text_structure.xml
82.7 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
<?xml version='1.0' encoding='UTF-8'?>
<teiCorpus xmlns:xi="http://www.w3.org/2001/XInclude" xmlns="http://www.tei-c.org/ns/1.0">
<xi:include href="PPC_header.xml"/>
<TEI>
<xi:include href="header.xml"/>
<text>
<body>
<div xml:id="div-1">
<u xml:id="u-1.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dzień dobry państwu. Otwieram posiedzenie Komisji Innowacyjności i Nowoczesnych Technologii. Witam państwa posłów. Witam zaproszonych gości.</u>
<u xml:id="u-1.1" who="#PrzewodniczacyposelWitoldCzarnecki">Porządek dzisiejszego posiedzenia to rozpatrzenie informacji Najwyższej Izby Kontroli o wynikach kontroli realizacji przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej. Powyższy porządek i materiały członkowie Komisji otrzymali. Czy są uwagi do porządku dziennego? Nie słyszę. Stwierdzam, że Komisja przyjęła porządek dzienny posiedzenia bez zmian. Przystępujemy zatem do jego realizacji. Proszę uprzejmie o przedstawienie informacji przedstawiciela NIK, wicedyrektora Departamentu Porządku i Bezpieczeństwa Wewnętrznego pana Tomasza Sordyla. Proszę uprzejmie.</u>
</div>
<div xml:id="div-2">
<u xml:id="u-2.0" who="#WicedyrektorDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNajwyzszejIzbyKontroliTomaszSordyl">Dzień dobry państwu. Dziękuję bardzo za zaproszenie na dzisiejsze posiedzenie Komisji. Razem ze mną są pan Paweł Gibuła – doradca ekonomiczny w Departamencie Porządku i Bezpieczeństwa Wewnętrznego, koordynator tej kontroli oraz pan Adam Zakrzewski – główny specjalista kontroli państwowej w tymże departamencie, zastępca koordynatora.</u>
<u xml:id="u-2.1" who="#WicedyrektorDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNajwyzszejIzbyKontroliTomaszSordyl">Dzisiaj będziemy chcieli państwu pokrótce przedstawić wyniki naszej kontroli w zakresie bezpieczeństwa w cyberprzestrzeni. Oczywiście, chętnie odpowiemy na pytania. Jeżeli pan przewodniczący pozwoli, teraz przeprowadzilibyśmy krótką prezentację dotyczącą tematu, a później, tak jak mówiłem, jesteśmy gotowi do dyskusji.</u>
</div>
<div xml:id="div-3">
<u xml:id="u-3.0" who="#PrzewodniczacyposelWitoldCzarnecki">Bardzo proszę.</u>
</div>
<div xml:id="div-4">
<u xml:id="u-4.0" who="#WicedyrektordepartamentuNIKTomaszSordyl">Dziękuję bardzo.</u>
</div>
<div xml:id="div-5">
<u xml:id="u-5.0" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Dzień dobry państwu. Panie przewodniczący, szanowni państwo, pozwolę sobie pokrótce przedstawić ustalenia naszej kontroli. Może na wstępie cel kontroli. Dlaczego jako NIK zdecydowaliśmy się na kontrolę tego obszaru? Prowadzone przez nas analizy pozwoliły nam stwierdzić, że od kilku, kilkunastu lat mamy do czynienia z nowym obszarem bezpieczeństwa państwa, związanym z funkcjonowaniem cyberprzestrzeni oraz z bezpieczeństwem teleinformatycznym. Z naszych analiz wynika również, że wiele państw zachodnioeuropejskich demokracji podjęło już zaawansowane działania, żeby chronić swoją infrastrukturę teleinformatyczną. Stąd nasze dążenie do sprawdzenia, na jakim jesteśmy etapie jako państwo i jakie działania podjęła dotychczas Polska w tym zakresie.</u>
<u xml:id="u-5.1" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Szukaliśmy systemu działania organów administracji państwowej mających na celu monitorowanie zagrożeń występujących w cyberprzestrzeni, przeciwdziałanie i minimalizowanie skutków incydentów. Chcieliśmy również sprawdzić, czy określono ramy prawne tego systemu, czy dokonano podziału kompetencji między jego uczestników, czy przydzielono im niezbędne zasoby oraz określono mechanizmy koordynacji i wymiany informacji.</u>
<u xml:id="u-5.2" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Kontrolą objęliśmy 8 podmiotów. Wyselekcjonowaliśmy 8 podmiotów, które w naszej ocenie były najważniejsze w tym obszarze bezpieczeństwa teleinformatycznego państwa, czyli Ministerstwo Administracji i Cyfryzacji, Ministerstwo Spraw Wewnętrznych, Agencję Bezpieczeństwa Wewnętrznego, Ministerstwo Obrony Narodowej, Urząd Komunikacji Elektronicznej, Rządowe Centrum Bezpieczeństwa, Komendę Główna Policji oraz Naukową i Akademicką Sieć Komputerową. Kontrolowaliśmy dość duży obszar. Badaniami kontrolnymi objęliśmy lata od początku 2008 r. do końca 2014 r.</u>
<u xml:id="u-5.3" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Jaka jest ocena? Ocena, którą przedstawiliśmy w informacji pokontrolnej, niestety, jest zdecydowanie negatywna. Oceniliśmy, że administracja państwowa nie podjęła dotychczas niezbędnych działań mających na celu zapewnienie bezpieczeństwa teleinformatycznego państwa. W naszej ocenie, podmioty państwowe nie dostrzegły faktu, że coraz większa część usług publicznych, istotnych aspektów życia społecznego i gospodarczego przenosi się do internetu bądź jest realizowana za pośrednictwem systemów teleinformatycznych. W naszej ocenie, konstatacja wynikająca z tej kontroli jest taka, że my nadal patrzymy na bezpieczeństwo w znacznym stopniu tylko w znaczeniu konwencjonalnym.</u>
