Nie ma komu bronić cyber-Polski

 "Podmioty państwowe nie prowadzą spójnych i systemowych działań związanych z ochroną cyberprzestrzeni RP. Jako działania pozytywne i wzory dobrych praktyk można wskazać jedynie »fragmentaryczne« działania poszczególnych instytucji, np. powołanie i utrzymywanie na wysokim poziomie Zespołów CERT przez ABW, MON oraz NASK" - stwierdzili m.in. inspektorzy NIK.

Izba od czerwca do października sprawdzała pod tym kątem MSW, MON, ABW, UKE, Rządowe Centrum Bezpieczeństwa, Komendę Główną Policji, Straż Graniczną oraz Naukową i Akademicką Sieć Komputerową. Wciąż trwa kontrola w Ministerstwie Administracji i Cyfryzacji.

Pierwsze wnioski dyrektor Marek Bieńkowski z NIK przedstawił na konferencji Security Case Study 2014. Okazały się bardzo krytyczne. Wynika z nich, że kierownictwo administracji rządowej nie ma świadomości nowych zagrożeń, poza tym latami zaniedbywało obowiązki związane z cyberochroną.

Najgorsze oceny dostały resorty spraw wewnętrznych oraz administracji i cyfryzacji, w których kompetencjach teoretycznie leży główna odpowiedzialność za stan polskiej cyberprzestrzeni. Jak to opisał Bieńkowski, w MSW "nie stwierdzono żadnych aspektów pozwalających na sformułowanie oceny pozytywnej". Powody: od czasu podziału MSWiA w 2011 r. ten resort praktycznie wycofał się z działań w dbaniu o cyberochronę, nie dokonano nawet formalnego przekazania dokumentacji i zadań do nowo utworzonych ministerstw.

Zdaniem NIK nowy resort odpowiedzialny za cyfryzację przez ten czas również nie poczuwał się zbytnio do odpowiedzialności. - Zmroziło nas to, że w raporcie o zagrożeniach bezpieczeństwa narodowego przekazanym w 2012 r. przez MAiC do Rządowego Centrum Bezpieczeństwa wykazano, że zagrożenia związane z cyberprzestrzenią mają rzekomo bardzo ograniczony zakres i nie rodzą skutków ekonomicznych dla państwa - wyjaśnia Bieńkowski. W MAiC do lutego 2014 r. doraźnie - na wypadek takich wydarzeń jak ataki podczas protestów przeciwko ACTA - cyberzagrożeniami zajmowała się jedna osoba. Dziś są cztery. Resort miał też powołać specjalny zespół, by wdrażać politykę ochrony cyberprzestrzeni. Zrobił to dopiero po informacji o kontroli NIK.

Skontrolowane instytucje słabo ze sobą współpracują. I widać to np. w policji, która stara się informować o zagrożeniach, ale nie ma kompleksowego systemu reagowania na incydenty komputerowe, a jej rejestr incydentów informatycznych nie zawierał żadnego zapisu - mimo że w ostatnich dwóch latach zespół CERT działający w ABW zgłosił policjantom blisko 2 tys. alertów dotyczących systemów teleinformacyjnych tej formacji.

- Nie jestem zaskoczona oceną NIK. Od dawna widać było, że nikt nie koordynuje tych zagadnień. Teraz widać, że nie mamy w ogóle systemu ochrony cyberprzestrzeni - tłumaczy Joanna Świątkowska, ekspert ds. cyberbezpieczeństwa z Instytutu Kościuszki. I ostrzega, że nie mamy czasu, by odwlekać konkretne działania. - Owszem, w 2015 r. ma być uchwalona w tej sprawie unijna dyrektywa, ale nie wiemy, jaki będzie jej kształt ani kiedy wejdzie ona w życie. A przestępcy nie będą czekali z działaniami na unijne prawo - dodaje.

Przytakuje jej dr Aleksander Poniewierski, partner zarządzający działem doradztwa informatycznego EY. - Nie jest ważne, na jakim ministerstwie czy instytucji będzie spoczywał obowiązek odpowiadania za cyberbezpieczeństwo. Ważne tylko, by był to jeden ośrodek, który będzie miał pełnię możliwości i środków, by zająć się problemem. Wtedy będzie można opracować standardy dbania o bezpieczeństwo, raportowania o zagrożeniach i naruszeniach i dalszych skoordynowanych działań - podkreśla Poniewierski.

Tak wygląda to np. w komercyjnych firmach, jak choćby w Sony, które zaatakowano przedwczoraj. Tam od razu zapadła decyzja, by pracownicy ze wszystkich oddziałów na świecie wyłączyli WiFi i zaprzestali pracy do czasu rozwiązania problemu.

5 incydentów czyli potencjalnych ataków , telekomy zgłosiły do UKE w ciągu ostatnich 4 lat. W tym czasie według specjalnego zespołu CERT działającego przy ABW (Computer Emergency Response Team) stwierdzono aż 40 mln zainfekowanych IP należących do 9 największych operatorów

7 projektów różnych strategii ochrony cyberprzestrzeni opracowano od 2008 do 2011 r. Rada Ministrów żadnego nie przyjęła

5670 zgłoszeń które trafiły w 2013 r. do CERT, zostało zakwalifikowanych jako incydenty

Sylwia Czubkowska

sylwia.czubkowska@infor.pl