Omawiamy ważne fakty dla debaty publicznej, a także przedstawiamy istotne raporty i badania.
Państwo w obliczu cyberzagrożeń. Jak NIK ocenia administrację?
Cyberataki stają się coraz większym zagrożeniem. Ryzyko dotyczy wielu obywateli. Nie są oni jednak wystarczająco chronieni. Oto ustalenia niedawno opublikowanej kontroli NIK przeprowadzonej na przełomie 2021 i 2022 roku w Kancelarii Prezesa Rady Ministrów, Komendzie Głównej Policji oraz Naukowej i Akademickiej Sieci Komputerowej. Po przeanalizowaniu ich działalności z lat 2019-2021 można stwierdzić jasno: organy publiczne – zamiast na obywatelach – wolą skupiać się na ochronie instytucji i przedsiębiorstw, kluczowych dla funkcjonowania państwa, takich jak urzędy, koleje czy służba zdrowia.
Fot. Tima Miroshnichenko / Pexels / Modyfikacje: Demagog
Państwo w obliczu cyberzagrożeń. Jak NIK ocenia administrację?
Cyberataki stają się coraz większym zagrożeniem. Ryzyko dotyczy wielu obywateli. Nie są oni jednak wystarczająco chronieni. Oto ustalenia niedawno opublikowanej kontroli NIK przeprowadzonej na przełomie 2021 i 2022 roku w Kancelarii Prezesa Rady Ministrów, Komendzie Głównej Policji oraz Naukowej i Akademickiej Sieci Komputerowej. Po przeanalizowaniu ich działalności z lat 2019-2021 można stwierdzić jasno: organy publiczne – zamiast na obywatelach – wolą skupiać się na ochronie instytucji i przedsiębiorstw, kluczowych dla funkcjonowania państwa, takich jak urzędy, koleje czy służba zdrowia.
Najwyższa Izba Kontroli w odpowiedzi na rosnące znaczenie internetu w naszym życiu, a także na coraz większą liczbę zagrożeń czyhających w cyberprzestrzeni przeprowadziła kontrolę, aby sprawdzić, czy działania organów państwowych rzeczywiście służą identyfikacji, zapobieganiu i ograniczaniu skutków tego typu przestępstw.
Chociaż organy państwa podjęły już działania w celu zapewnienia cyberbezpieczeństwa, w raporcie pojawia się pytanie, czy te działania są wystarczające. Wątpliwości dotyczą również tego, czy indywidualni użytkownicy są informowani na temat zagrożeń oraz czy w razie ataku mogą liczyć na wsparcie państwa. Dodatkowo w polskim prawie karnym nie ma definicji pojęć związanych z przestępczością internetową, co utrudnia badanie tego zjawiska.
Przedmiotem kontroli nie były przestępstwa związane z treścią informacji, takie jak propagowanie faszyzmu czy pornografii z udziałem małoletnich, ale głównie czyny zabronione polegające na wykorzystaniu internetu.
Obywatele narażeni na cyberataki
Raport NIK wskazał, że polski system cyberbezpieczeństwa skupiał się głównie na bezpieczeństwie systemów państwowych, pomijając jednocześnie użytkowników indywidualnych, pomimo że stanowią oni najliczniejszą grupę użytkowników sieci. Analiza ryzyka i monitoring zagrożeń wykazywały, że najczęstszymi incydentami były oszustwa komputerowe wymierzone w osoby fizyczne. Niestety, organy odpowiedzialne za cyberbezpieczeństwo nie dostosowywały swoich działań do tych zagrożeń, uznając je za pozostające poza ich odpowiedzialnością.
Kontrola wykazała, że w przypadku przestępstw obywatele napotykają wiele barier w uzyskaniu skutecznego wsparcia. Policja nie wypracowała instrukcji dla zgłaszających, a algorytmy zgłaszania były wadliwe. Procedury zgłaszania incydentów były obecne w Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (NASK – PIB), ale niewielu ludzi je znało. Brak zasobów (kadrowych, finansowych i sprzętowych) również uniemożliwił realizację zadań w zakresie przestępstw internetowych.
Mała liczba specjalistów i nieskuteczna edukacja
NIK pozytywnie oceniła utworzenie Centralnego Biura Zwalczania Cyberprzestępczości (CBZC) w Policji, ale zwróciła uwagę na trudności związane z pozyskaniem odpowiednio wykwalifikowanych specjalistów w założonym terminie. Jednocześnie zwrócono uwagę, że powołanie nowej jednostki może spowodować odpływ specjalistów z innych jednostek Policji, które również odgrywają ważną rolę w zwalczaniu przestępczości internetowej.
