305 policjantów w Polsce zna się na przestępczości komputerowej, a system S46 za miliony nie służy do niczego

NIK opublikował swoje wnioski z kontroli systemów zapobiegania i zwalczania przestępstw internetowych w naszym kraju. Kontrola dotyczyła lat 2019-2021 i dopiero teraz urzędowi udało się opublikować z niej raport. NIK więc przez prawie 2 lata nie poinformował opinii publicznej o stwierdzonych nieprawidłowościach.

Według raportu w latach 2019-2021 krajowy system cyberbezpieczeństwa pomijał najliczniejszą grupę użytkowników sieci, czyli tzw. zwykłych obywateli , koncentrując się na wzmocnieniu ochrony instytucji i przedsiębiorstw uznawanych za kluczowe dla funkcjonowania państwa. Kontrola przeprowadzona przez NIK pokazała, że działo się tak, choć monitoring zagrożeń i analizy zlecone przez Ministra Cyfryzacji oraz Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa wyraźnie wykazywały, że to właśnie oszustwa komputerowe wymierzone w osoby fizyczne dominują w internecie, zwłaszcza phishing i kradzież tożsamości.

W badanym okresie na wsparcie państwa mogły więc liczyć np. urzędy, koleje czy służba zdrowia mające wyspecjalizowane służby informatyczne, gdy tymczasem indywidualni użytkownicy internetu byli pozostawieni sami sobie – bez aktualnych i pochodzących z oficjalnych źródeł informacji na temat zagrożeń oraz rekomendowanych środków ochrony. Nie docierały do nich także działania edukacyjne nierzetelnie prowadzone, zdaniem Izby, przez Ministra Cyfryzacji, co potwierdziły wyniki badania sondażowego zleconego przez NIK. Pokazały one, że użytkownicy sieci nie wiedzą co robić, ani gdzie się zgłosić, gdy staną się ofiarami ataku cyberprzestępców. Znaczna część spośród 404 ankietowanych, którzy znaleźli się w takiej sytuacji, nie zawiadomiła nawet policji, a niektórzy, mimo poniesionych strat wizerunkowych czy materialnych nie podjęli żadnych działań.

Brak reakcji na zagrożenia, w obliczu których stawali indywidualni użytkownicy internetu, Minister Cyfryzacji i Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa tłumaczyli tym, że zapewnienie obywatelom bezpieczeństwa w sieci nie należy do ich obowiązków. Innego zdania jest Najwyższa Izba Kontroli. W opinii NIK taki obowiązek wynika z ustawy o Krajowym Systemie Cyberbezpieczeństwa, a także z ustawy o działach administracji rządowej, według której to właśnie Minister Cyfryzacji odpowiada za politykę państwa w zakresie ochrony danych osobowych oraz za bezpieczeństwo cyberprzestrzeni w wymiarze cywilnym.

Zastrzeżenia Izby dotyczą także zarządzania przez Ministra Cyfryzacji i Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa systemem informatycznym S46. Został on stworzony m.in. po to, by umożliwić zgłaszanie i obsługę incydentów, czyli zdarzeń, które mają lub mogą mieć negatywny wpływ na cyberbezpieczeństwo. Ma także pomóc w szacowaniu ryzyka i ostrzegać o zagrożeniach. Jednak rok po uruchomieniu systemu – w marcu 2022 r. – było do niego podłączonych zaledwie 14 z około 350 podmiotów, które według Kancelarii Prezesa Rady Ministrów (KPRM) miały go tworzyć. W trakcie kontroli prowadzonej przez Izbę, KPRM dysponowała jednym i to użyczonym terminalem do obsługi systemu S46, a jego użytkownikiem był wyłącznie Dyrektor Departamentu Cyberbezpieczeństwa. Tymczasem wydatki związane z budową i uruchomieniem tego systemu wyniosły 9,8 mln zł, koszty jego utrzymania i rozwoju w 2021 r. - ok. 6,3 mln zł, na 2022 r. planowano wydatki na poziomie 9,5 mln zł, a w kolejnych latach podobne lub większe. Zdaniem NIK dotychczasowe działania Ministra Cyfryzacji oraz Pełnomocnika Rządu związane z budową i rozwojem systemu S46 stworzyły ryzyko niegospodarnego wykorzystania znacznych środków publicznych.

