Prezentacja z Internetowego Spotkania Administratorów Bezpieczeństwa Informacji, na temat obowiązków Administratorów Danych Osobowych wynikających z rozporządzenia ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Więcej informacji na stronie http://www.klubabi.odoradca.pl
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Adam Mizerski
Czy w dobie nowych zagrożeń „zapewniający” model audytu skoncentrowany na zgodności z compliance jest wystarczający ? A może czas na „zwinny audyt” ?
W trakcie wystąpienia zostaną poruszone kwestie:
- oceny opublikowanych przez Ministerstwo Cyfryzacji w styczniu br. wytycznych do audytowania systemów informatycznych
- analizy ryzka jako podstawowego „narzędzia” audytora
- nowych wyzwań w zakresie bezpieczeństwa (np. „shadow IT”, „łańcuchy podwykonawców” outsourcingu IT oraz modelu Cloud Computing, ocena skuteczności szkoleń dot. phishingu ) na jakie muszą być przygotowani audytorzy
Prezentacja z Internetowego Spotkania Administratorów Bezpieczeństwa Informacji, na temat obowiązków Administratorów Danych Osobowych wynikających z rozporządzenia ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Więcej informacji na stronie http://www.klubabi.odoradca.pl
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Adam Mizerski
Czy w dobie nowych zagrożeń „zapewniający” model audytu skoncentrowany na zgodności z compliance jest wystarczający ? A może czas na „zwinny audyt” ?
W trakcie wystąpienia zostaną poruszone kwestie:
- oceny opublikowanych przez Ministerstwo Cyfryzacji w styczniu br. wytycznych do audytowania systemów informatycznych
- analizy ryzka jako podstawowego „narzędzia” audytora
- nowych wyzwań w zakresie bezpieczeństwa (np. „shadow IT”, „łańcuchy podwykonawców” outsourcingu IT oraz modelu Cloud Computing, ocena skuteczności szkoleń dot. phishingu ) na jakie muszą być przygotowani audytorzy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
W przyszłym roku będzie można przedstawić w urzędzie dowód osobisty przez telefon. Ministerstwo Cyfryzacji zaprezentowało projekt mDokument, który umożliwia używanie dowodu osobistego, czy prawa jazdy przez telefon komórkowy.
WebTotem zbadał bezpieczeństwo stron 33 polskich banków. Wszystkie przebadane banki mają pewne - choćby błache - problemy z bezpieczeństwem. Przedstawiamy pełny raport “Ocena Bezpieczeństwa Teleinformatycznego Banków w Polsce”
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
W przyszłym roku będzie można przedstawić w urzędzie dowód osobisty przez telefon. Ministerstwo Cyfryzacji zaprezentowało projekt mDokument, który umożliwia używanie dowodu osobistego, czy prawa jazdy przez telefon komórkowy.
WebTotem zbadał bezpieczeństwo stron 33 polskich banków. Wszystkie przebadane banki mają pewne - choćby błache - problemy z bezpieczeństwem. Przedstawiamy pełny raport “Ocena Bezpieczeństwa Teleinformatycznego Banków w Polsce”
Od założeń do realizacji czyli łódzkie eZdrowie na finiszu
CASE study 2014 v7
1. REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W
ZAKRESIE OCHRONY CYBERPRZESTRZENI RP
Wstępne wyniki kontroli przeprowadzonej w 2014 r.
Warszawa, 26.11.2014 r.
Departament Porządku i
Bezpieczeństwa Wewnętrznego
NAJWYŻSZA IZBA KONTROLI
www.nik.gov.pl
2. Zadania NIK
Najwyższa Izba Kontroli jest naczelnym i niezależnym organem kontroli
państwowej.
NIK kontroluje legalność, gospodarność, celowość i rzetelność
wydatkowania pieniędzy publicznych.
Misją NIK jest realizowanie kontroli odpowiadających na aktualne
problemy społeczne i gospodarcze.
2
3. Proces kontrolny
Proces kontrolny realizowany przez NIK obejmuje:
•przygotowanie tematyki kontroli;
•badania prowadzone w jednostkach kontrolowanych;
•opracowanie wystąpień pokontrolnych;
•sporządzenie i opublikowanie zbiorczej informacji o wynikach kontroli.
Kontrola, której dotyczy niniejsze wystąpienie nie została jeszcze
zakończona. W związku z powyższym prezentujemy wstępne
wyniki kontroli oraz sporządzony na potrzeby konferencji wstępny
zarys informacji o wynikach kontroli.
3
4. Nasz Departament
Departament Porządku i Bezpieczeństwa Wewnętrznego
Kontrolujemy zadania związane z bezpieczeństwem wewnętrznym
państwa oraz z wymiarem sprawiedliwości.
Swoimi działaniami obejmujemy między innymi:
• Agencję Bezpieczeństwa Wewnętrznego;
• Agencję Wywiadu;
• Centralne Biuro Antykorupcyjne;
• Policję;
• Prokuraturę;
• Ministerstwo Sprawiedliwości;
• Sądy Powszechne. 4
5. Pomysł na temat kontroli
Kontrola będąca tematem bieżącej prezentacji jest prowadzona z własnej
inicjatywy NIK.
Przyczynami objęcia tego tematu kontrolą były:
•postępujący rozwój społeczeństwa informacyjnego skutkujący jednocześnie
wzrostem zagrożeń występujących w cyberprzestrzeni;
•zdefiniowanie cyberprzestrzeni, jako nowego obszaru działań podmiotów
państwowych związanych z szeroko rozumianym bezpieczeństwem państwa,
który nie był wcześniej kontrolowany przez Izbę;
•niska świadomość obywateli i instytucji publicznych w zakresie zagrożeń
związanych z bezpieczeństwem IT.
5
6. Przygotowanie tematyki kontroli
Kontrole prowadzone przez NIK wymagają określenia tak zwanego
„wyznacznika”, pozwalającego na dokonanie oceny kontrolowanej
działalności.
Wyznacznikiem mogą być np. przepisy prawa lub zbiory dobrych
praktyk.
W przypadku kontroli będącej tematem niniejszej prezentacji,
określenie takiego „wyznacznika” było trudne i wymagało podjęcia
szeregu różnorodnych działań.
6
7. Przygotowanie kontroli: kwerenda aktów prawnych
Przeprowadzona kwerenda aktów prawnych wykazała:
•brak kompleksowych regulacji prawnych;
•rozproszenie zadań związanych z ochroną cyberprzestrzeni między różne
podmioty państwowe i prywatne.
Podstawowymi regulacjami zdefiniowanymi w tym obszarze były:
Prawo telekomunikacyjne;
Ustawa o zarządzaniu kryzysowym;
Ustawa o informatyzacji podmiotów realizujących zadania publiczne;
Ustawa o świadczeniu usług drogą elektroniczną;
Prawo Bankowe.
7
8. Przygotowanie kontroli: analiza projektów narodowej
strategii bezpieczeństwa w cyberprzestrzeni
W latach 2008-2011 opracowano siedem kolejnych projektów
narodowej strategii bezpieczeństwa w cyberprzestrzeni.
Żaden z ww. siedmiu dokumentów programowych nie został
zatwierdzony przez Radę Ministrów i przyjęty formalnie do
realizacji.
8
9. Przygotowanie kontroli: analiza narodowej
strategii bezpieczeństwa w cyberprzestrzeni
W dniu 25 czerwca 2013 roku, tj. ponad pięć lat po rozpoczęciu prac
nad przygotowaniem narodowej strategii bezpieczeństwa w
cyberprzestrzeni, Rada Ministrów przyjęła dokument pt. „Polityka
Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej”.
