Realizacja przez podmioty państwowe zadań
w zakresie ochrony cyberprzestrzeni RP
Warszawa, 16 września 2015 r.
Wykorzystan...
Konferencja Security Case Study 2014
W czerwcu 2015 r. Najwyższa Izba Kontroli przedstawiła wyniki
kontroli „Realizacja pr...
Ocena kontrolowanej działalności
NIK oceniła negatywnie realizację przez organy państwowe
zadań w zakresie ochrony cyberpr...
Główne ustalenia kontroli:
 Rada Ministrów i kierownictwo podmiotów
administracji państwowej nie opracowały narodowej
str...
Główne ustalenia kontroli cd.
 Kierownictwo większości objętych kontrolą podmiotów
nie miało świadomości należących do ni...
Główne ustalenia kontroli cd.
 Nie były prowadzone prace legislacyjne mające na celu
unormowanie zagadnień związanych z b...
Główne ustalenia kontroli cd.
 W Polsce nie funkcjonuje krajowy system reagowania
na incydenty komputerowe, a administrac...
Wnioski i propozycje działań naprawczych
W dokumentacji pokontrolnej NIK sformułowała kilkadziesiąt
wniosków i uwag, skier...
Wnioski i propozycje działań naprawczych cd.
 stworzenia systemu finansowania zadań związanych
z ochroną cyberprzestrzeni...
Uprawnienia NIK
NIK nie ma uprawnień w zakresie egzekwowania
i nadzoru nad wykonaniem wniosków pokontrolnych.
Możemy oddzi...
Reakcja na ustalenia kontroli
Kierownicy siedmiu jednostek objętych kontrolą
zgodzili się z wnioskami wynikającymi z kontr...
Argumentacja MAiC:
W zastrzeżeniach Minister starał się wykazać, że:
 obowiązujące przepisy nie nakładają na niego zadań
...
Argumentacja MAiC cd.
 uzasadnione jest wstrzymanie działań związanych
z budową krajowego systemu ochrony
cyberprzestrzen...
Stanowisko MAiC
Pomimo jednogłośnego i ostatecznego odrzucenia
wszystkich zastrzeżeń przez Kolegium NIK, Minister
wykracza...
Stanowisko MAiC
Częściowa zmiana stanowiska Ministra nastąpiła
po otrzymaniu zbiorczej informacji o wynikach
kontroli, któ...
Monitorowanie efektów kontroli
Pół roku po zakończeniu kontroli, NIK wystąpiła
do wszystkich jednostek nią objętych o prze...
Wartość dodana kontroli:
 podjęcie przez ABW działań w celu znaczącej rozbudowy
potencjału związanego z reagowaniem na in...
Działania podjęte przez poszczególne podmioty
Przeprowadzona kontrola nie spowodowała natomiast
istotnych zmian w działaln...
Działania podjęte przez poszczególne podmioty cd.
 Rządowe Centrum Bezpieczeństwa skupiło się w realizacji
wniosków NIK n...
Działania podjęte przez poszczególne podmioty cd.
 NASK kontynuuje aktywność związaną z prowadzeniem
Zespołu CERT Polska ...
Działania podjęte przez MAiC
Analiza działań podejmowanych przez MAiC od momentu
zakończenia kontroli pozwala stwierdzić, ...
Działania podjęte przez MAiC cd.
Minister nie wsparł inicjatyw innych podmiotów podjętych
w wyniku przeprowadzonej przez N...
Skutki kontroli
Przeprowadzona kontrola nie spowodowała istotnych,
pozytywnych zmian w zakresie działalności podmiotów
pań...
Dalsza aktywność NIK
 Informacja o wynikach kontroli została przekazana
najważniejszym osobom i instytucjom w państwie.
...
Podsumowanie
Czy naprawdę musi wydarzyć się coś tragicznego,
aby nasze państwo zaczęło realizować swoje
zadania w zakresie...
Dziękuję za uwagę!
www.nik.gov.pl/kontrole/P/14/043/
of 26

Prezentacja Security Case Study 2015

Published on: Mar 4, 2016


Transcripts - Prezentacja Security Case Study 2015

 • 1. Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP Warszawa, 16 września 2015 r. Wykorzystanie wyników kontroli
 • 2. Konferencja Security Case Study 2014 W czerwcu 2015 r. Najwyższa Izba Kontroli przedstawiła wyniki kontroli „Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP”. Pełen tekst informacji o wynikach kontroli wraz innymi dokumentami jest dostępny na stronie internetowej NIK pod linkiem „Wyniki kontroli”. Wstępne ustalenia kontroli zostały przedstawione w trakcie konferencji Security Case Study 2014.
