Polityka i prawo
NIK: Obywatelu, broń się sam. Brak edukacji, krytyka ministra i pełnomocnika ds. cyberbezpieczeństwa
Najwyższa Izba Kontroli przeprowadziła analizę działania państwa w zakresie zapobiegania i zwalczania skutków przestępstw internetowych, w tym kradzieży tożsamości. Skrytykowano między innymi działanie ministra cyfryzacji (formalnie to premier) oraz pełnomocnika ds. cyberbezpieczeństwa w KPRM. Wskazano na brak systemowej edukacji obywateli.
Kontrolerzy NIK-u wzięli pod lupę działania w zakresie walki z cyberprzestępczością, podejmowane przez organy państwa w latach 2019-2021. Główny wniosek, wynikający z przedstawionego raportu to brak odpowiedniej edukacji obywateli i zaniedbania względem cyberbezpieczeństwa indywidualnych użytkowników internetu.
Kontrola przeprowadzona przez urzędników Mariana Banasia wykazała również, że koncentrowano się na wzmocnieniu ochrony instytucji i przedsiębiorstw uznawanych za kluczowe dla funkcjonowania państwa, a w monitoringu zagrożeń i ich wpływie pomijano obywateli.
"Obserwujemy, jak wiele zmieniło się także dzięki rekomendacjom NIK (sformułowanym w ramach poprzedniej kontroli – red.) w aspekcie zwalczania cyberprzestępczości, w tym przestępstw kradzieży tożsamości. Jeszcze 10 lat temu obserwowaliśmy rażąco niski poziom świadomości; nie oznacza to jednak, że obecnie funkcjonujący system działa bez zarzutów. Nadal pozostaje sporo do zrobienia w tym obszarze - zwłaszcza, że metody wykorzystywane przez cyberprzestępców się rozwijają. Zapewnienie bezpieczeństwa w cyberprzestrzeni to dziś problem społeczny i gospodarczy, mający bezpośredni wpływ na nas wszystkich” – stwierdził jeden z przedstawicieli NIK w czasie konferencji prasowej.
Czytaj też
Zarzut: pomijanie użytkowników
Główną wadą stworzonego systemu cyberbezpieczeństwa jest fakt, że pomija on najliczniejszą grupę - użytkowników, którymi są osoby fizyczne, koncentrując się na wzmocnieniu bezpieczeństwa systemów uznawanych za kluczowe dla funkcjonowania państwa, zapominając o obywatelach.
Najczęstszym rodzajem zagrożenia były oszustwa internetowe, wymierzone w użytkowników sieci. Jak wskazano, szczególnie niepokojące jest to, że organy odpowiedzialne za bezpieczeństwo cyberprzestrzeni oraz koordynację polityki rządu w tym obszarze , czyli premier (formalnie jako minister cyfryzacji – red.) i pełnomocnik ds. cyberbezpieczeństwa „nie reagowali na identyfikowane ryzyka i zagrożenia i nie dopasowali swoich działań organizacyjnych i informacyjnych” w tym zakresie (w tym okresie pełnomocnikiem ds. cyberbezpieczeństwa od czerwca do grudnia 2021 roku był Janusz Cieszyński i jest nim nadal, a wcześniej ministrem cyfryzacji i następnie: sekretarzem stanu i pełnomocnikiem w KPRM - był Marek Zagórski - red.).
„W ocenie tych organów cały obszar bezpieczeństwa obywateli w sieci oraz obszar przestępczości internetowej był poza zakresem ich odpowiedzialności i nie widziały one konieczności podejmowania w tym zakresie żadnych działań” – zauważyli urzędnicy NIK.
Czytaj też
Brak strategicznego podjeścia
Kolejny zarzut NIK dotyczy faktu, że w związku z tym, iż w poszczególnych miesiącach ponad 80-90 proc. zdarzeń stanowiły oszustwa komputerowe, takie jak phishing, które dotykały zwykłych użytkowników i w ich wypadku brakowało strategicznego, systemowego podejścia.
Według urzędników, Policja i NASK faktycznie reagowały na te dane, dostosowywały swoją działalność i proponowały legislację i zmiany strukturalne w tym zakresie, ale takich działań nie stwierdzono w przypadku dwóch kluczowych organów systemu cyberbezpieczeństwa: ministra cyfryzacji i pełnomocnika ds. cyberbezpieczeństwa.
