W wielu polskich instytucjach publicznych bezpieczeństwo informacji jest na dramatycznym poziomie

Z podejściem do cyberbezpieczeństwa w Polsce jest tak, jak było z nastawieniem do urzędowych rozkazów wachmistrza Flanderki w ekranizacji „Przygód dobrego wojaka Szwejka”. Gdy inspektor odkrył, że wszystkie rozkazy leżą na posterunku nierozpieczętowane, wachmistrz wyjaśnił, że niczego nie otwierał, bo przecież pieczęć urzędowa to rzecz święta.

Słuchając diagnoz ekspertów, którzy 12 czerwca podczas kolejnego spotkania GovTech Klubu w Warsaw Spire dyskutowali o bezpieczeństwie infrastruktury IT w polskim sektorze publicznym, można było odnieść wrażenie, że tę sferę naszej rzeczywistości miejscami przenika duch opowieści Haška .

Zmarnowane szanse

Nie wykorzystaliśmy szansy, jaką niosło ze sobą wprowadzenie RODO – stwierdziła Joanna Karczewska ze stowarzyszenia ISACA Warsaw. – Mogliśmy zainteresować cyberbezpieczeństwem kadrę kierowniczą, ale całe bogactwo RODO zostało przejęte przez prawników i sprowadzone do kwestii odpowiednich klauzul. Kwestia środków technicznych i organizacyjnych, o których mowa w rozporządzeniu, została zmarginalizowana. Efekt? Powszechne zmęczenie RODO, które jest traktowane jak uciążliwy obowiązek.

Magdalena Wrzosek z Naukowej i Akademickiej Sieci Komputerowej (NASK) przedstawiła główne wątki raportu „Cyberbezpieczeństwo A.D. 2018”. Jej zdaniem RODO powinno być rozpatrywane łącznie z Ustawą o krajowym systemie cyberbezpieczeństwa, bo to kwestia bardziej technologiczna niż prawna. Tyle że nad Wisłą wciąż dominuje to drugie podejście.

Unijna dyrektywa NIS (Network and Information Systems Directive), zwróciła uwagę Wrzosek, zobowiązywała państwa członkowskie do wdrożenia odpowiednich przepisów do maja ubiegłego roku. W Polsce Ustawa o krajowym systemie cyberbezpieczeństwa została przyjęta dopiero w lipcu 2018 r. i pozostała ewidentnie w cieniu RODO.

Wrzosek podkreśliła, że niektóre zapisy ustawy nie znajdują praktycznego odzwierciedlenia w rzeczywistości. Choć umożliwia ona na przykład powołanie sektorowych zespołów cyberbezpieczeństwa, na razie w Polsce nie powstał ani jeden taki zespół.

Podobnie wygląda aktywność kolegium ds. cyberbezpieczeństwa, które utworzono na mocy jednego z rozporządzeń do ustawy. Od chwili powołania w październiku 2018 r. gremium to jeszcze się nie zebrało.

Żywioły jak hakerzy

W polskich instytucjach publicznych bezpieczeństwo informacji stoi na bardzo niskim poziomie, ocenił Krzysztof Szmigielski ze Szpitala Wolskiego w Warszawie. Nie może być inaczej, skoro wiele instytucji niższego szczebla wciąż nie przeszło informatyzacji z prawdziwego zdarzenia, a w niektórych używa się przestarzałych, niewspieranych przez producentów systemów operacyjnych. Największym problemem jest jednak świadomość użytkowników, przekonywał Szmigielski. Przypomina to wnioski z niedawnego raportu Najwyższej Izby Kontroli o zarządzaniu bezpieczeństwem informacji w jednostkach samorządu terytorialnego.

Zdaniem Joanny Karczewskiej, w Polsce dopiero dorastamy do rozumienia znaczenia cyberbezpieczeństwa. Świadomość, że IT to infrastruktura krytyczna, podobnie jak gazociągi czy ropociągi, dociera do nas powoli i z oporami. Powinniśmy też pamiętać, że zagrożenia związane z żywiołami, jak powodzie, pożary czy pioruny, mogą mieć dla cyberbezpieczeństwa równie opłakane skutki jak ataki hakerów.

Nieco uwagi poświęcono też bezpieczeństwu technologii mobilnych. Paweł Burakowski z Samsung R&D Institute zaznaczył, że w sieci 5G na kilometr kwadratowy przypadać będzie nawet do miliona urządzeń, a w takiej sytuacji zagrożenie cyberatakiem gwałtownie wzrośnie. Dlatego szczególnie mocno trzeba zadbać o bezpieczeństwo urządzeń mobilnych, z których korzystają pracownicy firm.

Nasza chata z kraja

Opublikowany przez amerykański Future Today Institute raport „Tech Trends Report 2019” wymienia 16 kryteriów, wedle których oceniano światowe metropolie pod względem bycia tzw. inteligentnym miastem. Obok sieci 5G, otwartych danych czy inteligentnych systemów zarządzania ruchem i dostawami energii wymieniono także aktywne działanie instytucji na rzecz bezpieczeństwa informatycznego.

W rankingu znalazło się 50 miast z całego świata, które uznano za najbardziej smart. Ponad połowa z nich leży w Europie. Pierwsze miejsce przypadło Kopenhadze. Polskich miast na tej liście nie było.