Liczba incydentów cyberbezpieczeństwa rośnie lawinowo
Badania statystyczne NIK-u nie odkryły Ameryki w temacie tego, ile korzystamy z Internetu. 88% badanych Polaków korzysta z Internetu, a 64% osób spędza w sieci więcej niż godzinę dziennie. Od czasu pandemii z Internetu korzystamy coraz więcej i to tutaj przenieśliśmy załatwianie wielu codziennych spraw. Od rozrywki, przez zakupy, po pracę, kontakty, do spraw urzędowych i bankowych. A to tylko zachęca oszustów do wzmożonej aktywności.
Z analiz KPRM w latach 2019 – 2021 wynika, że liczba ataków internetowych stale rośnie. A konkretnie:
- 2019 rok – ok 68 tys. zgłoszeń cyberprzestępstw w tym ponad 48 tys. oszustw internetowych, Policja jako przestępstwa zakwalifikowała odpowiednio 53 tys. i 37 tys.
- 2020 rok – ok 69 tys. zgłoszonych cyberprzestępstw, w tym ponad 49 tys. oszustw, jako przestępstwo zakwalifikowano ok 55 tys. i 39 tys.
- 2021 rok (do października) – pl 59 tys. zgłoszonych cyberprzestępstw, w tym prawie 38 tys. oszustw, w tym czasie Policja zanotowała ok 64 tys. zgłoszeń, w tym ok 47 tys. oszustw internetowych.
W 2019 roku w NASK został powołany Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT. Na podstawie analizy zgłoszeń w 2021 roku określił on dominujące trendy zagrożeń:
- Kampanie dotyczące ogłoszeń w serwisie OLX.
- Kradzież danych uwierzytelniających na Facebooku.
- Kampanie phishingowe podszywające się pod dostawców energii i firmy kurierskie.
- Kampanie SMS w tematyce COVID-19.
W 2022 roku doszedł do tego spoofing, czyli podszywanie się pod numery telefonów osób i instytucji. Tego okresu raport NIK już nie obejmuje.
Uczestnicy sondażu NIK, którzy zgłosili cyberprzestępstwo, w 85% zostało z niczym, bo sprawa została umorzona. Tylko w 2% przypadków udało się doprowadzić do wykrycia i skazania sprawcy lub odzyskania utraconych w wyniku oszustwa pieniędzy.
Czytaj też: Rząd chce naciągnąć operatorów? SMS-y za miliardy złotych
Jak radzić sobie z cyberzagrożniem? Samodzielnie, bo minister cyfryzacji i pełnomocnik rządu do spraw cyberbezpieczeństwa umywają ręce
Z badań i ankiet NIK wynika, że Polacy nie wiedzą, co zrobić w przypadku cyberataku. Nic w tym dziwnego, bo praktycznie nie są prowadzone żadne kampanie informacyjne, które pokazywały ścieżkę postępowania lub organy, od których można uzyskać pomoc, jak choćby NASK.
Sprawę można zgłosić na Policję i… liczyć na cud. Z informacji NIK-u wynika, że w grudniu 2021 roku tylko 305 funkcjonariuszy Policji (0,33% etatów) było wyspecjalizowanych w zwalczaniu przestępczości komputerowej. Policjantom brakuje podstawowej wiedzy dotyczącej np. zabezpieczenia materiału dowodowego. Jednym z problemów jest brak odpowiedniego finansowania i zawiłości strukturalne i organizacyjne. Wydziały do walki z cyberprzestępczością nie podlegały pod Biuro do Walki z Cyberprzestępczością Komendy Głównej Policji, a pod komendantów wojewódzkich. Reakcją na problemy było powołanie Centralnego Biura Zwalczania Cyberprzestępczości (CBZC), które do końca 2025 roku ma zatrudniać 1800 specjalistów.
Logicznym wydaje się, że o cyberbezpieczeństwo obywateli powinien dbać minister cyfryzacji i pełnomocnik rządu do spraw cyberbezpieczeństwa, czyli premier Mateusz Morawiecki i wiceminister Janusz Cieszyński. Wynika to wprost z Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Zdaniem obu Panów to… nie należy do ich obowiązków. A może wynika to z tego, że tych obowiązków jest w KPRM za dużo?
Czytaj też: Lex Pilot i inwigilacja w Prawie Komunikacji Elektronicznej. Gorące obrady Komisji Cyfryzacji
Dużo osób na stanowiskach, specjalistów i działań brak
W marcu 2022 roku został uruchomiony system informatyczny S46. Miał on zajmować się zgłaszaniem i obsługą incydentów cyberbezpieczeństwa, szacowaniu ryzyka i ostrzeganiem o zagrożeniach. Do systemu miało być podłączonych, według KPRM, ok 350 podmiotów. Z kontroli NIK wynika, że w ciągu roku od uruchomienia podłączonych został zaledwie 14 z nich.
System kosztował nas 9,8 mln zł. A mówimy tylko o budowie i uruchomieniu. Jego utrzymanie i rozwój w 2021 roku to kolejne ok 6,3 mln zł, a plany na 2022 roku zakładały wydatki na poziomie ok 9,5 mln zł. Tymczasem kontrola NIK ujawnia, że w KPRM znajduje się JEDEN terminal do obsługi systemu S46, którego użytkownikiem był dyrektor Departamentu Cyberbezpieczeństwa. Z kolei sam samego systemu nie można realnie wykorzystać do tego, do czego został stworzony.
W samym Departamencie na koniec 2021 roku pracowało 21 osób, co zdaniem samego Pełnomocnika Rządu utrudniało lub uniemożliwiało rzetelne analizowanie problemów cyberbezpieczeństwa. Co nie przeszkadzało KPRM w utworzeniu Biura Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, w którym do pracy kancelaryjno-biurowej zatrudnionych kolejnych 17 osób, które nie posiadały specjalistycznego wykształcenia.
To tylko utwierdza nas w przekonaniu, jak złą decyzją była likwidacja Ministerstwa Cyfryzacji. Skumulowanie całej administracji wokół premiera i KPRM było przejawem nieufności pomiędzy frakcjami w rządzie i chęcią skupienia władzy wokół jednej instytucji. Zatrudnienie rosło, stołków przybywało, wydatki rosną, a specjalistów jak nie było, tak nie ma. W efekcie nikt nie potrafi zająć się sprawami ważnymi z punktu widzenia szeroko pojętej cyfryzacji. Aukcja częstotliwości 5G zalicza właśnie trzyletnie opóźnienie, dbanie o cyberbezpieczeństwo leży. Chyba że jako sukces uznamy stworzenie kilkunastu wersji projektu nowelizacji Ustawy o Krajowym Systemie Bezpieczeństwa i żaden z nich od ponad dwóch lat nie został przyjęty.
Jedynym faktycznym i skutecznym działaniem było wprowadzenie ustawy usprawniającej walkę z oszustwami telekomunikacyjnymi. Bardzo ważnej i potrzebnej, ale jedna jaskółka wiosny nie czyni.