Polska łatwym obiektem ataku hakerów i cyberterrorystów

0
0
0
/

Bezpieczeństwo w cyberprzestrzeni nie jest w Polsce właściwie chronione - alarmuje Najwyższa Izba Kontroli, wskazując na patologiczny stan cyberbezpieczeństwa państwa polskiego. Dotychczas nie podjęto spójnych i systemowych działań w zakresie monitorowania i przeciwdziałania zagrożeniom występującym w cyberprzestrzeni.

 

NIK stwierdziła, że działania podmiotów państwowych związane z ochroną cyberprzestrzeni były prowadzone w sposób rozproszony i bez spójnej wizji systemowej. Sprowadzały się one do doraźnego, ograniczonego reagowania na bieżące wydarzenia oraz biernego oczekiwania na regulacje unijne.

 

Kluczowym czynnikiem paraliżującym aktywność państwa w tym zakresie był brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych. Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne.

 

Nie określono też struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań. A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią.

 

W ocenie NIK, istotnym czynnikiem wpływającym negatywnie na realizację zadań w obszarze bezpieczeństwa w cyberprzestrzeni było niewystarczające zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów, w celu rozstrzygania kwestii spornych między poszczególnymi urzędami oraz zapewnienia współdziałania organów i instytucji związanych z bezpieczeństwem teleinformatycznym państwa.

 

Kontrola wykazała, że Minister Administracji i Cyfryzacji, któremu bezpośrednio przypisano obowiązki związane z ochroną cyberprzestrzeni, nie realizował należących do niego zadań w zakresie inicjowania i koordynowania działań innych podmiotów w dziedzinie bezpieczeństwa teleinformatycznego państwa. Nie dysponował przy tym zasobami pozwalającymi na realną realizację zadań dotyczących zarządzania krajowym system ochrony cyberprzestrzeni oraz nie miał uprawnień do oddziaływania na inne instytucje, które odmawiały współpracy lub nierzetelnie i nieterminowo wywiązywały się z przypisanych im obowiązków.

 

Minister Spraw Wewnętrznych nie realizował żadnych zadań związanych z budową krajowego systemu ochrony cyberprzestrzeni. Działania Ministra w obszarze bezpieczeństwa IT ograniczały się do własnych sieci oraz systemów resortowych - jednak nawet w tym zakresie były prowadzone w sposób nierzetelny.

 

NIK zauważyła, że obowiązujące obecnie przepisy Prawa telekomunikacyjnego są wadliwie sformułowane i nie mogą być w praktyce wykorzystywane do realizacji zadań związanych z bezpieczeństwem IT. Było to przyczyną zaniechania wykonywania obowiązków przez Prezesa Urzędu Komunikacji Elektronicznej, dotyczących w szczególności pozyskiwania informacji o incydentach występujących w cyberprzestrzeni oraz informowania obywateli o zagrożeniach związanych z korzystaniem z Internetu.

 

Jak wykazała kontrola, koordynowany przez Rządowe Centrum Bezpieczeństwa system zarządzania kryzysowego nie jest komplementarny i spójny z działaniami w zakresie bezpieczeństwa teleinformatycznego oraz w niewystarczającym stopniu uwzględnia nowe zagrożenia dla infrastruktury krytycznej państwa, jakimi są zagrożenia występujące w cyberprzestrzeni.

 

Jednostki organizacyjne Policji podejmowały działania związane ze zwalczaniem przestępczości komputerowej oraz aktywnie uczestniczyły w kampaniach edukacyjno-informacyjnych, dotyczących bezpiecznego korzystania z Internetu. Komendant Główny Policji nie podjął natomiast rzetelnych działań w celu wdrożenia w Policji realnego i kompleksowego systemu reagowania na zagrożenia i incydenty w cyberprzestrzeni.

 

NIK odnotowała, że od 2008 roku prowadzone były prace nad narodową strategią ochrony cyberprzestrzeni. Kolejne wersje tego dokumentu nie były jednak zatwierdzane ze względu na ich nierzetelne przygotowanie i sprzeczne interesy różnych instytucji, zaangażowanych w tworzenie strategii. W czerwcu 2013 r. Rada Ministrów przyjęła „Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej” - dokument będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi. Nieliczne zadania wynikające bezpośrednio z „Polityki” nie były realizowane przez większość skontrolowanych przez NIK podmiotów, co pozwala stwierdzić, że praktyczne zastosowanie strategii w celu poprawy bezpieczeństwa teleinformatycznego państwa było raczej symboliczne.

