Minister Cyfryzacji Anna Streżyńska w odpowiedzi na poselską interpelację w sprawie ataków cybernetycznych pisze, że w Polsce zidentyfikowano jedenaście firm komercyjnych dotkniętych atakiem Petya. W większości były to jej zdaniem firmy zajmujące się działalnością logistyczną i handlową. Narodowe Centrum Cyberbezpieczeństwa (NC Cyber) nie odnotowało informacji o zgłoszeniach dotyczących administracji publicznej, instytucji finansowych i infrastruktury krytycznej państwa.
Posłanka Joanna Mucha z Platformy Obywatelskiej w formie interpelacji poselskiej nr 13879 zadała minister cyfryzacji Annie Streżyńskiej pytania o ataki cybernetyczne Petya, do których doszło w czerwcu br. Posłanka PO twierdzi, że w odpowiedzi na poprzednią interpelację nr 12636, którą otrzymała z Ministerstwa Cyfryzacji w maju br. - Z odpowiedzi Ministerstwa Cyfryzacji wynika, że nie są prowadzone przez Państwo żadne audyty i kontrole bezpieczeństwa cyfrowego instytucji finansowych działających na terenie naszego kraju. Ministerstwo informuje mnie także że: "Wszystkie podmioty publiczne realizujące zadania w rozumieniu Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (tj. organy administracji rządowej, organy kontroli państwowej i ochrony prawa, sądy, jednostki samorządu terytorialnego i ich organy i in.) zobowiązane są posiadać system zarządzania bezpieczeństwem informacji – pisze Joanna Mucha.
Zdaniem posłanki PO powyższe w praktyce oznacza, że dane instytucji są chronione przez standardowe oprogramowania antywirusowe i hasła dostępu, które nie stanowią żadnej przeszkody dla tak zaawansowanych technologicznie ataków cybernetycznych. - Biorąc pod uwagę, że instytucje ogłaszające przetargi na stworzenie dla nich oprogramowania biorą pod uwagę głównie czynnik finansowy, to stan bezpieczeństwa kraju specjaliści określają jako znikomy. Ostatnie ataki oprogramowania Petya oraz WannaCry dotknęły firmy, koncerny i instytucje na całym świecie – czytamy w interpelacji.
Posłanka Mucha zapytała minister Streżyńską o to jaka była skala ataku wirusa Petya w Polsce, ile firm i instytucji zostało zaatakowanych i jakie instytucje nadzorują przestrzeganie Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne. Ponadto w interpelacji znalazły się pytania, czy zapisy ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne są wystarczające wobec powtarzających się w br. ataków cybernetycznych oraz czy ministerstwa: Cyfryzacji, Spraw Wewnętrznych i Administracji, Obrony Narodowej współpracują w celu obrony naszego kraju przed kolejnymi atakami cyberprzestępców.
Czytaj też: Ransomware Petya nie zaszkodził polskiej gospodarce [Komentarz Exatela]
Według Anny Streżyńskiej,w Polsce zidentyfikowano jedenaście firm komercyjnych dotkniętych atakiem Petya, zaś Narodowe Centrum Cyberbezpieczeństwa (NC Cyber) nie odnotowało informacji o zgłoszeniach dotyczących administracji publicznej, instytucji finansowych i infrastruktury krytycznej państwa.
Po zidentyfikowaniu ataku natychmiast poinformowano o nim instytucje i firmy współpracujące z NC Cyber – z prośbą o szczególną czujność i wszelkie informacje, a także zgłoszenia ewentualnych przypadków infekcji. W informacjach dla opinii publicznej NC Cyber radziło, aby aktualizować systemy, robić backupy i nie korzystać z niezaufanych sieci (w tym Wi-fi). Działający w NC Cyber zespół CERT Polska już w dzień następujący po ataku, tj. 28 czerwca 2017 r., opublikował analizę ataku wraz z rekomendacjami w zakresie reagowania na zagrożenie.
