NIK kontrolą objął resorty spraw wewnętrznych, cyfryzacji i administracji, obrony narodowej, a także policję, Rządowe Centrum Bezpieczeństwa, ABW, NASK i Urząd Komunikacji Elektronicznej. Analiza dotyczyła okresu od 2008 roku, kiedy podjęte zostały pierwsze próby uregulowania działań państwa z zakresu ochrony cybernetycznej. W czerwcu 2013 roku rząd przyjął dokument dotyczący polityki ochrony cyberprzestrzeni RP, ale realizacja tych zapisów pozostawia wiele do życzenia.

Ministerstwo Spraw Wewnętrznych

NIK ma sporo zastrzeżeń do działalności Ministerstwa Spraw Wewnętrznych:

• Nieokreślona rola ministra spraw wewnętrznych w ochronie cyberprzestrzeni państwa;

• W MSW brakuje świadomości obowiązków związanych z bezpieczeństwem państwa w cyberprzestrzeni;

Zobacz również:

• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie

• MSW nie uczestniczyło w budowie systemu ochrony cybernetycznej, a później nie prowadziło żadnych działań na rzecz użytkowników spoza resortu;

• Podzielone MSWiA nie przekazało żadnych dokumentów z zakresu cyberbezpieczeństwa do nowych ministerstw: spraw wewnętrznych oraz administracji i cyfryzacji;

• MSW nie wdrożyło zasad polityki przyjętych przez rząd;

• Zadania ochrony wewnętrznych systemów resortowych prowadzone są nierzetelnie;

• Ministerstwo ma za małe zasoby do działań na rzecz cyberbezpieczeństwa państwa.

Ministerstwo Administracji i Cyfryzacji

Równie słabo wypadła ocena Ministerstwa Cyfryzacji i Administracji, które powinno być centralnym urzędem koordynującym sprawy bezpieczeństwa cybernetycznego państwa:

• Urzędnikom MAiC brakuje świadomości obowiązków w zakresie ochrony cyberprzestrzeni (jeszcze w 2012 r. jeden z dokumentów przygotowanych przez resort mówił o niewielkim zagrożeniu cyberbezpieczeństwa i bagatelizował jego ewentualne skutki dla państwa);

• Działania prowadzone są ad hoc, bez przygotowania;

• Nie przypisano odpowiednich zasobów, także kadrowych, do zadań dotyczących ochrony cyberprzestrzeni: dopiero w lutym br. przypisano je 4-osobowemu wydziałowi, wcześniej zajmowała się nimi jedna osoba w gabinecie ministra;

• Podobnie jak w MSW także tu do momentu rozpoczęcia kontroli nie realizowano rządowych założeń polityki ochrony cyberprzestrzeni;

• Minister nie ma właściwych instrumentów, ani formalnych, ani realnych, żeby prowadzić zadania z zakresu cyberbezpieczeństwa.

Ministerstwo Obrony Narodowej

Znacznie lepiej w ocenie NIK wypada MON. Nie stwierdzono w nim istotnych uchybień, a jedynie ryzyka, które mogą do nich prowadzić, o ile nie zostaną podjęte konieczne działania. Wymienione w raporcie rodzaje ryzyka to:

• częste zmiany struktury resortu;

• podporządkowanie całego resortowego systemu bezpieczeństwa IT Narodowemu Centrum Kryptologii, a personalnie jednej osobie;

• brak oszacowania zasobów potrzebnych do realizacji działań dotyczących cyberbezpieczeństwa.

Policja

Rolą policji w założeniach polityki cyberbezpieczeństwa powinno być zwalczanie przestępczości komputerowej oraz informowanie o zagrożeniach związanych z korzystaniem z internetu. Według NIK policji brakuje:

• kompleksowego systemu reagowania na incydenty;

• ewidencji informacji o incydentach;

• reagującego na pojawiające się zagrożenia zespołu CERT.

Podobnie jak w przypadku MSW i MAiC także tu kontrolerzy dopatrzyli się braków we właściwej realizacji zadań wynikających z polityki cyberbezpieczeństwa.