<u xml:id="u-5.4" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Główne ustalenia kontroli są takie, że nie został zorganizowany system ochrony cyberprzestrzeni RP. Działania państwa w zakresie bezpieczeństwa teleinformatycznego sprowadzały się do doraźnego, ograniczonego reagowania na bieżące wydarzenia oraz w znacznym stopniu biernego oczekiwania na rozwiązania, które zaproponuje Unia Europejska. Mam tutaj na myśli przede wszystkim oczekiwanie na dyrektywę w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii, czyli tzw. dyrektywę NIS (Network and Information Security).</u>
<u xml:id="u-5.5" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Kluczowym czynnikiem, który w naszej ocenie sparaliżował aktywność państwa, był brak jednego ośrodka decyzyjnego koordynującego działania innych instytucji publicznych i niewystarczające zaangażowanie najwyższego kierownictwa administracji rządowej.</u>
<u xml:id="u-5.6" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Proszę państwa, kilkanaście najważniejszych ustaleń zawiera tzw. synteza wyników naszej kontroli. To synteza naszej półtorarocznej pracy.</u>
<u xml:id="u-5.7" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Kwestia pierwsza. W naszej ocenie, Rada Ministrów i kierownictwo podmiotów administracji państwowej nie opracowały dotychczas narodowej strategii ochrony cyberprzestrzeni Polski, która mogłaby się stać podstawą konstruktywnych, systemowych działań mających na celu podnoszenie bezpieczeństwa teleinformatycznego państwa.</u>
<u xml:id="u-5.8" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Bardzo szczegółowo analizowaliśmy proces tworzenia kolejnych dokumentów, które miałyby taką strategią bezpieczeństwa w cyberprzestrzeni być. Takie prace trwały na przestrzeni lat 2008–2012. Opracowano 7 kolejnych projektów tej strategii. Szczegółowo zapoznaliśmy się z tymi dokumentami.</u>
<u xml:id="u-5.9" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Konstatacja, na którą pozwoliliśmy sobie w informacji o wynikach kontroli, na temat procesu prac nad tymi dokumentami, jest może troszeczkę kolokwialna, natomiast nazwaliśmy ten proces Polską resortową. Wyjaśnię, dlaczego. Prace nad tymi dokumentami odzwierciedlają to, że instytucje państwowe w Polsce nie potrafią podjąć konstruktywnej współpracy. Brak możliwości wypracowania tej narodowej strategii ochrony cyberprzestrzeni wynikał z faktu, że uwagi poszczególnych podmiotów państwowych były sprzeczne, wykluczały się nawzajem. Bardzo często ograniczały się do formalizmu, do dyskusji na temat kropek, przecinków, kwestii drobnych, ale mieliśmy też do czynienia ze swoistym współzawodnictwem niektórych instytucji państwowych. W związku z tym przez te kilka lat nie udało się opracować narodowej strategii ochrony cyberprzestrzeni. Wręcz przeciwnie. W naszej ocenie, kolejne wersje tego dokumentu, jak stwierdzamy w informacji o wynikach kontroli, były tylko gorsze.</u>
<u xml:id="u-5.10" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Od czerwca 2013 r. mamy natomiast w Polsce dokument, który został przyjęty uchwałą Rady Ministrów, pod tytułem „Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej”. Dokument, w naszej ocenie, wadliwy, niepoprawny merytorycznie, obarczony wieloma błędami. W naszej ocenie, ten dokument był wynikiem takiego fałszywego kompromisu po kilku latach nieudanych prac nad faktyczną narodową strategią ochrony cyberprzestrzeni. Stwierdzamy, że nie da się w praktyce wdrożyć tego dokumentu. Nie może być on, wedługnas, podstawą systemowych, konstruktywnych działań. W informacji wskazujemy szczegółowo jego braki, czyli przede wszystkim nieprawidłowy zakres podmiotowy, zogniskowanie tylko na administracji rządowej, całkowite pominięcie tak kluczowej kwestii jak chociażby infrastruktura krytyczna państwa, nieprecyzyjny, ogólny charakter tego dokumentu.</u>
<u xml:id="u-5.11" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Podmioty, które odpowiadają za jego wdrażanie i podmioty, które były autorami tego dokumentu, wyjaśniały nam w trakcie kontroli, że samo kierownictwo tych podmiotów i pracownicy odpowiedzialni za realizację tego dokumentu nie rozumieją niektórych jego zapisów. Stąd nasze stwierdzenie, że ten dokument nie może być traktowany jako narodowa strategia ochrony cyberprzestrzeni.</u>
<u xml:id="u-5.12" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Kolejnym kluczowym ustaleniem kontroli jest ustalenie fundamentalne, czyli brak świadomości zadań w zakresie ochrony cyberprzestrzeni. To ustalenie miało wpływ na wszystkie pozostałe aspekty kontrolowanego obszaru. W trakcie kontroli słyszeliśmy od poszczególnych ministrów, że odpowiedzialność za informatyzację nie oznacza jednocześnie odpowiedzialności za bezpieczeństwo tejże informatyzacji, że odpowiedzialność za sprawy wewnętrzne i za bezpieczeństwo państwa to jest również odpowiedzialność tylko w tym sensie konwencjonalnym, czyli chociażby w rozumieniu służb mundurowych, Policji, natomiast nie w kontekście bezpieczeństwa teleinformatycznego. Słyszeliśmy również, że zarządzanie kryzysowe to jest przygotowanie scenariuszy pod powodzie, pożary, osuwiska, ale nie w zakresie bezpieczeństwa teleinformatycznego państwa.</u>
