Najwięcej przestępstw internetowych dotyka „zwykłych” obywateli, jednak w ostatnich latach byli oni pomijani przez krajowy system cyberbezpieczeństwa. To wnioski z raportu Najwyższej Izby Kontroli (NIK).
Liczba ataków internetowych stale rośnie. Szczególnie częste są oszustwa wymierzone w osoby fizyczne, zwłaszcza phishing i kradzież tożsamości. Kontrola przeprowadzona przez NIK wykazała, że mimo to w latach 2019-2021 krajowy system cyberbezpieczeństwa koncentrował się wyłącznie na wzmocnieniu ochrony instytucji i przedsiębiorstw uznawanych za ważne dla państwa. Na pomoc mogły więc liczyć urzędy, koleje czy służba zdrowia, które i tak miały własne wyspecjalizowane służby informatyczne. Natomiast indywidualni użytkownicy musieli radzić sobie sami.
Brak pomocy dla obywateli
Minister Cyfryzacji i Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa tłumaczą brak reakcji tym, że zapewnienie ochrony w sieci wszystkim obywatelom nie jest ich obowiązkiem. Opinia NIK jest jednak inna. Z ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz z ustawy o działaniach administracji rządowej wynika, że państwo ma chronić dane osobowe oraz dbać o cyberbezpieczeństwo w wymiarze cywilnym.
Czytaj także: Finanse narażone na atak. Branża odkryta przed cyberprzestępcami
Tymczasem dla zwykłych użytkowników nie przygotowano nawet oficjalnych informacji na temat zagrożeń i rekomendowanych środków ochrony. Działania edukacyjne w tym zakresie były prowadzone nierzetelnie i nie docierały do adresatów. Potwierdziły to wyniki sondażu zleconego przez NIK. Większość badanych nie wiedziała, co zrobić ani gdzie szukać pomocy; mało kto zgłaszał przestępstwo policji pomimo poniesionych strat wizerunkowych i materialnych. Ostrzeżenia o trwających atakach internauci otrzymywali głównie od banków.
Nie ma się czym chwalić
NIK zgłosiła także zastrzeżenia wobec zarządzania systemem informatycznym S46. Jego celem miało być zgłaszanie i obsługa zdarzeń zagrażających cyberbezpieczeństwu. Miał ostrzegać o zagrożeniach i szacować ryzyko. Jednak w marcu 2022 r., rok po jego uruchomieniu, było do niego podłączonych zaledwie 14 z planowanych 350 podmiotów. Kancelaria Prezesa Rady Ministrów (KPRM) dysponowała w tym czasie zaledwie jednym, użyczonym terminalem, który miał tylko jednego użytkownika – dyrektora Departamentu Cyberbezpieczeństwa. Zdaniem NIK obecna nieużyteczność systemu stwarza ryzyko niegospodarnego zarządzania środkami publicznymi, gdyż na system przeznaczono niemało pieniędzy, a planowane są kolejne wydatki.
W kwestii skuteczności organów państwa w zwalczaniu cyberprzestępczości – zaledwie 2 proc. spraw zakończyło się skazaniem przestępcy i odzyskaniem utraconych pieniędzy. W latach 2019-2021 brakowało ludzi, środków, oprogramowania i sprzętu do walki z cyberatakami. Nie było także jasnych procedur postępowania. Co prawda wytyczne opracowała Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (NASK-PIB), jednak niewielu internautów wie, że to w tej instytucji może szukać wsparcia.
Co nam grozi?
W 2019 r. powołano Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT. Działalność prowadzona przez CIRIT NASK w 2021 r. pozwoliła zidentyfikować dominujące zagrożenia. Są to powtarzające się kampanie podszywania się pod serwis OLX, kradzieże danych uwierzytelniających do kont na Facebooku, kampanie phishingowe podszywające się pod kurierów i dostawców energii oraz serie SMS na tle pandemii COVID-19.
Co teraz?
Kontrola NIK wykazała pilną potrzebą stworzenia skutecznego systemu ochrony zwykłych obywateli. Niezbędne są także działania edukacyjne w zakresie cyberbezpieczeństwa oraz sposobu postępowania w przypadku cyberataku. NIK proponuje uregulowanie w ustawie o krajowym systemie cyberbezpieczeństwa tematu indywidualnych użytkowników internetu. Zamierza przygotować i przedstawić Radzie Ministrów projekt modyfikacji Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024 oraz Planu działań na rzecz jej wdrożenia.
W planach jest także przygotowanie jednolitego modelu edukacyjnego dla obywateli oraz stworzenie oficjalnego państwowego serwisu informującego o zagrożeniach, trwających kampaniach oraz zaleceniach i wytycznych postępowania w razie ataków czy zasadach cyberhigieny. Celem staje się także usprawnienie procesu przyjmowania zgłoszeń od obywateli i instytucji.