„Pominięto w ocenie systemu cyberbezpieczeństwa osoby fizyczne, użytkowników internetu, którzy są najbardziej podatni na ataki. Tę wiedzę minister i pełnomocnik posiadali, natomiast nie dostosowali do niej swoich działań” – zauważono, dodając, że działania tych organów „nie miały strategicznego, planowanego charakteru”.
Nieodpowiednie dokumenty
Mimo iż w Strategii Cyberbezpieczeństwa RP na lata 2019-2024 wskazano, że konieczne jest stałe podnoszenie kompetencji personelu, to brak w nim konkretów – kiedy szkolenia w tym zakresie mają się odbywać, co jaki czas, kogo mają obejmować.
Dodatkowo brak informacji co do profilaktyki dot. cyberprzestępstw, a kampanie społeczne mają edukować obywateli, jednak nie wiadomo ile ich przeprowadzono, ile zaplanowano, do kogo mają być skierowane.
"Dokumenty są pozbawione konkretów, nie ma precyzyjnie wskazanych zadań, terminów, odpowiedzialności, za ile i z czego to sfinansujemy” – zauważli kontrolerzy instytucji.
Ich zdaniem, nie można też zaakceptować stanowiska wskazującego, że minister ds. cyfryzacji i pełnomocnik ds. cyberbezpieczeństwa „nie odpowiadają za bezpieczeństwo użytkowników sieci – nie jest to zgodne z fundamentalną logiką i przepisami”.
Czytaj też
Brak ludzi
Urzędnicy stwierdzili, że brak jest też zasobów w administracji publicznej: sprzętu, ludzi, oprogramowania. W ramach kontroli wskazano na takie problemy w Departamencie Cyberbezpieczeństwa w KPRM. Podobnie sprawa się ma w przypadku jednostek organizacyjnych policji.
Departament Cyberbezpieczeństwa w KPRM liczył jedynie 21 pracowników, którzy często zmieniali się na stanowiskach. „Tak wąski zespół pomimo kompetencji nie jest w stanie budować i odpowiadać za powierzone im zadania" - stwierdzono. Dodatkowo, w Biurze Obsługującym Pełnomocnika rządu ds. cyberbezpieczeństwa pracowało kilkanaście osób; podczas gdy merytorycznych pracowników (w Departamencie Cyberbezpieczeństwa - red.) było tylko – jak wskazaliśmy wyżej – 21.
Problemem są także braki kadrowe w Policji, która nie posiada odpowiedniej liczby funkcjonariuszy, aby zajmować się tematyką cyberprzestępczości. Pozytywnym aspektem jest jednak fakt, że kierownictwo Policji dostrzegło problem i podjęło działania zaradcze – co NIK ocenia pozytywnie. Chodzi o powołanie Centralnego Biura Zwalczania Cyberprzestępczości, które jest zdaniem kontrolerów „bardzo ważnym przedsięwzięciem”. Ryzykiem natomiast pozostaje założenie, że do końca 2025 roku uda się osiągnąć pełną operacyjność tej jednostki i pozyskać niemal 2 tys. specjalistów.
„Znając specyfikę rynku i wysokość uposażeń na rynku komercyjnym – mamy wątpliwość czy jest to realne, ale kibicujemy. Będziemy zajmować się tą tematyką w przyszłości” – zadeklarował jeden z urzędników w czasie konferencji.
Czytaj też
Zgłaszanie przestępstw internetowych
„Zidentyfikowaliśmy utrudnienia w zgłaszaniu przestępstw internetowych przez obywateli” – oceniono. Utrudnienia mają dotyczyć policji, która jest w wielu przypadkach miejscem pierwszego kontaktu dla osób pokrzywdzonych. Nie opracowano procedur czy instrukcji, które pomogłyby obywatelom zgłosić incydent cyberbezpieczeństwa.
