Jest źle albo bardzo źle, mimo że od lat ochrona cyberprzestrzeni RP jest jednym z priorytetów rządu, a kompetencje związane z tego rodzaju bezpieczeństwem można przypisać wielu instytucjom. To choćby Ministerstwo Obrony Narodowej, Rządowe Centrum Bezpieczeństwa, Ministerstwo Cyfryzacji, Rada Ministrów, Agencja Bezpieczeństwa Wewnętrznego, Komenda Główna Policji czy Ministerstwo Sprawiedliwości. Jest także Urząd Komunikacji Elektronicznej czy CERT Polska, znajdujący się w strukturze Naukowej i Akademickiej Sieci Komputerowej (NASK). Mamy też publiczne i prywatne zespoły ds. reagowania na incydenty komputerowe (CERT).
Brakuje jednak sensownych powiązań między tymi podmiotami. Minister cyfryzacji Anna Streżyńska bardzo chce ten stan zmienić i zabezpieczyć nasz kraj na tyle, na ile jest to możliwe, przed cyberatakami. Dlatego powstały szeroko obecnie konsultowane i dyskutowane założenia strategii cyberbezpieczeństwa dla Rzeczypospolitej Polskiej. Dokument ma być gotowy do końca roku.
Trzeba się spieszyć, bo z kolejnego już, opublikowanego w tym tygodniu przez Najwyższą Izbę Kontroli raportu wyłania się negatywny, wręcz alarmująco zły stan bezpieczeństwa naszej administracji w sieci. „Stosowane przez skontrolowane podmioty państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa. Działania realizowane w celu jego zapewnienia są prowadzone opieszale, bez z góry przygotowanego planu, a środki przeznaczane na ten cel są niewystarczające. W efekcie istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce” – czytamy w podsumowaniu sporządzonym przez NIK.
A przecież w ostatniej kontroli izba sprawdzała organy centralne, mające świadomość, że zabezpieczenia są potrzebne, i próbujące cokolwiek w tej materii robić. Na niższych szczeblach jest często jeszcze gorzej. Brakuje i wiedzy, i wolnych środków, by zająć się takimi działaniami. Tymczasem potencjalnymi atakującymi mogą być zarówno grupy przestępcze działające z chęci zysku (przekonało się już o tym kilka gmin), jak i grupy, za którymi stoją służby specjalne państw obcych. To może doprowadzić nie tylko do wycieku informacji, ale i zaburzeń gospodarczych czy politycznych.
Jest jeszcze trzeci element układanki, którego nie sposób pominąć. Unia Europejska opracowuje właśnie projekt dyrektywy w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii Europejskiej (tzw. dyrektywa NIS). Prace nad nią najprawdopodobniej zakończą się w połowie roku 2016.
Nie czekając jednak na wdrożenie tej dyrektywy, niezbędne jest zbudowanie minimalnych warunków ochrony cyberprzestrzeni – czytamy w założeniach do strategii. Co konkretnie źle działa i co trzeba zmienić – piszemy o tym w niniejszym tekście. I trzymamy za słowo autorów strategii.
68 proc. pracowników urzędów samorządowych uważa, że poczta elektroniczna jest elementem sieci najbardziej narażonym na niebezpieczeństwo