Analiza treści ww. dokumentu wykazała problemy z jego interpretacją
oraz liczne braki merytoryczne, stawiające pod dużym znakiem
zapytania jego użyteczność oraz możliwość praktycznego
zastosowania.
9
10. Przygotowanie kontroli: poszukiwanie zbiorów
dobrych praktyk
W celu zdefiniowania zbiorów dobrych praktyk w obszarze ochrony
cyberprzestrzeni, zainicjowano konsultacje z następującymi podmiotami:
•ENISA;
•MAiC, ABW, MF, KPRM, MNiSW, RCB, MIR, MON, NCBiR, MSW;
•najwyższe organy kontrolne z innych państw;
•niezależni eksperci;
•przedstawiciele nauki;
•zespoły CERT;
•przedstawiciele biznesu;
•ABUSE forum.
10
11. Przygotowanie kontroli: rezultaty
Przeprowadzone analizy pozwoliły na stwierdzenie, że ogólna diagnoza
dotycząca stanu cyberbezpieczeństwa w Polsce jest wysoce
niepokojąca. W szczególności stwierdzono brak systemowych działań
instytucji publicznych w celu podniesienia poziomu bezpieczeństwa
państwa i obywateli w cyberprzestrzeni.
11
12. Zakres kontroli: ryzyka
Celem kontroli było zweryfikowanie ryzyk zidentyfikowanych w
działalności państwa w zakresie bezpieczeństwa IT, dotyczących:
•braku spójnego systemu działań;
•braku szacowania ryzyk;
•nieustanowienia mechanizmów współpracy z komercyjnymi
użytkownikami i administratorami cyberprzestrzeni;
•braku podziału kompetencji;
•nieprzydzielenia zasobów do realizacji zadań;
•braku mechanizmów koordynacji i wymiany informacji.
12
13. Zakres kontroli: podmioty i okres czasowy
Kontrolą objęto:
•Ministerstwo Administracji i Cyfryzacji;
•Ministerstwo Spraw Wewnętrznych;
•Agencję Bezpieczeństwa Wewnętrznego - Zespół CERT.GOV.PL;
•Ministerstwo Obrony Narodowej;
•Urząd Komunikacji Elektronicznej;
•Rządowe Centrum Bezpieczeństwa;
•Policję;
•Naukową i Akademicką Sieć Komputerową - Zespół CERT Polska.
Okres objęty kontrolą: lata 2008-2014 13
14. Ustalenia kontroli w MSW:
1. Nie została określona rola Ministra Spraw Wewnętrznych w
ramach systemu ochrony cyberprzestrzeni RP.
2. W MSW brak było świadomości jakichkolwiek obowiązków związanych z
bezpieczeństwem państwa w cyberprzestrzeni.
3. Ministerstwo nie uczestniczyło w budowie systemu ochrony
cyberprzestrzeni państwa.
4. MSW nie realizowało żadnych zadań skierowanych do użytkowników i
administratorów cyberprzestrzeni spoza resortu spraw wewnętrznych.
5. Nie dokonano formalnego przekazania dokumentacji i zadań z
byłego MSWiA do MSW i MAiC.
14
15. Ustalenia kontroli w MSW cd.:
6. W MSW w ogóle nie wdrożono zapisów Polityki Ochrony
Cyberprzestrzeni RP.
7. Zadania związane z ochroną resortowych systemów
teleinformatycznych były realizowane nierzetelnie, tj.:
• nie oszacowano ryzyka dla własnych zasobów IT;
• nie określono zasobów niezbędnych do ich ochrony;
• nie zdefiniowano zasad i wymagań bezpieczeństwa informacji.
6. MSW nie realizowało obowiązków w zakresie kontroli systemów
teleinformatycznych.
15
16. Ustalenia kontroli w Komendzie Głównej Policji
Podstawowe obszary działań Policji w zakresie bezpieczeństwa
cyberprzestrzeni dotyczyły:
•zwalczania przestępczości komputerowej;
•aktywności informacyjnej i edukacyjnej na temat zagrożeń związanych
z korzystaniem z Internetu.
16
17. Ustalenia kontroli w Komendzie Głównej Policji
cd.:
Nieprawidłowości i problemy systemowe dotyczące ochrony
policyjnych systemów teleinformatycznych:
1.Brak kompleksowego systemu reagowania na incydenty
komputerowe w jednostkach Policji.
2.Brak ewidencjonowania informacji o incydentach.
3.Brak zespołu CERT.
4.Brak właściwej realizacji zadań wynikających z Polityki Ochrony
Cyberprzestrzeni RP.
17
18. Ustalenia kontroli w MON
Działania MON związane z ochroną cyberprzestrzeni dotyczyły:
•aktywnego uczestnictwa w budowie systemu ochrony
cyberprzestrzeni;
•powołania resortowego systemu reagowania na incydenty
komputerowe oraz Zespołu CERT.MIL;
•określenia resortowych wymogów bezpieczeństwa IT;
•aktywnej wymiany informacji z innymi podmiotami;
•wdrażania zapisów Polityki Ochrony Cyberprzestrzeni RP;
•rozwijania potencjału w zakresie ochrony cyberprzestrzeni.
18
19. Ustalenia kontroli w MON cd.
W działalności MON stwierdzono problemy i ryzyka o charakterze
systemowym dotyczące:
•częstych zmian struktur organizacyjnych;
•podporzadkowania całego resortowego systemu bezpieczeństwa IT
Narodowemu Centrum Kryptologii oraz personalnie jednej osobie;
•braku oszacowania zasobów niezbędnych do realizacji zadań w
zakresie ochrony cyberprzestrzeni;
•nieopracowania całościowego, docelowego modelu organizacyjnego
systemu ochrony cyberprzestrzeni resortu obrony narodowej.
19
20. Ustalenia kontroli w ABW
Działania ABW związane z ochroną cyberprzestrzeni dotyczyły:
•powołania Zespołu CERT.GOV.PL.;
•wdrażania systemu wczesnego ostrzegania ARAKIS;
•wymiany informacji z innymi podmiotami;
•aktywnej działalności szkoleniowej i edukacyjnej;
•przeprowadzania testów bezpieczeństwa;
•aktywnego uczestnictwa w budowie systemu ochrony
cyberprzestrzeni;
•wdrażania zapisów Polityki Ochrony Cyberprzestrzeni RP.
20
21. Ustalenia kontroli w ABW cd.
W działalności ABW stwierdzono problemy o charakterze systemowym
dotyczące:
•ograniczonych zasobów ludzkich i finansowych;
•brak umocowania prawnego Zespołu CERT.GOV.PL.;
•kontrowersyjnego usytuowania Zespołu CERT.GOV.PL.
21
22. Ustalenia kontroli w NASK
NASK podejmowała działania związane z ochroną cyberprzestrzeni
dotyczące w szczególności:
•powołania CERT Polska – de facto narodowego Zespołu CERT;
•ustanowienia kanałów wymiany informacji o incydentach;
•propagowania i weryfikowania bezpieczeństwa IT;
•utrzymywania kontaktów z innymi podmiotami krajowymi i
zagranicznymi zaangażowanymi w bezpieczeństwo IT;
•stworzenia i rozwijania systemu ARAKIS;
•działalności szkoleniowej, informacyjnej i edukacyjnej;
•projektów naukowo-badawczych.
