Polityka i prawo
NIK ws. zgłaszania przestępstw internetowych: wadliwe i nieaktualizowane procedury
Raport Najwyższej Izby Kontroli za lata 2019-2021 na pewnych aspektach polskiego systemu cyberbezpieczeństwa nie zostawia suchej nitki. Jedną z nich jest zgłaszanie przestępstw internetowych za pośrednictwem Policji. Izba wskazała na dwa główne problemy: brak instrukcji dla osób pragnących złożyć zawiadomienie o cyberprzestępstwie oraz istnienie wadliwych i nieaktualizowanych procedur dla funkcjonariuszy przyjmujących zgłoszenia.
Jak informowaliśmy na łamach CyberDefence24, kontrolerzy NIK-u wzięli pod lupę działania w zakresie walki z cyberprzestępczością, podejmowane przez organy państwa w latach 2019-2021. Głównym wnioskiem, wynikającym z przedstawionego raportu był brak odpowiedniej edukacji obywateli i zaniedbania względem cyberbezpieczeństwa indywidualnych użytkowników internetu.
Czytaj też
Skala przestępstw internetowych
Jednak to nie wszystko. Wskazano na inne aspekty, które wymagają poprawy: „brak jest instrukcji dla osób pragnących złożyć zawiadomienie o cyberprzestępstwie” oraz na istnienie „wadliwych i nieaktualizowanych procedur dla funkcjonariuszy Policji przyjmujących zgłoszenia przestępstw internetowych”.
NIK ocenił, że „wszystkie podmioty objęte kontrolą prowadziły w sposób regularny, z wykorzystaniem różnych źródeł wiedzy, analizę ryzyka oraz aktualnych zagrożeń występujących w cyberprzestrzeni, w tym związanych z działalnością przestępców internetowych”.
Taką analizę prowadziło Biuro do Walki z Cyberprzestępczością Komendy Głównej Policji (analiza raportu obejmuje lata 2019 – 2021, dopiero w 2022 roku powstało Centralne Biuro Zwalczania Cyberprzestępczości, które specjalizuje się w walce z przestępstwami internetowymi).
Analiza dot. cyberprzestępczości obejmowała: Krajowy System Informacyjny Policji, bazy REGON, Krajowy Rejestr Sądowy, System Wspomagania Dowodzenia Policji, Elektroniczny Rejestr Czynności Dochodzeniowo-Śledczych, otwartych źródeł informacji oraz danych podmiotów, które współpracują z Policją.
Liczba oszustw internetowych rośnie: do października 2021 roku zgłoszono 64 139 przypadków, w tym 47 408 oszustw internetowych. Szczególnie w pandemii zauważono wzrost liczby fałszywych sklepów internetowych, kradzieży danych osobowych czy dystrybucji złośliwego oprogramowania. Głównym trendem jest wciąż phishing oraz ataki typu ransomware.
Czytaj też
Problem ze zgłaszaniem cyberprzestępstw
Kontrola NIK-u wykazała również, że Policja „podejmowała aktywne działanie” dotyczące zarządzania ryzykami, w tym w obszarze zapobiegania i minimalizowania skutków przestępstw internetowych. Pozytywnie oceniono również utworzenie Centralnego Biura Zwalczania Cyberprzestępczości, które ma być odpowiedzią na problem wzrostu skali występowania oszustw internetowych.
Jednak problemem jest zgłaszanie przestępstw internetowych – to właśnie Policja jest bowiem pierwszym kontaktem dla wielu oszukanych obywateli (w sondażu NIK wskazało tak 81 proc. badanych – red.). Nie wypracowano jednak instrukcji i procedur, które zapewniałyby efektywną obsługę tego rodzaju zgłoszeń. Nie opracowano w szczególności odrębnej instrukcji dla osób i podmiotów pragnących zgłosić przestępstwa internetowe.
Pozytywnie oceniono natomiast fakt opracowania dla terenowych jednostek Policji procedury przyjmowania zgłoszeń przestępstw internetowych. Algorytm działania ma stanowić dla funkcjonariuszy, którzy nie mają wiedzy dotyczącej cyberprzestępczości, wskazówkę, jak powinni postępować pod względem technicznym i procesowym przy zabezpieczeniu materiału dowodowego. Jednak zastrzeżenia NIK dotyczyły braku oceny przydatności oraz stopnia wykorzystania algorytmów postępowania przez funkcjonariuszy terenowych jednostek Policji oraz ich aktualizacji.
„Opracowana w BdWzC KGP procedura była obarczona istotnymi wadami i brakami merytorycznymi. Stwierdzono w szczególności: brak jednoznaczności i spójności Algorytmów (w dokumencie – red.); brak analizy bezpieczeństwa odnośnie narzędzi i działań opisywanych w Algorytmach; wymaganie od zgłaszającego zbyt dużej ilości informacji, częściowo o specjalistycznym charakterze, wymaganie od funkcjonariusza przyjmującego zgłoszenie specjalistycznej wiedzy informatycznej, potrzebnej do oceny materiału dowodowego i przyjęcia kompletnego zawiadomienia” – wskazano w raporcie pokontrolnym.
Dokument dla funkcjonariuszy bez wiedzy informatycznej stanowił w efekcie „ograniczone wsparcie”, a w połączeniu z brakiem instrukcji dla ofiar cyberprzestępczości „tworzyło to istotną barierę w procesie zgłaszania przestępstw internetowych przez obywateli” – stwierdziła NIK.
W sprawie raportu NIK i wniosków pokontrolnych skierowaliśmy pytania do Komendy Głównej Policji. Ta przekierowała nas do Centralnego Biura Zwalczania Cyberprzestępczości. Czekamy na odpowiedź, którą opublikujemy jak tylko ją otrzymamy.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].