Lipiec i październik 2014 r. – anonimowi nadawcy za pomocą sieci TOR przesłali wiadomości ostrzegające o podłożeniu ładunków wybuchowych w siedzibach dziesiątek instytucji publicznych. Urzędy trzeba było masowo ewakuować. Październik 2014 r. – kradzież i upublicznienie wrażliwych danych osobowych z systemów informatycznych Giełdy Papierów Wartościowych. Listopad 2014 r. – wykradziono z systemu informatycznego dane dotyczące pracowników Państwowej Komisji Wyborczej i to dokładnie w czasie, kiedy komisja borykała się z problemami ze zliczeniem wyników wyborów. Właśnie w tym czasie trwała też ogromna, obejmująca kilka ministerstw, ABW i policję, kontrola Najwyżej Izby Kontroli tego, jak przygotowane na cyberzagrożenia są nasza administracja i służby. Do jej wyników dotarł DGP, a te są naprawdę wstrząsające.
Kontrolerzy NIK w swoim raporcie nie zostawiają suchej nitki na urzędnikach odpowiedzialnych za bezpieczeństwo cybernetyczne. Piszą: „Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni. Nie określono też struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników. A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią”.
– Niestety nie są to zaskakujące wnioski. Od dawna eksperci zajmujący się kwestiami cyberbezpieczeństwa widzą, jak bardzo nasza administracja jest nie przygotowana na zagrożenia – ocenia dr Aleksander Poniewierski, partner zarządzający działem doradztwa informatycznego EY. – Podstawowym problemem jest kompletny brak koordynacji działań i spychologia. Nikt nie czuje się w pełni odpowiedzialny i nie bardzo może być odpowiedzialny, bo rzeczywiście brakuje wskazania odpowiedniej instytucji, która by się tym zajęła – dodaje ekspert.
W efekcie, jak opisują kontrolerzy, obowiązki podzielono między kilka instytucji, z których żadna nie podjęła specjalnie zaawansowanych działań. Minister administracji i cyfryzacji nie realizował należących do niego zadań w zakresie inicjowania i koordynowania działań innych podmiotów w dziedzinie bezpieczeństwa teleinformatycznego państwa. Zresztą jak mógłby to robić, skoro w pierwsze dwa lata funkcjonowania ministerstwa zajmowała się tymi zadaniami właściwie tylko jedna osoba: szefowa gabinetu politycznego. Dopiero od stycznia 2014 r., czyli po otrzymaniu pierwszego pisma NIK w ramach kontroli, wyznaczono komórkę merytoryczną MAiC – wydział Unii Europejskiej i spraw międzynarodowych departamentu społeczeństwa informacyjnego – odpowiedzialną za realizację zadań związanych z ochroną cyberprzestrzeni, w której znalazło się dwóch pracowników. Średnio przygotowanych, bo jak się okazuje, jeden z nich za pomocą prywatnej bezpłatnej poczty przesłał niezaszyfrowany plik, zawierający dane służbowe o wysokiej wrażliwości, tj. wstępne zestawienie wyników z audytu wewnętrznego dotyczącego bezpieczeństwa systemów IT, przeprowadzonego w 314 jednostkach administracji rządowej. Ale może to nie problem, bo jak wskazała NIK, i tak wyniki tego audytu nie zostały wykorzystane przez naszą administrację.
>>> Czytaj też: Banki płacą hakerom za milczenie. Nasze pieniądze nie są bezpieczne
Nie lepiej wcale wygląda sytuacja w Ministerstwie Spraw Wewnętrznych, które nie realizowało żadnych zadań związanych z budową krajowego systemu ochrony cyberprzestrzeni, a jego działania w dotyczące bezpieczeństwa IT ograniczały się do własnych sieci oraz systemów resortowych – jednak nawet w tym zakresie były prowadzone w sposób nierzetelny. Negatywnie oceniono tez działania Rządowego Centrum Bezpieczeństwa i UKE.
Pozytywną ocenę dostały tylko zespoły CERT (reagowania na teleincydenty) przy NASK, ABW i Ministerstwie Obrony Narodowej. Ale i one łącznie zatrudniające ledwie ok. 50 osób nie są w stanie dać sobie rady z rosnącymi zagrożeniami.
– Ale jak może ten system dobrze działać, kiedy jak podaje NIK, zespół CERT przy MON w latach 2012–2014 wydał 15,6 mln zł, a z funduszy unijnych na projekty związane z cyberochroną przeznaczono 17,3 mln zł. To są naprawdę śmieszne sumy. W Australii, Nowej Zelandii czy Niemczech ogólnokrajowe wydatki na cyberbezpieczeństwo sięgają rocznie kilkunastu miliardów dolarów – podkreśla Poniewierski.
I rzeczywiście, jak zauważa NIK, zgodnie ze stanowiskiem ministra finansów wskazującym na konieczność „bezkosztowego” wykonywania tych zadań, nie zostały przydzielone na nie żadne dodatkowe pieniądze, a to praktycznie sparaliżowało działania podmiotów państwowych. Co więcej, w ostatnich latach w ogóle nie prowadzono żadnych prac legislacyjnych, które miałyby na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym państwa. Nie przeprowadzono inwentaryzacji rozproszonych w różnych aktach prawnych przepisów związanych z cyberbezpieczeństwem ani nie zdefiniowano pożądanych kierunków zmian legislacyjnych.
– To naprawdę ostatni dzwonek, by porządnie zająć się bezpieczeństwem w tym zakresie – podkreśla Poniewierski.
