„Obywatelu, przed cyberatakiem broń się sam” – tak tytułuje Najwyższa Izba Kontroli informację przedstawiającą wyniki kontroli „Działania państwa w zakresie zapobiegania i zwalczania skutków wybranych przestępstw internetowych”. NIK przeprowadziła kontrolę w Kancelarii Prezesa Rady Ministrów, a także w Komendzie Głównej Policji oraz w NASK-PIB. Kontrolowany okres to lata 2019 -2021.
NIK ocenia, że przedstawiciele rządu odpowiedzialni za obszar cyberbezpieczeństwa nie podejmują działań chroniących obywateli przed przestępstwami w internecie. Zdaniem kontrolerów, na wsparcie państwa mogły liczyć np. urzędy, koleje czy służba zdrowia mające wyspecjalizowane służby informatyczne, gdy tymczasem indywidualni użytkownicy internetu byli pozostawieni sami sobie – bez aktualnych i pochodzących z oficjalnych źródeł informacji na temat zagrożeń oraz rekomendowanych środków ochrony. Nie docierały do nich także działania edukacyjne nierzetelnie prowadzone, zdaniem Izby, przez Ministra Cyfryzacji. Potwierdziły to wyniki badania sondażowego zleconego przez NIK. Pokazały one, że użytkownicy sieci nie wiedzą co robić, ani gdzie się zgłosić, gdy staną się ofiarami ataku cyberprzestępców.
Brak reakcji na zagrożenia, w obliczu których stawali indywidualni użytkownicy internetu, Minister Cyfryzacji i Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa tłumaczyli tym, że zapewnienie bezpieczeństwa w sieci nie należy do ich obowiązków. Innego zdania jest NIK. W jej opinii, taki obowiązek wynika m.in. z ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Zastrzeżenia Izby dotyczą także zarządzania przez Ministra Cyfryzacji i Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa systemem informatycznym S46. Został on stworzony m.in. po to, by umożliwić zgłaszanie i obsługę incydentów. Jednak rok po uruchomieniu systemu – w marcu 2022 r. – było do niego podłączonych zaledwie 14 z około 350 podmiotów, które według Kancelarii Prezesa Rady Ministrów (KPRM) miały go tworzyć. W trakcie kontroli prowadzonej przez Izbę, KPRM dysponowała jednym i to użyczonym terminalem do obsługi systemu S46, a jego użytkownikiem był wyłącznie Dyrektor Departamentu Cyberbezpieczeństwa. Tymczasem wydatki związane z budową i uruchomieniem tego systemu wyniosły 9,8 mln zł, koszty jego utrzymania i rozwoju w 2021 r. - ok. 6,3 mln zł (na 2022 r. planowano wydatki na poziomie 9,5 mln zł).
Nie napawają optymizmem również dane dotyczące skuteczności organów państwa w zwalczaniu przestępczości w internecie. Uczestnicy badania NIK zadeklarowali, że 85 proc. cyberataków, które zgłosili zakończyło się umorzeniem. Tylko w przypadku 2 proc. spraw doszło do wykrycia i skazania sprawcy lub odzyskania pieniędzy.
Pierwszym miejscem, w którym indywidualni użytkownicy internetu szukają pomocy po cyberataku jest policja. Kontrola przeprowadzona przez NIK pokazała jednak, że w grudniu 2021 r. w całym kraju zatrudnionych było zaledwie 305 funkcjonariuszy wyspecjalizowanych w zwalczaniu przestępczości komputerowej (0,33 proc. wszystkich etatów w policji). Wielu policjantów nie miało nawet podstawowej wiedzy, która umożliwiłaby sprawne przyjmowanie zgłoszeń i skuteczne zabezpieczenie materiału dowodowego.
W badanym okresie do ograniczeń kadrowych i dużej rotacji pracowników dochodziło także w Departamencie Cyberbezpieczeństwa Kancelarii Premiera. Na koniec 2021 r. zatrudnionych było tam 21 osób, co jak przyznał sam Pełnomocnik Rządu utrudniało bądź wręcz uniemożliwiało rzetelne realizowanie zadań z zakresu cyberbezpieczeństwa. Mimo to, w tym samym czasie w KPRM utworzono Biuro Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, w którym do obsługi kancelaryjno-biurowej zatrudniono 17 osób.
W ocenie NIK przeprowadzona kontrola pokazała konieczność wprowadzenia rozwiązań systemowych, które przed skutkami działalności cyberprzestępców ochronią indywidualnych użytkowników internetu. Niezbędne jest również poszerzenie ich wiedzy na temat grożących w sieci niebezpieczeństw i miejsc, w których mogą szukać pomocy, gdy staną się ofiarą tego rodzaju przestępstw. W związku z tym, najważniejsze wnioski NIK wynikające z kontroli i propozycje działań naprawczych to:
- Uregulowanie w ustawie o krajowym systemie cyberbezpieczeństwa, tematyki bezpieczeństwa indywidualnych użytkowników internetu.
- Przygotowanie i przedstawienie Radzie Ministrów projektów modyfikacji Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024 oraz Planu działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa.
- Wdrożenie jednolitego modelu edukowania obywateli na temat bezpieczeństwa w sieci oraz stworzenie rozpoznawalnego, oficjalnego, państwowego serwisu, zawierającego łatwo dostępne informacje na temat zagrożeń cyberbezpieczeństwa, trwających kampanii, a także zaleceń i dobrych praktyk z zakresu „cyberhigieny”.
- Usprawnienie procesu przyjmowania zgłoszeń obywateli i instytucji w sprawie przestępstw internetowych.