<u xml:id="u-5.13" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Kolejna kwestia – brak kompleksowego oszacowania ryzyk związanych ze zdarzeniami występującymi w cyberprzestrzeni. W informacji szczegółowo opisaliśmy wady, w naszej ocenie, występujące w zakresie procesu szacowania ryzyka prowadzonego obecnie przez Ministerstwo Administracji i Cyfryzacji. Opisaliśmy również przypadek, według nas, rażącej niegospodarności i zmarnotrawienia ogromnej pracy kilkuset urzędników państwowych, czyli m.in. nieopracowanie sprawozdania audytowego z przeprowadzonego w 2013 r. na zlecenie Prezesa Rady Ministrów audytu wewnętrznego bezpieczeństwa teleinformatycznego. Taki audyt został przeprowadzony w 314 jednostkach administracji państwowej. Nie powstało konstruktywne, kompleksowe sprawozdanie z tego audytu wewnętrznego. Natomiast udało nam się w toku kontroli w piwnicach MAiC znaleźć 19 segregatorów dokumentów – nieotwartych, nieprzejrzanych, niepoddanych żadnej analizie.</u>
<u xml:id="u-5.14" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Kolejna kwestia fundamentalna, czyli brak prac legislacyjnych mających na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym. Mamy przepisy dotyczące bezpieczeństwa teleinformatycznego, natomiast one są rozproszone w różnych aktach prawnych. Przeanalizowaliśmy różne regulacje z zakresu zarządzania kryzysowego, Prawa telekomunikacyjnego, ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne. Stwierdzamy, że te przepisy nie są w znacznym stopniu stosowane w praktyce. Są one nieprecyzyjne, rozproszone, wadliwe. Natomiast nie były podjęte prace mające na celu opracowanie jednolitej ustawy dotyczącej bezpieczeństwa teleinformatycznego państwa.</u>
<u xml:id="u-5.15" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Spotykamy się z argumentem ze strony podmiotu wiodącego w tym zakresie, że oczekujemy na dyrektywę Unii Europejskiej, wspomnianą wcześniej dyrektywę NIS. Natomiast z przykrością stwierdzamy, że przez kilka lat tak naprawdę w kwestii dyrektywy nic się nie dzieje. Co więcej, szczegółowa analiza poszczególnych zapisów tejże dyrektywy i ich ewolucji na przestrzeni ostatniego czasu prowadzi nas do wniosku, że ta dyrektywa, kolokwialnie mówiąc, jest bardzo rozwadniana, że tak naprawdę wejście w życie tej dyrektywy nie wymusi żadnych konkretnych zachowań na państwach członkowskich, więc nie jest ona panaceum na nasze narodowe problemy. A ponadto znaczna liczba państw już ma swoje ustawy, podjęła własne działania, prowadzi systemowe działania w zakresie bezpieczeństwa teleinformatycznego. Nie uznajemy więc za uprawnione twierdzenia, że my jako kraj musimy i możemy tylko i wyłącznie oczekiwać na rozwiązania unijne.</u>
<u xml:id="u-5.16" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Kolejna kwestia fundamentalna dla badanego obszaru – brak systemu finansowania, brak środków finansowych. Wprowadzone zostało do dialogu na temat bezpieczeństwa w cyberprzestrzeni stanowisko Ministra Finansów, niestety, również powtarzane w pewnych aspektach przez przedstawicieli Kancelarii Prezesa Rady Ministrów, że ochrona cyberprzestrzeni może być bezkosztowa, że poszczególne urzędy mają podejmować działania w ramach posiadanych już środków finansowych. Nie zgadzamy się z tym stwierdzeniem. W naszej ocenie, brak zasobów sparaliżował działania państwa w tym obszarze. Jako fundamentalny przykład mogę podać fakt, że w MAiC przez okres 2 lat tą tematyką zajmowała się jedna osoba – szefowa gabinetu politycznego Ministra Administracji i Cyfryzacji.</u>
<u xml:id="u-5.17" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Kolejna kwestia to brak spójności, brak rzetelnego planowania i przygotowania działań w zakresie ochrony cyberprzestrzeni. Wspominałem już o nieprecyzyjnym, ogólnym charakterze sformułowań „Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej”. Tam nie ma żadnych terminów, nie ma żadnych konkretnych zadań, nie ma mierników ich realizacji. Działamy w tym obszarze w sposób niespójny, nieplanowy i bez przygotowania.</u>
<u xml:id="u-5.18" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Podmioty państwowe nie współpracowały w zakresie ochrony cyberprzestrzeni. Nie wdrożono mechanizmów koordynacji działań w tym obszarze. Wielokrotnie w naszej informacji operujemy słowem „nierzetelny” w momencie, gdy piszemy np. o dokumentacji, która jest przekazywana przez różne ministerstwa, resorty do MAiC. Natomiast dostrzegamy również, że Minister Administracji i Cyfryzacji na dzień dzisiejszy nie ma uprawnień, nie ma możliwości oddziaływania na te podmioty, żeby wymusić lepszą jakość otrzymywanych materiałów.</u>
<u xml:id="u-5.19" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Z przykrością również zauważamy, że nie zostały tutaj zrealizowane zapisy „Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej” w zakresie powołania zespołu międzyresortowego, który miał być powołany przez Prezesa Rady Ministrów i miał koordynować, wspierać Ministra Administracji i Cyfryzacji w realizacji zadań związanych z ochroną cyberprzestrzeni. Został powołany inny podmiot – zastępczy, niższy rangą, przy Komitecie Rady Ministrów do spraw Cyfryzacji. W naszej ocenie, oznacza to niewystarczającą świadomość w zakresie kwestii związanych z bezpieczeństwem teleinformatycznym.</u>