Zdaniem minister cyfryzacji Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne określa organy właściwe dla kontroli przestrzegania przepisów ustawy, w zależności od zasięgu projektów informatycznych: realizację ponadsektorowych projektów kontroluje Prezes Rady Ministrów, realizację projektów sektorowych kontrolują ministrowie odpowiedzialni za dany dział administracji. Z kolei działania systemów teleinformatycznych (pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych) kontrolują odpowiednio: w jednostkach samorządu terytorialnego i ich związkach oraz w tworzonych lub prowadzonych przez te jednostki samorządowych osobach prawnych i innych samorządowych jednostkach organizacyjnych - właściwy wojewoda, w podmiotach publicznych podległych lub nadzorowanych przez organy administracji rządowej – organ administracji rządowej nadzorujący dany podmiot publiczny zaś w pozostałych przypadkach – minister właściwy do spraw informatyzacji.
Wobec ciągłego wzrostu znaczenia cyberbezpieczeństwa na świecie, a więc także w Polsce, według Streżyńskiej należy uznać za konieczne stworzenie systemu prawnego umożliwiającego odpowiednią reakcję na ewentualne zagrożenia cyberbezpieczeństwa. Na potrzebę tę odpowiada projekt ustawy o krajowym systemie cyberbezpieczeństwa, implementujący dyrektywę NIS. Wymaganym przez Dyrektywę terminem przyjęcia tej ustawy jest dzień 9 maja 2018 r. Przekazanie projektu ustawy do konsultacji publicznych i uzgodnień międzyresortowych planowane jest na koniec sierpnia. Następnie projekt zostanie przekazany do rozpatrzenia przez Komitet Rady Ministrów ds. Cyfryzacji.
Ustawa zdaniem minister Streżyńskiej ureguluje kwestie związane z operatorami usług kluczowych (czyli, zgodnie z przepisami Dyrektywy, podmiotów które świadczą usługę o kluczowym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej - świadczenie tej usługi zależy od systemów informatycznych, a ewentualny incydent miałby istotny skutek zakłócający dla jej zapewnienia) oraz ich obowiązkami. Wprowadzi regulacje dotyczące CSIRT (zespołów reagowania na incydenty komputerowe). Ustanowi także kontrolę państwa nad przestrzeganiem przepisów ustawy.
Projektowana ustawa pozwoli zachować kontrolę nad sytuacją w przypadku powtórzenia się ataków na systemy teleinformatyczne. Należy mieć na względzie, że metody ataków na systemy teleinformatyczne są ciągle udoskonalane. Z tego powodu trudno jest mówić o pełnym zabezpieczeniu państwa przed nimi. Ustawa o krajowym systemie cyberbezpieczeństwa pozwoli jednak skuteczniej im zapobiegać, a także lepiej radzić sobie z ich ewentualnymi skutkami (zachowanie ciągłości usług kluczowych).
Według Anny Streżyńskiej,Ministerstwo Cyfryzacji pozostaje w stałym kontakcie z Ministerstwem Spraw Wewnętrznych i Administracji oraz Ministerstwem Obrony Narodowej. MC, MSWiA i MON współpracują na poziomie strategicznym, czego wyrazem jest działalność międzyresortowych zespołów ds. Krajowych Ram Polityki Cyberbezpieczeństwa na lata 2017-2022, współpraca nad planem działań do wspomnianych Krajowych Ram oraz wspólne prace nad projektem ustawy o krajowym systemie cyberbezpieczeństwa. - Również na poziomie operacyjnym współdziałają ze sobą zespoły reagowania na incydenty komputerowe będące we właściwości poszczególnych resortów oraz inne jednostki (czego wyrazem są m.in. ćwiczenia NASK, Policji i prokuratury CyberPOL 2017). W odpowiedzi na ww. pytanie zarówno MSWiA, jak i MON potwierdziły fakt współpracy w zakresie bezpieczeństwa cyberprzestrzeni Rzeczypospolitej Polskiej z wieloma podmiotami międzynarodowymi – odpowiada minister cyfryzacji.