22
23. Ustalenia kontroli w NASK cd.
W działalności NASK stwierdzono problemy o charakterze systemowym
dotyczące:
•ograniczeń działalności NASK wynikających z uwarunkowań
biznesowych;
•tymczasowego i nieformalnego charakteru działań NASK w
zakresie ochrony cyberprzestrzeni oraz niechęci do
potwierdzenia narodowego charakteru zespołu CERT Polska.
23
24. Ustalenia kontroli RCB
W działalności RCB zdefiniowano dobre praktyki związane
z ochroną cyberprzestrzeni dotyczące:
•zawarcia w Narodowym Programie Ochrony Infrastruktury Krytycznej
ogólnych rekomendacji dotyczących ochrony teleinformatycznej
obiektów infrastruktury krytycznej;
•propozycji ustanowienia stopni alarmowych związanych ze
zdarzeniami w cyberprzestrzeni;
•publikowania informatora o teleinformatycznej infrastrukturze
krytycznej;
•wdrażania Polityki Ochrony Cyberprzestrzeni RP.
24
25. Ustalenia kontroli RCB cd.:
1. Brak spójności systemów zarzadzania kryzysowego i ochrony
cyberprzestrzeni.
2. Brak współpracy RCB i MAiC w zakresie analizy ryzyka i
identyfikacji systemów krytycznej infrastruktury IT.
3. Nieadekwatność procedur zarządzania kryzysowego w
stosunku do zagrożeń w cyberprzestrzeni
25
26. Ustalenia kontroli UKE
W UKE podejmowano działania mające na celu wdrożenie postanowień
Polityki Ochrony Cyberprzestrzeni RP, tj.:
•oszacowano ryzyka dla systemów teleinformatycznych Urzędu;
•powołano Pełnomocnika ds. bezpieczeństwa cyberprzestrzeni;
•budowano system zarządzania bezpieczeństwem informacji.
26
27. Ustalenia kontroli UKE cd.
W wyniku kontroli w UKE stwierdzono brak możliwości wykorzystania
obowiązujących przepisów Prawa telekomunikacyjnego w ramach
realizacji zadań związanych z ochroną cyberprzestrzeni , tj.:
•brak informacji na temat incydentów w cyberprzestrzeni;
•brak realizacji obowiązku informacyjnego wobec konsumentów;
•nieadekwatność planów działań przedsiębiorców
telekomunikacyjnych w sytuacjach szczególnych zagrożeń.
27
28. Ustalenia kontroli MAiC
Kontrola wykazała brak przygotowania organizacyjnego
i merytorycznego MAiC do realizacji zadań
związanych z ochroną cyberprzestrzeni, w szczególności:
1.Brak świadomości obowiązków w zakresie ochrony
cyberprzestrzeni.
2.Działania prowadzone ad hoc, bez właściwego
przygotowania.
28
29. Ustalenia kontroli MAiC cd.:
3. Brak wystarczających zasobów do realizacji zadań.
4. Brak podstawowej ciągłości w realizacji zadań Urzędu.
29
30. Ustalenia kontroli MAiC cd.:
5. Przyjęcie podejścia polegającego na biernym
oczekiwaniu na dyrektywę NIS.
6. Brak wdrożenia Polityki Ochrony Cyberprzestrzeni RP w
Ministerstwie.
30
31. Ustalenia kontroli MAiC cd.
Minister Administracji i Cyfryzacji w praktyce nie
koordynował i nie inicjował zadań związanych z
ochroną cyberprzestrzeni. Ograniczone zadania w
tym zakresie są prowadzone dopiero od lutego 2014 r.
31
32. Podsumowanie
Kontrola wykazała, że w chwili obecnej, podmioty państwowe nie
prowadzą spójnych i systemowych działań związanych z
ochroną cyberprzestrzeni RP. Jako działania pozytywne i
wzory dobrych praktyk można wskazać jedynie
„fragmentaryczne” działania poszczególnych instytucji np.
powołanie i utrzymywanie na wysokim poziomie Zespołów CERT
przez ABW, MON oraz NASK.
32
33. Podsumowanie – problemy systemowe
Podstawowymi problemami w realizacji zadań państwa związanych z
ochroną cyberprzestrzeni są:
1.Brak świadomości nowych zagrożeń u decydentów politycznych i
kierownictwa administracji rządowej oraz brak zainteresowania
kwestiami bezpieczeństwa IT ze strony najważniejszych osób w
państwie.
2.Działania bez przygotowania i spójnej wizji systemowej.
3.Brak ośrodka decyzyjnego i koordynacyjnego.
4.Rozproszenie kompetencji i brak współpracy instytucji państwowych.
33
34. Podsumowanie – problemy systemowe cd.:
5. Brak kompleksowych regulacji prawnych.
6. Niewykorzystywanie istniejących przepisów.
7. Przyjęcie podejścia polegającego na biernym oczekiwaniu na
dyrektywę NIS.
8. Brak CERT’u narodowego.
9. Braki i wady Polityki ochrony cyberprzestrzeni RP.
34
35. Wnioski na przyszłość
W ocenie NIK stan faktyczny ustalony w ramach kontroli
wskazuje na pilną potrzebę podjęcia na najwyższym
szczeblu wiążących decyzji odnośnie strategii i modelu
ochrony cyberprzestrzeni w Polsce.
Modyfikacji wymaga również dominujące obecnie
podejście biernego oczekiwania z decyzjami na dyrektywę
NIS.
35
Najwyższa Izba Kontroli jest naczelnym i niezależnym organem kontroli państwowej.
NIK kontroluje legalność, gospodarność, celowość i rzetelność wydatkowania pieniędzy publicznych.
Najwyższa Izba Kontroli podejmuje kontrole na zlecenie Sejmu lub jego organów, na wniosek Prezydenta Rzeczypospolitej Polskiej, Prezesa Rady Ministrów oraz z własnej inicjatywy.
Misją NIK jest realizowanie kontroli odpowiadających na aktualne problemy społeczne i gospodarcze.
Proces kontrolny obejmuje: przygotowanie tematyki kontroli, badania prowadzone w jednostkach kontrolowanych, opracowanie wystąpień pokontrolnych zawierającego oceny działania poszczególnych podmiotów kontrolowanych, sporządzenie i opublikowanie zbiorczej informacji o wynikach kontroli (tzw. raportu) zawierającej podsumowanie ustaleń z poszczególnych jednostek i spojrzenie systemowe na kontrolowaną działalność.
Kontrola, której dotyczy niniejsze wystąpienie nie została jeszcze zakończona. W związku z powyższym prezentujemy wstępne wyniki kontroli oraz sporządzony na potrzeby konferencji wstępny zarys informacji o wynikach kontroli.
Proces kontrolny pomimo wysiłków Izby jest stosunkowo długi. Od momentu rozpoczęcia prac analitycznych związanych z przygotowaniem programu kontroli, do dnia przedstawienia ostatecznych wyników kontroli upływa przeważnie rok.
Departament Porządku i Bezpieczeństwa Wewnętrznego jest nową jednostka organizacyjną NIK powołaną pod koniec 2011 roku. Do zadań departamentu należy kontrola podmiotów i instytucji odpowiadających za szeroko rozumiane zadania z zakresu bezpieczeństwa wewnętrznego państwa i wymiaru sprawiedliwości. Kontrolujemy między innymi: Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Centralne Biuro Antykorupcyjne, Policję, Prokuraturę, Ministerstwo Sprawiedliwości oraz Sądy Powszechne.