<u xml:id="u-5.20" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Kolejne istotne stwierdzenie – tak naprawdę na chwilę obecną brak w Polsce krajowego systemu reagowania na incydenty komputerowe i brak wiedzy administracji państwowej na temat skali i rodzaju incydentów występujących w cyberprzestrzeni. Dostrzegamy działanie zespołów CERT (Computer Emergency Response Team), funkcjonujących już w Polsce. Nasze oceny w tym zakresie były w znacznym stopniu pozytywne. Natomiast to są pewne – użyję znowu kolokwializmu – wyizolowane wyspy. Te podmioty mają odrębne, niezwiązane ze sobą zakresy oddziaływania. Natomiast Minister Administracji i Cyfryzacji, który powinien koordynować krajowy system reagowania na incydenty komputerowe, nie podejmował absolutnie żadnych działań w tym zakresie.</u>
<u xml:id="u-5.21" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Pewien schemat, który wzbudził i wiem, że wzbudza spore emocje. Natomiast ten schemat miał pokazać, przedstawić państwu szacunkowo to, co się dzieje na chwilę obecną, jeżeli chodzi o liczbę incydentów w Polsce oraz działanie państwa i wiedzę państwa w tym zakresie. Z danych uzyskanych w toku kontroli w Naukowej i Akademickiej Sieci Komputerowej (NASK) mamy informację na temat około 40 mln zainfekowanych adresów IP. Podajemy, czego dotyczyły te infekcje, w jakim zakresie były one wykorzystywane. Natomiast dla kontrastu mają państwo wykres, który pokazuje skalę działalności funkcjonujących w Polsce i zbadanych przez nas zespołów CERT, jak też skalę informacji przekazywanych przez przedsiębiorców telekomunikacyjnych do Urzędu Komunikacji Elektronicznej. Tylko 5 incydentów zostało przekazanych do UKE, czyli do jedynego podmiotu, który na dzień dzisiejszy, zgodnie z obowiązującym w Polsce prawem, powinien otrzymywać informacje od przedsiębiorców telekomunikacyjnych na temat incydentów.</u>
<u xml:id="u-5.22" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Kolejne kluczowe kwestie w ramach tej kontroli. Podmioty państwowe nie podejmowały działań w celu ustanowienia wymogów w zakresie bezpieczeństwa w cyberprzestrzeni. Nie były również realizowane zadania dotyczące kontroli bezpieczeństwa systemów teleinformatycznych. Te wymogi, te zbiory dobrych praktyk, które dziś się pojawiają np. w Narodowym Programie Ochrony Infrastruktury Krytycznej czy też zostały wydane po tzw. atakach ACTA (Anti-Counterfeiting Trade Agreement) w 2012 r. przez Agencję Bezpieczeństwa Wewnętrznego, to są takie drobne, incydentalne działania. Natomiast nie mamy żadnych systemowych wymogów w zakresie bezpieczeństwa w cyberprzestrzeni. Świadczy to o braku kompleksowego myślenia i podejścia do ochrony cyberprzestrzeni, do bezpieczeństwa teleinformatycznego państwa.</u>
<u xml:id="u-5.23" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Ataki ACTA na początku 2012 r. były wymierzone w strony internetowe poszczególnych instytucji państwowych. Owszem, dla państwa jest to prestiżowa porażka, jeżeli strony internetowe nie działają. Natomiast spowodowały one pewne działania ad hoc, doraźne – nie skutkowały działaniami systemowymi, dotyczącymi tych zasobów technologii informacyjnych (IT) państwa, które tak naprawdę są krytyczne, czyli infrastruktury krytycznej, infrastruktury teleinformatycznej.</u>
<u xml:id="u-5.24" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Kwestia niezmiernie ważna to fakt, że tworzone w Polsce plany reagowania kryzysowego, w tym w szczególności Krajowy Plan Zarządzania Kryzysowego, nie uwzględniały zagrożeń związanych z cyberprzestrzenią. Tak jak powiedziałem wcześniej, przygotowujemy pewne scenariusze działania na konwencjonalne zagrożenia, takie jak powodzie, pożary. Dobrze, że je szykujemy. Natomiast nie szykujemy scenariuszu działania w sytuacji ataku cybernetycznego, w sytuacji zmaterializowania się zagrożeń związanych z bezpieczeństwem teleinformatycznym państwa. Podmioty państwowe nie organizowały ćwiczeń dotyczących bezpieczeństwa teleinformatycznego. Incydentalnie uczestniczyły w tego typu ćwiczeniach, organizowanych np. przez instytucje pozarządowe, natomiast nie były organizatorem tego typu ćwiczeń.</u>
<u xml:id="u-5.25" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Stwierdziliśmy również, że nie zostały podjęte działania mające na celu budowę ogólnokrajowego systemu wczesnego ostrzegania przed zagrożeniami w sieci Internet. Mamy system agregacji, analizy i klasyfikacji incydentów sieciowych ARAKIS, konsekwentnie rozbudowywany, ale ten system dotyczy tylko instytucji państwowych, publicznych. Znowu nie obejmuje tego, co w naszej ocenie jest jądrem systemów teleinformatycznych państwa, czyli infrastruktury krytycznej.</u>
