W dniu dzisiejszym Najwyższa Izba Kontroli opublikowała materiały z kontroli na temat realizacji przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej. Została przeprowadzona w okresie od 02.06.2014 r. do 05.12.2014 r., a kontrolą objęto 8 podmiotów państwowych, którym przypisano kluczowe zadania związane z bezpieczeństwem teleinformatycznym państwa, tj.: Ministerstwo Administracji i Cyfryzacji, Agencję Bezpieczeństwa Wewnętrznego, Ministerstwo Obrony Narodowej, Ministerstwo Spraw Wewnętrznych, Naukową i Akademicką Sieć Komputerową, Urząd Komunikacji Elektronicznej, Rządowe Centrum Bezpieczeństwa oraz Komendę Główną Policji.
Wg opublikowanych materiałów, bezpieczeństwo w cyberprzestrzeni nie
jest w Polsce właściwie chronione. Nie podjęto dotąd spójnych
i systemowych działań w zakresie monitorowania i przeciwdziałania
zagrożeniom występującym w cyberprzestrzeni. Aktywność państwa
paraliżował przede wszystkim brak jednego ośrodka decyzyjnego,
koordynującego działania innych instytucji publicznych oraz bierne
oczekiwanie na rozwiązania, które w tym obszarze ma zaproponować Unia
Europejska.
NIK stwierdziła, że działania podmiotów państwowych związane z
ochroną cyberprzestrzeni były prowadzone w sposób rozproszony i bez
spójnej wizji systemowej. Sprowadzały się one do doraźnego,
ograniczonego reagowania na bieżące wydarzenia oraz biernego oczekiwania
na regulacje unijne.
Kluczowym czynnikiem paraliżującym aktywność państwa w tym zakresie
był brak jednego ośrodka decyzyjnego, koordynującego działania innych
instytucji publicznych. Nie zidentyfikowano podstawowych zagrożeń dla
krajowej infrastruktury teleinformatycznej oraz nie wypracowano
narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla
działań podnoszących bezpieczeństwo teleinformatyczne. Nie określono też
struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni,
nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie
przydzielono zasobów niezbędnych do skutecznej realizacji zadań. A co
najważniejsze nie przygotowano procedur reagowania w sytuacjach
kryzysowych, związanych z cyberprzestrzenią.
W ocenie NIK, istotnym czynnikiem wpływającym negatywnie na
realizację zadań w obszarze bezpieczeństwa w cyberprzestrzeni było
niewystarczające zaangażowanie kierownictwa administracji rządowej, w
tym Prezesa Rady Ministrów, w celu rozstrzygania kwestii spornych między
poszczególnymi urzędami oraz zapewnienia współdziałania organów
i instytucji związanych z bezpieczeństwem teleinformatycznym państwa.
Jako działania pozytywne w obszarze ochrony cyberprzestrzeni można wskazać w szczególności:
- powołanie i utrzymywanie na wysokim poziomie zespołów CERT (zespołów ds. bezpieczeństwa informatycznego) przez takie instytucje jak NASK, ABW oraz MON;
- utworzenie przez Ministra Obrony Narodowej systemu reagowania na incydenty komputerowe w resorcie obrony narodowej oraz wyspecjalizowanej jednostki - Narodowego Centrum Kryptologii;
- upowszechnianie przez Rządowe Centrum Bezpieczeństwa wytycznych i dobrych praktyk z zakresu ochrony teleinformatycznej infrastruktury krytycznej;
- prowadzenie przez NASK i Policję aktywnych działań edukacyjnych dotyczących m.in. przestępczości komputerowej i bezpieczeństwa w cyberprzestrzeni.
NIK zauważa, że poszczególne kontrolowane podmioty posiadały własne,
odrębne procedury zapobiegania zagrożeniom w cyberprzestrzeni. Ale suma
tych systemów nie tworzyła spójnej całości - jednego spójnego systemu.
Kontrola wykazała, że Minister Administracji i Cyfryzacji,
któremu bezpośrednio przypisano obowiązki związane z ochroną
cyberprzestrzeni, nie realizował należących do niego zadań w zakresie
inicjowania i koordynowania działań innych podmiotów w dziedzinie
bezpieczeństwa teleinformatycznego państwa. Minister Administracji i
Cyfryzacji nie dysponował zasobami pozwalającymi na realną realizację
zadań dotyczących zarządzania krajowym system ochrony cyberprzestrzeni
oraz nie miał uprawnień do oddziaływania na inne instytucje, które
odmawiały współpracy lub nierzetelnie i nieterminowo wywiązywały się z
przypisanych im obowiązków.