NIK oceniła działania edukacyjne i ostrzegawcze na temat przestępstw internetowych jako nierzetelne i nieskuteczne. Ustalenia zostały potwierdzone przez wyniki sondażu zleconego przez NIK. Znaczna część osób, które padły ofiarą cyberataków, nie zawiadomiła odpowiednich organów lub nie podjęła żadnych działań. Ankieta wykazała też, że aż 85 proc. cyberataków nie zostało wyjaśnionych, a tylko 2 proc. zakończyło się wykryciem i skazaniem sprawcy lub odzyskaniem środków.
Brak koordynacji działań oraz przesuwanie zakresu odpowiedzialności
NIK oceniła dobrze prowadzoną analizę ryzyka i działania mające na celu zarządzanie zagrożeniami w cyberprzestrzeni przez jednostki organizacyjne Policji oraz NASK – PIB. Jednocześnie Izba skrytykowała brak reakcji ze strony organów odpowiedzialnych za bezpieczeństwo cyberprzestrzeni oraz brak koordynacji polityki rządu w tym obszarze.
Minister cyfryzacji i Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa nie określili ram strategicznych aktywności organów państwa w zakresie zapobiegania i minimalizowania skutków przestępstw internetowych. Nie koordynowali też działalności innych podmiotów publicznych w tym obszarze. Dodatkowo w korespondencji z NIK próbowali dowodzić, że cały obszar bezpieczeństwa obywateli w sieci pozostaje poza zakresem ich odpowiedzialności.
Przeciwdziałanie cyberprzestępczości wymaga poprawy
W Policji oraz w Kancelarii Prezesa Rady Ministrów (KPRM) stwierdzono braki zasobów, co wpłynęło na jakość realizowanych zadań związanych ze zwalczaniem cyberprzestępczości.
W badanym okresie skontrolowane podmioty publikowały rekomendacje dotyczące poprawy bezpieczeństwa użytkowników sieci, ale większość z nich była kierowana do sektorów gospodarki i specjalistów, a nie – do indywidualnych użytkowników. Działania edukacyjne podejmowane przez Ministerstwo Cyfryzacji i Pełnomocnika Rządu docierały tylko do niewielkiej liczby zainteresowanych obywateli.
W wyniku kontroli stwierdzono, że obywatele rezygnują ze zgłaszania przestępstw internetowych z powodu utrudnień. Procedury zgłaszania i obsługi incydentów związanych z przestępstwami komputerowymi zostały wypracowane jedynie w NASK – PIB, ale tylko 1 proc. respondentów sondażu miał wiedzę na temat możliwości uzyskania wsparcia ze strony tego podmiotu. Informacje na temat sposobów zgłaszania cyberprzestępstw znajdziesz na końcu tekstu.
Podczas działań prowadzonych przez NIK zarówno NASK – PIB, jak i Policja aktywnie współpracowały z podmiotami zagranicznymi w celu zapobiegania i zwalczania przestępstw internetowych. Zaangażowanie to miało wymiar praktyczny i było odpowiedzią na inicjatywy partnerów zagranicznych w zakresie walki z cyberprzestępczością.
Rekomendacje dla rządu
NIK rekomenduje, aby minister cyfryzacji wpłynął na znowelizowanie ustawy o krajowym systemie cyberbezpieczeństwa. Zmiana powinna posłużyć uregulowaniu kwestii bezpieczeństwa użytkowników indywidualnych oraz określeniu obowiązków podmiotów odpowiedzialnych za zapobieganie i minimalizowanie skutków cyberataków.
Dodatkowo powinien zostać opracowany projekt modyfikacji Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019–2024. Ministerstwo powinno uwzględnić wyniki analizy ryzyka i mierniki realizacji zadań, służące zapobieganiu i minimalizowaniu skutków oszustw komputerowych.
Według NIK pożądane byłoby stworzenie państwowego serwisu, który przedstawiałby łatwo dostępne informacje na temat zagrożeń bezpieczeństwa w sieci. Za wzór został podany przykład strony prowadzonej przez Narodowe Centrum Cyberbezpieczeństwa w Wielkiej Brytanii.