<u xml:id="u-5.26" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Nie wypracowano założeń systemu działań edukacyjnych, podnoszącego kwalifikacje w zakresie bezpieczeństwa IT. Nie były również realizowane czy były realizowane przy udziale środków publicznych bardzo nieliczne projekty naukowo-badawcze. Przeanalizowaliśmy 5 takich projektów na kwotę około 17 mln zł. Natomiast z przykrością stwierdzamy, że te projekty nie miały praktycznego zastosowania, znowu były rozproszone, niespójne programowo.</u>
<u xml:id="u-5.27" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Pokrótce przedstawię, jaka była reakcja poszczególnych kontrolowanych podmiotów na ustalenia naszej kontroli. W przypadku 7 jednostek objętych kontrolą, kierownicy tych jednostek zgodzili się z wnioskami wynikającymi z naszej dokumentacji pokontrolnej.</u>
<u xml:id="u-5.28" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Tak naprawdę jedynym podmiotem, który całkowicie zanegował ustalenia kontroli, był Minister Administracji i Cyfryzacji. Minister wykazywał, że obowiązujące przepisy tak naprawdę nie nakładają na niego na dzień dzisiejszy żadnych obowiązków związanych z bezpieczeństwem teleinformatycznym. Minister miał zastrzeżenia do skierowanego do niego wystąpienia pokontrolnego. Zastrzeżenia te zostały jednogłośnie odrzucone przez Kolegium Najwyższej Izby Kontroli.</u>
<u xml:id="u-5.29" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Prowadzimy również na bieżąco monitoring tego, co się dzieje z naszymi wnioskami pokontrolnymi. Tak naprawdę sprawdzamy, jaki pozytywny impuls wyszedł z naszej kontroli. Wynikające z tego monitoringu wnioski są, niestety, cały czas negatywne. Stwierdzamy pewne pojedyncze, pozytywne zmiany. Otrzymaliśmy m.in. sygnał z ABW, że na dzień dzisiejszy agencja podjęła po naszej kontroli działania w celu rozbudowy swojego potencjału. Mam nadzieję, że ze skutkiem. W Policji np. został zorganizowany wewnętrzny zespół CERT w związku z naszymi rekomendacjami pokontrolnymi. Natomiast to są pewne istotne, ale drobne, wyizolowane znowu działania. Z przykrością stwierdzamy natomiast, że nie odnotowano żadnych istotnych, systemowych zmian. Nie został wyeliminowany żaden z kluczowych czynników, który został opisany w naszej informacji o wynikach kontroli i który w naszej ocenie sparaliżował aktywność państwa w tym obszarze.</u>
<u xml:id="u-5.30" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Nasza diagnoza jest również taka, że to, co jest robione na dzień dzisiejszy w związku z wdrażaniem „Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej”, z tworzeniem bardzo lakonicznego, w naszej ocenie, planu działań w zakresie bezpieczeństwa w cyberprzestrzeni, to jest, niestety, kopia tych działań, które skrytykowaliśmy, które były prowadzone w latach 2008–2012 i dotyczyły przygotowania polityki, czyli tego zjawiska, które może kolokwialnie opisaliśmy w informacji jako Polska resortowa. Z przykrością stwierdzamy, że w znacznym stopniu nadal nie widzimy współpracy poszczególnych podmiotów państwowych w zakresie ochrony cyberprzestrzeni. W znacznym stopniu realizacja naszych wniosków pokontrolnych ograniczyła się tylko do wewnętrznych, własnych zasobów teleinformatycznych poszczególnych instytucji.</u>
<u xml:id="u-5.31" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Z przykrością stwierdzamy również, że przedłożona nam dokumentacja pozwala stwierdzać, że Minister Administracji i Cyfryzacji nie zrealizował żadnego z naszych wniosków pokontrolnych. Wnioskowaliśmy m.in. o poinformowanie w trybie pilnym Prezesa Rady Ministrów o faktycznych możliwościach realizacji zadań przez ministra w tych realiach kadrowych i finansowych. Ten wniosek również nie został zrealizowany. Stwierdzamy również, że Minister Administracji i Cyfryzacji w dalszym ciągu nie sprawuje realnej koordynacji działań innych podmiotów w zakresie bezpieczeństwa w cyberprzestrzeni.</u>
<u xml:id="u-5.32" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Na sam koniec wnioski wypływające z naszej informacji i nasze propozycje działań naprawczych. Po pierwsze, bezzwłoczne podjęcie skoordynowanych, systemowych działań na poziomie całego państwa. W celu wyeliminowania tych przeszkód, które zdefiniowaliśmy i które paraliżowały aktywność państwa w latach 2008–2014, konieczne są decyzje polityczne, czyli bezpośrednie zaangażowanie Rady Ministrów i Prezesa Rady Ministrów, oraz wdrożenie mechanizmów współpracy sektora prywatnego, który ma w swoich rękach znaczną część dominujących, najważniejszych systemów teleinformatycznych i instytucji państwowych. Oczywiście, i kwestia kluczowa – zapewnienie finansowania działań.</u>
<u xml:id="u-5.33" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Już na sam koniec skonkretyzowane propozycje działań naprawczych. Po pierwsze, całkowite przemodelowanie działań związanych z ochroną cyberprzestrzeni na infrastrukturę krytyczną, czyli te systemy, które są kluczowe z punktu widzenia funkcjonowania państwa, gospodarki, interesów obywateli.</u>
