Kontrolerzy szczególną uwagę zwrócili na brak jednego ośrodka decyzyjnego, który stworzyłby szeroką systemową wizję bezpieczeństwa w cyberprzestrzeni i koordynował działania mające za zadanie zażegnanie konkretnego zagrożenia. Nasze państwo dotychczas reagowało jedynie doraźnie, na co dzień pogrążając się w błogiej bierności. Znamienne wydaje się tutaj stwierdzenie NIK, iż urzędnicy zamiast zaproponować rozwiązania zwiększające nasze bezpieczeństwo czekali jedynie na dyrektywy płynące z Unii Europejskiej. A to najważniejsze ustalenia:
1. Czynnikiem wpływającym negatywnie na realizację zadań było niewystarczające zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów. Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne.
2. Minister Administracji i Cyfryzacji, któremu bezpośrednio przypisano obowiązki związane z ochroną cyberprzestrzeni, nie realizował należących do niego zadań w zakresie inicjowania i koordynowania działań innych podmiotów. Co warto podkreślić, minister nie miał nawet uprawnień do oddziaływania na inne instytucje, które odmawiały współpracy lub nierzetelnie i nieterminowo wywiązywały się z przypisanych im obowiązków.
3. Minister Spraw Wewnętrznych nie realizował żadnych zadań związanych z budową krajowego systemu ochrony cyberprzestrzeni. Działania ministra w obszarze bezpieczeństwa IT ograniczały się do własnych sieci oraz systemów resortowych – jednak nawet w tym zakresie były prowadzone w sposób nierzetelny.
4. Przepisy prawa telekomunikacyjnego są wadliwie sformułowane i nie mogą być w praktyce wykorzystywane do realizacji zadań związanych z bezpieczeństwem IT. Było to przyczyną zaniechania wykonywania obowiązków przez Prezesa Urzędu Komunikacji Elektronicznej, dotyczących m.in. informowania obywateli o zagrożeniach związanych z korzystaniem z internetu.
5. Koordynowany przez Rządowe Centrum Bezpieczeństwa system zarządzania kryzysowego nie jest komplementarny i spójny z działaniami w zakresie bezpieczeństwa teleinformatycznego oraz w niewystarczającym stopniu uwzględnia nowe zagrożenia dla infrastruktury krytycznej państwa.
6. Jednostki policji podejmowały działania związane ze zwalczaniem przestępczości komputerowej oraz aktywnie uczestniczyły w kampaniach edukacyjno-informacyjnych. Komendant Główny Policji nie podjął jednak rzetelnych działań w celu wdrożenia realnego i kompleksowego systemu reagowania na incydenty w cyberprzestrzeni.
7. Minister Obrony Narodowej aktywnie realizował zadania w zakresie budowy resortowego systemu reagowania na incydenty komputerowe oraz uczestniczył w budowie krajowego systemu ochrony cyberprzestrzeni.
8. Kierownictwo Naukowej i Akademickiej Sieci Komputerowej podejmowało liczne działania, które NIK oceniła jako dobre praktyki w zakresie ochrony cyberprzestrzeni. Dotyczyły one w szczególności powołania i utrzymywania zespołu CERT Polska.
9. Kierownictwo Agencji Bezpieczeństwa Wewnętrznego realizowało zadania związane z zapobieganiem i reagowaniem na incydenty komputerowe w systemach podmiotów administracji państwowej. Aktywność ABW podlegała jednak istotnym ograniczeniom wynikającym w głównej mierze z niewystarczających zasobów.
10. W czerwcu 2013 r. Rada Ministrów przyjęła „Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej” – dokument będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi. Wedle NIK większość z postawionych w nim zadań i celów nie zostało zrealizowanych.
11. Wciąż nie zostały opracowane zasady finansowania działań związanych z ochroną polskiej cyberprzestrzeni. Nie przydzielono żadnych dodatkowych środków na ich realizację, co w ocenie NIK, praktycznie sparaliżowało działania podmiotów państwowych w zakresie bezpieczeństwa teleinformatycznego.
12. Nie prowadzono żadnych prac legislacyjnych, które miałyby na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym państwa.
13. Administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju incydentów występujących w cyberprzestrzeni, a ustanowiony w prawie telekomunikacyjnym system zbierania i rejestrowania takich informacji okazał się być całkowicie nieskuteczny.
14. Tworzone w Polsce plany kryzysowe odnosiły się wyłącznie do zdarzeń konwencjonalnych, takich jak np. katastrofy naturalne i nie uwzględniały zmiany charakteru zagrożeń, wynikających z postępu technologicznego.
15. NIK dostrzega wysiłki podejmowane przez ABW (we współpracy z NASK) w celu realizacji projektu dotyczącego wytworzenia, utrzymywania systemu wczesnego ostrzegania – ARAKIS.GOV. Brak jednak środków finansowych na skuteczne rozbudowanie tego systemu.
Niestety, ale w przytoczonych najważniejszych punktach raportu rzadko można dostrzec jakiś pozytyw. Ogólny obraz pozostaje bardzo mocno negatywny. Wyraźnie widać, iż sytuacja jest zła i musi w jak najszybszym czasie ulec radykalnej poprawie. Jest to również zalecenie przedstawione przez samych kontrolerów: ”w ocenie NIK, ustalenia wskazują na konieczność bezzwłocznego podjęcia skoordynowanych, systemowych działań, prowadzących do wdrożenia realnych mechanizmów ochrony cyberprzestrzeni RP”. Mamy nadzieję, że właśnie tak się stanie.
Źródło: NIK / Zdjęcie: Govexec