Wykonujemy również kontrole w innych podmiotach, w zakresie w jakim realizują one zadania związane z bezpieczeństwem wewnętrznym i wymiarem sprawiedliwości – czego przykładem jest kontrola, będąca tematem niniejszej prezentacji. Realizowane przez nas dotychczas kontrole dotyczyły m.in. retencji danych telekomunikacyjnych, bezpieczeństwa na drogach, informatyzacji Policji.
Kontrola będąca tematem bieżącej prezentacji jest prowadzona z własnej inicjatywy NIK. Przyczynami objęcia tego tematu kontrolą były:
postępujący rozwój społeczeństwa informacyjnego skutkujący jednocześnie wzrostem zagrożeń występujących w cyberprzestrzeni;
zdefiniowanie cyberprzestrzeni, jako nowego obszaru działań podmiotów państwowych związanych z szeroko rozumianym bezpieczeństwem państwa i obywateli, który nie był wcześniej kontrolowany przez Izbę;
niska świadomość obywateli i instytucji publicznych w zakresie zagrożeń związanych z bezpieczeństwem teleinformatycznym.
Pomysł przeprowadzenia kontroli powstał w 2012 roku w rezultacie udziału pracowników NIK w IX Konferencji Wolność i Bezpieczeństwo połączonej z ćwiczeniami Cyber-EXE Polska 2012.
W przypadku kontroli prowadzonych przez NIK kluczową kwestią jest określenie „wyznacznika”, to jest zestawu wskaźników i innych cech charakteryzujących, pozwalających stwierdzić, czy kontrolowana działalność jest realizowana w sposób prawidłowy, czy też wystąpiły w niej konkretne nieprawidłowości lub problemy systemowe. Wyznacznikiem mogą być przepisy prawa, ale także „zbiory dobrych praktyk” zdefiniowane np. poprzez analizę działań innych państw, podmiotów i organizacji międzynarodowych.
W przypadku kontroli będącej tematem niniejszej prezentacji, ze względu na jej nowatorski charakter, określenie takiego wyznacznika było trudne i wymagało podjęcia szeregu różnorodnych działań.
Pierwszym etapem przygotowań do kontroli było przeprowadzenie szerokiej kwerendy regulacji prawnych związanych tematycznie z ochroną cyberprzestrzeni. Stwierdzono, że nie zostały przyjęte akty normatywne definiujące w sposób jednolity, spójny i precyzyjny katalog podmiotów państwowych odpowiadających za ochronę cyberprzestrzeni RP oraz określające ich zadania. Czynności związane z ochroną cyberprzestrzeni zostały przypisane różnym podmiotom państwowym i prywatnym na podstawie ogólnych regulacji prawnych określających ich zadania i kompetencje. Jako podstawowe regulacje w tym zakresie zidentyfikowano Prawo telekomunikacyjne, Ustawa o zarzadzaniu kryzysowym, Ustawa o informatyzacji podmiotów realizujących zadania publiczne, Ustawę o świadczeniu usług drogą elektroniczną, Prawo Bankowe.
Jako jedno z zdań kontroli przyjęto sprawdzenie, czy wyżej wymienione regulacje, w zidentyfikowanej sytuacji rozproszenia odpowiedzialnych jednostek, mogą być i są w praktyce wykorzystywane do realizacji zadań związanych z ochroną cyberprzestrzeni.
Przeprowadzono, szczegółową analizę treści oraz procesu tworzenia i uzgadniania siedmiu kolejnych projektów narodowej strategii ochrony cyberprzestrzeni. Dokumentami tymi były:
Rządowy program ochrony cyberprzestrzeni RP na lata 2008-2011 (listopad 2008 r.);
Rządowy program ochrony cyberprzestrzeni RP na lata 2009-2011 (marzec 2009 r.);
Rządowy program ochrony cyberprzestrzeni RP na lata 2009-2011 – założenia (marzec 2009 r);
Rządowy program ochrony cyberprzestrzeni RP na lata 2011-2015 (maj 2010 r.);
Rządowy program ochrony cyberprzestrzeni RP na lata 2011-2016 (czerwiec 2010 r.);
Rządowy program ochrony cyberprzestrzeni RP na lata 2011-2020 (kwiecień 2011 r.);
Polityka bezpieczeństwa cyberprzestrzeni RP (maj 2011 r.).
Żaden z wymienionych powyżej dokumentów programowych nie został zatwierdzony przez Radę Ministrów i przyjęty formalnie do realizacji. W związku z powyższym, jako jedno z zadań kontroli przyjęto zweryfikowanie jakości tych projektów oraz ustalenie przyczyn braku ich wejścia w życie.
W dniu 25 czerwca 2013 roku, tj. ponad pięć lat po rozpoczęciu prac nad przygotowaniem narodowej strategii bezpieczeństwa w cyberprzestrzeni, Rada Ministrów przyjęła dokument pt. „Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej”.
Analiza treści „Polityki” wykazała problemy z jego interpretacją (niejednoznaczne sformułowania, cały dokument napisany jest w trybie przypuszczającym) oraz liczne braki merytoryczne (nieokreślenie mierników, terminów, podmiotów odpowiedzialnych za realizację zdań oraz środków finansowych niezbędnych do wdrożenia tego dokumentu). W związku z powyższym, założono potrzebę zweryfikowania w trakcie kontroli jego użyteczności, jako podstawy działań instytucji państwowych w zakresie ochrony cyberprzestrzeni.
W celu zdefiniowania zbiorów dobrych praktyk w obszarze ochrony cyberprzestrzeni podjęto próbę kontaktu oraz przeprowadzono szereg następujących konsultacji:
wystąpiono o przekazanie dokumentacji oraz przeprowadzono konsultacje z przedstawicielami instytucji państwowych i międzynarodowych zaangażowanych w proces ochrony cyberprzestrzeni: ENISA, MAiC, ABW, MF, KPRM, Ministerstwo Nauki i Szkolnictwa Wyższego, RCB, Ministerstwo infrastruktury i Rozwoju, MON, Narodowe Centrum Badań i Rozwoju, MSW;
zwrócono się do najwyższych organów kontrolnych z kilkunastu wybranych państw z prośbą o przekazanie doświadczeń i dokumentacji z przeprowadzonych dotychczas kontroli związanych z cyberbezpieczeństwem. (m.in. USA, Wielka Brytania, Niemcy, Francja, Hiszpania, Łotwa, Szwajcaria);
przeprowadzono szereg konsultacji z niezależnymi ekspertami i przedstawicielami nauki między innymi z Fundacją Bezpieczna Cyberprzestrzeń oraz Instytutem Kościuszki;
podjęto próbę kontaktu z zespołami CERT, przedstawicielami biznesu zaangażowanego w bezpieczeństwo IT oraz uczestnikami ABUSE forum.
Niestety duża część wyżej wymienionych działań nie przyniosła oczekiwanych rezultatów, natrafiliśmy na niechęć do dialogu oraz trudności komunikacyjne.
Przeprowadzone działania pozwoliły na stwierdzenie, że ogólna diagnoza dotycząca stanu cyberbezpieczeństwa (w tym działań państwa) w Polsce jest wysoce niepokojąca. W szczególności stwierdzono brak systemowych działań instytucji publicznych w celu podniesienia poziomu bezpieczeństwa państwa i obywateli w cyberprzestrzeni. Stwierdziliśmy również istnienie milczącego status quo oraz niechęć do formułowania konstruktywnych pomysłów w zakresie cyberbezpieczeństwa.
Podjęte działania pozwoliły jednak na przygotowanie tematyki kontroli oraz określenie podstawowego katalogu zadań, które powinny być realizowane przez podmioty państwowe w związku z ochroną cyberprzestrzeni.
