NIK skontrolował system S46. W centrum uwagi koszty i efekty

W środę 18 lutego br. Najwyższa Izba Kontroli (NIK) opublikowała pokontrolny komunikat dotyczący systemu S46. To system teleinformatyczny, który ma służyć jako platforma do rejestracji i klasyfikacji incydentów oraz ułatwianie współpracy między podmiotami krajowego systemu cyberbezpieczeństwa (KSC):

• Operatorami Usług Kluczowych (OUK);
• Dostawcami Usług Cyfrowych (DUC);
• Podmiotami publicznymi (PP);
• Zespołami Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT);
• Sektorowaymi Zespołami Cyberbezpieczeństwa (CSIRT sektorowe);
• Organami Właściwymi (OW).

System powstał w odpowiedzi na rosnące zagrożenia w cyberprzestrzeni, którym zespoły reagowania na incydenty (CSIRT) nie były w stanie sprostać w czasie rzeczywistym. Miał on umożliwić zgłaszanie i obsługę incydentów, ocenę ryzyka oraz ostrzeganie o zagrożeniach w sieci, tworząc tym samym spójny i aktualny obraz sytuacji.

Ograniczona funkcjonalność systemu

Kontrola NIK-u, zakończona 22 sierpnia 2025 r., wykazała, że „System S46 (…) nie spełnił w praktyce zakładanych celów, a sposób jego zaprojektowania i wdrożenia doprowadził do znacznej dysproporcji między poniesionymi kosztami a uzyskanymi efektami”.

Jednym z kluczowych problemów wskazanych w komunikacie była ograniczona funkcjonalność systemu. W monitorowanym okresie miał on pełnić głównie rolę „repozytorium informacji”, nie realizując w wystarczającym stopniu nadrzędnych funkcji jak szacowanie ryzyka, ostrzeganie o zagrożeniach czy rekomendowanie rozwiązań.

NIK docenił próby usprawnienia działania systemu podejmowane przez Ministerstwo Cyfryzacji, wskazując jednak że mimo to „jakość uruchomionego systemu S46 nie wpłynęła w znaczący sposób na podniesienie poziomu cyberbezpieczeństwa w Polsce, a tym samym nadrzędny cel przypisany zadaniu nie został dotąd osiągnięty”.

Problemy wynikały w dużej mierze z braku zaangażowania ze strony podmiotów, dla których system został stworzony. Jak wskazuje komunikat w I kwartale 2025 r. 105 na 278 podmiotów nie zalogowało się ani razu (38%), w II kwartale było to 100 na 296 podmiotów (34%).

W ujęciu miesięcznym, w grudniu 2024 r. było to aż 136 podmiotów na 252 (54%), 116 zalogowało się przynajmniej raz, a tylko 75 zalogowało się przynajmniej trzy razy (29%).

Ogromnym problemem systemu był też jego wysoki koszt, znacząco przewyższający pierwotne założenia. Według raportu, do momentu zakończenia kontroli wydano ponad 74 miliony złotych, a nowelizacja KSC przewiduje, że w ciągu następnych 10 lat kwota ta może wzrosnąć do ponad 500 milionów złotych.

W czasie objętym kontrolą NIK-u pięć z siedmiu projektów finansowanych głównie z dotacji Ministra Cyfryzacji zostało już ukończonych. Dwa projekty pozostawały w trakcie realizacji, a ich planowany koszt wynosił odpowiednio 16,1 mln zł oraz 41,7 mln zł (39,7 mln zł z tej kwoty pochodziła z funduszy Unii Europejskiej).

Złożona architektura i niska użyteczność systemu

Według diagnozy NIK-u, problemy S46 wynikają z pośpiechu podczas tworzenia systemu. Zdaniem organu, już na etapie projektowania był on niedopracowany i nie uwzględniał rzeczywistych potrzeb podmiotów wchodzących w skład KSC.

Przyjęto zbyt złożoną architekturę techniczną oraz kosztowny model dostępu, nieuwzględniający barier organizacyjnych i kompetencyjnych. System miał też niewielką praktyczną wartość dla uczestników. Nie zawierał żadnych unikalnych lub trudno dostępnych w innych miejscach informacji, a dane o podatnościach i ostrzeżeniach można było stosunkowo łatwo znaleźć poza nim. Natomiast unikatowe dla systemu S46 funkcje, takie jak analiza ryzyka oparta na sieci powiązań, nie działały zgodnie z założeniami.
Najwyższa Izba Kontroli

NIK zwrócił również uwagę na problemy wynikające z samego sposobu gromadzenia danych. System opiera się na ankietach wypełnianych przez użytkowników, zakładając, że podawane informacje są prawidłowe, aktualne i wiarygodne. Dane te nie są poddawane żadnej weryfikacji, znacząco ograniczając ich wartość.

Podstawowym mankamentem był jednak fakt, że ankiety nie były w praktyce aktualizowane, weryfikowane merytorycznie ani potwierdzane audytem. W systemie gromadzono więc często dane o niskiej jakości, na podstawie których wykonywano kolejne szacowania ryzyka.
Krajowa Izba Kontroli

NIK podkreśla, że korzystanie z niekompletnych i nieweryfikowanych danych przy podejmowaniu decyzji strategicznych i tworzeniu analiz ryzyka może prowadzić do fałszywego poczucia bezpieczeństwa lub nieadekwatnych reakcji państwa. Jest to poważne zagrożenie, które zostało krytycznie przeoczone przez twórców systemu.

Zalecenia NIK-u

NIK podkreśla w komunikacie, że wziął pod uwagę i pozytywnie oceniła podejmowane działania przez ministra cyfryzacji i NASK, zlecając tym samym realizację konkretnych działań przez:

Ministerstwo Cyfryzacji

• wprowadzenie oceny projektów IT z uwzględnieniem czasu realizacji i potrzeb użytkowników;
• dostosowanie systemu S46 do realnych potrzeb uczestników KSC (ostrzeżenia, komunikacja, ryzyko, obsługa incydentów).

NASK- PIB

• konsekwentne uwzględnianie wymagań użytkowników przy projektowaniu systemów, także pod presją czasu;
• regularne testy ciągłości działania S46, w tym odtwarzania kopii zapasowych w różnych scenariuszach awarii.