NIK: Cena za cyberbezpieczeństwo będzie wysoka…

Czy Polska jest gotowa do ochrony cyberprzestrzeni? Najwyższa Izba Kontroli nie pozostawia złudzeń – od ostatniej kontroli i krytycznych wniosków Izby niewiele się zmieniło…

Pod koniec listopada 2014 roku na łamach Computerworlda pisaliśmy o wnioskach NIKu z kontroli resortów spraw wewnętrznych, cyfryzacji i administracji, obrony narodowej, a także policji, Rządowego Centrum Bezpieczeństwa, ABW, NASK i Urzędu Komunikacji Elektronicznej. Analiza dotyczyła okresu od 2008 roku, kiedy podjęte zostały pierwsze próby uregulowania działań państwa z zakresu ochrony cybernetycznej.

„Działania dotyczące cyberbezpieczeństwa państwa prowadzone są bez przygotowania i braku spójnej wizji, bo politycy nie zdają sobie sprawy ze skali zagrożeń – stwierdza w swoim raporcie Najwyższa Izba Kontroli. Zamęt pogłębia brak jednego ośrodka decyzyjnego, rozproszenie kompetencji i to, że instytucje nie potrafią ze sobą współpracować” – czy w 2017 roku coś się zmieniło? Tak. Była jeszcze jedna kontrola, natomiast zarówno po pierwszej jak i drugiej skontrolowane jednostki nie zrobiły za wiele. Tomasz Sordyl, wicedyrektor Departamentu Porządku i Bezpieczeństwa Wewnętrznego Najwyższej Izby Kontroli o aktualnym stanie polskiego cyberbezpieczeństwa opowiadał podczas marcowej konferencji Semafor 2017.

Zobacz również:

Wnioski nadal aktualne

„Czasem oskarża się kontrolerów NIK o to, że znajdują przyjemność w znajdywaniu nieprawidłowości. Tak nie jest. To, że znajdujemy nieprawidłowości oznacza bowiem, że państwo w danym obszarze nie funkcjonuje prawidłowo” – stwierdził Tomasz Sordyl. „Ustalenia kontroli niestety nadal są aktualne” – dodał.

W zakresie cyberbezpieczeństwa zostały przeprowadzone dwie kontrole. Pierwsza z nich dotyczyła realizacji przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP, jej wyniki zostały ogłoszone w 2015 roku. „W pierwszej kontroli chcieliśmy się przyjrzeć, jak wygląda system ochrony cyberprzestrzeni RP, czy zbudowaliśmy system, czy mamy podmioty, które w nim działają, czy te działania są skoordynowane, czy jest wzajemne wsparcie tych podmiotów. Niestety, wyniki kontroli były negatywne, w związku z czym zdecydowaliśmy się na przyprowadzenie drugiej kontroli – skoro nie mamy systemu, to zobaczmy jak chronimy poszczególne systemy o istotnym znaczeniu dla funkcjonowania państwa – np. nowa e-księga wieczysta, system e-farmer do obsługi KRUS, czy też system służący do realizacji zadań przez ministerstwo skarbu państwa” – mówił Tomasz Sordyl. Wyniki drugiej kontroli zostały upublicznione w 2016 roku.

Z zamkniętymi oczami nie widać problemów

Przypomnijmy wyniki pierwszej kontroli. Według raportu NIK administracja państwowa nie podjęła istotnych działań celem zapewnienia bezpieczeństwa teleinformatycznego Polski.

Jak zauważył wicedyrektor Izby, pomimo tego, że coraz większa część usług publicznych oraz istotnych aspektów życia społecznego i gospodarczego realizowanych jest w sieci Internet lub z wykorzystaniem systemów teleinformatycznych, bezpieczeństwo Polski w dalszym ciągu było postrzegane jedynie w sposób konwencjonalny, „z użyciem krat, zamków i łańcuchów”. „Na to zwracaliśmy uwagę, natomiast niestety nie na zagrożenia płynące z cyberprzestrzeni” – stwierdził Tomasz Sordyl.