<u xml:id="u-5.34" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Uchwalenie odrębnej ustawy określającej strukturę krajowego systemu ochrony cyberprzestrzeni. Tak jak mówiłem wcześniej, w naszej ocenie, nie jest uprawnione twierdzenie, że możemy tylko i wyłącznie oczekiwać na propozycje, które przedstawi nam UE i na dyrektywę NIS. Przyjęcie przez Radę Ministrów narodowej strategii zarządzania zagrożeniami występującymi w cyberprzestrzenie. Stworzenie systemu finansowania działań w tym zakresie.</u>
<u xml:id="u-5.35" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Wdrożenie krajowego systemu reagowania na incydenty komputerowe, obejmującego m.in. obowiązki w zakresie raportowania incydentów. Sygnalizowałem wcześniej, że obowiązujące w tym zakresie rozwiązania są wadliwe, niekompletne. Istnieje potrzeba ulepszeń w tym obszarze. Opracowanie procedur reagowania kryzysowego w sytuacji zagrożeń infrastruktury państwa spowodowanych działaniami występującymi w cyberprzestrzeni.</u>
<u xml:id="u-5.36" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Wyznaczenie krajowego organu koordynującego działania w zakresie ochrony cyberprzestrzeni, będącego jednocześnie CERT-em narodowym. Nasze propozycje dotyczyły przekazania tych zadań Rządowemu Centrum Bezpieczeństwa. Oczywiście, musiałoby być ono odpowiednio wzmocnione finansowo i uzyskać we wspomnianej wcześniej ustawie umocowanie prawne w tym zakresie. W swojej propozycji bazujemy na tym, że RCB zajmuje się sytuacjami kryzysowymi, jest podmiotem wyspecjalizowanym w zakresie analizy ryzyka, a zagrożenia związane z cyberprzestrzenią są jednymi z najpowszechniej występujących obecnie. Stąd nasza propozycja, żeby te zadania zostały przekazane do RCB.</u>
<u xml:id="u-5.37" who="#DoradcaekonomicznywDepartamentuPorzadkuiBezpieczenstwaWewnetrznegoNIKPawelGibula">Włączenie procesu szacowania ryzyka dotyczącego cyberprzestrzeni w analizę ryzyka związaną z infrastrukturą krytyczną. Tak jak powiedziałem wcześniej, w naszej ocenie, infrastruktura krytyczna jest tu słowem kluczem. A nie działania ograniczające się tylko i wyłącznie do systemów bądź stron internetowych instytucji państwowych i rządowych. Dziękuję uprzejmie. To tyle z mojej strony.</u>
</div>
<div xml:id="div-6">
<u xml:id="u-6.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję bardzo za przedstawienie tego punktu. Poproszę podsekretarza stanu w MAiC pana Juranda Dropa o zabranie głosu. Proszę, panie ministrze.</u>
</div>
<div xml:id="div-7">
<u xml:id="u-7.0" who="#PodsekretarzstanuwMinisterstwieAdministracjiiCyfryzacjiJurandDrop">Dziękuję bardzo, panie przewodniczący. Szanowni państwo, raport NIK zawiera bardzo dużo trafnych spostrzeżeń, bardzo dużo wiedzy. Minister Administracji i Cyfryzacji zarówno docenia, jak i doceniał całą kontrolę.</u>
<u xml:id="u-7.1" who="#PodsekretarzstanuwMinisterstwieAdministracjiiCyfryzacjiJurandDrop">To, co zostało wspomniane o odrzuceniu wniosków, dotyczyło bardziej filozofii niż wszystkich wniosków. Mianowicie, jak to też zostało dobrze opisane, funkcjonujący w Polsce system ochrony cyberprzestrzeni ma charakter zdecentralizowany. Rzeczywiście, nie ma kompleksowego, scentralizowanego systemu, gdzie jest jedna, ściśle określona władza. Każdy z podmiotów, a także poszczególne systemy mają zapewnić sprawy bezpieczeństwa, a więc także cyberbezpieczeństwa, w ramach swoich kompetencji.</u>
<u xml:id="u-7.2" who="#PodsekretarzstanuwMinisterstwieAdministracjiiCyfryzacjiJurandDrop">Jeśli chodzi o ilość, tutaj nie wymieniał pan w prezentacji poszczególnych instytucji, ale te kompetencje są, oczywiście, w MON, RCB, UKE i w innych instytucjach. Oczywiście, tutaj największą rolę do odegrania ma rządowy CERT – CERT Polska i inne wyspecjalizowane instytucje. W Polsce funkcjonują publiczne i prywatne zespoły do spraw reagowania na incydenty komputerowe. Są także utworzone przez operatorów telekomunikacyjnych i przez środowiska naukowo-badawcze.</u>
<u xml:id="u-7.3" who="#PodsekretarzstanuwMinisterstwieAdministracjiiCyfryzacjiJurandDrop">Wprowadzenie systemu scentralizowanego, jak rozumieliśmy, jest postulatem. Właśnie w tym zakresie to odrzucaliśmy. To dopiero jest postulat i można go dopiero w przyszłości zrealizować. Wymagałoby to wprowadzenia odpowiednich regulacji ustawowych.</u>
<u xml:id="u-7.4" who="#PodsekretarzstanuwMinisterstwieAdministracjiiCyfryzacjiJurandDrop">Natomiast na podstawie uchwały Rady Ministrów, jaki to status ma polityka ochrony cyberprzestrzeni, Minister Administracji i Cyfryzacji pełni rolę organu koordynującego działania na poziomie strategiczno-politycznym w zakresie ochrony cyberprzestrzeni dla urzędów i także w zakresie prowadzenia polityki, jak tutaj pan wspominał, w kontekście negocjacji międzynarodowych, czyli np. dyrektywy NIS, a przede wszystkim w kontekście kompetencji samego ministerstwa. Innym elementem, na który chciałbym zwrócić uwagę, jest to, że nie ma kompletnej próżni, nie ma braku podstaw prawnych, ponieważ istnieją takie, które w MAiC... Najistotniejsze ustawy z tym związane to ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne z 2005 r. czy rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności (KRI), minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych z 2012 r. Tam...</u>
</div>
<div xml:id="div-8">