Celem kontroli było zweryfikowanie ryzyk zidentyfikowanych na etapie przygotowania kontroli w działalności podmiotów państwowych w zakresie bezpieczeństwa IT, dotyczących:
brak spójnego systemu działań organów administracji państwowej oraz kompleksowej, narodowej strategii ochrony cyberprzestrzeni RP;
nieskutecznego i nierzetelnego szacowania ryzyk związanych z zagrożeniami występującymi w cyberprzestrzeni;
nieustanowienia mechanizmów współpracy z komercyjnymi użytkownikami i administratorami cyberprzestrzeni;
braku podziału kompetencji między podmiotami odpowiadającymi za ochronę cyberprzestrzeni RP;
nieoszacowania i nieprzydzielenia zasobów niezbędnych do realizacji zadań związanych z ochroną cyberprzestrzeni;
braku mechanizmów koordynacji i wymiany informacji;
a tym samym niespójnych, niekompletnych i nieskutecznych działań realizowane przez podmioty państwowe w zakresie bezpieczeństwa IT.
Kontrolą objęto:
Ministerstwo Administracji i Cyfryzacji - podmiot zobligowany do pełnienia roli koordynatora krajowych działań w zakresie cyberbezpieczeństwa;
Ministerstwo Spraw Wewnętrznych - odpowiadające za sprawy ochrony bezpieczeństwa i porządku publicznego oraz zarządzania kryzysowego (poprzednik prawny Ministerstwa Administracji i Cyfryzacji);
Agencja Bezpieczeństwa Wewnętrznego - odpowiadająca za zapobieganie i zwalczanie zagrożeń godzących w bezpieczeństwo wewnętrzne państwa. W ramach ABW funkcjonuje Rządowych Zespół reagowania na incydenty komputerowe CERT.GOV.PL .;
Ministerstwo Obrony Narodowej - odpowiadające za cyberbezpieczeństwo w sferze militarnej;
Urząd Komunikacji Elektronicznej - jedyny organ państwowy zobowiązany formalnie do gromadzenia informacji o incydentach;
Rządowe Centrum Bezpieczeństwa - realizujące zadania z zakresu zarządzania kryzysowego, w tym ochrony teleinformatycznej infrastruktury krytycznej;
Policję - odpowiadająca z zwalczanie cyberprzestępczości;
Naukowa i Akademicka Sieć Komputerowa, w ramach której funkcjonuje Zespół CERT Polska.
Kontrolą objęto okres od początku 2008 r. (tj. od momentu rozpoczęcia prac nad krajową strategią ochrony cyberprzestrzeni) do końca 2014 r.
W wyniku kontroli przeprowadzonej w MSW nie stwierdzono żadnych aspektów pozwalających na sformułowanie ocen pozytywnych. Ustalono natomiast, że:
nie została określona rola Ministra Spraw Wewnętrznych w ramach systemu ochrony cyberprzestrzeni. W związku z wyodrębnieniem MAiC, w MSW brak było świadomości jakichkolwiek obowiązków związanych z bezpieczeństwem państwa w cyberprzestrzeni;
od momentu utworzenia MSW w listopadzie 2011 roku Minister nie uczestniczył w budowie systemu ochrony cyberprzestrzeni RP i nie realizował żadnych zadań skierowanych do użytkowników i administratorów cyberprzestrzeni spoza resortu spraw wewnętrznych.
stwierdzono brak kontynuacji zadań realizowanych w latach 2008 – 2011 przez byłe MSWiA w związku z ochroną cyberprzestrzeni – w szczególności na etapie podziału MSWiA nie dokonano formalnego przekazania dokumentacji i zadań do nowo utworzonych MSW i MAiC , w związku z czym po czterech latach przedmiotowe prace zostały rozpoczęte praktycznie od zera.
W MSW do czasu rozpoczęcia kontroli nie wdrażano jakichkolwiek zapisów Polityki Ochrony Cyberprzestrzeni RP.
Zadania związane z zapewnieniem bezpieczeństwa sieci i systemów teleinformatycznych resortu spraw wewnętrznych były realizowane nierzetelnie. W szczególności nie dokonano oszacowania ryzyka i nie określono zasobów niezbędnych do realizacji zadań związanych z bezpieczeństwem IT. Nie określono zasad i wymagań bezpieczeństwa informacji przetwarzanych w systemach MSW.
Minister Spraw Wewnętrznych nie realizował w stosunku do podmiotów podległych lub nadzorowanych obowiązków kontrolnych wymienionych w ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne. (Kontrole te powinny dotyczyć między innymi zagadnień bezpieczeństwa systemów teleinformatycznych.) W Ministerstwie nie dysponowano nawet wiedzą na temat pełnej liczby i rodzaju systemów podlegających kontroli Ministra Spraw Wewnętrznych.
W działalności Policji zdefiniowano dwa podstawowe obszary działań w zakresie bezpieczeństwa cyberprzestrzeni:
w jednostkach organizacyjnych Policji zostały powołane struktury organizacyjne dedykowane do zwalczania przestępczości komputerowej. W ramach kontroli wystąpiły problemy i wątpliwości związane z weryfikacją skuteczności ich funkcjonowania. Podmioty wyspecjalizowane, w tym Zespół CERT Polska zgłaszał liczne uwagi dotyczące problemów komunikacyjnych i merytorycznych w zakresie współpracy z Policją i organami ścigania;
stwierdzono dużą aktywność informacyjną i edukacyjną Policji związaną z zagadnieniami cyberbezpieczeństwa, skierowaną do szerokiego grona użytkowników Internetu, w tym dzieci i młodzieży.
Stwierdzono nieprawidłowości i problemy systemowe dotyczące ochrony policyjnych systemów teleinformatycznych:
w jednostkach organizacyjnych Policji nie został zorganizowany kompleksowy system reagowania na incydenty komputerowe. W przypadku znacznej części incydentów bezpieczeństwa ograniczano się jedynie do przekazywania informacji do jednostek, w których zdarzenie wystąpiło, bez podejmowania dalszych działań wyjaśniających i monitorujących przyczyny i sposób załatwienia danego zdarzenia.
w prowadzonym przez Biuro Łączności i Informatyki Komendy Głównej Policji rejestrze incydentów nie stwierdzono żadnego zapisu pomimo otrzymania w latach 2012-2014 od Zespołu CERT.GOV.PL ok 2000 informacji o zagrożeniach i incydentach w policyjnych systemach teleinformatycznych;
nie został zorganizowany formalnie funkcjonujący zespół CERT;
stwierdzono brak realizacji, bądź duże opóźnienia w zakresie wykonywania zadań wynikających z Polityki Ochrony Cyberprzestrzeni RP.
Stwierdzono, że Minister Obrony Narodowej aktywnie uczestniczy w budowie systemu ochrony cyberprzestrzeni. Od wielu lat w resorcie obrony narodowej funkcjonuje i jest rozbudowywany system reagowania na incydenty komputerowe, powołano również resortowy zespół reagowania na incydenty CERT.MIL.
W Ministerstwie opracowano wymogi dotyczące bezpieczeństwa teleinformatycznego oraz regulacje w zakresie reagowania na incydenty komputerowe. Prowadzono aktywną wymianę informacji z innymi jednostkami realizującymi zadania związane z bezpieczeństwem cyberprzestrzeni, oraz wdrażano zapisy Polityki Ochrony Cyberprzestrzeni RP.