NIK stwierdził również, że kierownictwo większości kontrolowanych podmiotów, w tym ówczesny minister administracji i cyfryzacji, odpowiadający za koordynację działań w obszarze bezpieczeństwa IT oraz minister spraw wewnętrznych, który odpowiada za bezpieczeństwo i zarządzanie kryzysowe, nie miało świadomości zadań, które do nich należą i związanych z tym obowiązków. „To było jedno z największych dla nas zaskoczeń, kiedy przeprowadzaliśmy kontrolę i okazywało się, że kontrolowani często nie uświadamiali sobie, że mają jakieś obowiązki do realizacji” – powiedział T. Sordyl. „Najlepiej podsumował to jeden z naszych kolegów, opowiadając anegdotę o dziecku, które nie widziało zwierząt w zoo, ponieważ miało zamknięte oczy. Państwo ma zamknięte oczy i nie chce widzieć problemów, licząc że może przeczeka się problem, że ten sam się rozwiąże. Ale problem nie tylko sam się nie rozwiąże, ale będzie narastał. Musimy podjąć więc niezbędne działania w tym zakresie” – dodał.

Źle rozumiany kompromis

NIK zwrócił również uwagę na kwestię opracowania strategii ochrony cyberprzestrzeni RP, która mogłaby być podstawą konkretnych systemowych działań podnoszących poziom bezpieczeństwa teleinformatycznego kraju. „Mieliśmy 7 kolejnych projektów strategii, opracowywanych w latach 2008-12, żaden z nich nie został zatwierdzony. W czerwcu 2013 przyjęto politykę ochrony cyberprzestrzeni, który to dokument oceniliśmy jako będący wynikiem braku porozumienia i źle rozumianego kompromisu. Dokument był nieprecyzyjny, obarczony błędami merytorycznymi, uniemożliwiającymi w praktyce jego zastosowanie” – zaznaczył prelegent z NIK.

Jednostka kontrolująca zwróciła również uwagę na to, że nie zostało przeprowadzone kompleksowe oszacowanie ryzyk związanych ze zdarzeniami występującymi w cyberprzestrzeni, a same zagrożenia związanie z bezpieczeństwem IT nie były postrzegane jako istotne i mające bezpośrednie znaczenie i wpływ na infrastrukturę państwa. „Nie były również prowadzone prace legislacyjne, mające na celu unormowanie zagadnień związanych z bezpieczeństwem IT, nie przygotowano nawet założeń aktu normatywnego. Przepisy były nieprecyzyjne, nieadekwatne i nie stosowane w ogóle” – wyliczał Tomasz Sordyl. Co więcej, według Izby, nie stworzono systemu finansowania działa związanych z ochroną cyberprzestrzeni RP. „W związku ze stanowiskiem ministra finansów nie zostały przydzielone żadne dodatkowe środki na realizację zadań związanych z bezpieczeństwem IT” – stwierdził Tomasz Sordyl. Zresztą brak finansowania to temat nadal aktualny.

„W naszym kraju od wielu lat pokutuje takie przekonanie, że pewne zadania można realizować bezkosztowo, w ramach aktualnych budżetów poszczególnych instytucji. Ale bezpieczeństwo musi kosztować. Warto odnotować stwierdzenie ministra cyfryzacji na spotkaniu organizowanym przez Amerykańską Izbę Handlową w październiku 2016, na którym minister stwierdziła, że podległy jej resort nie dysponuje ekspertami, wiedzą ani środkami finansowymi pozwalającymi na skuteczne wdrażanie strategii bezpieczeństwa cyberprzestrzeni. Według ówczesnych szacunków kwestia dotyczyła kwoty rzędu 60 mln złotych . Warto przypomnieć, że Wielka Brytania na narodowy program ochrony cyberprzestrzeni na lata 2001-2014 przeznaczała 650 milionów funtów, niezależnie od wydatków ponoszonych z budżetów poszczególnych instytucji...” – podsumował wicedyrektor. „Bez zapewnienia długofalowego finansowania zadań, skuteczna ich realizacja nie będzie możliwa” – dodał.

Bez zrozumienia postępu

„Jak zauważył przedstawiciel Najwyższej Izby Kontroli, w Polsce nie funkcjonuje Krajowy System Reagowania na Incydenty Komputerowe. „Czynności z zakresu reagowania na incydenty realizowane były przez działające niezależnie od siebie zespoły CERT. Minister administracji i cyfryzacji, który odpowiadał za koordynację Krajowego Systemu Reagowania na Incydenty Komputerowe, nie realizował żadnych zadań w tym zakresie. Administracja państwowa nie dysponowała nawet przybliżoną wiedzą na temat skali i rodzaju incydentów, a tworzone w Polsce plany reagowania kryzysowego nie uwzględniały zagrożeń związanych z cyberprzestrzenią. Odnosiły się wyłącznie do konwencjonalnych zagrożeń, takich jak katastrofy naturalne i nie uwzględniały zmiany charakteru zagrożeń wynikających między innymi z postępu technologicznego” – wyliczał Tomasz Sordyl.

Chaos i intuicja

A jak wypadła druga kontrola, dotycząca bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych?

