Miażdżący raport NIK o cyberbezpieczeństwie Polski
- 26.11.2014, godz. 14:34
Rządowe Centrum Bezpieczeństwa
NIK dobrze ocenia wiele działań podejmowanych przez Rządowe Centrum Bezpieczeństwa, szczególnie opracowane przez centrum rekomendacje ochrony infrastruktury krytycznej dla państwa oraz wprowadzenia 4-stopniowej skali zagrożeń cybernetycznych. Zastrzeżenia kontrolerów dotyczyły:
• braku spójności systemu zarządzania kryzysowego i ochrony cyberprzestrzeni państwa;
• słabej współpracy między RCB i MAIC;
• procedur zarządzania kryzysowego nieadekwatnych do zagrożeń cybernetycznych.
Agencja Bezpieczeństwa Wewnętrznego
Nieźle w ocenie Izby wypada ABW. Kontrolerzy docenili powołanie zespołu CERT.GOV.PL, udział agencji w stworzeniu systemu wczesnego ostrzegania ARAKIS czy współpracę z innymi instytucjami. Niepokój NIK budziły:
ograniczone zasoby ludzkie (wakaty na poziomie 20%) i finansowe;
brak prawnego umocowania CERT.GOV.PL.
Naukowe i Akademickie Sieci Komputerowe
NIK docenił rolę NASK jako krajowego zespołu CERT oraz zaangażowanie w budowę systemu ARAKIS. Problemem z punktu widzenia kontrolerów jest za to:
• ograniczenie w działalności na rzecz cyberbezpieczeństwa wynikające z uwarunkowań biznesowych NASK jako firmy.
Urząd Komunikacji Elektronicznej
Podstawowe zadanie UKE w kwestii cyberbezpieczeństwa stanowi informowanie o incydentach związanych z bezpieczeństwem w cyberprzestrzeni. Zdaniem NIK Urząd nie wywiązuje się z tego obowiązku. UKE zgłosił pięć incydentów, kiedy dziewięciu operatorów mówiło o 40 milionach zainfekowanych adresów e-mailowych.
Zobacz również:
Rekomendacje NIK
Marek Bieńkowski, dyrektor Departamentu Porządku i Bezpieczeństwa Wewnętrznego NIK, który prezentował raport podczas konferencji Security Case Study 2014, stwierdził, że sam – mimo tak wielu zastrzeżeń opisanych w dokumencie – optymistycznie patrzy na kwestie cyberbezpieczeństwa państwa. Konieczne są jednak szybkie działania.
Dlatego Izba zwraca uwagę na konieczność podjęcia decyzji politycznych na najwyższym szczeblu dotyczących strategii i modelu ochrony cyberprzestrzeni państwa. NIK uważa także, że instytucje powinny zmienić swój styl działania i aktywnie tworzyć nowe zabezpieczenia, a nie biernie czekać na stale odkładane wejście w życie europejskiej dyrektywy NIS dotyczącej bezpieczeństwa sieci i informacji.