"Podmioty państwowe nie prowadzą spójnych i systemowych działań związanych z ochroną cyberprzestrzeni RP. Jako działania pozytywne i wzory dobrych praktyk można wskazać jedynie »fragmentaryczne« działania poszczególnych instytucji, np. powołanie i utrzymywanie na wysokim poziomie Zespołów CERT przez ABW, MON oraz NASK" – stwierdzili m.in. inspektorzy NIK.
Izba od czerwca do października sprawdzała pod tym kątem MSW, MON, ABW, UKE, Rządowe Centrum Bezpieczeństwa, Komendę Główną Policji, Straż Graniczną oraz Naukową i Akademicką Sieć Komputerową. Wciąż trwa kontrola w Ministerstwie Administracji i Cyfryzacji.
Pierwsze wnioski dyrektor Marek Bieńkowski z NIK przedstawił na konferencji Security Case Study 2014. Okazały się bardzo krytyczne. Wynika z nich, że kierownictwo administracji rządowej nie ma świadomości nowych zagrożeń, poza tym latami zaniedbywało obowiązki związane z cyberochroną.
Najgorsze oceny dostały resorty spraw wewnętrznych oraz administracji i cyfryzacji, w których kompetencjach teoretycznie leży główna odpowiedzialność za stan polskiej cyberprzestrzeni. Jak to opisał Bieńkowski, w MSW „nie stwierdzono żadnych aspektów pozwalających na sformułowanie oceny pozytywnej”. Powody: od czasu podziału MSWiA w 2011 r. ten resort praktycznie wycofał się z działań w dbaniu o cyberochronę, nie dokonano nawet formalnego przekazania dokumentacji i zadań do nowo utworzonych ministerstw.
Zdaniem NIK nowy resort odpowiedzialny za cyfryzację przez ten czas również nie poczuwał się zbytnio do odpowiedzialności. – Zmroziło nas to, że w raporcie o zagrożeniach bezpieczeństwa narodowego przekazanym w 2012 r. przez MAiC do Rządowego Centrum Bezpieczeństwa wykazano, że zagrożenia związane z cyberprzestrzenią mają rzekomo bardzo ograniczony zakres i nie rodzą skutków ekonomicznych dla państwa – wyjaśnia Bieńkowski. W MAiC do lutego 2014 r. doraźnie – na wypadek takich wydarzeń jak ataki podczas protestów przeciwko ACTA – cyberzagrożeniami zajmowała się jedna osoba. Dziś są cztery. Resort miał też powołać specjalny zespół, by wdrażać politykę ochrony cyberprzestrzeni. Zrobił to dopiero po informacji o kontroli NIK.
Skontrolowane instytucje słabo ze sobą współpracują. I widać to np. w policji, która stara się informować o zagrożeniach, ale nie ma kompleksowego systemu reagowania na incydenty komputerowe, a jej rejestr incydentów informatycznych nie zawierał żadnego zapisu – mimo że w ostatnich dwóch latach zespół CERT działający w ABW zgłosił policjantom blisko 2 tys. alertów dotyczących systemów teleinformacyjnych tej formacji.
– Nie jestem zaskoczona oceną NIK. Od dawna widać było, że nikt nie koordynuje tych zagadnień. Teraz widać, że nie mamy w ogóle systemu ochrony cyberprzestrzeni – tłumaczy Joanna Świątkowska, ekspert ds. cyberbezpieczeństwa z Instytutu Kościuszki. I ostrzega, że nie mamy czasu, by odwlekać konkretne działania. – Owszem, w 2015 r. ma być uchwalona w tej sprawie unijna dyrektywa, ale nie wiemy, jaki będzie jej kształt ani kiedy wejdzie ona w życie. A przestępcy nie będą czekali z działaniami na unijne prawo – dodaje.
Przytakuje jej dr Aleksander Poniewierski, partner zarządzający działem doradztwa informatycznego EY. – Nie jest ważne, na jakim ministerstwie czy instytucji będzie spoczywał obowiązek odpowiadania za cyberbezpieczeństwo. Ważne tylko, by był to jeden ośrodek, który będzie miał pełnię możliwości i środków, by zająć się problemem. Wtedy będzie można opracować standardy dbania o bezpieczeństwo, raportowania o zagrożeniach i naruszeniach i dalszych skoordynowanych działań – podkreśla Poniewierski.
Tak wygląda to np. w komercyjnych firmach, jak choćby w Sony, które zaatakowano przedwczoraj. Tam od razu zapadła decyzja, by pracownicy ze wszystkich oddziałów na świecie wyłączyli WiFi i zaprzestali pracy do czasu rozwiązania problemu.
5 incydentów czyli potencjalnych ataków , telekomy zgłosiły do UKE w ciągu ostatnich 4 lat. W tym czasie według specjalnego zespołu CERT działającego przy ABW (Computer Emergency Response Team) stwierdzono aż 40 mln zainfekowanych IP należących do 9 największych operatorów
7 projektów różnych strategii ochrony cyberprzestrzeni opracowano od 2008 do 2011 r. Rada Ministrów żadnego nie przyjęła
5670 zgłoszeń które trafiły w 2013 r. do CERT, zostało zakwalifikowanych jako incydenty
ABW zatrzymała członka gangu paliwowego
![Strajk Kobiet: Środowe nocne protesty w Warszawie [ZDJĘCIA]](https://g.gazetaprawna.pl/p/_wspolne/pliki/4643000/4643720-protesty-w-warszawie-28-pazdziernika-145-107.jpg)
Niewątpliwą winę....(2014-11-27 08:10) Zgłoś naruszenie 00
...za taki stan rzeczy POnosi nieróbstwo władzy.
OdpowiedzVii...(2014-11-27 09:04) Zgłoś naruszenie 00
już dawno nie widziałem żadnego informatyka w urzędzie państwowym... jak wiec chronić się mają, jeśli nie wiedzą przed czym? A jeśli ogłoszą przetarg to albo wygra firma, która przedstawi najniższą cenę i wykona go wg najniższych standardów albo jeśli każdy startujący do przetargu poda racjonalną cenę otrzyma taki komunikat: Urząd Taki Owaki Informuje że, zamówienie publiczne, które zostało przeprowadzone w formie zapytania ofertowego o numerze xxxx/YYYY/2014 z dnia 01.01.2014 roku na przeprowadzenie xxxx yyyyy zzzzz, zostaje unieważnione. Nadesłane oferty przekraczają kwotę jaką Zamawiający przeznaczył na ten cel.
OdpowiedzOutpost24 Poland(2014-11-27 09:36) Zgłoś naruszenie 00
nie potrzeba wielkich pieniędzy aby przekonać się czy dana sieć (strona internetowa/portal) jest dobrze zabezpieczona/y. Są różnego rodzaju oprogramowania w Polsce, które pomagają "działowi IT lub bezpieczeństwa" weryfikować stan zabezpieczeń w swojej sieci np. Symantec lub Outpost24.
OdpowiedzNiestety bardzo często osoby odpowiedzialne za bezpieczeństwo twierdzą, że problem nie dotyczy ich firmy/organizacji. Podejście to jest często podyktowane brakiem funduszy - co jest zrozumiałe, ale równie często wynika to z braku świadomości i lekceważenia problemu. Problemu, który w naszych czasach będzie coraz powszechniejszy!