Administracja państwowa nie podjęła dotychczas niezbędnych działań, mających na celu zapewnienie bezpieczeństwa teleinformatycznego Polski – czytamy w podsumowaniu kontroli NIK poświęconej realizacji zadań podmiotów państwowych w zakresie ochrony cyberprzestrzeni RP. Wśród głównych zaniedbań administracji rządowej inspektorzy NIK wyliczają m.in. brak narodowej strategii cyberbezpieczeństwa, brak niezbędnych regulacji prawnych oraz niespójną i nieefektywną politykę najważniejszych podmiotów państwowych odpowiedzialnych za bezpieczeństwo Polski w wymiarze teleinformatycznym.
Kontrola przeprowadzona przez NIK wykazała, że problem odpowiedniego zabezpieczenia polskiej cyberprzestrzeni został przez najważniejsze instytucje państwowe zbagatelizowany, co w kontekście coraz częstszych ataków hakerskich na infrastrukturę krytyczną, kluczową z punktu widzenia bezpieczeństwa państwa może rodzić uzasadnione obawy. Jak czytamy w raporcie NIK, „Rada Ministrów i kierownictwo podmiotów administracji państwowej nie opracowały narodowej strategii ochrony cyberprzestrzeni Polski, która mogłaby być podstawą konkretnych, systemowych działań podnoszących poziom bezpieczeństwa teleinformatycznego państwa”. Podłożem tego problemu jest właśnie niska świadomość podmiotów państwowych, utrudniająca wypracowanie efektywnych rozwiązań, a przede wszystkim rozpoczęcie niezbędnych inwestycji gwarantujących poprawę cyberbezpieczeństwa RP.
Zdaniem Joanny Świątkowskiej, eksperta Instytutu Kościuszki ds. cyberbezpieczeństwa, zrozumienie powagi ryzyka to dziś kwestia kluczowa:„Doświadczenia innych krajów, także tych, które uważane są za dalece bardziej zaawansowane w obszarze cyberbezpieczeństwa, pokazują, że wzrasta zagrożenie skutecznych ataków w cyberprzestrzeni. Skoro ich ofiarami padają najbogatsze państwa G8, które są lepiej przygotowane, to łatwo wyobrazić sobie przed jakim zagrożeniem stoi Polska. Szczególnie, że napięta sytuacja w naszym regionie sprzyja wzrostowi zagrożeń.”- podkreśla Świątkowska.
Poważnym problemem, na który wskazują eksperci NIK jest również brak niezbędnych rozwiązań legislacyjnych, które pozwoliłyby na unormowanie kwestii związanych z bezpieczeństwem w cyberprzestrzeni. Dotychczasowe przepisy prawne uznano za„nieprecyzyjne, nieadekwatne lub też w ogóle nie stosowane w praktyce”, co w kontekście biernej postawy organów państwowych, braku planowanych reform prawnych oraz braku rzetelnej wizji systemowych rozwiązań wzmacniających cyberbezpieczeństwo Polski może rodzić poważne konsekwencje w przyszłości. Co więcej, alarmująca ocena NIK podkreśla również fakt, że najważniejsze organy administracji rządowej nie wykazały zdolności do efektywnej współpracy pomiędzy poszczególnymi podmiotami odpowiedzialnymi za ochronę cyberprzestrzeni. Istotnym problemem jest również brak odpowiedniego systemu koordynacji działań w tym obszarze.
W ocenie Joanny Świątkowskiej, kontrola NIK wykazała, że „w ślad za zwiększaniem bezpieczeństwa na poziomie teleinformatycznym potrzeba rozwiązań strategicznych: legislacyjnych, instytucjonalnych, organizacyjnych, edukacyjnych a także wysiłku finansowego.”.
