Rząd ma wiele obowiązków względem obywateli, bez względu na to, czy popierają oni partię rządzącą, czy nie. W tym przypadku PiS uważa jednak, że nie musi dbać o cyberbezpieczeństwo Polaków, podczas gdy Najwyższa Izba Kontroli ma zupełnie inne zdanie na ten temat. Co NIK wytknął rządzącym? I co na to PiS?
Według NIK rząd PiS nie dba o cyberbezpieczeństwo obywateli Polski
Najwyższa Izba Kontroli przeanalizowała działania państwa w zakresie zapobiegania i zwalczania skutków wybranych przestępstw internetowych (w latach 2019-2021). Jak już zapewne się domyśliliście – nie jest/było dobrze. Według NIK w latach 2019-2021 krajowy system cyberbezpieczeństwa pomijał zwykłych obywateli, chociaż stanowią oni najliczniejszą grupę użytkowników sieci. I pomimo że monitoring zagrożeń i analizy zlecone przez Ministra Cyfryzacji oraz Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa wyraźnie wykazywały, że to właśnie oszustwa komputerowe wymierzone w osoby fizyczne dominują w internecie, zwłaszcza phishing i kradzież tożsamości.
Najwyższa Izba Kontroli wprost mówi, że indywidualni użytkownicy internetu byli pozostawieni sami sobie – bez aktualnych i pochodzących z oficjalnych źródeł informacji na temat zagrożeń oraz rekomendowanych środków ochrony. Co więcej, NIK uważa, że działania edukacyjne na temat cyberbezpieczeństwa były nierzetelnie prowadzone przez Ministra Cyfryzacji i w większości nie docierały do obywateli.
Minister Cyfryzacji i Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa stoją na stanowisku, że zapewnienie obywatelom bezpieczeństwa w sieci nie należy do ich obowiązków. Najwyższa Izba Kontroli uważa inaczej – według NIK taki obowiązek wynika z ustawy o Krajowym Systemie Cyberbezpieczeństwa, a także z ustawy o działach administracji rządowej, według której to właśnie Minister Cyfryzacji odpowiada za politykę państwa w zakresie ochrony danych osobowych oraz za bezpieczeństwo cyberprzestrzeni w wymiarze cywilnym.
Gdzie są pieniądze? PiS miał przepuścić prawie 26 mln złotych
W swoim raporcie NIK porusza też kwestię systemu informatycznego S46, który został stworzony m.in. po to, by umożliwić zgłaszanie i obsługę incydentów, a ponadto ma pomóc w szacowaniu ryzyka i ostrzegać o zagrożeniach. Rok po jego uruchomieniu, tj. w marcu 2022 roku, było jednak do niego podłączonych tylko 14 z około 350 podmiotów, które według Kancelarii Prezesa Rady Ministrów (KPRM) miały go tworzyć.
Budowa i uruchomienie systemu informatycznego S46 kosztowały 9,8 mln złotych, koszty jego utrzymania i rozwoju w 2021 roku ~6,3 mln złotych, a w 2022 roku planowano na niego przeznaczyć 9,5 mln złotych (w kolejnych latach podobne kwoty lub nawet większe). Najwyższa Izba Kontroli uważa, że dotychczasowe działania Ministra Cyfryzacji oraz Pełnomocnika Rządu związane z budową i rozwojem systemu S46 stworzyły ryzyko niegospodarnego wykorzystania znacznych środków publicznych.
NIK ujawnił również, że istnieje ogromny problem ze zgłoszonymi cyberprzestępstwami, bowiem w policji, a także w Kancelarii Prezesa Rady Ministrów obsługującej prace Ministra Cyfryzacji i Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa brakowało ludzi, pieniędzy, oprogramowania i sprzętu, co nie pozwalało na skuteczne zwalczanie i ograniczanie skutków przestępczości internetowej. Co więcej, nie stworzono jasnych procedur ani dla zgłaszających cyberatak użytkowników internetu, ani dla przyjmujących zgłoszenia policjantów.
Najwyższa Izba Kontroli podaje, że w grudniu 2021 roku w całym kraju zatrudnionych było tylko 305 funkcjonariuszy wyspecjalizowanych w zwalczaniu przestępczości komputerowej (0,33% wszystkich etatów w policji). Co więcej, wielu policjantów nie miało nawet podstawowej wiedzy, która umożliwiłaby sprawne przyjmowanie zgłoszeń i skuteczne zabezpieczenie materiału dowodowego.
Pomimo ogromnych pieniędzy, jakie poszły na system informatyczny S46, brakowało środków na zakup sprzętu i oprogramowania oraz inwestycje i organizację szkoleń w zakresie cyberbezpieczeństwa. Problemem były też zależności – wydziały do walki z cyberprzestępczością de facto były w praktyce niezależne od Biura do Walki z Cyberprzestępczością Komendy Głównej Policji, choć powinny ściśle z nim współpracować. Dobra wiadomość jest jednak taka, że ma powstać Centralne Biuro Zwalczania Cyberprzestępczości (CBZC), które do końca 2025 roku zatrudni 1,8 tys. odpowiedniej klasy specjalistów.
Co na to Cyfryzacja KPRM?
Cyfryzacja KPRM odniosła się do wyników kontroli NIK-u. Uważa ona, że publikowanie raportu z kontroli przeprowadzonej dwa lata wstecz ma na celu wprowadzenie opinii publicznej w błąd. Jednocześnie przypomniano o inicjatywach i rozwiązaniach, które mają zwiększyć bezpieczeństwo Polaków podczas korzystania z internetu. Wkrótce w aplikacji mObywatel pojawi się moduł, który pozwoli zastrzec PESEL – dzięki temu nikt nie zaciągnie zobowiązania finansowego na skradzioną tożsamość.
Ponadto PiS zamierza zobowiązać operatorów do blokowania SMS-ów wyłudzających dane (smishing) i połączenia głosowe, podczas których ktoś się podszywa pod inną osobę lub instytucję (spoofing). Cyfryzacja KPRM nie zgadza się też z zarzutem o nienależytym edukowaniu o zagrożeniach – według Cyfryzacji KPRM ich świadomość rośnie, o czym świadczy znaczący wzrost liczby zgłoszeń incydentów do CERT Polska: w 2021 roku przyjęto ich 116071, a w 2022 już 322479. Pomagają w tym liczne kampanie, skierowane do różnych grup docelowych, co ma zwiększyć ich skuteczność (zamiast jednej do wszystkich – NIK uważa, że przekazy trzeba ujednolicić, Cyfryzacja KPRM jest odmiennego zdania).
Odniesiono się też do zarzutu o niegospodarności – poinformowano, że system S46 nie służy bezpośrednio zwalczaniu cyberprzestępczości skierowanej przeciwko „indywidualnym użytkownikom internetu”, a środki, których wysokość podał w swoim raporcie NIK, zostały przeznaczone na budowę i utrzymanie systemu bezpiecznej sieci.