Lipiec i październik 2014 r. – anonimowi nadawcy za pomocą sieci TOR przesłali wiadomości ostrzegające o podłożeniu ładunków wybuchowych w siedzibach dziesiątek instytucji publicznych. Urzędy trzeba było masowo ewakuować. Październik 2014 r. – kradzież i upublicznienie wrażliwych danych osobowych z systemów informatycznych Giełdy Papierów Wartościowych. Listopad 2014 r. – wykradziono z systemu informatycznego dane dotyczące pracowników Państwowej Komisji Wyborczej i to w okresie, kiedy ta miała kłopot ze zliczeniem wyników wyborów. W tym czasie trwała też ogromna, obejmująca kilka ministerstw, ABW i policję, kontrola Najwyższej Izby Kontroli tego, jak przygotowane na cyberzagrożenia są nasza administracja i służby. DGP dotarł do jej wyników.

Kontrolerzy NIK nie zostawiają suchej nitki na urzędnikach odpowiedzialnych za bezpieczeństwo cybernetyczne. Piszą: „Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni. Nie określono struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników. A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią”.

Te wnioski nie zaskakują. Od dawna eksperci podnoszą, jak bardzo nasza administracja jest nieprzygotowana na zagrożenia – ocenia dr Aleksander Poniewierski, partner zarządzający działem doradztwa informatycznego EY. – Podstawowe problemy to brak koordynacji działań i spychologia. Nikt nie czuje się w pełni odpowiedzialny i nie bardzo może być odpowiedzialny, bo brakuje wskazania odpowiedniej instytucji, która by się tym zajęła – dodaje ekspert.

W efekcie obowiązki podzielono między kilka instytucji, z których żadna nie podjęła zaawansowanych działań. Minister administracji i cyfryzacji nie realizował należących do niego zadań w zakresie inicjowania i koordynowania działań innych podmiotów w dziedzinie bezpieczeństwa teleinformatycznego państwa. Zresztą jak mógłby to robić, skoro przez pierwsze dwa lata zajmowała się tymi zadaniami właściwie tylko jedna osoba: szefowa gabinetu politycznego. Dopiero od stycznia 2014 r., czyli po otrzymaniu pierwszego pisma NIK w ramach kontroli, wyznaczono komórkę merytoryczną MAiC – wydział Unii Europejskiej i spraw międzynarodowych departamentu społeczeństwa informacyjnego – odpowiedzialną za realizację zadań związanych z ochroną cyberprzestrzeni, w której znalazło się dwóch pracowników. Średnio przygotowanych, bo jak się okazuje, jeden z nich za pomocą prywatnej bezpłatnej poczty przesłał niezaszyfrowany plik, zawierający dane służbowe o wysokiej wrażliwości, tj. wstępne zestawienie wyników z audytu wewnętrznego dotyczącego bezpieczeństwa systemów IT, przeprowadzonego w 314 jednostkach administracji rządowej. Ale może to nie problem, bo jak wskazała NIK, i tak wyniki tego audytu nie zostały wykorzystane przez administrację.

Nie lepiej wygląda sytuacja w Ministerstwie Spraw Wewnętrznych, które nie realizowało żadnych zadań związanych z budową krajowego systemu ochrony cyberprzestrzeni. A jego działania ograniczały się do własnych sieci oraz systemów resortowych – jednak nawet w tym zakresie były prowadzone nierzetelnie. Negatywnie oceniono też działania Rządowego Centrum Bezpieczeństwa i UKE.

Pozytywną ocenę dostały tylko zespoły CERT (reagowania na teleincydenty) przy NASK, ABW i Ministerstwie Obrony Narodowej. Ale i one łącznie zatrudniające ledwie 50 osób nie dadzą sobie rady z rosnącymi zagrożeniami.

Jak może ten system dobrze działać, kiedy zespół CERT przy MON w latach 2012–2014 wydał 15,6 mln zł, a z funduszy unijnych na projekty związane z cyberochroną przeznaczono 17,3 mln zł. To śmieszne sumy. W Australii, Nowej Zelandii czy Niemczech ogólnokrajowe wydatki na cyberbezpieczeństwo sięgają rocznie kilkunastu miliardów dolarów – podkreśla Poniewierski.

I rzeczywiście, zgodnie ze stanowiskiem ministra finansów wskazującym na konieczność „bezkosztowego” wykonywania tych zadań, nie zostały przydzielone na nie dodatkowe pieniądze, a to sparaliżowało działania podmiotów państwowych. Co więcej, w ostatnich latach w ogóle nie prowadzono żadnych prac legislacyjnych, które miałyby na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym państwa. Nie przeprowadzono inwentaryzacji rozproszonych w różnych aktach prawnych przepisów związanych z cyberbezpieczeństwem ani nie zdefiniowano pożądanych kierunków zmian legislacyjnych.

To naprawdę ostatni dzwonek, by porządnie zająć się bezpieczeństwem w tym zakresie – podkreśla Poniewierski.