W ocenie Instytutu Kościuszki, przede wszystkim konieczne jest większe zaangażowanie instytucji państwa na rzecz poprawy bezpieczeństwa infrastruktury krytycznej. Jednym z takich elementów powinno być między innymi rozpoczęcie dyskusji na temat obligatoryjnego stosowania standardów bezpieczeństwa systemów teleinformatycznych i obowiązkowego raportowania poważnych incydentów przez właścicieli i operatorów infrastruktury krytycznej. W dyskusję nad kształtem tych rozwiązań powinni być zaangażowani wszyscy kluczowi interesariusze.
Ponadto, należy stworzyć lub wyznaczyć silny ośrodek koordynujący działania związane z cyberbezpieczeństwem, mający odpowiednie narzędzia do działania w tym do egzekwowania wytycznych. Jednym z możliwych działań jest utworzenie Narodowego Centrum Cyberbezpieczeństwa, którego głównym zadaniem byłaby koordynacja działań kluczowych podmiotów. Podkreślić należy, że miałby to być podmiot koordynujący działania, a nie skupiający wszystkie obowiązki w swoich rękach. Aby taka koncepcja taka była skuteczna, niezbędne jest wcześniejsze wypracowanie jednoznacznego i klarownego określenia ról i odpowiedzialności, a także procedur działania w odniesieniu do cyberbezpieczeństwa.
Kolejnym równie ważnym zadaniem jest dokonanie rzetelnej inwentaryzacji istniejących rozwiązań legislacyjnych, określenie braków i potrzeb w tym zakresie oraz rozważenie uchwalenia porządkującego i wprowadzającego potrzebne rozwiązania aktu prawnego – ustawy o cyberbezpieczeństwie. Polscy decydenci powinni zauważyć, że wiele dobrych praktyk istnieje na świecie oraz zostało wypracowanych i przetestowanych przez innych. Należy korzystać z tych dobrych lekcji, identyfikować słabe i silne strony różnych rozwiązań. Doskonałą przestrzenią wymiany i pozyskiwania rekomendacji będzie organizowane przez Instytut Kościuszki we wrześniu tego roku w Krakowie Europejskie Forum Cyberbezpieczeństwa – CYBERSEC, podczas którego debatować będą światowi liderzy w zakresie cyberbezpieczeństwa i zaprezentują najlepsze rozwiązania funkcjonujące w swoich organizacjach i krajach. Polska powinna czerpać z tych wzorców.
Niezbędne jest także zbudowanie i wdrożenie w życie dobrze funkcjonującej współpracy publiczno – prywatnej, szczególnie z operatorami i właścicielami infrastruktury krytycznej. Państwo powinno wymagać podejmowanie odpowiednich działań w obszarze cyberbezpieczeństwa, ale także powinno wspierać na różne sposoby, także finansowo i ekspercko, podmioty prywatne.
Według Świątkowskiej, Polska zagrożona jest również w apsekcje militarnym. „Zagrożenia konwencjonalne nie są już jedynymi wyzwaniami przed jakimi stoi Polska. Szczególnie ważne stają się niedoceniane dotychczas cyberzagrożenia nowego typu, o charakterze hybrydowym”.
W kontekście trudnej sytuacji geopolitycznej, w tym w obliczu możliwego rozprzestrzenienia się wojny hybrydowej, wzmacniać należy militarny potencjał Polski i naszych sojuszników w zakresie funkcjonowania w cyberprzestrzeni. W Warszawie w przyszłym roku będzie miał miejsce szczyt NATO, stąd też jednym z najważniejszych priorytetów Polski powinno być także wzmacnianie cyberbezpieczeństwa w ramach Sojuszu. Instytut Kościuszki pracuje nad rekomendacjami w tym zakresie.
Instytut Kościuszki, Think tank specjalizujący się m.in. w problematyce cyberbezpieczeństwa, w ekspertyzie przygotowanej na zlecenie Najwyższej Izby Kontroli opracował rekomendacje mające na celu wzmocnienie bezpieczeństwa RP w wymiarze teleinformatycznym.