Najwyższa Izba Kontroli opublikowała właśnie raport z kontroli bezpieczeństwa systemów informatycznych wykorzystywanych do zadań publicznych. Które ze wskazanych przez państwa uchybień są najbardziej niebezpieczne?
Najpoważniejszy problem to brak świadomości konieczności zapewnienia bezpieczeństwa systemów informatycznych szefów tych jednostek. Eksperci wiedzą, że zabezpieczenie systemów informatycznych to rola całej organizacji. Tymczasem w kontrolowanych przez nas jednostkach pokutuje myślenie typu: Mamy pion IT, to on od początku zajmie się cyberbezpieczeństwem i problemu nie ma. Co prawda formalnie powoływano tam osoby, które miały kreować politykę bezpieczeństwa, ale były one pozbawione siły sprawczej, bez żadnych uprawnień, ich rola była marginalna.
Co ciekawe, każda ze sprawdzanych przez nas jednostek robiła audyty bezpieczeństwa. Kłopot w tym, że wnioski z tych audytów tylko w nikłym stopniu były realizowane. Audyt coś wykazał, ale jego ustalenia nie były wdrażane. To kolejny poważny błąd.
Ocenialiśmy jednostki zgodnie z metodologią Cobit 4.1. Wyniki nie są dobre. Co prawda KRUS w 5 stopniowej skali poziomu zarządzania procesem zapewnienia bezpieczeństwa osiągnął poziom trzeci, ale już straż graniczna i ministerstwo spraw wewnętrznych– raptem poziom pierwszy. To znak, że ich sieci narażone są na duże niebezpieczeństwo. Mamy świadomość, że poziom piąty to ideał. Nikt nie żąda idealnych systemów, ale większa świadomość dotycząca bezpieczeństwa systemów na pewno by się przydała.
Zauważyliśmy jeszcze jedną rzecz, którą opisaliśmy, nie wskazując jednak rozwiązania. W ramach dostępu do informacji publicznej każdy może zażądać wglądu w wyniki dowolnego audytu – również teleinformatycznego. Tymczasem kontrolowane jednostki nadawały audytom klauzule tajności. To nieporozumienie, choć rozumiem, z czego wynika ten pomysł. Wyniki audytu mogłyby być pożywką dla osób chcących zaatakować sieć. Być może, jeżeli audyt wykazuje nieprawidłowości, należałoby wprowadzić procedurę, która daje audytorowi parę miesięcy na poprawę zabezpieczenia, zanim opublikuje jego wyniki. Warto się nad tym zastanowić.
Ignorancja szefów jednostek to realne zagrożenie dla bezpieczeństwa sieci? Z raportu NIK wyraźnie widać, że instytucje nie inwestowały w pracowników odpowiedzialnych za bezpieczeństwo. Zazwyczaj zajmowała się tym jedna osoba.
- Ten brak świadomości przekłada się na brak procedur, które minimalizowałyby ryzyko powstania nieprawidłowości w szczelności systemu. Szereg działań podejmowanych jest intuicyjnie, a to nie może tak wyglądać. Działania związane z bezpieczeństwem muszą być prowadzone w sposób uporządkowany.
Nie chcemy wchodzić w buty zarządzających. Realny zasób kadrowy poparty sensowną organizacją, poziomem kompetencji i finansowania to dobre rozwiązanie. Alternatywą jest zlecenie tych działań na zewnątrz– pod warunkiem, że mamy metodę rozliczania tego, jak chronione są nasze systemy.
My nie jesteśmy przeciwni outsourcingowi. Instytucje mogą zlecać firmom zewnętrznym zadania dotyczące cyberbezpieczeństwa. Konieczne jest jednak, by w takich wypadkach precyzyjnie ustalić, jak te firmy będą rozliczane z tego, jak nas chronią.
Jakie jest zagrożenie wynikające z ujawnionych błędów? Czy wrażliwe dane mogą wpaść w niepowołane ręce? Możliwy jest atak hakerów na sieci zbadanych przez NIK instytucji?
Tak, to realne zagrożenie. Wrażliwe dane mogą wpaść w niepowołane ręce. Co gorsza, panuje przekonanie, że istotne dane to tylko te, których zabezpieczenie wynika z ustawy o ochronie informacji niejawnych i danych osobowych. Tymczasem istnieje też szereg informacji dotyczących istoty funkcjonowania instytucji, które powinny być chronione. Chodzi na przykład o sposób działania jednostki w sytuacji kryzysowej. To się nie mieści w klauzuli niejawnej, ale nie ma wątpliwości, że procedura działania w określonych zagrożeniach kryzysowych to istotna wiadomość, która powinna być chroniona.
Ten raport potwierdza wyniki poprzedniej kontroli dotyczącej cyberbezpieczeństwa, która została opublikowana przez NIK w czerwcu 2015 r.
Ta wcześniejsza kontrola pokazała, że brak przejrzystych zasad związanych z ochroną cyberprzestrzeni stwarza ryzyko, że możemy mieć poważne problemy z bezpieczeństwem naszych sieci. Nowa kontrola jest konsekwencją tej pierwszej. Niestety, przedstawiona wtedy teza się potwierdziła. Pewne rzeczy trzeba ustandaryzować, bo inaczej nigdy nie będziemy bezpieczni.
Co ważne, każda z kontrolowanych instytucji informowała wtedy, że przyjmuje do wiadomości wyniki kontroli i zamierza wdrożyć w życie zalecenia. Obecnie minister cyfryzacji Anna Streżyńska zapowiedziała, że będzie miała wiceministra do spraw cyberbezpieczeństwa. W podobnym tonie o cybersecurity wypowiada się minister rozwoju Mateusz Morawiecki i ja się z tym zgadzam. Jest szansa na poprawę, skoro władza wykonawcza deklaruje potrzebę poprawienia kwestii bezpieczeństwa. Oczywiście NIK zgodnie ze swoją rolą będzie to sprawdzał. Na pewno przeprowadzimy kolejne kontrole w tym zakresie. Dokonamy oceny, czy nasze wnioski zostały wdrożone w życie.
Czytaj też: NIK ostro krytykuje bezpieczeństwo rządowych baz danych