 • 3. Ocena kontrolowanej działalności NIK oceniła negatywnie realizację przez organy państwowe zadań w zakresie ochrony cyberprzestrzeni RP. Administracja państwowa nie podjęła niezbędnych działań, w celu zapewnienia bezpieczeństwa teleinformatycznego Polski. Nie został zorganizowany system ochrony cyberprzestrzeni RP. Działania państwa w zakresie bezpieczeństwa teleinformatycznego sprowadzały się do doraźnego, ograniczonego reagowania na bieżące wydarzenia oraz biernego oczekiwania na rozwiązania, które zaproponuje Unia Europejska.
 • 4. Główne ustalenia kontroli:  Rada Ministrów i kierownictwo podmiotów administracji państwowej nie opracowały narodowej strategii ochrony cyberprzestrzeni Polski, która mogłaby być podstawą konkretnych, systemowych działań podnoszących poziom bezpieczeństwa teleinformatycznego państwa.  Nie zostało przeprowadzone kompleksowe oszacowanie ryzyk związanych ze zdarzeniami występującymi w cyberprzestrzeni.
 • 5. Główne ustalenia kontroli cd.  Kierownictwo większości objętych kontrolą podmiotów nie miało świadomości należących do nich zadań związanych z ochroną cyberprzestrzeni RP: „(…) uprzejmie informuję, że (…) w ustawowych zadaniach Kancelarii Prezesa Rady Ministrów brak jest zadań związanych bezpośrednio z bezpieczeństwem cyberprzestrzeni RP (…)”
 • 6. Główne ustalenia kontroli cd.  Nie były prowadzone prace legislacyjne mające na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym.  Nie stworzono systemu finansowania działań związanych z ochroną cyberprzestrzeni RP.  Działania w zakresie ochrony cyberprzestrzeni były prowadzone w sposób niespójny, bez rzetelnego planowania i przygotowania.  Podmioty państwowe nie współpracowały w zakresie ochrony cyberprzestrzeni RP – nie wdrożono skutecznych mechanizmów koordynacji działań w tym obszarze.
 • 7. Główne ustalenia kontroli cd.  W Polsce nie funkcjonuje krajowy system reagowania na incydenty komputerowe, a administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju incydentów.  Podmioty państwowe nie podejmowały działań w celu ustanowienia wymogów w zakresie bezpieczeństwa cyberprzestrzeni.  Tworzone w Polsce plany reagowania kryzysowego nie uwzględniały zagrożeń związanych z cyberprzestrzenią.  Podmioty państwowe nie organizowały ćwiczeń dotyczących bezpieczeństwa teleinformatycznego.
 • 8. Wnioski i propozycje działań naprawczych W dokumentacji pokontrolnej NIK sformułowała kilkadziesiąt wniosków i uwag, skierowanych do poszczególnych skontrolowanych podmiotów, mających na celu usprawnienie ich działalności w zakresie bezpieczeństwa cyberprzestrzeni. Sfomułowano również wnioski o charakterze systemowym przeznaczone dla najwyższego kierownictwa administracji oraz decydentów politycznych dotyczące w szczególności:  skoncentrowania działań związanych z ochroną cyberprzestrzeni na teleinformatycznej infrastrukturze krytycznej państwa;
 • 9. Wnioski i propozycje działań naprawczych cd.  stworzenia systemu finansowania zadań związanych z ochroną cyberprzestrzeni oraz dokonania dyslokacji ograniczonych zasobów budżetu przeznaczanych na różne aspekty bezpieczeństwa państwa;  uchwalenia odrębnej ustawy określającej strukturę krajowego systemu ochrony cyberprzestrzeni;  wyznaczenia krajowego organu koordynującego działania w zakresie ochrony cyberprzestrzeni, będącego jednocześnie CERTem narodowym;  wdrożenia krajowego systemu reagowania na incydenty komputerowe, obejmującego m.in. obowiązki w zakresie raportowania o incydentach.