Podejmowano działania w celu rozwijania potencjału MON w zakresie ochrony cyberprzestrzeni np. poprzez powołanie Narodowego Centrum Kryptologii.
W kontrolowanej działalności stwierdzono natomiast problemy i ryzyka o charakterze systemowym dotyczące:
częstych i dokonywanych ad hoc zmian struktur organizacyjnych dedykowanych bezpieczeństwu cyberprzestrzeni;
podporzadkowania całego systemu funkcjonującego w resorcie pod jednostkę będącą dopiero na wczesnym etapie organizacji, to jest Narodowe Centrum Kryptologii (wyspecjalizowane tylko w jednym aspekcie bezpieczeństwa) oraz personalnie pod jedna osobę - pełnomocnika Ministra Obrony Narodowej do spraw bezpieczeństwa cyberprzestrzeni. Ustalono bowiem, że ta sama osoba jest: Pełnomocnikiem Ministra Obrony Narodowej ds. Bezpieczeństwa Cyberprzestrzeni, Pełnomocnikiem Ministra ds. Utworzenia Narodowego Centrum Kryptologii, Dyrektorem Narodowego Centrum Kryptologii, Radcą Ministra ds. Bezpieczeństwa Cybernetycznego, przewodniczącym (jako radca Ministra) i jednocześnie wiceprzewodniczącym (jako Pełnomocnik Ministra ds. Bezpieczeństwa Cyberprzestrzeni) resortowego Zespołu ds. Opracowania Projektu Założeń do Planu Obrony Cyberprzestrzeni RP!;
braku oszacowania zasobów niezbędnych do skutecznej realizacji zadań MON w zakresie ochrony cyberprzestrzeni;
nieopracowania całościowego, docelowego modelu organizacyjnego systemu ochrony cyberprzestrzeni w resorcie obrony narodowej.
Od 2008 roku, w ramach ABW, funkcjonuje wyspecjalizowana jednostka Zespół CERT.GOV.PL., podejmująca działania w zakresie zapewnienia bezpieczeństwa państwowych sieci i systemów teleinformatycznych. Zespół od wielu lat:
wykorzystuje i rozbudowuje systemem wczesnego ostrzegania ARAKIS;
uczestniczy w wymianie informacji i z innymi krajowymi i zagranicznymi podmiotami realizującymi zadania w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni.
ABW prowadzi aktywną działalność szkoleniową i edukacyjną skierowana do administratorów i użytkowników cyberprzestrzeni w Polsce oraz wykonuje na wniosek zainteresowanych podmiotów bezpłatne testy bezpieczeństwa systemów.
ABW aktywnie uczestniczy w budowie systemu bezpieczeństwa cyberprzestrzeni poprzez: udział w tworzeniu dokumentów strategicznych, opracowywanie i weryfikowanie zaleceń i wytycznych dotyczących bezpieczeństwa systemów administracji rządowej. Ponadto ABW realizowało zadania wynikające z Polityki Ochrony Cyberprzestrzeni RP.
W działalności ABW stwierdzono problemy o charakterze systemowym dotyczące:
ograniczonych możliwości Zespołu CERT.GOV.PL., wynikających z posiadanych zasobów ludzkich i finansowych;
braku odpowiedniego umocowania prawnego Zespołu CERT.GOV.PL. w stosunku do ochranianych jednostek;
ograniczeń wynikających z usytuowania Zespołu CERT.GOV.PL w ramach służby specjalnej dotyczących otwartości i transparentności działania oraz wątpliwości ochranianych jednostek odnośnie ewentualnego wykorzystywania przez ABW wiedzy uzyskanej w trakcie obsługi incydentów i testów.
NASK podejmowała działania związane z ochroną cyberprzestrzeni dotyczące w szczególności:
powołania Zespołu CERT Polska zajmującego się zdarzeniami naruszającymi bezpieczeństwo w sieci Internet;
pełnienia roli - nieutworzonego formalnie w Polsce - narodowego zespołu CERT;
ustanowienia i utrzymywania kanałów wymiany informacji o incydentach komputerowych obejmujących różne grupy użytkowników, w szczególności: systemu zbierania zgłoszeń o incydentach, platformy n6, Abuse-Forum, kontaktów bezpośrednich i nieformalnych;
propagowania i weryfikowania rozwiązań zwiększających bezpieczeństwo systemów komputerowych;
udziału w ćwiczeniach dotyczących systemu bezpieczeństwa cyberprzestrzeni;
współpracy i utrzymywania roboczych kontaktów z innymi - krajowymi i zagranicznymi – organizacjami i podmiotami związanymi z ochroną cyberprzestrzeni, w tym z zespołem CERT.GOV.PL.;
stworzenia i rozwijania systemu wczesnego ostrzegania o zagrożeniach wykrytych w Internecie – ARAKIS;
prowadzenia działalności szkoleniowej, informacyjnej i edukacyjnej dotyczącej bezpieczeństwa w cyberprzestrzeni;
udziału w projektach naukowo-badawczych dotyczących zwiększenia bezpieczeństwa w cyberprzestrzeni.
Ustalono, że działania NASK w zakresie bezpieczeństwa teleinformatycznego państwa były ściśle związane z realizowanymi przez ten podmiot procesami biznesowymi i podlegały wynikającym z tego faktu ograniczeniom, w tym finansowym. Należy również wskazać, iż działania NASK (CERT Polska) w znacznym stopniu miały charakter nieformalny i „tymczasowy”. Wynikały one przede wszystkim z dużego dorobku tej instytucji w obszarze bezpieczeństwa IT i jej rozpoznawalności na arenie międzynarodowej, przy jednoczesnym braku formalnego i kompleksowego systemu działań organów państwowych w zakresie ochrony cyberprzestrzeni RP (nieformalnie i w ograniczonym stopniu NASK wypełnia istotną lukę w tym systemie polegającą na braku CERTU narodowego). Z ustaleń kontroli wynika, że Zespół CERT Polska w obecnej sytuacji prawnej i ekonomicznej nie planuje podejmowania kroków dla potwierdzenia swojego de facto narodowego charakteru i ewentualne działania w tym zakresie uzależnia przede wszystkim od otrzymania na ten cel adekwatnych środków finansowych i przyjęcia stosowanych regulacji prawnych.
Rządowe Centrum Bezpieczeństwa inicjowało i podejmowało działania, które należy zdefiniować, jako dobre praktyki związane z ochroną cyberprzestrzeni RP. Dotyczyły one w szczególności:
opracowania i zawarcia w załączniku do Narodowego Programu Ochrony Infrastruktury Krytycznej ogólnych zasad i rekomendacji dotyczących ochrony teleinformatycznej obiektów infrastruktury krytycznej;
przygotowania projektu nowelizacji zarządzenia Prezesa Rady Ministrów w sprawie wykazu przedsięwzięć i procedur systemu zarzadzania kryzysowego dotyczącej m.in. ustanowienia czterech stopni alarmowych, wprowadzanych w razie wystąpienia zagrożeń o charakterze terrorystycznym lub sabotażowym dla systemów teleinformatycznych administracji państwowej oraz infrastruktury krytycznej;
upowszechniania tematyki dotyczącej ochrony teleinformatycznej infrastruktury krytycznej, m.in. w formie specjalnego informatora publikowanego na stronach internetowych RCB;
wdrażania w RCB zapisów Polityki ochrony cyberprzestrzeni RP.
