Nie mamy spójnej strategii obrony cyberprzestrzeni. Potrzebne decyzje

Informację o kontroli przedstawił w środę w Warszawie na konferencji Security Case Study 2014 dyrektor jednego z departamentów Izby Marek Bieńkowski. Zaznaczył, że można jeszcze dyskutować o wnioskach, ale ustalenia Izby są udokumentowane.

Jak powiedział Bieńkowski, kontrola wykazała, że obecnie podmioty państwowe nie prowadzą spójnych i systemowych działań związanych z ochroną cyberprzestrzeni RP. Pozytywne działania, np. powoływanie i utrzymywanie na bardzo wysokim poziomie merytorycznym zespołów reagowania na incydenty komputerowe (tzw. CERT-ów) w ABW, MON i Naukowej i Akademickiej Sieci Komputerowej (NASK), były jedynie fragmentaryczne.

Bieńkowski podkreślił, że główni decydenci polityczni i kierownictwo administracji rządowej nie mają świadomości nowych zagrożeń. Dodał, że brakuje też zainteresowania kwestiami bezpieczeństwa technologii informacyjnych ze strony najważniejszych osób w państwie, choć tu wyjątkiem jest szykowana przez BBN doktryna cyberbezpieczeństwa. - To jest dokument kierunkowy, ale nie zastąpi ustawy - zastrzegł Bieńkowski.

Według NIK na najwyższym szczeblu trzeba pilnie podjąć wiążące decyzje odnośnie strategii i modelu obrony cyberprzestrzeni w Polsce. Zmienić trzeba też - jak mówił Bieńkowski - dominujące obecnie podejście, polegające na biernym czekaniu z decyzjami na przygotowywaną dyrektywę UE w sprawie zapewnienia wspólnego wysokiego poziomu bezpieczeństwa sieci teleinformatycznych i przetwarzanych w nich informacji.

Bieńkowski zwrócił uwagę, że nie ma kompleksowych regulacji prawnych w zakresie bezpieczeństwa w cyberprzestrzeni; akty prawne są rozproszone, niekompletne i nie tworzą spójnego systemu. Skrytykował też przyjętą w czerwcu 2013 r. Politykę Ochrony Cyberprzestrzeni RP. - Ma poważne braki merytoryczne, jest na bardzo dużym poziomie ogólności, co ciekawe - napisana jest w trybie przypuszczającym, a jej użyteczność pozostawia wiele do życzenia - powiedział.

Kontrola NIK objęła okres od 2008 r. do bieżącego kwartału. Kontrolerzy byli m.in. w MSW, MON, ABW, Urzędzie Komunikacji Elektronicznej, Rządowym Centrum Bezpieczeństwa, policji, Straży Granicznej, Naukowej i Akademickiej Sieć Komputerowa; na początku grudnia ma się zakończyć kontrola w MAC.

Odnośnie MSW - jak zauważył Bieńkowski - urzędnicy Izby wprawdzie nie użyli sformułowania, że negatywnie oceniają resort, ale napisali, że "nie stwierdzono żadnych aspektów, pozwalających na sformułowanie oceny pozytywnej". Stwierdzono, że nie została określona rola szefa MSW w systemie obrony cyberprzestrzeni. - W związku z wyodrębnieniem MAC, w MSW autentycznie brak było świadomości jakichkolwiek obowiązków związanych z bezpieczeństwem państwa w cyberprzestrzeni. Od momentu utworzenia MSW, czyli od listopada 2011 r., minister nie uczestniczył w budowie systemu ochrony cyberprzestrzeni RP - powiedział Bieńkowski.

Dodał, że zadania realizowane przed podziałem MSWiA na dwa ministerstwa nie były kontynuowane, co skończyło się tym, że "praktycznie cztery lata wrzucono do kosza" i prace rozpoczęto od nowa. NIK szczególnie zaskoczyło to, że MSW nie realizowało obowiązku kontroli i oceny podległych sobie podmiotów - m.in. policji, SG i rejestru CEPIK - w sposób ustalony w ustawie o informatyzacji. MSW nie miało też pełnej wiedzy, ile ma systemów informatycznych i jakiego rodzaju.

W MAC, które według Polityki Bezpieczeństwa Cyberprzestrzeni RP ma koordynować działania innych organów, kontrolerzy NIK stwierdzili brak "świadomości istnienia obowiązku związanego z ochroną cyberprzestrzeni". Nie zdefiniowano kompleksowo, jak ministerstwo ma realizować zadania w zakresie ochrony cyberprzestrzeni. - Zmroziło nas to, że w raporcie o zagrożeniach bezpieczeństwa narodowego przekazanym w 2012 r. przez MAC do RCB wykazano, że zagrożenia związane z cyberprzestrzenią mają bardzo ograniczony zakres, nie rodzą skutków ekonomicznych dla państwa, a MAC nie realizuje w tym obszarze żadnych zadań koordynacyjnych - powiedział Bieńkowski.

Jak dodał, działania ministerstwa nie były przemyślane, lecz stanowiły reakcję ad hoc, jak np. podczas protestów przeciw ACTA. W resorcie nie było zasobów ani kadr do realizacji zadań związanych z bezpieczeństwem cyberprzestrzeni - do lutego 2014 r. doraźnie zajmowała się tym jedna osoba z gabinetu politycznego ministra, obecnie robi to czteroosobowy zespół. - Dość powiedzieć, że w MAC nie były wdrażane zapisy podstawowego dokumentu, czyli Polityki Bezpieczeństwa Cyberprzestrzeni RP. Resort nie realizował zapisów dokumentu, który umocował go do tego, by koordynował działania w skali kraju - zaznaczył Bieńkowski.

Z kolei MON zostało pochwalone za aktywny udział w budowie systemu ochrony cyberprzestrzeni, wymianę informacji w kraju i za granicą oraz aktywność i rozwój Narodowego Centrum Kryptologii. Jednak - mówił Bieńkowski - ryzykowne jest oparcie szeregu fundamentalnych działań dotyczących kryptografii, szeroko rozumianego bezpieczeństwa IT i cyberprzestrzeni praktycznie na barkach jednego człowieka, czyli dyrektora NCK. Jeżeli nie przekształci się to w miarę szybko w spójny system, to może być groźne - przestrzegał Bieńkowski.

ABW oceniono jako instytucję bardzo aktywną. Bieńkowski zwrócił jednak uwagę, że w zakresie cyberbezpieczeństwa na Agencję nałożono bardzo poważne zadania bez dostatecznego zabezpieczenia w siły i środki - przy wakatach powyżej 20 proc. etatów i płacach funkcjonariuszy zamrożonych od kilku lat.

NIK pochwalił policję za dużą aktywność informacyjną i edukacyjną skierowaną do użytkowników internetu, w tym dzieci. Negatywnie oceniono natomiast brak kompleksowego systemu reagowania na incydenty komputerowe. Rejestr incydentów informatycznych w KGP nie zawierał żadnego zapisu, mimo że w latach 2012-14 działający w ABW zespół CERT.GOV.PL zgłosił policji ok. 2 tys. informacji o zagrożeniach i incydentach w policyjnych systemach teleinformacyjnych.

O rozpoczęciu kontroli bezpieczeństwa państwa w cyberprzestrzeni NIK poinformowała w połowie czerwca.

Autor: mn / Źródło: PAP