Poseł PO Grzegorz Furgo w formie interpelacji poselskiej nr 12847 zadał pytania Minister Cyfryzacji Annie Streżyńskiej o bezpieczeństwo Polski na wypadek cyberataku w rodzaju ransomware WannaCry. Interpelujący parlamentarzysta pytał o zabezpieczenia w najważniejszych instytucjach państwowych, bezpieczeństwo baz danych osobowych oraz o podejmowane działania kontrolne w celu weryfikacji poziomu zabezpieczeń w instytucjach państwa oraz placówkach służby zdrowia.
Odpowiadając na interpelację posła Furgo, minister cyfryzacji Anna Streżyńska pisze, że bezpieczeństwo, które Ministerstwo Cyfryzacji stara się zapewnić wszystkim obywatelom to tzw. security – czyli odpowiednio wysoki stopień odporności na atak bądź inne interwencje z zewnątrz. Według Streżyńskiej jest to proces wymagający zaangażowania odpowiednich sił i środków, a nie stan, który da się zapewnić w sensie trwałym. Wszystkie podmioty rządowe i prywatne oraz wszyscy obywatele wchodzą w interakcję ze światem zewnętrznym, przez co są narażeni na ataki.
Minister Cyfryzacji pisze, że bezpieczeństwo w tym znaczeniu, jak opisane wyżej, należy odróżnić od safety, czyli stanu bycia wolnym od zagrożeń. Nie ma na świecie systemu, który zapewniałby stuprocentowe bezpieczeństwo (w znaczeniu safety) jego użytkownikom. „Mając to na względzie, w systemach informatycznych rejestrów państwowych stosowane są narzędzia i procedury mające na celu wykrywanie i przeciwdziałanie skutkom ataków na te systemy. Również dane osobowe obywateli znajdujące się w rejestrach państwowych są bezpieczne, z uwzględnieniem akceptowalnego poziomu ryzyka” – odpowiada minister Streżyńska.
Czytaj też: Przyszłość Ministerstwa Cyfryzacji
Jej zdaniem wszystkie podmioty publiczne realizujące zadania w rozumieniu ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (tj. organy administracji rządowej, organy kontroli państwowej i ochrony prawa, sądy, jednostki samorządu terytorialnego i ich organy i in.) zobowiązane są posiadać system zarządzania bezpieczeństwem informacji. „Rozporządzenie o krajowych ramach interoperacyjności reguluje konieczne działania wchodzące w skład takiego systemu - w tym zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegające m.in. na minimalizowaniu ryzyka utraty informacji w wyniku awarii i ochronie przed błędami, utratą czy nieuprawnioną modyfikacją. Są to przepisy powszechnie obowiązujące, które podmioty objęte danym obowiązkiem muszą stosować” – pisze minister cyfryzacji.
Ministerstwo Cyfryzacji w ocenie jego szefowej nie jest właściwym podmiotem w zakresie kontroli instytucji państwowych. „Do dokonywania oceny bezpieczeństwa systemów teleinformatycznych istotnych z punktu widzenia ciągłości funkcjonowania państwa upoważniona jest Agencja Bezpieczeństwa Wewnętrznego” – odpowiada Anna Streżyńska.