Najwyższa Izba Kontroli zajęła się badaniem bezpieczeństwa w Internecie, a dokładnie sprawdzeniem, w jaki sposób administracja państwowa zarządza ryzykiem związanym z zagrożeniami występującymi w cyberprzestrzeni RP. Kontrolą objęto okres od początku 2008 roku do dnia zakończenia czynności kontrolnych.
Do badania wytypowano te podmioty, którym przypisano kluczowe zadania związane z bezpieczeństwem teleinformatycznym państwa, tj.: Ministerstwo Administracji i Cyfryzacji, Agencję Bezpieczeństwa Wewnętrznego, Ministerstwo Obrony Narodowej, Ministerstwo Spraw Wewnętrznych, Naukową i Akademicką Sieć Komputerową, Urząd Komunikacji Elektronicznej, Rządowe Centrum Bezpieczeństwa oraz Komendę Główną Policji.
Ocena NIK
W raporcie pokontrolnym z dnia 23 czerwca 2015 roku pt. „Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej”, NIK oceniła negatywnie realizację zadań podmiotów państwowych w zakresie ochrony cyberprzestrzeni RP.
Przyczyną zidentyfikowanych zaniedbań był fakt, iż kierownictwo najważniejszych instytucji publicznych nie było świadome niebezpieczeństw związanych z funkcjonowaniem cyberprzestrzeni oraz wynikających z tego faktu nowych zadań administracji państwowej. Owa nieświadomość przełożyła się m.in. na brak spójnych i systemowych działań, mających na celu monitorowaniei przeciwdziałanie zagrożeniom występującym w cyberprzestrzeni oraz minimalizowanieskutków incydentów, brak oszacowania ryzyk dla krajowej infrastruktury teleinformatycznej oraz wypracowanianarodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszącychbezpieczeństwo teleinformatyczne, brak struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, brak określenia obowiązków i uprawnień jego uczestników oraz przydzielenia zasobówniezbędnych do skutecznej realizacji zadań, brak procedur reagowania w sytuacjach kryzysowych związanychz cyberprzestrzenią.
Kto ponosi odpowiedzialność?
Najwyższa Izba Kontroli wskazała wprost, że odpowiedzialność za ustalony w toku kontroli brak, w latach 2008-2014, systemowych działań w zakresie ochrony cyberprzestrzeni RP ponoszą osoby kierujące w tym okresie podmiotami realizującymi zadania związane z bezpieczeństwem teleinformatycznym państwa. W ocenie NIK, istotnym czynnikiem wpływającym negatywnie na realizację zadań w tym obszarze, było także niewystarczające zaangażowanie najwyższego kierownictwa administracji rządowej, w tym w szczególności Prezesa Rady Ministrów. Było ono szczególnie potrzebne do rozstrzygania kwestii spornych między poszczególnymi urzędami, ujawnionych w trakcie konsultacji międzyresortowych kolejnych rządowych projektów narodowej strategii ochrony cyberprzestrzeni oraz zapewnienia współdziałania organów i instytucji związanych z bezpieczeństwem teleinformatycznym państwa.
Źródło: NIK