Minister Spraw Wewnętrznych nie realizował żadnych
zadań związanych z budową krajowego systemu ochrony cyberprzestrzeni.
Działania Ministra w obszarze bezpieczeństwa IT ograniczały się do
własnych sieci oraz systemów resortowych - jednak nawet w tym zakresie
były prowadzone w sposób nierzetelny.
NIK zauważyła, że obowiązujące obecnie przepisy Prawa
telekomunikacyjnego są wadliwie sformułowane i nie mogą być w praktyce
wykorzystywane do realizacji zadań związanych z bezpieczeństwem IT. Było
to przyczyną zaniechania wykonywania obowiązków przez Prezesa Urzędu Komunikacji Elektronicznej,
dotyczących w szczególności pozyskiwania informacji o incydentach
występujących w cyberprzestrzeni oraz informowania obywateli
o zagrożeniach związanych z korzystaniem z Internetu.
Koordynowany przez Rządowe Centrum Bezpieczeństwa
system zarządzania kryzysowego nie jest komplementarny i spójny z
działaniami w zakresie bezpieczeństwa teleinformatycznego oraz w
niewystarczającym stopniu uwzględnia nowe zagrożenia dla infrastruktury
krytycznej państwa, jakimi są zagrożenia występujące w cyberprzestrzeni.
Jednostki organizacyjne Policji podejmowały
działania związane ze zwalczaniem przestępczości komputerowej oraz
aktywnie uczestniczyły w kampaniach edukacyjno-informacyjnych,
dotyczących bezpiecznego korzystania z Internetu. Komendant Główny
Policji nie podjął natomiast rzetelnych działań w celu wdrożenia w
Policji realnego i kompleksowego systemu reagowania na zagrożenia i
incydenty w cyberprzestrzeni.
Minister Obrony Narodowej aktywnie realizował
zadania w zakresie budowy resortowego systemu reagowania na incydenty
komputerowe oraz uczestniczył w budowie krajowego systemu ochrony
cyberprzestrzeni.
Kierownictwo Agencji Bezpieczeństwa Wewnętrznego
realizowało zadania związane z zapobieganiem i reagowaniem na incydenty
komputerowe w systemach podmiotów administracji państwowej, polegające
m.in. na stworzeniu i utrzymywaniu systemu wczesnego ostrzegania
ARAKIS.GOV oraz Zespołu CERT.GOV.PL. Aktywność ABW podlegała jednak
istotnym ograniczeniom, wynikającym w szczególności z niewystarczających
zasobów i braku formalnego umocowania Zespołu CERT.GOV.PL.
Kierownictwo Naukowej i Akademickiej Sieci Komputerowej
podejmowało liczne działania, które NIK oceniła jako dobre praktyki w
zakresie ochrony cyberprzestrzeni. Dotyczyły one w szczególności
powołania i utrzymywania zespołu CERT Polska.
NIK odnotowała, że od 2008 roku prowadzone były prace nad narodową
strategią ochrony cyberprzestrzeni. Kolejne wersje tego dokumentu nie
były jednak zatwierdzane ze względu na ich nierzetelne przygotowanie i
sprzeczne interesy różnych instytucji, zaangażowanych w przygotowywanie
strategii. W czerwcu 2013 r. Rada Ministrów przyjęła „Politykę ochrony
cyberprzestrzeni Rzeczypospolitej Polskiej” - dokument będący wynikiem
źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami
merytorycznymi. Nieliczne zadania wynikające bezpośrednio z „Polityki”
nie były realizowane przez większość skontrolowanych przez NIK
podmiotów, co pozwala stwierdzić, że praktyczne zastosowanie strategii w
celu poprawy bezpieczeństwa teleinformatycznego państwa było raczej
symboliczne.
Wciąż nie zostały opracowane także założenia systemu finansowania
działań związanych z ochroną cyberprzestrzeni RP. Nie przydzielono
żadnych dodatkowych środków na ich realizację, co w ocenie NIK,
praktycznie sparaliżowało działania podmiotów państwowych w zakresie
bezpieczeństwa teleinformatycznego. Zasoby poszczególnych jednostek
objętych kontrolą były bowiem nieadekwatne w stosunku do przypisanych im
obowiązków.
Nie prowadzono żadnych prac legislacyjnych, które miałyby na celu
unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym
państwa. Nie przeprowadzono inwentaryzacji rozproszonych w różnych
aktach prawnych przepisów związanych z cyberbezpieczeństwem, ani nie
zdefiniowano pożądanych kierunków zmian legislacyjnych. Nie przygotowano
nawet założeń aktu normatywnego, określającego strukturę krajowego
systemu ochrony cyberprzestrzeni i jego uczestników.