Ponadto należy wdrożyć mechanizmy ewaluacji efektów prowadzonych przez KPRM i NASK – PIB w zakresie działań edukacyjnych związanych z cyberbezpieczeństwem. Chodzi o zwiększenie ich skuteczności oraz dopasowanie sposobów docierania do użytkowników należących do poszczególnych grup.
Zalecenia dla Komendanta Głównego Policji
Zdaniem NIK Komendant Główny Policji powinien przeprowadzić ewaluację wykorzystania „Algorytmów działania Policji w odniesieniu do różnych typów działań przestępczych” w jednostkach terenowych, aby usprawnić proces przyjmowania zgłoszeń o przestępstwach internetowych.
Policja powinna również opracować i upowszechnić instrukcję zgłaszania przestępstw internetowych dla obywateli i instytucji, skorelowane z algorytmami opracowanymi dla policjantów. Komendant Główny Policji powinien skutecznie zarządzać ryzykami związanymi z utworzeniem Centralnego Biura Zwalczania Cyberprzestępczości (CBZC), zapewniając jego pełną operacyjność w trakcie formowania tej jednostki i nadzorując ten proces.
Odpowiedź rządu
Niedługo po opublikowaniu raportu kancelaria premiera odniosła się do niego, wskazując, że wnioski, do których doszła NIK, nie obejmują zmian, które zostały wprowadzone w ostatnim czasie.
Jak czytamy w komentarzu: „Publikowanie raportu z kontroli przeprowadzonej dwa lata wstecz ma na celu wprowadzenie opinii publicznej w błąd. Takie przedstawienie sprawy jest nieuczciwe przede wszystkim w stosunku do obywateli, którzy są utwierdzeni w przekonaniu, że w sytuacji zagrożenia, które może czyhać na nich w sieci, są pozostawieni bez pomocy, co nie jest prawdą”.
KPRM wymienia następujące działania, które zostały podjęte już po czasie, w którym była przeprowadzana kontrola NIK:
- przygotowanie projektu ustawy o zmianie niektórych ustaw w związku z zapobieganiem kradzieży tożsamości – zmiany przewidują chociażby możliwość zastrzeżenia w aplikacji mObywatel, że dana osoba nie chce zaciągać zobowiązań finansowych,
- przygotowanie projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej – zmiany pozwolą operatorom na blokowanie SMS-ów wyłudzających dane (smishing) i połączeń głosowych służących do podszywania się pod osobę lub instytucję (spoofing),
- realizacja licznych kampanii skierowanych do różnych grup społecznych, np. do rodziców, seniorów, dzieci oraz do nauczycieli i uczniów – jak czytamy, efekty są widoczne, jeżeli spojrzymy na rosnącą liczbę incydentów bezpieczeństwa zgłaszanych do CERT POLSKA.
Na prośbę CyberDefence24 komentarza udzielił też NASK. Instytut – podobnie jak rząd – nie zgodził się z tezami przedstawionymi w raporcie NIK, zwłaszcza w kontekście obecnie prowadzonej współpracy NASK z CBZC, a także odnośnie do wzrostu świadomości w kontekście cyberzagrożeń.
Jak zgłosić cyberprzestępstwo?
Jeśli jesteś ofiarą: wyłudzenia w internecie, złośliwego oprogramowania, włamania lub próby włamania, ataków typu DoS (Denial of Service) i DDoS (Distributed Denial of Service) – zgłoś to na: incydent.cert.pl. Tą drogą możesz zgłosić zarówno strony, jak i maile rozsyłane w celu oszustwa lub wyłudzenia.
Zespół CERT Polska tworzy listę stron, na których cyberprzestępcy dokonywali różnego rodzaju przestępstw.
Jeśli podejrzewasz, że otrzymany przez Ciebie SMS stanowi próbę wyłudzenia danych, przekaż go na numer 799 448 084. Wiadomość trafi do analityków CERT Polska, którzy zdecydują o dopisaniu podejrzanej domeny do listy ostrzeżeń.
Jeśli widzisz w sieci treści typu nawoływanie do popełnienia przestępstwa, groźby karalne, cyberprzemoc, seksualne wykorzystywanie dzieci – zgłoś je za pomocą formularza na stronie www.dyzurnet.pl.
Każde zgłoszenie może pomóc ochronić tysiące innych użytkowników!
Zapoznaj się również z naszą analizą na temat metod rozpoznawania przestępstw internetowych.
*Jeśli znajdziesz błąd, zaznacz go i wciśnij Ctrl + Enter