NIK: trzeba pilnie podjąć decyzje odnośnie obrony cyberprzestrzeni

2014-11-26, 14:24  Polska Agencja Prasowa

Na najwyższym szczeblu trzeba pilnie podjąć wiążące decyzje odnośnie strategii i modelu obrony cyberprzestrzeni w Polsce - to wstępny wniosek z trwającej jeszcze kontroli cyberbezpieczeństwa państwa prowadzonej przez NIK.

Informację o kontroli przedstawił w środę w Warszawie na konferencji Security Case Study 2014 dyrektor jednego z departamentów Izby Marek Bieńkowski. Zaznaczył, że można jeszcze dyskutować o wnioskach, ale ustalenia Izby są udokumentowane.

Jak powiedział Bieńkowski, kontrola wykazała, że obecnie podmioty państwowe nie prowadzą spójnych i systemowych działań związanych z ochroną cyberprzestrzeni RP. Pozytywne działania, np. powoływanie i utrzymywanie na bardzo wysokim poziomie merytorycznym zespołów reagowania na incydenty komputerowe (tzw. CERT-ów) w ABW, MON i Naukowej i Akademickiej Sieci Komputerowej (NASK), były jedynie fragmentaryczne.

Bieńkowski podkreślił, że główni decydenci polityczni i kierownictwo administracji rządowej nie mają świadomości nowych zagrożeń. Dodał, że brakuje też zainteresowania kwestiami bezpieczeństwa technologii informacyjnych ze strony najważniejszych osób w państwie, choć tu wyjątkiem jest szykowana przez BBN doktryna cyberbezpieczeństwa. "To jest dokument kierunkowy, ale nie zastąpi ustawy" - zastrzegł Bieńkowski.

Według NIK na najwyższym szczeblu trzeba pilnie podjąć wiążące decyzje odnośnie strategii i modelu obrony cyberprzestrzeni w Polsce. Zmienić trzeba też - jak mówił Bieńkowski - dominujące obecnie podejście, polegające na biernym czekaniu z decyzjami na przygotowywaną dyrektywę UE w sprawie zapewnienia wspólnego wysokiego poziomu bezpieczeństwa sieci teleinformatycznych i przetwarzanych w nich informacji.

Bieńkowski zwrócił uwagę, że nie ma kompleksowych regulacji prawnych w zakresie bezpieczeństwa w cyberprzestrzeni; akty prawne są rozproszone, niekompletne i nie tworzą spójnego systemu. Skrytykował też przyjętą w czerwcu 2013 r. Politykę Ochrony Cyberprzestrzeni RP. "Ma poważne braki merytoryczne, jest na bardzo dużym poziomie ogólności, co ciekawe - napisana jest w trybie przypuszczającym, a jej użyteczność pozostawia wiele do życzenia" - powiedział.

Kontrola NIK objęła okres od 2008 r. do bieżącego kwartału. Kontrolerzy byli m.in. w MSW, MON, ABW, Urzędzie Komunikacji Elektronicznej, Rządowym Centrum Bezpieczeństwa, policji, Straży Granicznej, Naukowej i Akademickiej Sieć Komputerowa; na początku grudnia ma się zakończyć kontrola w MAC.

Odnośnie MSW - jak zauważył Bieńkowski - urzędnicy Izby wprawdzie nie użyli sformułowania, że negatywnie oceniają resort, ale napisali, że "nie stwierdzono żadnych aspektów, pozwalających na sformułowanie oceny pozytywnej". Stwierdzono, że nie została określona rola szefa MSW w systemie obrony cyberprzestrzeni. "W związku z wyodrębnieniem MAC, w MSW autentycznie brak było świadomości jakichkolwiek obowiązków związanych z bezpieczeństwem państwa w cyberprzestrzeni. Od momentu utworzenia MSW, czyli od listopada 2011 r., minister nie uczestniczył w budowie systemu ochrony cyberprzestrzeni RP" - powiedział Bieńkowski.

Dodał, że zadania realizowane przed podziałem MSWiA na dwa ministerstwa nie były kontynuowane, co skończyło się tym, że "praktycznie cztery lata wrzucono do kosza" i prace rozpoczęto od nowa. NIK szczególnie zaskoczyło to, że MSW nie realizowało obowiązku kontroli i oceny podległych sobie podmiotów - m.in. policji, SG i rejestru CEPIK - w sposób ustalony w ustawie o informatyzacji. MSW nie miało też pełnej wiedzy, ile ma systemów informatycznych i jakiego rodzaju.

W MAC, które według Polityki Bezpieczeństwa Cyberprzestrzeni RP ma koordynować działania innych organów, kontrolerzy NIK stwierdzili brak "świadomości istnienia obowiązku związanego z ochroną cyberprzestrzeni". Nie zdefiniowano kompleksowo, jak ministerstwo ma realizować zadania w zakresie ochrony cyberprzestrzeni. "Zmroziło nas to, że w raporcie o zagrożeniach bezpieczeństwa narodowego przekazanym w 2012 r. przez MAC do RCB wykazano, że zagrożenia związane z cyberprzestrzenią mają bardzo ograniczony zakres, nie rodzą skutków ekonomicznych dla państwa, a MAC nie realizuje w tym obszarze żadnych zadań koordynacyjnych" - powiedział Bieńkowski.

