-Czy w tym kraju musi się wydarzyć coś tragicznego, byśmy zaczęli działać? Czy musi się powtórzyć scenariusz Estonii, która padła ofiarą zmasowanych ataków informatycznych, by została wprowadzona u nas porządna polityka dbania o tę strefę bezpieczeństwa? - grzmi Tomasz Sordyl, zastępca dyrektora Departamentu Porządku i Bezpieczeństwa Wewnętrznego w Najwyższej Izbie Kontroli.
Jego oburzenie to efekt postawy najważniejszych państwowych instytucji wobec wyników głośnej kontroli jakości ochrony cyberprzestrzeni. Jak pisaliśmy, NIK w swoim raporcie nie zostawił suchej nitki na urzędnikach odpowiedzialnych za bezpieczeństwo cybernetyczne. Kontrolerzy wyliczali: "Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni. Nie określono też struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników. A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią".
Negatywnie oceniono Ministerstwo Spraw Wewnętrznych, skrytykowano też Rządowe Centrum Bezpieczeństwa, Urząd Komunikacji Elektronicznej, ale szczególnie ostro potraktowano Ministerstwo Administracji i Cyfryzacji. Jak się okazało ten ostatni resort, mimo tego iż zajmuje się cyfryzacją, to zacyberbezpieczeństwo nie czuje się odpowiedzialny.
Pół roku po zakończeniu kontroli Izba postanowiła sprawdzić, co zrobiono w tej sprawie. - Niestety okazuje się, że bardzo nie wiele - rozkłada ręce Sordyl. Podczas konferencji Security Case Study 2015 NIK pokazało wyniki kontroli działań podjętych przez skrytykowane instytucje. Okazuje się, że jedyne co zrobiono, to rozbudowa działającego w Agencji Bezpieczeństwa Wewnętrznego CERT, czyli specjalnego zespołu do walki z cyberatakami. Poza tym bliźniacza jednostka powstała w szeregach policji. - Mała, ale jednak - podkreśla Sordyl.
Pewne starania podjął też Urząd Komunikacji Elektronicznej, który zaproponował zmiany w prawie ułatwiające zbieranie informacji o incydentach wśród firm telekomunikacyjnych. - Niestety w dalszym ciągu żadnych istotnych działań nie realizuje MSW, Rządowe Centrum Bezpieczeństwa skupiło się tylko nad własnym bezpieczeństwem bez szerszych działań, a MAIC nie zrealizował w pełni żadnego pokontrolnego wniosku, nie przeprowadził pełnej analizy swoich własnych zasobów i nie poczuł się odpowiedzialny za to, by sprawować realną koordynację w administracji publicznej - podkreśla Tomasz Sordyl. - Zamiast tego wciąż upiera się, że to powinny być dobrowolne działania poszczególnych instytucji i to najlepiej prowadzone „bezkosztowo” - dodaje.
NIK jest na tyle wstrząśnięty brakiem reakcji na zagrożenia, że rozpoczął kontrolę poszczególnych systemów teleinformatycznych i ich odporności na cyberataki. Wyniki będą znane na początku przyszłego roku.