Polacy zostali sami w obliczu cyberataków. NIK wydała raport

Lawinowo rośnie liczba przestępstw internetowych, których ofiarami stają się "zwykli" obywatele, a mimo to w latach 2019-2021 krajowy system cyberbezpieczeństwa pomijał tę najliczniejszą grupę użytkowników sieci, koncentrując się na wzmocnieniu ochrony instytucji i przedsiębiorstw uznawanych za kluczowe dla funkcjonowania państwa.

W badanym okresie na wsparcie państwa mogły liczyć urzędy, koleje czy służba zdrowia mające wyspecjalizowane służby informatyczne, gdy tymczasem indywidualni użytkownicy internetu byli pozostawieni sami sobie – bez aktualnych i pochodzących z oficjalnych źródeł informacji na temat zagrożeń oraz rekomendowanych środków ochrony. Nie docierały do nich także działania edukacyjne nierzetelnie prowadzone, zdaniem Izby, przez Ministra Cyfryzacji, co potwierdziły wyniki badania sondażowego zleconego przez NIK. Pokazały one, że użytkownicy sieci nie wiedzą co robić, ani gdzie się zgłosić, gdy staną się ofiarami ataku cyberprzestępców. Znaczna część spośród 404 ankietowanych, którzy znaleźli się w takiej sytuacji, nie zawiadomiła nawet policji, a niektórzy, mimo poniesionych strat wizerunkowych czy materialnych nie podjęli żadnych działań.

Ochrona przed cyberatakami to nie ich sprawa?

Brak reakcji na zagrożenia, w obliczu których stawali indywidualni użytkownicy internetu, Minister Cyfryzacji i Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa tłumaczyli tym, że zapewnienie obywatelom bezpieczeństwa w sieci nie należy do ich obowiązków. Innego zdania jest Najwyższa Izba Kontroli. W opinii NIK taki obowiązek wynika z ustawy o Krajowym Systemie Cyberbezpieczeństwa, a także z ustawy o działach administracji rządowej, według której to właśnie Minister Cyfryzacji odpowiada za politykę państwa w zakresie ochrony danych osobowych oraz za bezpieczeństwo cyberprzestrzeni w wymiarze cywilnym.

Zastrzeżenia Izby dotyczą także zarządzania przez Ministra Cyfryzacji i Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa systemem informatycznym S46. Został on stworzony m.in. po to, by umożliwić zgłaszanie i obsługę incydentów, czyli zdarzeń, które mają lub mogą mieć negatywny wpływ na cyberbezpieczeństwo. Ma także pomóc w szacowaniu ryzyka i ostrzegać o zagrożeniach. Jednak rok po uruchomieniu systemu – w marcu 2022 r. – było do niego podłączonych zaledwie 14 z około 350 podmiotów, które według Kancelarii Prezesa Rady Ministrów (KPRM) miały go tworzyć. W trakcie kontroli prowadzonej przez Izbę, KPRM dysponowała jednym i to użyczonym terminalem do obsługi systemu S46, a jego użytkownikiem był wyłącznie Dyrektor Departamentu Cyberbezpieczeństwa. Tymczasem wydatki związane z budową i uruchomieniem tego systemu wyniosły 9,8 mln zł, koszty jego utrzymania i rozwoju w 2021 r. – ok. 6,3 mln zł, na 2022 r. planowano wydatki na poziomie 9,5 mln zł, a w kolejnych latach podobne lub większe. Zdaniem NIK dotychczasowe działania Ministra Cyfryzacji oraz Pełnomocnika Rządu związane z budową i rozwojem systemu S46 stworzyły ryzyko niegospodarnego wykorzystania znacznych środków publicznych.

Nie napawają optymizmem również dane dotyczące skuteczności organów państwa w zwalczaniu przestępczości w internecie. Uczestnicy badania sondażowego zleconego przez NIK zadeklarowali, że 85% cyberataków, które zgłosili nie zostało wyjaśnionych, zakończyło się umorzeniem postępowania lub utratą środków finansowych i danych. Tylko w przypadku 2% spraw doszło do wykrycia i skazania sprawcy lub odzyskania pieniędzy. Ta niewielka skuteczność nie dziwi, jeśli weźmie się pod uwagę wyniki kontroli. W badanym okresie w policji, a także w Kancelarii Prezesa Rady Ministrów obsługującej prace Ministra Cyfryzacji i Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa brakowało ludzi, pieniędzy, oprogramowania i sprzętu, co nie pozwalało na skuteczne zwalczanie i ograniczanie skutków przestępczości internetowej. Nie stworzono też jasnych procedur ani dla zgłaszających cyberatak użytkowników internetu, ani dla przyjmujących zgłoszenia policjantów. Takie wytyczne wypracowała Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (NASK-PIB), jednak niewielu internautów wie, że w przypadku cyberataku właśnie w tej instytucji można szukać wsparcia.

NIK przeprowadziła kontrolę w Kancelarii Prezesa Rady Ministrów, a także w Komendzie Głównej Policji oraz w NASK-PIB. Kontrolowany okres to lata 2019 -2021.

Co ukazała kontrola NIK?

Przeprowadzona przez NIK kontrola pokazała konieczność wprowadzenia rozwiązań systemowych, które przed skutkami działalności cyberprzestępców ochronią indywidualnych użytkowników internetu. Niezbędne jest również poszerzenie ich wiedzy na temat grożących w sieci niebezpieczeństw i miejsc, w których mogą szukać pomocy, gdy staną się ofiarą tego rodzaju przestępstw. W związku z tym, najważniejsze wnioski NIK wynikające z kontroli i propozycje działań naprawczych to:

• Uregulowanie w ustawie o krajowym systemie cyberbezpieczeństwa, tematyki bezpieczeństwa indywidualnych użytkowników Internetu.
• Przygotowanie i przedstawienie Radzie Ministrów projektów modyfikacji Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024 oraz Planu działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa.
• Wdrożenie jednolitego modelu edukowania obywateli na temat bezpieczeństwa w sieci oraz stworzenie rozpoznawalnego, oficjalnego, państwowego serwisu, zawierającego łatwo dostępne informacje na temat zagrożeń cyberbezpieczeństwa, trwających kampanii, a także zaleceń i dobrych praktyk z zakresu "cyberhigieny".
• Usprawnienie procesu przyjmowania zgłoszeń obywateli i instytucji w sprawie przestępstw internetowych.