Uczestnicy badania sondażowego zleconego przez NIK zadeklarowali, że 85% cyberataków, które zgłosili nie zostało wyjaśnionych, zakończyło się umorzeniem postępowania lub utratą środków finansowych i danych. Tylko w przypadku 2% spraw doszło do wykrycia i skazania sprawcy lub odzyskania pieniędzy. Ta niewielka skuteczność nie dziwi, jeśli weźmie się pod uwagę wyniki kontroli. W badanym okresie w policji, a także w Kancelarii Prezesa Rady Ministrów obsługującej prace Ministra Cyfryzacji i Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa brakowało ludzi, pieniędzy, oprogramowania i sprzętu, co nie pozwalało na skuteczne zwalczanie i ograniczanie skutków przestępczości internetowej. Nie stworzono też jasnych procedur ani dla zgłaszających cyberatak użytkowników internetu, ani dla przyjmujących zgłoszenia policjantów. Takie wytyczne wypracowała Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (NASK-PIB), jednak niewielu internautów wie, że w przypadku cyberataku właśnie w tej instytucji można szukać wsparcia.

NIK przeprowadziła kontrolę w Kancelarii Prezesa Rady Ministrów, a także w Komendzie Głównej Policji oraz w NASK-PIB. Kontrolowany okres to lata 2019 -2021.

Z analiz przygotowanych dla Kancelarii Prezesa Rady Ministrów i Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa wynika, że w latach 2019-2021 nastąpił wzrost liczby incydentów komputerowych, w tym w szczególności oszustw i kampanii phishingowych wymierzonych w indywidualnych użytkowników internetu. W trakcie pandemii COVID-19 policja odnotowała wzrost wykorzystania domen internetowych służących m.in. do rejestracji fałszywych sklepów internetowych, dystrybucji złośliwego oprogramowania czy też kradzieży danych osobowych

Cyberprzestępstwa zgłoszone policji w badanym okresie:

• w 2019 r. - ok. 68 tys., w tym ponad 48 tys. oszustw internetowych,

• w 2020 r. - ok. 69 tys., w tym ponad 49 tys. oszustw internetowych,

• w 2021 r. (do października) - ok. 59 tys., w tym prawie 38 tys. oszustw internetowych.

Policja zakwalifikowała jako przestępstwa:

• w 2019 r. – ok. 53 tys., w tym ponad 37 tys. jako oszustwa internetowe,

• w 2020 r. – ok. 55 tys., w tym ok. 39 tys. jako oszustwa internetowe,

• w 2021 r. (do października) – ok. 64. tys., w tym ok. 47 tys. jako oszustwa internetowe.

Według NIK, mimo informacji o dominujących w cyberprzestrzeni zagrożeniach, Minister Cyfryzacji i Pełnomocnik Rządu nie widzieli konieczności podejmowania w tym zakresie jakichkolwiek działań. W efekcie bez pomocy państwa zostali indywidualni użytkownicy sieci, którym najtrudniej jest podjąć skuteczne działania zmniejszające ryzyko związane z funkcjonowaniem w internecie i ograniczające skalę strat w przypadku cyberataku. Z badania sondażowego przeprowadzonego na zlecenie NIK wynika, że przed zagrożeniami ostrzegały ich głównie banki.

