Warszawa – 26 listopada 2014
Dzięki uprzejmości
Magazynu Menedżerów i Informatyków „Computerworld”, wydawanego w Polsce przez
International Data Group Poland S.A., wchodzącą w skład amerykańskiego koncernu mediowego
IDG, zamieszczamy poniżej
pełny tekst artykułu Tomasza Bitnera, Redaktora Naczelnego „Computerworld”.
Miażdżący raport NIK o cyberbezpieczeństwie Polski
Działania dotyczące cyberbezpieczeństwa państwa prowadzone są bez przygotowania i braku spójnej wizji, bo politycy nie zdają sobie sprawy ze skali zagrożeń – stwierdza w swoim raporcie Najwyższa Izba Kontroli.
Zamęt pogłębia brak jednego ośrodka decyzyjnego, rozproszenie kompetencji i to, że instytucje nie potrafią ze sobą współpracować.
NIK kontrolą objął resorty spraw wewnętrznych, cyfryzacji i administracji, obrony narodowej, a także policję, Rządowe Centrum Bezpieczeństwa, ABW, NASK i Urząd Komunikacji Elektronicznej.
Analiza dotyczyła okresu od 2008 roku, kiedy podjęte zostały pierwsze próby uregulowania działań państwa z zakresu ochrony cybernetycznej.
W czerwcu 2013 roku rząd przyjął dokument dotyczący polityki ochrony cyberprzestrzeni RP, ale realizacja tych zapisów pozostawia wiele do życzenia.
Ministerstwo Spraw Wewnętrznych
NIK ma sporo zastrzeżeń do działalności Ministerstwa Spraw Wewnętrznych:
• Nieokreślona rola ministra spraw wewnętrznych w ochronie cyberprzestrzeni państwa;
• W MSW brakuje świadomości obowiązków związanych z bezpieczeństwem państwa w cyberprzestrzeni;
• MSW nie uczestniczyło w budowie systemu ochrony cybernetycznej, a później nie prowadziło żadnych działań na rzecz użytkowników spoza resortu;
• Podzielone MSWiA nie przekazało żadnych dokumentów z zakresu cyberbezpieczeństwa do nowych ministerstw: spraw wewnętrznych oraz administracji i cyfryzacji;
• MSW nie wdrożyło zasad polityki przyjętych przez rząd;
• Zadania ochrony wewnętrznych systemów resortowych prowadzone są nierzetelnie;
• Ministerstwo ma za małe zasoby do działań na rzecz cyberbezpieczeństwa państwa.
Ministerstwo Administracji i Cyfryzacji
Równie słabo wypadła ocena Ministerstwa Cyfryzacji i Administracji, które powinno być centralnym urzędem koordynującym sprawy bezpieczeństwa cybernetycznego państwa:
• Urzędnikom MAiC brakuje świadomości obowiązków w zakresie ochrony cyberprzestrzeni (jeszcze w 2012 r. jeden z dokumentów przygotowanych przez resort mówił o niewielkim zagrożeniu cyberbezpieczeństwa i bagatelizował jego ewentualne skutki dla państwa);
• Działanie prowadzone są ad hoc, bez przygotowania;
• Nie przypisano odpowiednich zasobów, także kadrowych, do zadań dotyczących ochrony cyberprzestrzeni: dopiero w lutym 2014 roku przypisano je 4-osobowemu wydziałowi, wcześniej zajmowała się nimi jedna osoba w gabinecie ministra;
• Podobnie jak w MSW także tu do momentu rozpoczęcia kontroli nie realizowano rządowych założeń polityki ochrony cyberprzestrzeni;
• Minister nie ma właściwych instrumentów, ani formalnych, ani realnych, żeby prowadzić zadania z zakresu cyberbezpieczeństwa.
Ministerstwo Obrony Narodowej
Znacznie lepiej w ocenie NIK wypada MON.
Nie stwierdzono w nim istotnych uchybień, a jedynie ryzyka, które mogą do nich prowadzić, o ile nie zostaną podjęte konieczne działania.
Wymienione w raporcie rodzaje ryzyka to:
• częste zmiany struktury resortu;
• podporządkowanie całego resortowego systemu bezpieczeństwa IT Narodowemu Centrum Kryptologii, a personalnie jednej osobie;
• brak oszacowania zasobów potrzebnych do realizacji działań dotyczących cyberbezpieczeństwa.