Ustalono, że koordynowany przez RCB system zarządzania kryzysowego i ochrony infrastruktury krytycznej oraz budowany na podstawie Polityki system ochrony cyberprzestrzeni RP są w praktyce rozłączne i nie uzupełniają się wzajemnie. Pomimo, iż systemy teleinformatyczne stanowią zasadniczą i integralną część infrastruktury krytycznej państwa, do czasu niniejszej kontroli NIK nie była podejmowana współpraca mająca na celu zapewnienie porównywalności i komplementarności wyników szacowania ryzyka prowadzonych przez RCB i MAiC odnośnie zagrożeń występujących w cyberprzestrzeni. Nie podejmowano również współpracy w celu modyfikacji kryteriów identyfikacji infrastruktury krytycznej, tak aby możliwe było precyzyjne określenie systemów teleinformatycznych, które wchodzą w skład wykazu infrastruktury krytycznej, w związku z czym w MAiC prowadzona jest obecnie równoległa, niezależna od prowadzonego przez RCB wykazu – kwerenda krytycznych systemów teleinformatycznych administracji rządowej. Stwierdzono także, że obowiązujące obecnie procedury systemu zarządzania kryzysowego w niewystarczającym stopniu uwzględniają zagrożenia dla systemów teleinformatycznych. W szczególności, w Krajowym Planie Zarządzania Kryzysowego w ogóle nie określono zadań, podmiotów odpowiedzialnych oraz procedur reagowania na zagrożenia występujące w cyberprzestrzeni!
Kontrola wykazała, że w Urzędzie Komunikacji Elektronicznej podejmowano działania mające na celu wdrożenie postanowień Polityki ochrony cyberprzestrzeni RP. W szczególności zrealizowano zadania dotyczące oszacowania ryzyk dla systemów teleinformatycznych oraz powołania w Urzędzie Pełnomocnika ds. bezpieczeństwa cyberprzestrzeni. Prowadzono również aktywne działania związane z wprowadzeniem w UKE systemu zarządzania bezpieczeństwem informacji.
W wyniku kontroli przeprowadzonej w UKE stwierdzono natomiast problemy o charakterze systemowym wskazujące na brak możliwości praktycznego wykorzystania obowiązujących obecnie przepisów Prawa telekomunikacyjnego w ramach realizacji zadań związanych z ochroną cyberprzestrzeni RP, i tak:
przedsiębiorcy telekomunikacyjni nie przekazują Prezesowi UKE informacji na temat naruszeń bezpieczeństwa lub integralności sieci lub usług związanych z incydentami występującymi w cyberprzestrzeni. W okresie obowiązywania powyższych przepisów przedsiębiorcy telekomunikacyjni zgłosili do UKE 5 incydentów związanych z bezpieczeństwem cyberprzestrzeni, podczas gdy z informacji uzyskanych w CERT Polska wynika, że w tym samym okresie Zespół ten dysponował informacjami o około 40 milionach zainfekowanych adresów IP należących do 9 największych krajowych przedsiębiorców telekomunikacyjnych. Aktualnie obowiązujące przepisy prawa telekomunikacyjnego dają przedsiębiorcom pełna swobodę w zakresie oceny istotności incydentów i zasadności ich zgłaszania do UKE. Przekazywanie takich informacji nie leży oczywiście w interesie ekonomicznym przedsiębiorców, a ponadto jak stwierdzono, większość największych krajowych przedsiębiorców telekomunikacyjnych nie korzysta z informacji o zagrożeniach i incydentach udostępnianych bezpłatnie przez Zespół CERT Polska na platformie n6;
w związku z brakiem wiedzy o zagrożeniach i incydentach w cyberprzestrzeni UKE praktycznie nie realizował obowiązków w zakresie informowania konsumentów o zagrożeniach związanych z korzystaniem z Internetu oraz o środkach zabezpieczenia i ochrony - UKE jest jedynym podmiotem państwowym zobowiązanym do przekazywania takich informacji konsumentom!
opracowywane przez przedsiębiorców telekomunikacyjnych, zgodnie z wymaganiami ustawy Prawo Telekomunikacyjne, plany działań w sytuacjach szczególnych zagrożeń, odnoszą się jedynie do konwencjonalnych niebezpieczeństw i mają bardzo ograniczone zastosowanie w kontekście zdarzeń występujących w cyberprzestrzeni. Proces tworzenia i opiniowania tych planów jest ukierunkowany na zaspokojenie konwencjonalnych oczekiwań urzędników i pozostaje w oderwaniu od postępu technologicznego. Np. Minister Spraw Wewnętrznych, definiujący zagrożenia na potrzeby sporządzania tych planów, wyjaśnił kontrolującym, że obowiązujące przepisy nie nakładają wprost obowiązku przekazywania przedsiębiorcom informacji na temat zagrożeń związanych z zdarzeniami w cyberprzestrzeni.
Kontrola wykazała brak przygotowania organizacyjnego i merytorycznego MAiC do realizacji zadań związanych z ochroną cyberprzestrzeni, w szczególności:
od momentu wyodrębnienia z MSWiA w listopadzie 2011 roku w MAiC nie było świadomości istnienia obowiązków związanych z ochroną cyberprzestrzeni wypływających z faktu kierowania przez Ministra działałem informatyzacja. Do dnia zakończenia kontroli nie zdefiniowano w sposób kompleksowy, jakie zadania dotyczące ochrony cyberprzestrzeni powinny być realizowane przez Ministra. Np. w raporcie o zagrożeniach bezpieczeństwa narodowego przekazanym w 2012 r. przez MAiC do RCB wskazano, że zagrożenia związane z cyberprzestrzenią mają bardzo ograniczony zakres, nie rodzą skutków ekonomicznych dla państwa, a MAiC nie realizuje w tym obszarze żadnych zadań koordynacyjnych!
działania Ministerstwa związane z ochroną cyberprzestrzeni nie miały charakteru przemyślanego i systemowego, stanowiły natomiast reakcje ad hoc, np. na wydarzenia społeczne związane z protestami ACTA. Zdarzenia te zdeterminowały również proces tworzenia i przyjęcia Polityki ochrony cyberprzestrzeni RP i miały wpływ na jej jakość.
w MAiC nie przypisano zasobów, nie zbudowano potencjału kadrowego i merytorycznego do realizacji zadań związanych z bezpieczeństwem cyberprzestrzeni. W okresie pierwszych dwóch lat od utworzenia Ministerstwa wyżej wymienione zadania były doraźnie realizowane przez Gabinet Polityczny Ministra, a praktycznie przez jedną osobę. Dopiero od lutego 2014 roku przedmiotowe zadania przypisano jednemu z Wydziałów Ministerstwa, który jednak nie dysponował potencjałem kadrowym (początkowo 2 pracowników, a obecnie 4) i merytorycznym do ich realizacji. Świadczy o tym np. fakt przesłania przez pracownika tego Wydziału, z wykorzystaniem prywatnej poczty elektronicznej, niezaszyfrowanego pliku, zawierającego dane służbowe o wysokiej wrażliwości dotyczące bezpieczeństwa cyberprzestrzeni na poziomie narodowym;
w MAiC brak było podstawowej ciągłości w realizacji zadań związanych z ochroną cyberprzestrzeni. Po przejęciu tych zadań w lutym 2014 r. przez nową komórkę organizacyjną, praktycznie wszystkie zadania zostały rozpoczęte od nowa. Jednym z pierwszych działań wyżej wymienionej komórki była analiza treści Polityki ochrony cyberprzestrzeni. Należy np. wskazać, że nowy zespół w MAiC nie miał w ogóle wiedzy o trwających w ABW od kilku miesięcy pracach związanych z przygotowaniem metodyki szacowania ryzyka IT, w związku z czym w pośpiechu zamówiono bez przetargu i rzetelnego rozeznania rynku gotową metodykę sporządzoną w ciągu 4 dni przez podmiot zewnętrzny!
w ocenie Kierownictwa MAiC aktywna realizacja niektórych zadań związanych z ochroną cyberprzestrzeni (np. w zakresie zmian legislacyjnych) nie jest zasadna, ponieważ należy oczekiwać na unijną dyrektywę NIS (o zapewnieniu wspólnego, wysokiego poziomu bezpieczeństwa sieci i informacji);
w MAiC odpowiadającym za koordynację realizacji Polityki ochrony cyberprzestrzeni RP nie były wdrażane zapisy tego dokumentu. W szczególności dopiero po otrzymaniu pytań od kontrolującego zrealizowano zadania z Polityki dotyczące oszacowania ryzyka dla systemów teleinformatycznych użytkowanych w Ministerstwie oraz powołano pełnomocnika do spraw bezpieczeństwa cyberprzestrzeni!