„W ocenie NIK procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny, praktycznie, wobec braku procedur, w sposób intuicyjny. A przecież musimy wiedzieć, dokąd zmierzamy i jaką drogą do tego celu chcemy dojść. Przychodzi mi na myśl scena z filmu Forrest Gump, w której bohater biegnie, ale nikt nie wie, dlaczego biegnie, W pewnym momencie Forrest zatrzymuje się i mówi: zmęczyłem się, chyba pójdę do domu…

Oczywiście w życiu prywatnym nie ma nic złego, że biegniemy gdzieś bez celu, ale jeśli mówimy o zarządzaniu bezpieczeństwem informacji, to nie może to być realizowane bez planu, bez mierników, bez procedur w tym zakresie. W ten sposób nie da się zarządzać bezpieczeństwem” – podsumował Tomasz Sordyl.

NIK skontrolował jednostki, stosując do oceny metodologię Cobit 4.1. Poziom zarządzania procesem zapewnienia bezpieczeństwa (dojrzałości modelu) w kontrolowanych jednostkach, mierzony w skali od zera do pięciu, można określić jako: „zdefiniowany” (3) – KRUS; „powtarzalny lecz intuicyjny” (2) – Ministerstwo Sprawiedliwości, Ministerstwo Skarbu Państwa, Narodowy Fundusz Zdrowia; „początkowy/doraźny” (1) – Ministerstwo Spraw Wewnętrznych i Straż Graniczna.

„We wszystkich instytucjach, poza KRUSem, opierano się na uproszczonych i nieformalnych zasadach, wynikających z dotychczasowych dobrych praktyk i doświadczeniach pracowników działów IT. Ale zdaniem NIK takie działania nie zapewniały spójnego, bezpiecznego zarządzania bezpieczeństwem danych. To nie jest tak, że my nie doceniamy trudu, który wkładają na co dzień pracownicy działów IT w podniesienie bezpieczeństwa, natomiast nie może być tak, że są oni pozostawieni sami sobie, bez procedur, bez wsparcia ze strony kierownictwa i przede wszystkim bez niezbędnych zasobów do realizacji zadań” – stwierdził wicedyrektor NIK.

Audyt i co dalej?

Kolejny istotny element, poddany ostrej ocenie NIK, to identyfikacja ryzyka. Izba stwierdziła brak procedur w tym zakresie i sporadyczne podejmowanie jakichkolwiek działań w zakresie szacowania ryzyka. „Kontrolowane jednostki w ograniczonym zakresie korzystały z metodyk identyfikacji i monitorowania, zapobiegania ryzyka związanego z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych. Działania te nie mogły zastąpić odpowiednio przygotowanego procesu szacowania ryzyka” – mówił Tomasz Sordyl.

NIK stwierdził też częste występowanie sporów kompetencyjnych, powierzanie wszystkich zagadnień dotyczących bezpieczeństwa informacji wyłącznie komórkom informatycznym, korzystanie jednostek przy realizacji procesu zapewnienia bezpieczeństwa z pomocy firm zewnętrznych, bez wdrożenia niezbędnych działań w celu zarządzania ryzykami z tym związanymi. „Firmy zewnętrzne to nic złego, taki model pozwala zaoszczędzić zasoby czy wdrożyć nowoczesne rozwiązania w tym zakresie, ale robiąc to należy oszacować ryzyka, komu powierzamy bezpieczeństwo i zasoby” – zauważył prelegent.

Według NIK jedynym rzetelnym źródłem informacji dla kierownictwa o stanie bezpieczeństwa były audyty. Często po takim audycie były podejmowane kroki, zwoływane narady, sztaby kryzysowe, potem jednak zapał słabł i mniej więcej po roku wracano do stanu sprzed audytu.

„Smutna konkluzja jest taka, że mimo upływu już dwóch lat od pierwszej kontroli mamy jedynie pojedyncze pozytywne zmiany w obszarze bezpieczeństwa IT. W naszej ocenie nie zostały wyeliminowane kluczowe czynniki paraliżujące aktywność państwa w tym obszarze, którymi są brak kierunkowych decyzji politycznych, brak koordynacji działań i niezbędnej współpracy miedzy kluczowymi podmiotami, brak środków finansowych i koniecznych regulacji prawnych. Pewnym pocieszeniem może być fakt, że rośnie świadomość, że musimy się zająć tym problemem i trzeba wprowadzić zmiany” – powiedział Tomasz Sordyl.