Policja
Rolą policji w założeniach polityki cyberbezpieczeństwa powinno być zwalczanie przestępczości komputerowej oraz informowanie o zagrożeniach związanych z korzystaniem z Internetu.
Według NIK policji brakuje:
• kompleksowego systemu reagowania na incydenty;
• ewidencji informacji o incydentach;
• reagującego na pojawiające się zagrożenia zespołu CERT.
Podobnie jak w przypadku MSW i MAiC także tu kontrolerzy dopatrzyli się braków we właściwej realizacji zadań wynikających z polityki cyberbezpieczeństwa.
Rządowe Centrum Bezpieczeństwa
NIK dobrze ocenia wiele działań podejmowanych przez Rządowe Centrum Bezpieczeństwa, szczególnie opracowane przez centrum rekomendacje ochrony infrastruktury krytycznej dla państwa oraz wprowadzenia 4-stopniowej skali zagrożeń cybernetycznych.
Zastrzeżenia kontrolerów dotyczyły:
• braku spójności systemu zarządzania kryzysowego i ochrony cyberprzestrzeni państwa;
• słabej współpracy między RCB i MAIC;
• procedur zarządzania kryzysowego nieadekwatnych do zagrożeń cybernetycznych.
Agencja Bezpieczeństwa Wewnętrznego
Nieźle w ocenie Izby wpada ABW.
Kontrolerzy docenili powołanie zespołu CERT.GOV.PL, udział agencji w stworzeniu systemu wczesnego ostrzegania ARAKIS czy współpracę z innymi instytucjami.
Niepokój NIK budziły:
- ograniczone zasoby ludzkie (wakaty na poziomie 20%) i finansowe;
- brak prawnego umocowania CERT.GOV.PL.
Naukowa i Akademicka Sieć Komputerowa
NIK docenił rolę NASK jako krajowego zespołu CERT oraz zaangażowanie w budowę systemu ARAKIS.
Problemem z punktu widzenia kontrolerów jest za to:
• ograniczenie w działalności na rzecz cyberbezpieczeństwa wynikające z uwarunkowań biznesowych NASK jako firmy.
Urząd Komunikacji Elektronicznej
Podstawowe zadanie UKE w kwestii cyberbezpieczeństwa stanowi informowanie o incydentach związanych z bezpieczeństwem w cyberprzestrzeni.
Zdaniem NIK Urząd nie wywiązuje się z tego obowiązku.
UKE zgłosił pięć incydentów, kiedy dziewięciu operatorów mówiło o 40 milionach zainfekowanych adresów e-mailowych.
Rekomendacje NIK
Marek Bieńkowski, dyrektor Departamentu Porządku i Bezpieczeństwa Wewnętrznego NIK, który prezentował raport podczas konferencji Security Case Study 2014, stwierdził, że sam – mimo tak wielu zastrzeżeń opisanych w dokumencie – optymistycznie patrzy na kwestie cyberbezpieczeństwa państwa.
Konieczne są jednak szybkie działania.
Dlatego Izba zwraca uwagę na konieczność podjęcia decyzji politycznych na najwyższym szczeblu dotyczących strategii i modelu ochrony cyberprzestrzeni państwa.
NIK uważa także, że instytucje powinny zmienić swój styl działania i aktywnie tworzyć nowe zabezpieczenia, a nie biernie czekać na stale odkładane wejście w życie europejskiej dyrektywy NIS dotyczącej bezpieczeństwa sieci i informacji.
Tomasza Bitner, Redaktor Naczelny „Computerworld”
Źródło: „Computerworld”
http://www.computerworld.pl/
ASTROMAN Magazine
Publikacja tekstów pochodzących z wydawnictw prasowych bądź elektronicznych prezentowanych w ASTROMAN Magazine nie ma charakteru komercyjnego, służy wyłącznie celom edukacyjnym, dydaktycznym i naukowym - zgodnie z Ustawą o prawie autorskim i prawach pokrewnych z dnia 04.02.1994 r. (Dz. U. z dn. 23.02.1994 r. nr 24, poz. 83).
Editor-in-Chief of ASTROMAN magazine: Roman Wojtala, PhD.