 • 10. Uprawnienia NIK NIK nie ma uprawnień w zakresie egzekwowania i nadzoru nad wykonaniem wniosków pokontrolnych. Możemy oddziaływać za pośrednictwem wnioskodawców kontroli (np. Sejm, Prezydent) oraz kierownictwa jednostek nadrzędnych nad kontrolowanymi. NIK gromadzi tylko informacje od poszczególnych podmiotów na temat realizacji wniosków pokontrolnych. Jedynym, wiarygodnym mechanizmem weryfikacji tych informacji jest przeprowadzenie kontroli sprawdzającej.
 • 11. Reakcja na ustalenia kontroli Kierownicy siedmiu jednostek objętych kontrolą zgodzili się z wnioskami wynikającymi z kontroli NIK. Podmiotem, który całkowicie zanegował ustalenia kontroli i odmówił wykonania wniosków pokontrolnych był Minister Administracji i Cyfryzacji. Minister skorzystał z przysługującego mu prawa złożenia zastrzeżeń do wystąpienia pokontrolnego.
 • 12. Argumentacja MAiC: W zastrzeżeniach Minister starał się wykazać, że:  obowiązujące przepisy nie nakładają na niego zadań w zakresie ochrony cyberprzestrzeni;  MAiC nie odpowiadało za przygotowanie „Polityki Ochrony Cyberprzestrzeni RP”;  przedstawione przez NIK zarzuty dotyczące braku możliwości praktycznego zastosowania „Polityki” są nieuprawnione;
 • 13. Argumentacja MAiC cd.  uzasadnione jest wstrzymanie działań związanych z budową krajowego systemu ochrony cyberprzestrzeni do czasu przyjęcia Dyrektywy NIS;  zadania wskazane w „Polityce” mogą być realizowane selektywnie, w oparciu o „dobrowolną, owocną współpracę między jednostkami administracji” oraz „bezkosztowo”.
 • 14. Stanowisko MAiC Pomimo jednogłośnego i ostatecznego odrzucenia wszystkich zastrzeżeń przez Kolegium NIK, Minister wykraczając poza obowiązujące procedury, w korespondencji skierowanej do Prezesa NIK, nie zgodził się z rozstrzygnięciem Kolegium, podtrzymał swoją argumentację i odmówił wykonania wniosków pokontrolnych. W opisanej sytuacji NIK nie miała dalszych instrumentów egzekwowania ustaleń kontroli.
 • 15. Stanowisko MAiC Częściowa zmiana stanowiska Ministra nastąpiła po otrzymaniu zbiorczej informacji o wynikach kontroli, która pokazała nieprawidłowości dotyczące MAiC w szerszym kontekście, uwzględniającym uwarunkowania realizacji zadań podmiotów państwowych związanych z ochroną cyberprzestrzeni.
 • 16. Monitorowanie efektów kontroli Pół roku po zakończeniu kontroli, NIK wystąpiła do wszystkich jednostek nią objętych o przekazanie informacji o działaniach zrealizowanych w wyniku kontroli oraz o sposobie wykorzystania wniosków i uwag Izby. Analiza odpowiedzi wykazała, że na dzień dzisiejszy w kontrolowanym obszarze wystąpiły tylko pojedyncze, pozytywne zmiany.
 • 17. Wartość dodana kontroli:  podjęcie przez ABW działań w celu znaczącej rozbudowy potencjału związanego z reagowaniem na incydenty;  powołanie w Policji wewnętrznego zespołu CERT;  zintensyfikowanie działalności edukacyjnej Prezesa UKE w zakresie informowania o zagrożeniach związanych z korzystaniem z Internetu oraz rekomendowanych środkach ochronnych;  powoływanie przez podmioty administracji pełnomocników ds. bezpieczeństwa cyberprzestrzeni oraz tworzenie kanałów wymiany informacji i procedur reagowania w sytuacji wystąpienia incydentów.