Kontrola wykazała, że Minister Administracji i Cyfryzacji w praktyce nie koordynował i nie inicjował zadań związanych z ochroną cyberprzestrzeni. Realne działania w ww. zakresie zostały podjęte dopiero od lutego 2014 roku, jednak ze względu na ograniczone zasoby kadrowe i merytoryczne większość zadań jest realizowana fragmentarycznie lub z dużym opóźnieniem, i tak :
Minister nie wykonuje w praktyce zadań koordynatora krajowego systemu reagowania na incydenty komputerowe w cyberprzestrzeni RP, nie gromadzi informacji na temat incydentów komputerowych, nie opracowuje procedur reagowania w sytuacjach incydentów komputerowych, nie dysponuje wiedzą na temat funkcjonujących w kraju zespołów reagowania na incydenty;
nie została przeprowadzona rzetelna analiza, ani nie opracowano zbiorczych wyników procesu szacowania ryzyka w zakresie bezpieczeństwa teleinformatycznego podmiotów administracji rządowej;
nie opracowano zbiorczego sprawozdania z audytu wewnętrznego dotyczącego bezpieczeństwa IT, przeprowadzonego w 2013 roku z polecenia Prezesa Rady Ministrów w 314 jednostkach administracji państwowej;
nie opracowano żadnych projektów szczegółowych przewidzianych, jako elementy wdrażania Polityki ochrony cyberprzestrzeni RP;
z opóźnieniem opracowano projekt planu działań w zakresie bezpieczeństwa cyberprzestrzeni RP;
nie realizowano zadań związanych z szacowaniem kosztów oraz mierników realizacji Polityki ochrony cyberprzestrzeni RP;
MAiC nie dysponuje wiedzą na temat działań związanych z ochroną cyberprzestrzeni podejmowanych przez inne podmioty;
Minister nie wydawał i nie rekomendował wytycznych w zakresie bezpieczeństwa systemów informatycznych oraz nie realizował obowiązków kontrolnych zapisanych w ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne.
Kontrola wykazała, że w chwili obecnej, podmioty państwowe nie prowadzą spójnych i systemowych działań związanych z ochroną cyberprzestrzeni RP. Jako działania pozytywne i wzory dobrych praktyk można wskazać jedynie „fragmentaryczne” działania poszczególnych instytucji np. powołanie i utrzymywanie na wysokim poziomie Zespołów CERT przez ABW, MON oraz NASK.
Podstawowymi problemami w realizacji zadań państwa związanych z ochroną cyberprzestrzeni są:
brak świadomości decydentów politycznych i kierownictwa administracji rządowej odnośnie zagrożeń w cyberprzestrzeni, zakresu ich oddziaływania oraz możliwego wpływu na gospodarkę i społeczeństwo. W dalszym ciągu bezpieczeństwo państwa postrzegane jest jedynie jako suma fizycznych zabezpieczeń poszczególnych obiektów, natomiast nie uwzględnia się możliwości negatywnego wpływu na infrastrukturę i funkcjonowanie państwa pochodzącego z sieci teleinformatycznych;
brak przypisania właściwej wagi do problemów związanych z cyberprzestrzenią przez Prezesa Rady Ministrów, np. pomimo upływu ponad roku od zlecenia przez Prezesa Rady Ministrów audytu wewnętrznego dotyczącego bezpieczeństwa teleinformatycznego urzędów administracji państwowej nie zostało opracowane sprawozdanie z tych czynności. Nie został również powołany przez Prezesa rady Ministrów przewidziany w Polityce, międzyresortowy zespół do spraw koordynacji zadań związanych z ochroną cyberprzestrzeni;
w związku z brakiem świadomości tych zagrożeń wszystkie dotychczasowe działania podejmowane byłe bez przygotowania i spójnej wizji systemowej jedynie jako reakcja na bieżące zdarzenia np. ACTA;
brak jednego ośrodka decyzyjnego i koordynacyjnego wyposażonego we właściwe zasoby i uprawnienia oraz rozproszenie kompetencji i brak współpracy instytucji państwowych. Poszczególne instytucje państwowe wykonują swoje zadania w sposób nieskoordynowany, co między innymi skutkuje nakładaniem się zadań i niegospodarnym wykorzystywaniem zasobów np. ewidencjonowanie państwowych teleinformatycznych systemów krytycznych równolegle przez MAiC i RCB. Jako przykład tzw. „Polski resortowej” można również wskazać proces uzgadniania siedmiu projektów strategii rządowej w zakresie cyberbezpieczeństwa, którego uczestnicy przedstawiali sprzeczne uwagi, nie starając się wypracować optymalnego dla całego państwa rozwiązania.
w Polsce brak jest kompleksowych regulacji prawnych dotyczących cyberprzestrzeni, a nieliczne regulacje obowiązujące w tym obszarze nie są w praktyce wykorzystywane przez instytucje państwowe, np. ustawa o zarządzaniu kryzysowym, prawo telekomunikacyjne, ustawa o informatyzacji podmiotów realizujących zadania publiczne;
kierownictwo niektórych instytucji publicznych przyjęło podejście polegające na biernym oczekiwaniu na dyrektywę NIS;
istotnym problemem jest brak CERT’u narodowego;
obowiązująca obecnie Polityka ochrony cyberprzestrzeni RP ze względu na jej niejednoznaczność oraz braki merytoryczne (polegające między innymi na braku mierników, terminów realizacji zadań, podmiotów odpowiedzialnych oraz braku źródeł finansowania) nie spełnia roli dokumentu strategicznego. Jak wykazała kontrola większość zapisów tego dokumentu nie jest praktycznie realizowana.
W ocenie NIK stan faktyczny ustalony w ramach kontroli wskazuje na pilną potrzebę podjęcia na najwyższym szczeblu wiążących decyzji odnośnie strategii i modelu ochrony cyberprzestrzeni w Polsce. W celu zdynamizowania tego procesu niezbędne jest bezpośrednie zaangażowanie Prezesa Rady Ministrów, określenie podmiotów odpowiedzialnych, terminów realizacji zadań a także oszacowanie i przydzielenie zasobów niezbędnych do ich wykonania.
Zmiany wymaga również dominujące obecnie podejście biernego oczekiwania z decyzjami na dyrektywę NIS. W związku ze sprzecznymi interesami państw UE, co do treści tego dokumentu, jego ostateczny kształt może nie zawierać potrzebnych nam zapisów. Na chwilę obecną problematyczne jest również określenie terminu jej wejścia w życie.