<u xml:id="u-8.0" who="#PrzewodniczacyposelWitoldCzarnecki">Panie ministrze, mikrofon może troszeczkę bliżej. Będzie wyraźniej słychać. Dla mających kłopoty ze słuchem.</u>
</div>
<div xml:id="div-9">
<u xml:id="u-9.0" who="#PodsekretarzstanuwMAiCJurandDrop">Przepraszam bardzo. Oczywiście.</u>
</div>
<div xml:id="div-10">
<u xml:id="u-10.0" who="#PrzewodniczacyposelWitoldCzarnecki">Bardzo dziękuję.</u>
</div>
<div xml:id="div-11">
<u xml:id="u-11.0" who="#PodsekretarzstanuwMAiCJurandDrop">I na te akty prawne... A tu były również wspomniane inne akty prawne, np. Prawo telekomunikacyjne, gdzie kompetencje UKE były wspomniane. Jest wiele innych aktów prawnych, na podstawie których działania w zakresie cyberbezpieczeństwa są podejmowane, tak jak mówiłem, w tym systemie zdecentralizowanym. Natomiast samo MAiC z jednej strony może prowadzić działania koordynacyjne, legislacyjne, polityczne.</u>
<u xml:id="u-11.1" who="#PodsekretarzstanuwMAiCJurandDrop">Był wspomniany zespół zadaniowy przy Komitecie Rady Ministrów do spraw Cyfryzacji i działająca tam grupa ekspercka. W ramach tych zespołów, które były powołane rzeczywiście półtora roku temu, widzimy i to było bardzo wyraźnie wskazane, że na samym początku przyjęcie „Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej” nie było jakby obudowane zarówno analizami, jak i stworzeniem odpowiednich zespołów. Tutaj fakty zostały przytoczone. To powoli następowało w okresie późniejszym czy też, z naszej perspektywy, niedawno.</u>
<u xml:id="u-11.2" who="#PodsekretarzstanuwMAiCJurandDrop">W ostatnich miesiącach, przez ostatnie półtora roku działania zostały podjęte w takim zakresie, w jakim one były możliwe, koordynowane właśnie na poziomie Komitetu Rady Ministrów ds. Cyfryzacji. Wczoraj na posiedzeniu zostały np. przyjęte rekomendacje dla pełnomocników do spraw bezpieczeństwa w cyberprzestrzeni. To jest jeden z elementów, z dokumentów, które nie są obowiązujące. To są rekomendacje, ale to jest droga i ewolucja tego systemu w takich ramach, jakie są obecnie możliwe. Przygotowany został także projekt metodyki szacowania ryzyka w systemach zarządzania bezpieczeństwem. Jak planujemy, to też zostanie w ciągu kilku tygodni przyjęte. Takie działania zostały podjęte, jak mówię, w ramach tego, co jest możliwe.</u>
<u xml:id="u-11.3" who="#PodsekretarzstanuwMAiCJurandDrop">Odnosiłem się już do tego, że odrzucaliśmy całkowicie... Myślę, że nasze nastawienie uległo ewolucji. Tutaj staraliśmy się także na samym końcu ustosunkować i przedstawić te informacje. Zdajemy sobie sprawę, że to są... Nie wiem, czy niewystarczający, ale to nie jest taki zakres działań, jaki byśmy chcieli podejmować. Natomiast to jest cały czas budowanie i ewolucja. Mamy nadzieję, że w przyszłości, jeśli chodzi np. o sprawy ustawowe, zaproponujemy odpowiednie działania, będzie można rozwiązać problem środków finansowych. Było już wspomniane, że np. tylko jedna osoba się zajmowała. My zwiększaliśmy. W tej chwili jest cały wydział. Oczywiście, że idealnie byłoby mieć znacznie więcej osób zajmujących się tą tematyką. Natomiast to jest, tak jak mówię, w tej chwili możliwe.</u>
<u xml:id="u-11.4" who="#PodsekretarzstanuwMAiCJurandDrop">Z innych rzeczy, do których chciałbym się także odnieść, może to, co akurat jest mi osobiście najbliższe, czyli dyrektywa NIS. Jeśli chodzi o kwestie międzynarodowe cyberbezpieczeństwa, to tutaj wydaje mi się, że ministerstwo w ramach tego, jakie ma zasoby, jest dosyć aktywne. Znowu, ponieważ system jest zdecentralizowany, to każda z instytucji ma swoje kontakty, prawda? MON w ramach własnego systemu, Policja własnymi kanałami. MAiC może prowadzić politykę i przyczyniać się do określonych rozwiązań. Myślę, że to było realizowane na tyle, na ile było możliwe. I znowu, my dokładnie dostrzegamy to rozumowanie. Jeśli chodzi o dyrektywę NIS, wydaje mi się, że akurat pod tym względem jesteśmy bardzo aktywni, ale jakby celem nie jest ukształtowanie naszego wewnętrznego systemu, natomiast tym celem jest współpraca i umożliwienie różnym komórkom współpracy międzynarodowej, potem zaś np. przekazywanie informacji czy też system wczesnego ostrzegania.</u>
<u xml:id="u-11.5" who="#PodsekretarzstanuwMAiCJurandDrop">Oczywiście, mam dosyć szczegółowo wszystko rozpisane, natomiast myślę, że to jest główny przekaz, który chciałem przekazać. Jest taki system zdecentralizowany, być może lepszy byłby scentralizowany i my przedstawimy takie rozwiązania. To, co jest ważne, że cyberbezpieczeństwo nie jest sprawą tylko bezpieczeństwa, ale ono ma bardzo dużo wspólnego z gospodarką, z procesami gospodarczymi. Ten system, który będziemy tworzyć w przyszłości, który zaproponujemy, będzie taki, żeby był rozliczalny nie tylko w stosunku do NIK, która ma swój dostęp do informacji, ale żeby był rozliczalny w stosunku do całej opinii publicznej, żeby w miarę efektywnie funkcjonował. Myślę, że tyle. Natomiast, oczywiście, na konkretne pytania później będę odpowiadał.</u>
</div>
<div xml:id="div-12">
<u xml:id="u-12.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję bardzo. Poproszę drugiego przedstawiciela strony rządowej, podsekretarza stanu w MON pana Macieja Jankowskiego, o zabranie głosu. Proszę, panie ministrze.</u>