Jak dodał, działania ministerstwa nie były przemyślane, lecz stanowiły reakcję ad hoc, jak np. podczas protestów przeciw ACTA. W resorcie nie było zasobów ani kadr do realizacji zadań związanych z bezpieczeństwem cyberprzestrzeni - do lutego 2014 r. doraźnie zajmowała się tym jedna osoba z gabinetu politycznego ministra, obecnie robi to czteroosobowy zespół. "Dość powiedzieć, że w MAC nie były wdrażane zapisy podstawowego dokumentu, czyli Polityki Bezpieczeństwa Cyberprzestrzeni RP. Resort nie realizował zapisów dokumentu, który umocował go do tego, by koordynował działania w skali kraju" - zaznaczył Bieńkowski.

Z kolei MON zostało pochwalone za aktywny udział w budowie systemu ochrony cyberprzestrzeni, wymianę informacji w kraju i za granicą oraz aktywność i rozwój Narodowego Centrum Kryptologii. Jednak - mówił Bieńkowski - ryzykowne jest oparcie szeregu fundamentalnych działań dotyczących kryptografii, szeroko rozumianego bezpieczeństwa IT i cyberprzestrzeni praktycznie na barkach jednego człowieka, czyli dyrektora NCK. Jeżeli nie przekształci się to w miarę szybko w spójny system, to może być groźne - przestrzegał Bieńkowski.

ABW oceniono jako instytucję bardzo aktywną. Bieńkowski zwrócił jednak uwagę, że w zakresie cyberbezpieczeństwa na Agencję nałożono bardzo poważne zadania bez dostatecznego zabezpieczenia w siły i środki - przy wakatach powyżej 20 proc. etatów i płacach funkcjonariuszy zamrożonych od kilku lat.

NIK pochwalił policję za dużą aktywność informacyjną i edukacyjną skierowaną do użytkowników internetu, w tym dzieci. Negatywnie oceniono natomiast brak kompleksowego systemu reagowania na incydenty komputerowe. Rejestr incydentów informatycznych w KGP nie zawierał żadnego zapisu, mimo że w latach 2012-14 działający w ABW zespół CERT.GOV.PL zgłosił policji ok. 2 tys. informacji o zagrożeniach i incydentach w policyjnych systemach teleinformacyjnych.

O rozpoczęciu kontroli bezpieczeństwa państwa w cyberprzestrzeni NIK poinformowała w połowie czerwca. (PAP)

Kraj i świat

Kopacz: będę na spotkaniu PiS i SP na przyszłym posiedzeniu Sejmu

2014-11-05, 09:35

Prorosyjscy separatyści oskarżają Kijów, że narusza porozumienie pokojowe

2014-11-05, 08:59

Do piątku wniosek ws. głosowania przez pełnomocnika w wyborach samorządowych

2014-11-05, 08:25

Prokuratura złoży wniosek o aresztowanie b. senatora Aleksandra G.

2014-11-05, 08:21

W Sejmie wniosek o odwołanie marszałka i informacja szefa MSZ

2014-11-05, 08:14

W Święto Niepodległości marsze: prezydencki i środowisk narodowych

2014-11-05, 08:13

W Jemenie w atakach dronów zginęli wysocy rangą członkowie Al-Kaidy

2014-11-05, 08:11

Nieoficjalnie: prof. Monika Zbrojewska zostanie nowym wiceministrem sprawiedliwości

2014-11-04, 20:20

Krajowe Biuro Wyborcze przeprowadziło testy systemu informatycznego

2014-11-04, 19:18

Sąd uchylił areszt Ewelinie C. objętej ustawą o bestiach

2014-11-04, 19:05
Ważne: nasze strony wykorzystują pliki cookies.

Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujący z nami reklamodawcy, firmy badawcze oraz dostawcy aplikacji multimedialnych. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia. Więcej informacji można znaleźć w naszej Polityce prywatności

Zamieszczone na stronach internetowych www.radiopik.pl materiały sygnowane skrótem „PAP” stanowią element Serwisów Informacyjnych PAP, będących bazą danych, których producentem i wydawcą jest Polska Agencja Prasowa S.A. z siedzibą w Warszawie. Chronione są one przepisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych oraz ustawy z dnia 27 lipca 2001 r. o ochronie baz danych. Powyższe materiały wykorzystywane są przez Polskie Radio Regionalną Rozgłośnię w Bydgoszczy „Polskie Radio Pomorza i Kujaw” S.A. na podstawie stosownej umowy licencyjnej. Jakiekolwiek wykorzystywanie przedmiotowych materiałów przez użytkowników Portalu, poza przewidzianymi przez przepisy prawa wyjątkami, w szczególności dozwolonym użytkiem osobistym, jest zabronione. PAP S.A. zastrzega, iż dalsze rozpowszechnianie materiałów, o których mowa w art. 25 ust. 1 pkt. b) ustawy o prawie autorskim i prawach pokrewnych, jest zabronione.

Rozumiem i wchodzę na stronę