„Po drugiej stronie – w przypadku funkcjonariuszy – wypracowano algorytmy, które miały im pomagać, bo nie każdy musi posiadać wiedzę ekspercką. Bardzo dobrze, że powstały, natomiast przy współpracy z ekspertem widać mankamenty: brak aktualizowania algorytmów i dokumentów - wnioskowaliśmy o to do Komendanta CBZC, aby dopracował w tym zakresie procedury” – zauważył przedstawiciel instytucji.
Pozytywnie natomiast oceniono system zgłaszania incydentów cyberbezpieczeństwa w NASK, jednak problemem jest brak wiedzy - tylko 1 proc. obywateli wie, czym jest NASK i czym się zajmuje zespół CSIRT NASK, który może świadczyć wsparcie przy zgłaszaniu incydentów dla osób indywidualnych. „Te ograniczenia powodowały, że obywatele nie wiedzieli, że mogą tam zgłaszać incydenty i w konsekwencji rezygnowali” – podsumowano.
Edukacja leży
Edukowanie obywateli – zdaniem NIK – także pozostawia wiele do życzenia: nie wiedzą oni, czego się spodziewać, co zrobić, kiedy stali się celem cyberataku. „Z przykrością muszę stwierdzić, że ocena działań była negatywna. Oceniliśmy te działania (rządu - red.) jako nierzetelne i nieskuteczne” – usłyszeliśmy w czasie konferencji.
„Brak jednolitego modelu edukowania obywateli o zagrożeniach w sieci. Zidentyfikowaliśmy sytuację w której minister cyfryzacji od 2019 roku zaczął budować model scentralizowany informowania o incdydentach i edukowania w ramach portalu gov.pl, gdzie znajduje się baza wiedzy dot. cyberbezpieczeństwa. Jednak problem w tym, że mało kto wie o jej istnieniu i w rezultacie ją odwiedza. W ciągu kwartału to zaledwie kilka tysięcy osób" - wskazano.
Dodatkowo brakuje scentralizowanego modelu edukowania – dyrektor NASK posiada wiele stron internetowych i serwisów, gdzie informuje o zagrożeniach, co może powodować chaos. Jednak na plus oceniono aktywność CERT Polska, które na bieżąco podaje wiadomości o incydentach i trwających kampaniach („bezprecedensowa aktywność w informowaniu obywateli”).
Jako przykład podano sześć dużych kampanii phishingowych z lat 2019-2021, o które zapytano ministra ds. cyfryzacji i pełnomocnika ds. cyberbezpeczeńswa: czy ostrzegał obywateli przed zagrożeniem? „W przypadku czterech z nich nie pokazano nam żadnych informacji na ten temat, alno niewielka była skala informowania i popularności wpisów. Oczekiwałbym, aby minister ostrzegał obywateli o zagrożeniach” – podkreślił jeden z kontrolerów.
Efekt? Brak wiedzy wśród obywateli
NIK przeprowadził także sondaż opinii publicznej (na próbie 1000 dorosłych osób) z którego wynika, że 404 osoby z tej grupy zostały faktycznie dotknięte atakami przestępców komputerowych, a niektóre kilkukrotnie.
Natomiast aż 51 osób udostępniło swoje loginy (np. 22 osoby login do bankowości elektronicznej i nie zrobiły z tym nic – nawet nie zmieniły hasła do bankowości mobilnej, nie wiedziały, że powinny ten fakt zgłaszać). Co zatrważające, 85 proc. spraw skończyło się niczym, a tylko 2 proc. odzyskaniem utraconych pieniędzy (!).
Rekomendacje
Na koniec Najwyższa Izba Kontroli przedstawiła rekomendacje dotyczące działań, jakie muszą zostać podjęte w zakresie cyberbezpieczeństwa państwa i obywateli, a obszar ten – jak oceniono – „powinien stać się priorytetowy”.
- zmiany w prawie – uregulowanie w Ustawie o krajowym systemie cyberbezpieczeństwa (KSC) tematyki bezpieczeństwa indywidualnych użytkowników internetu
- przygotowanie i przedstawienie RM projektów modyfikacji Strategii Cyberbezpieczeństwa RP na lata 2019-2024 oraz Planu działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa
- wdrożenie jednolitego modelu edukowania obywateli na temat bezpieczeństwa w sieci
- usprawnienie procesu przyjmowania zgłoszeń obywateli i instytucji w sprawie przestępstw internetowych.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].