W Polsce wciąż nie funkcjonuje spójny krajowy system reagowania na
incydenty komputerowe. Czynności z zakresu reagowania na incydenty są
realizowane przez funkcjonujące niezależnie od siebie państwowe i
prywatne zespoły CERT, zajmujące się swoimi własnymi obszarami
oddziaływania. Kierownictwo administracji państwowej nie podejmowało
działań w celu wypracowania założeń pożądanej struktury zespołów
reagowania, ustanowienia kanałów wymiany informacji oraz powołania CERTu
narodowego, koordynującego działania wielu podmiotów i odpowiadającego
za współpracę międzynarodową.
Minister Administracji i Cyfryzacji, który zgodnie z zapisami
strategii odpowiada za koordynację krajowego systemu reagowania na
incydenty komputerowe, nie realizował żadnych zadań w tym zakresie.
Administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju
incydentów występujących w cyberprzestrzeni, a ustanowiony w Prawie
telekomunikacyjnym system zbierania i rejestrowania takich informacji
okazał się być całkowicie nieskuteczny.
Tworzone w Polsce plany kryzysowe, w tym w szczególności Krajowy Plan
Zarządzania Kryzysowego, odnosiły się wyłącznie do zdarzeń
konwencjonalnych, takich jak np. katastrofy naturalne i nie uwzględniały
zmiany charakteru zagrożeń, wynikającej m.in. z postępu
technologicznego. Obowiązujące przepisy dotyczące zarządzania
kryzysowego oraz Prawa telekomunikacyjnego nie były wykorzystywane w
celu opracowania procedur obowiązujących w sytuacjach kryzysowych
związanych z cyberprzestrzenią, a kierownictwo odpowiedzialnych
podmiotów państwowych nie dostrzegało potrzeby podjęcia działań w tym
zakresie.
NIK dostrzega wysiłki podejmowane przez ABW (we współpracy z NASK) w
celu realizacji projektu dotyczącego wytworzenia, utrzymywania i
rozbudowy systemu wczesnego ostrzegania - ARAKIS.GOV. W ramach tego
przedsięwzięcia w kilkudziesięciu instytucjach publicznych zainstalowano
sondy systemu, dzięki którym uzyskiwano informacje o zagrożeniach w
sieci Internet. Jednak ze względu na braki finansowe, dobrowolność
udziału w projekcie oraz instalowanie sond wyłącznie w podmiotach
publicznych, zasięg oddziaływania systemu ARAKIS.GOV oraz pozyskiwanych
za jego pomocą danych miały ograniczony zakres.
Administracja publiczna nie wypracowała dotąd zintegrowanego i
systemowego wspierania przez państwo badań w obszarze ochrony
cyberprzestrzeni oraz możliwości praktycznego zastosowania ich wyników w
celu poprawy bezpieczeństwa teleinformatycznego.
W ocenie NIK, ustalenia kontroli wskazują na konieczność
bezzwłocznego podjęcia skoordynowanych, systemowych działań,
prowadzących do wdrożenia realnych mechanizmów ochrony cyberprzestrzeni
RP. W celu wyeliminowania najpoważniejszej przeszkody, która
sparaliżowała aktywność państwa w tym zakresie w latach 2008-2014, tj.
sprzecznych interesów poszczególnych instytucji publicznych, konieczne
jest bezpośrednie zaangażowanie w realizację tych zadań najwyższego
kierownictwa administracji rządowej - Rady Ministrów i Prezesa Rady
Ministrów. Kolejnymi warunkami efektywnej ochrony cyberprzestrzeni, jest
wdrożenie mechanizmów współpracy podmiotów prywatnych i państwowych
oraz zapewnienie odpowiedniego finansowania działań związanych
z bezpieczeństwem IT.
NIK o bezpieczeństwie w cyberprzestrzeni - informacje szczegółowe:
Wystąpienie pokontrolne NIK - MON:
Wystąpienie pokontrolne NIK - KGP:
Wystąpienie pokontrolne NIK - MSW:
Wystąpienie pokontrolne NIK - NASK:
Wystąpienie pokontrolne NIK - RCB:
Wystąpienie pokontrolne NIK - UKE:
Wypowiedź rzecznika NIK - materiał emisyjny TV HD i SD:
Wypowiedź rzecznika NIK - materiał emisyjny MP3:
Źródło:
www.nik.gov.pl
0 komentarze:
Prześlij komentarz