Pierwszym miejscem, w którym indywidualni użytkownicy internetu szukają pomocy po cyberataku jest policja. Kontrola przeprowadzona przez NIK pokazała jednak, że w grudniu 2021 r. w całym kraju zatrudnionych było zaledwie 305 funkcjonariuszy wyspecjalizowanych w zwalczaniu przestępczości komputerowej (0,33% wszystkich etatów w policji). Wielu policjantów nie miało nawet podstawowej wiedzy, która umożliwiłaby sprawne przyjmowanie zgłoszeń i skuteczne zabezpieczenie materiału dowodowego. Nie stworzono też jasnych procedur ani dla zgłaszających przestępstwo użytkowników internetu, ani na przyjmujących zgłoszenia funkcjonariuszy.

Kolejny problem to niedofinansowanie. Mimo potrzeb, poszczególne jednostki policji rezygnowały z zakupów sprzętu i oprogramowania, a także z inwestycji czy z organizacji szkoleń w zakresie cyberbezpieczeństwa. Na to nakładały się jeszcze problemy strukturalne i organizacyjne – wydziały do walki z cyberprzestępczością podlegały komendantom wojewódzkim (a w przypadku Warszawy - Stołecznemu) i były w praktyce niezależne od Biura do Walki z Cyberprzestępczością Komendy Głównej Policji. W reakcji na te problemy, w KGP powstał pomysł utworzenia nowej jednostki - Centralnego Biura Zwalczania Cyberprzestępczości (CBZC), która ma zintegrować wydziały terenowe i zatrudnić do końca 2025 roku 1,8 tys. odpowiedniej klasy specjalistów. W ocenie NIK to działania celowe, ale obarczone ryzykami, które mogą negatywnie wpływać na proces formowania nowej jednostki. Izba dostrzega zwłaszcza problem z zatrudnieniem tak dużej liczby specjalistów w tak krótkim czasie.

W badanym okresie do ograniczeń kadrowych i dużej rotacji pracowników dochodziło także w Departamencie Cyberbezpieczeństwa Kancelarii Premiera. Na koniec 2021 r. zatrudnionych było tam 21 osób, co jak przyznał sam Pełnomocnik Rządu utrudniało bądź wręcz uniemożliwiało rzetelne realizowanie zadań z zakresu cyberbezpieczeństwa. Mimo to, w tym samym czasie w KPRM utworzono Biuro Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, w którym do obsługi kancelaryjno-biurowej zatrudniono 17 osób. Izba zgłosiła wątpliwości dotyczące celowości funkcjonowania tego biura, zwróciła też uwagę na fakt, że jego pracownicy nie mieli specjalistycznego wykształcenia, dzięki któremu mogliby stanowić wsparcie merytoryczne.

KPRM Cyfryzacja oczywiście ostro skrytykowała wnioski z raportu NIK:

Kontrola, której wyniki opublikowano 7 marca 2023 r. w raporcie NIK pt. „Działania państwa w zakresie zapobiegania i zwalczania skutków wybranych przestępstw internetowych, w tym kradzieży tożsamości” została przeprowadzona dwa lata temu. Wnioski z niej nie obejmują zasadniczych zmian w obszarze legislacji ani podejmowanych działań, które zostały zintensyfikowane w ostatnim czasie. (...)

Publikowanie raportu z kontroli przeprowadzonej dwa lata wstecz ma na celu wprowadzenie opinii publicznej w błąd. Takie przedstawienie sprawy jest nieuczciwe przede wszystkim w stosunku do obywateli, którzy są utwierdzani w przekonaniu, że w sytuacji zagrożenia, które może czyhać na nich w sieci, są pozostawieni bez pomocy, co nie jest prawdą. Przypominamy, że zarówno pandemia, jak i wojna w Ukrainie, których tragiczny wymiar jest niezaprzeczalny, zapoczątkowały także rewolucję cyfrową i zapotrzebowanie na usługi cyfrowe na niespotykaną do tej pory skalę. Dynamiczny rozwój cyberprzestrzeni wiąże się jednak z coraz większą liczbą zagrożeń dla użytkowników.(...)