 

Wciąż nie zostały opracowane także założenia systemu finansowania działań związanych z ochroną cyberprzestrzeni RP. Nie przydzielono żadnych dodatkowych środków na ich realizację, co w ocenie NIK, praktycznie sparaliżowało działania podmiotów państwowych w zakresie bezpieczeństwa teleinformatycznego. Zasoby poszczególnych jednostek objętych kontrolą były bowiem nieadekwatne w stosunku do przypisanych im obowiązków.

 

Nie prowadzono żadnych prac legislacyjnych, które miałyby na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym państwa. Nie przeprowadzono inwentaryzacji rozproszonych w różnych aktach prawnych przepisów związanych z cyberbezpieczeństwem, ani nie zdefiniowano pożądanych kierunków zmian legislacyjnych. Nie przygotowano nawet założeń aktu normatywnego, określającego strukturę krajowego systemu ochrony cyberprzestrzeni i jego uczestników.

 

W Polsce wciąż nie funkcjonuje spójny krajowy system reagowania na incydenty komputerowe. Czynności z zakresu reagowania na incydenty są realizowane przez funkcjonujące niezależnie od siebie państwowe i prywatne zespoły CERT, zajmujące się swoimi własnymi obszarami oddziaływania. Kierownictwo administracji państwowej nie podejmowało działań w celu wypracowania założeń pożądanej struktury zespołów reagowania, ustanowienia kanałów wymiany informacji oraz powołania CERTu narodowego, koordynującego działania wielu podmiotów i odpowiadającego za współpracę międzynarodową.

 

Minister Administracji i Cyfryzacji, który zgodnie z zapisami strategii odpowiada za koordynację krajowego systemu reagowania na incydenty komputerowe, nie realizował żadnych zadań w tym zakresie.

 

Administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju incydentów występujących w cyberprzestrzeni, a ustanowiony w Prawie telekomunikacyjnym system zbierania i rejestrowania takich informacji okazał się być całkowicie nieskuteczny.

 

Tworzone w Polsce plany kryzysowe, w tym w szczególności Krajowy Plan Zarządzania Kryzysowego, odnosiły się wyłącznie do zdarzeń konwencjonalnych, takich jak np. katastrofy naturalne i nie uwzględniały zmiany charakteru zagrożeń, wynikającej m.in. z postępu technologicznego. Obowiązujące przepisy dotyczące zarządzania kryzysowego oraz Prawa telekomunikacyjnego nie były wykorzystywane w celu opracowania procedur obowiązujących w sytuacjach kryzysowych związanych z cyberprzestrzenią, a kierownictwo odpowiedzialnych podmiotów państwowych nie dostrzegało potrzeby podjęcia działań w tym zakresie.

 

Administracja publiczna nie wypracowała dotąd zintegrowanego i systemowego wspierania przez państwo badań w obszarze ochrony cyberprzestrzeni oraz możliwości praktycznego zastosowania ich wyników w celu poprawy bezpieczeństwa teleinformatycznego.

 

W ocenie NIK, ustalenia kontroli wskazują na konieczność bezzwłocznego podjęcia skoordynowanych, systemowych działań, prowadzących do wdrożenia realnych mechanizmów ochrony cyberprzestrzeni RP. W celu wyeliminowania najpoważniejszej przeszkody, która sparaliżowała aktywność państwa w tym zakresie w latach 2008-2014, tj. sprzecznych interesów poszczególnych instytucji publicznych, konieczne jest bezpośrednie zaangażowanie w realizację tych zadań najwyższego kierownictwa administracji rządowej - Rady Ministrów i Prezesa Rady Ministrów. Kolejnymi warunkami efektywnej ochrony cyberprzestrzeni, jest wdrożenie mechanizmów współpracy podmiotów prywatnych i państwowych oraz zapewnienie odpowiedniego finansowania działań związanych z bezpieczeństwem IT.

 

JN

 

Źródło: NIK

 

© WSZYSTKIE PRAWA DO TEKSTU ZASTRZEŻONE. Możesz udostępniać tekst w serwisach społecznościowych, ale zabronione jest kopiowanie tekstu w części lub całości przez inne redakcje i serwisy internetowe bez zgody redakcji pod groźbą kary i może być ścigane prawnie.

Źródło: prawy.pl

Sonda
Wczytywanie sondy...
Polecane
Wczytywanie komentarzy...
Przejdź na stronę główną