Jak zaznaczono podczas konferencji prasowej, na której przedstawiono efekty kontroli prowadzonej przez Najwyższą Izbę Kontroli, widać, że na przestrzeni ostatnich 10 lat świadomość administracji i organów państwowych w zakresie konieczności działań związanych z cyberbezpieczeństwem wyraźnie wzrosła. Nie oznacza to jednak, że wszystkie problemy są rozwiązane – zwłaszcza, że cyberprzestępcy wciąż zmieniają metody działania.
Czytaj w LEX: Nowe środki w zakresie cyberbezpieczeństwa (dyrektywa NIS 2) >
Jak wskazał NIK, w latach 2019- 2021 nastąpił wyraźny skok liczby przestępstw typu phising – i jest to nadal jednym z większych wyzwań. Problem tkwi również w tym, że brakuje w polskim prawie kompleksowych regulacji prawnych i definicji – dwa istotne projekty są obecnie dopiero w trakcie procedowania, a implementacja dyrektyw unijnych nie zawsze jest wystarczająca.
Czytaj w LEX: Cyfrowy onboarding >
Czytaj też: Samorządy w niebezpieczeństwie, bo nie stać ich na cyberspecjalistów >>
Brak konkretów, brak specjalistów
Głównym celem kontroli prowadzonej przez NIK było zbadanie, czy organy państwowe prowadzą działania nakierowane na zwalczanie cyberprzestępczości oraz jej zapobiegania. Skontrolowano najważniejsze organy państwowe, m. in. ministra cyfryzacji, Pełnomocnika Rządu ds. Cyberbezpieczeństwa czy Komendanta Głównego Policji. Wnioski? Nadal jest sporo do poprawy. NIK zwraca uwagę zwłaszcza na to, że nawet w momencie, gdy tworzono wytyczne lub ramy działań, brakowało w nich konkretów. Bolączką zarówno Policji, jak i Kancelarii Prezesa Rady Ministrów były też braki zasobów kadrowych, finansowych i sprzętowych. Organy państwowe nie analizowały też, czy prowadzone przez nich działania (np. edukacyjne) docierają do użytkowników i przynoszą efekty.
Czytaj w LEX: RODO w IT: atak hakerski a ochrona danych osobowych >
Indywidualni użytkownicy całkowicie pominięci
Głównym zarzutem sformułowanym przez NIK było natomiast to, że organy państwowe niemal całkowicie pomijały w swoich działaniach ochronę osób fizycznych i nie reagowała na bieżące zagrożenia – uznając, że jest to poza obszarem ich kompetencji i skupiając się jedynie na ochronie systemów państwowych. Wciąż jednym z poważniejszych problemów jest brak zapewnienia jednolitych procedur zgłaszania przestępstw internetowych. Jak wskazywał NIK, zlecone badania sondażowe pokazały, że obywatele, którzy spotkali się z przestępstwem popełnionym w Internecie (np. związanym z wyłudzeniem danych do konta bankowego) w wielu przypadkach nie mieli w ogóle świadomości, że powinni zgłosić się na policję. Zniechęcający jest również fakt, że przytłaczająca większość spraw – o ile w ogóle zostanie zgłoszona – kończy się niczym. Wciąż brakuje też skoordynowanych działań edukacyjnych.
Czytaj więcej w LEX: Poradnik ransomware >>>
Czytaj też: Krajowy system cyberbezpieczeństwa funkcjonuje, ale wymaga ulepszeń >>
Konieczne usprawnienie zgłaszania przestępstw
W rekomendacjach działań naprawczych NIK wskazał na najważniejsze propozycje zmian. Przede wszystkim, konieczne jest stworzenie jednolitych procedur dotyczących przyjmowania zgłoszeń dotyczących cyberprzestępczości na policji. Istotne jest też edukowanie obywateli z zakresu zagrożeń internetowych. Niewątpliwie konieczne jest też uregulowanie tematyki bezpieczeństwa indywidualnych użytkowników Internetu w ustawie o krajowym systemie cyberbezpieczeństwa.
Czytaj też w LEX:
Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa >>>
Ochrona danych osobowych w chmurze obliczeniowej w zakresie cyberbezpieczeństwa >
Cyberbezpieczeństwo czy cyberruletka? >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