 • 18. Działania podjęte przez poszczególne podmioty Przeprowadzona kontrola nie spowodowała natomiast istotnych zmian w działalności poszczególnych podmiotów w zakresie ochrony cyberprzestrzeni. Z przekazanych NIK informacji wynika, iż:  Minister Spraw Wewnętrznych w dalszym ciągu nie realizuje żadnych istotnych zadań związanych z ochroną cyberprzestrzeni RP;  w Ministerstwie Obrony Narodowej nie zbudowano stabilnego systemu realizacji zadań Ministra związanych z bezpieczeństwem IT;
 • 19. Działania podjęte przez poszczególne podmioty cd.  Rządowe Centrum Bezpieczeństwa skupiło się w realizacji wniosków NIK na bezpieczeństwie własnych systemów IT. W dalszym ciągu ochrona cyberprzestrzeni RP nie koncentruje się na teleinformatycznej infrastrukturze krytycznej;  Podjęte przez Prezesa UKE działania nie spowodowały poprawy w zakresie wykorzystania przepisów Prawa telekomunikacyjnego na potrzebę ochrony cyberprzestrzeni – w raporcie przekazanym przez UKE do MAiC za 2014 r., w skali całego kraju, wykazano 5 incydentów bezpieczeństwa IT;
 • 20. Działania podjęte przez poszczególne podmioty cd.  NASK kontynuuje aktywność związaną z prowadzeniem Zespołu CERT Polska oraz m.in. działalnością szkoleniowo- edukacyjną, natomiast działania te są ograniczone uwarunkowaniami ekonomicznymi;  Agencja Bezpieczeństwa Wewnętrznego realizuje zadania związane z funkcjonowaniem Zespołu CERT.GOV.PL., rozbudową systemu ARAKIS i działalnością szkoleniową, jednak zakres tych działań jest ograniczony statusem prawnym i specyfiką funkcjonowania Agencji.
 • 21. Działania podjęte przez MAiC Analiza działań podejmowanych przez MAiC od momentu zakończenia kontroli pozwala stwierdzić, że:  Minister nie zrealizował żadnego z wniosków skierowanych do niego w wystąpieniu pokontrolnym;  kontynuowane są działania, które już wcześniej nie przynosiły oczekiwanych rezultatów związane z próbami wdrażania wadliwego dokumentu, jakim jest „Polityka” oraz ogólnikowego „Planu działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP”;  Minister nadal nie sprawuje realnej koordynacji, czego skutkiem są niespójne działania poszczególnych podmiotów zaangażowanych w ochronę cyberprzestrzeni.
 • 22. Działania podjęte przez MAiC cd. Minister nie wsparł inicjatyw innych podmiotów podjętych w wyniku przeprowadzonej przez NIK kontroli, tj.:  propozycji RCB zmierzających do zapewnienia spójnej metodyki szacowania ryzyka wykorzystywanej w ramach ochrony cyberprzestrzeni i zarządzania kryzysowego oraz zmodyfikowania kryteriów identyfikacji infrastruktury krytycznej w celu skutecznego oznaczania jej komponentów teleinformatycznych;  propozycji UKE dotyczących zmian Prawa Telekomunikacyjnego w zakresie obowiązków informowania o incydentach bezpieczeństwa IT.
 • 23. Skutki kontroli Przeprowadzona kontrola nie spowodowała istotnych, pozytywnych zmian w zakresie działalności podmiotów państwowych związanych z ochroną cyberprzestrzeni. Nie został wyeliminowany żaden z kluczowych czynników paraliżujących aktywność państwa w tym obszarze. Podejmowane działania, tj. m.in. sposób przygotowania i próba wdrażania „Planu działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP” stanowią „kopię” wcześniejszych, nieskutecznych prac związanych z przygotowaniem „Polityki” z lat 2008-2013.
 • 24. Dalsza aktywność NIK  Informacja o wynikach kontroli została przekazana najważniejszym osobom i instytucjom w państwie.  NIK prowadzi obecnie kontrolę mającą na celu sprawdzenie bezpieczeństwa danych, przetwarzanych w systemach teleinformatycznych wykorzystywanych do realizacji istotnych zadań publicznych.  Rozważane jest przeprowadzenie w MAiC i innych podmiotach realizujących zadania związane z ochroną cyberprzestrzeni kontroli sprawdzającej.
 • 25. Podsumowanie Czy naprawdę musi wydarzyć się coś tragicznego, aby nasze państwo zaczęło realizować swoje zadania w zakresie ochrony cyberprzestrzeni?
 • 26. Dziękuję za uwagę! www.nik.gov.pl/kontrole/P/14/043/

Related Documents