazji i używanych rzeczy w dobrym stanie. Chętnie przygarną nieużywane przez Ciebie rzeczy, dając im nowe życie. Pomyśl tylko – te spodnie, które są już za małe, buty kupione w złym rozmiarze czy nieużywany tablet – wszystko to może znaleźć nowego właściciela i pomóc zasilić Twój domowy budżet! Na przykład, komplet ubrań z zeszłego sezonu może dać Ci nawet kilkaset złotych ekstra. Rower treningowy czy stary telefon komórkowy, który stoi i zbiera kurz może znaleźć nabywcę nawet w ciągu kilku dni i za naprawdę niezłą kwotę. Niekiedy jednak proces sprzedaży może być bardzo frustrujący. Jak uniknąć nieporozumień i przeprowadzić wszystko jak najsprawniej, a po drodze nie nadziać się na oszustów? Podpowiadamy!