W poszukiwaniu pozytywów

Czy w podwójnej (dwa raporty) krytyce pokontrolnej można znaleźć choć przebłyski dobrego? Tomasz Sordyl podczas swojej prezentacji wskazał na „jaskółki”, które jednak długo mogą nie uczynić wiosny.

„Minister administracji cyfryzacji został wskazany w ustawie działowej jako minister wiodący dla kwestii cyberbezpieczeństwa, to na pewno pozytywna zmiana, natomiast tak naprawdę możemy nadal wskazać takie ośrodki decyzyjne jak Ministerstwo Cyfryzacji, Ministerstwo Obrony narodowej, Agencję Bezpieczeństwa Wewnętrznego. W pewnym stopniu te jednostki rywalizują ze sobą, niejednokrotnie mając sprzeczne opinie, w którym kierunku powinniśmy iść. Można mieć oczywiście różne zdania, o ile nie prowadzi to do paraliżu decyzyjnego, a trochę mamy z tym do czynienia jeśli chodzi o obecną strategię cyberbezpieczeństwa państwa” – powiedział Tomasz Sordyl.

Pozytywnym może wydawać się przyjęcie przez Radę Ministrów narodowej strategii zarządzania zagrożeniami występującymi w cyberprzestrzeni. „Poprzednia polityka została dość krytycznie oceniona przez NIK. W lutym 2016 Ministerstwo Cyfryzacji opublikowało założenia do Strategii Cyberbezpieczeństwa RP, naszym zdaniem był to dokument zdecydowanie lepszy merytorycznie od poprzednich, niestety projekt strategii cyberbezpieczeństwa na lata 2017-2022, który na początku marca 2017 był przekazany Komitetowi Rady Ministrów ds. Cyfryzacji, został w porównaniu do założeń zmodyfikowany. Obecny projekt jest bardzo ogólny, w naszej ocenie istnieje poważna obawa, że nie wpłynie on na rozwiązanie problemów, które dotychczas paraliżowały aktywność państwa” – stwierdził wicedyrektor NIK.

Za sukces można by uznać ogłoszenie w lipcu 2016 powołanie w ramach NASK Narodowego Centrum Cyberbezpieczeństwa (to pierwsze, obok tzw. ustawy antyterrorystycznej, działania zmierzające do budowy Krajowego Systemu Reagowania na Incydenty Komputerowe,) ale, na co zwrócił uwagę Tomasz Sordyl, wątpliwości budzi mandat i umocowanie tego podmiotu i zakres realizowanych zadań.

Tomasz Sordyl zwrócił też uwagę na zagadnienie wdrożenia efektywnych mechanizmów współpracy podmiotów państwowych i prywatnych. „Warto sobie uświadomić, że obywatele są nie tylko przedmiotem ochrony, lecz mogą też aktywnie chronić swoje państwo w sieci. Pojawiły się inicjatywy, choćby dotyczące sektora bankowego, który stworzył swoisty CERT dla banków. Docierają do nas informacje o planach powołania podobnej instytucji w ramach sektora energetycznego. Pojawiły się też inicjatywy czysto obywatelskie, jak choćby Polska Obywatelska Cyberobrona. Widać zainteresowanie po stronie Ministerstwa Cyfryzacji i MON tymi inicjatywami, pytanie tylko, czy ta współpraca zostanie rozwinięta i doprowadzi do wypracowania efektywnych mechanizmów współdziałania między sektorami czy też nie” – powiedział Tomasz Sordyl.

Co jeszcze…

Zamiast podsumowania wystąpienia na konferencji Semafor 2017, Tomasz Sordyl zadał pytanie: „Co się jeszcze musi wydarzyć, aby nasze państwo zaczęło realizować swoje zadania w zakresie ochrony cyberprzestrzeni?”

„Mieliśmy niedawno atak na KNF i banki, mamy konkuzje szczytu NATO w Warszawie, który uznał kwestie cyberbezpieczeństwa za priorytetowe dla krajów członkowskich, czego jeszcze potrzebujemy?” – pytał prelegent. „Jest takie powiedzenie, że użytkownicy komputerów dzielą się na tych, którzy sporządzają kopię bezpieczeństwa swoich danych i na tych, którzy będą sporządzać takie kopie. Parafrazując – państwa dzielą się na te, które podjęły już zaawansowane działania w zakresie zbudowania cyberbezpieczeństwa i takie, które będą zmuszone zbudować taki system. Przyznam, że te państwa z drugiej grupy, do których zalicza się też Polska, będą musiały za budowę tego systemu o wiele więcej zapłacić…”

Aktualizacja: 07 kwietnia 2017 14:26

TOP 200