W Ministerstwie Administracji i Cyfryzacji od trzech lat działa pełnomocnik ds. bezpieczeństwa cyberprzestrzeni. Co robi, nie wie nikt.
Na funkcjonowanie tego dziwnego stanowiska uwagę zwrócili nam pracownicy tego resortu. Była to reakcja na nasz tekst o krytycznym raporcie pokontrolnym Najwyższej Izby Kontroli, która orzekła, że w Polsce nie ma sprawnego systemu zabezpieczającego kraj na wypadek cyberataków. Izba szczególnie mocno skrytykowała brak działań MSW i właśnie MAiC. Kontrolerzy podkreślali, że minister administracji i cyfryzacji, któremu bezpośrednio przypisano obowiązki związane z ochroną cyberprzestrzeni, nie realizował należących do niego zadań w zakresie inicjowania i koordynowania działań innych podmiotów na rzecz bezpieczeństwa teleinformatycznego państwa. I nie dysponował zasobami pozwalającymi na realizację zadań dotyczących zarządzania krajowym systemem ochrony cyberprzestrzeni.
– NIK nie zwróciła uwagi, że przecież w MAiC jest pełnomocnik ds. cyberbezpieczeństwa. To Adam Krotofil w funkcji radcy ministra – zaśmiał się jeden z urzędników resortu, z którym rozmawialiśmy.
– A czym się zajmuje?
– Tego nikt do końca nie wie. Głównie jeździ na konferencje – relacjonował urzędnik.
Podobnie o Krotofilu, który do MAiC trafił we wrześniu 2012 r., mówią inni pracownicy resortu. A rzecznik zapytany, czym zajmuje się ten pełnomocnik, odpisał, że pełni on funkcję „wyłącznie na potrzeby Ministerstwa Administracji i Cyfryzacji” i zapewnił, że posiada liczne uprawnienia i umiejętności m.in. „CISSP® Certified Information Systems Security Professional; Praktyczny kurs informatyki śledczej – poziom Expert i znajomość narzędzi do akwizycji i analizy cyfrowego materiału dowodowego”. Próbowaliśmy zadać pytanie pełnomocnikowi, ale jest teraz na urlopie i nie ma z nim kontaktu.
O Adamie Krotofilu nie słyszeli eksperci zajmujący się ochroną infrastruktury krytycznej, z którymi rozmawialiśmy. – To chyba nowe stanowisko – dziwi się Joanna Świątkowska z Instytutu Kościuszki, dyrektor programowa Europejskiego Forum Cyberbezpieczeństwa – CYBERSEC. Jest zaskoczona, gdy słyszy, że pełnomocnik działa od blisko trzech lat. – No cóż, to zapewne urzędnik, który ma teoretycznie wypełniać obowiązki nałożone przez „Politykę ochrony cyberprzestrzeni RP”, rządowy dokument przyjęty właśnie trzy lata temu przez Radę Ministrów. Tyle że nie widać żadnej aktywności tego pełnomocnika – dodaje.
I rzeczywiście, jak wyjaśnia nam resort cyfryzacji, pełnomocnika powołano, by zrealizować założenia „Polityki”. A jego obowiązki są mało szczegółowe: „opracowanie i wdrożenie procedur reagowania na incydenty komputerowe, które będą obowiązywały w organizacji, identyfikowanie i prowadzenie cyklicznych analiz ryzyka; przygotowanie planów awaryjnych oraz ich testowanie”.
Świątkowska dodaje, że teraz pod wpływem kontroli NIK więcej instytucji zaczęło powoływać takie dosyć wirtualne funkcje, byleby tylko spełnić minimum wymogów. W MAiC zwołano np. zespół zadaniowy ds. bezpieczeństwa cyberprzestrzeni Rzeczypospolitej Polskiej. Jak tłumaczy nam rzecznik MAiC, najważniejszym zadaniem zespołu było opracowanie planu ochrony cyberprzestrzeni. Plan ten przyjęto w kwietniu tego roku. Pełnomocnik ds. bezpieczeństwa cyfrowego w tych pracach udziału nie bierze.
– Plan to za mało. Ewidentnie brakuje nam myślenia scenariuszowego o cyberzagrożeniach, które zakłada przygotowanie kilku potencjalnych sytuacji i tego, jak możemy na nie zareagować – uważa Przemysław Krejza z Instytutu Informatyki Śledczej. – Na razie mamy ogólne strategie, ale niestety administracja nie jest przygotowana w sposób szczegółowy. Nie ma choćby pomysłu, czy i w jaki sposób można by wykorzystać w przypadku zagrożenia „powszechne ruszenie” czy też „obronę cywilną” – dodaje i tłumaczy, że chodzi o dosyć szerokie grono specjalistów z doświadczeniem hakerskim, które mogłoby być na wypadek wystąpienia konkretnych kłopotów wsparciem dla administracji i służb. – Z przeprowadzonego ostatnio badania wynika, że w środowisku chętnych by nie zabrakło – dodaje.
Chodzi o badanie przeprowadzone przez firmę Mediarecovery zajmującą się informatyką śledczą podczas konferencji Confidence. Aż 87 proc. jej uczestników oceniło, że polscy hakerzy włączyliby się do cyberwojny w przypadku konfliktu z innym państwem.
