Miażdżący raport NIK o cyberbezpieczeństwie Polski

Rządowe Centrum Bezpieczeństwa

NIK dobrze ocenia wiele działań podejmowanych przez Rządowe Centrum Bezpieczeństwa, szczególnie opracowane przez centrum rekomendacje ochrony infrastruktury krytycznej dla państwa oraz wprowadzenia 4-stopniowej skali zagrożeń cybernetycznych. Zastrzeżenia kontrolerów dotyczyły:

• braku spójności systemu zarządzania kryzysowego i ochrony cyberprzestrzeni państwa;

• słabej współpracy między RCB i MAIC;

• procedur zarządzania kryzysowego nieadekwatnych do zagrożeń cybernetycznych.

Agencja Bezpieczeństwa Wewnętrznego

Nieźle w ocenie Izby wypada ABW. Kontrolerzy docenili powołanie zespołu CERT.GOV.PL, udział agencji w stworzeniu systemu wczesnego ostrzegania ARAKIS czy współpracę z innymi instytucjami. Niepokój NIK budziły:

ograniczone zasoby ludzkie (wakaty na poziomie 20%) i finansowe;

brak prawnego umocowania CERT.GOV.PL.

Naukowe i Akademickie Sieci Komputerowe

NIK docenił rolę NASK jako krajowego zespołu CERT oraz zaangażowanie w budowę systemu ARAKIS. Problemem z punktu widzenia kontrolerów jest za to:

• ograniczenie w działalności na rzecz cyberbezpieczeństwa wynikające z uwarunkowań biznesowych NASK jako firmy.

Urząd Komunikacji Elektronicznej

Podstawowe zadanie UKE w kwestii cyberbezpieczeństwa stanowi informowanie o incydentach związanych z bezpieczeństwem w cyberprzestrzeni. Zdaniem NIK Urząd nie wywiązuje się z tego obowiązku. UKE zgłosił pięć incydentów, kiedy dziewięciu operatorów mówiło o 40 milionach zainfekowanych adresów e-mailowych.

Zobacz również:

  • Zakodowane dane mają dla hakerów też swoją wartość

Rekomendacje NIK

Marek Bieńkowski, dyrektor Departamentu Porządku i Bezpieczeństwa Wewnętrznego NIK, który prezentował raport podczas konferencji Security Case Study 2014, stwierdził, że sam – mimo tak wielu zastrzeżeń opisanych w dokumencie – optymistycznie patrzy na kwestie cyberbezpieczeństwa państwa. Konieczne są jednak szybkie działania.

Dlatego Izba zwraca uwagę na konieczność podjęcia decyzji politycznych na najwyższym szczeblu dotyczących strategii i modelu ochrony cyberprzestrzeni państwa. NIK uważa także, że instytucje powinny zmienić swój styl działania i aktywnie tworzyć nowe zabezpieczenia, a nie biernie czekać na stale odkładane wejście w życie europejskiej dyrektywy NIS dotyczącej bezpieczeństwa sieci i informacji.


TOP 200