</div>
<div xml:id="div-13">
<u xml:id="u-13.0" who="#PodsekretarzstanuwMinisterstwieObronyNarodowejMaciejJankowski">Bardzo dziękuję. Panie przewodniczący, Wysoka Komisjo, raport NIK właściwie pozytywnie ocenił nasze działania. Nie było tam krytycznych uwag zarówno co do systemu organizacji ochrony cyberprzestrzeni, jak i podejmowanych działań na przyszłość.</u>
<u xml:id="u-13.1" who="#PodsekretarzstanuwMinisterstwieObronyNarodowejMaciejJankowski">Oczywiście, pewne wnioski zostały przedstawione. Wnioski te zostały przez nas zanalizowane i odnieśliśmy się do nich, wskazując bądź to na podjęte działania, bądź to na konsekwencje tych wniosków, wynikające z konieczności współpracy z innymi ministerstwami, tu głównie Ministrem Administracji i Cyfryzacji, więc tam nasze postulaty sprowadziły się do podejmowanych wspólnie działań. Z naszego punktu widzenia można powiedzieć, że izba oceniła pozytywnie nasze działania. No, i jedynie odebraliśmy te wnioski jako zachętę do kontynuowania tego, co robimy. Dziękuję bardzo.</u>
</div>
<div xml:id="div-14">
<u xml:id="u-14.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję panu, panie ministrze. Poproszę zastępcę szefa ABW pana Piotra Marciniaka o zabranie głosu.</u>
</div>
<div xml:id="div-15">
<u xml:id="u-15.0" who="#ZastepcaszefaAgencjiBezpieczenstwaWewnetrznegoPiotrMarciniak">Dzień dobry państwu. Szanowny panie przewodniczący, szanowna Komisjo, generalnie, stanowisko ABW w zakresie raportu NIK jest podobne do przedstawionego przez pana ministra Jankowskiego.</u>
<u xml:id="u-15.1" who="#ZastepcaszefaAgencjiBezpieczenstwaWewnetrznegoPiotrMarciniak">Odnosząc się do tego raportu, chciałem wskazać, że szef ABW, mimo braku odpowiednich regulacji i odpowiednich środków finansowych, realizował ochronę cyberprzestrzeni RP i nałożone na niego obowiązki. Chciałem także dodać, że przedstawiciele ABW uczestniczą w zespole, o którym wspomniał pan minister Drop. Staramy się też wprowadzać rozwiązania, które zostały wskazane w tym gremium. W tym zakresie nie mam nic więcej do dodania. Dziękuję.</u>
</div>
<div xml:id="div-16">
<u xml:id="u-16.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję bardzo. Proszę uprzejmie dyrektora Departamentu I ABW pana pułkownika Witolda Skubinę, o zabranie głosu. Proszę, panie pułkowniku.</u>
</div>
<div xml:id="div-17">
<u xml:id="u-17.0" who="#DyrektorDepartamentuBezpieczenstwaTeleinformatycznego">Dzień dobry państwu. W uzupełnieniu tego, co powiedział mój szef, chciałbym powiedzieć, że w ostatnim czasie agencja podjęła szereg kroków natury organizacyjnej i legislacyjnej, żeby zwiększyć swój potencjał, zasoby i możliwości, tworząc nowy departament – Departament Bezpieczeństwa Cybernetycznego, który w większym stopniu ma zająć się ochroną cyberprzestrzeni.</u>
<u xml:id="u-17.1" who="#DyrektorDepartamentuBezpieczenstwaTeleinformatycznego">Jednak, z natury rzeczy, należy pamiętać, że ten departament będzie ograniczony podmiotowo do zasobów administracji publicznej i ewentualnie do elementów infrastruktury krytycznej, ale też nie wszystkich, tylko do tych najważniejszych, które mają kluczowe znaczenie dla gospodarki Polski. To, oczywiście, jest uzależnione od tego, o czym mówili tu panowie z NIK – od określenia zasobów, źródeł finansowania i określenia pewnego potencjału ludzkiego. Niestety, bez uzyskania możliwości w tym zakresie nie będziemy mogli rozwinąć swoich możliwości. Mamy pewne wsparcie już od Ministra Finansów w budżecie na rok przyszły, ale to działanie wymaga pewnej ciągłości i zapewnienia nam finansowania w przeciągu najbliższych 5–6 lat. Dziękuję.</u>
</div>
<div xml:id="div-18">
<u xml:id="u-18.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję. Kolejno proszę dyrektora operacyjnego NASK pana Tomasza Jordana Kruka, o zabranie głosu. Proszę uprzejmie.</u>
</div>
<div xml:id="div-19">
<u xml:id="u-19.0" who="#DyrektoroperacyjnyNaukowejiAkademickiejSieciKomputerowejTomaszJordanKruk">Dzień dobry. Witam państwa. My też byliśmy poddani tej kontroli. Chciałbym podkreślić, że nie jesteśmy częścią administracji rządowej, ale jesteśmy elementem merytorycznym zaangażowanym w samo zagadnienie.</u>
<u xml:id="u-19.1" who="#DyrektoroperacyjnyNaukowejiAkademickiejSieciKomputerowejTomaszJordanKruk">Z naszego punktu widzenia, przede wszystkim cieszymy się, że zauważono istotność tego problemu i zagadnienia, że zaczęto na poważnie analizować ryzyka, które to przynosi, które się ziszczają i które są związane z bardzo konkretnymi stratami na rzecz państwa, społeczeństwa, administracji.</u>
<u xml:id="u-19.2" who="#DyrektoroperacyjnyNaukowejiAkademickiejSieciKomputerowejTomaszJordanKruk">Problem jest trudny, dlatego że wykracza poza administrację, że ewidentnie są pewne zagadnienia, które powinny być realizowane przez administrację centralną ogólnie, ale dotyczą społeczeństwa i dotyczą też podmiotów prywatnych. Zmuszenie do czegokolwiek podmiotów prywatnych nie zawsze jest celowe i nie zawsze jest łatwe. Może łatwiej zmusić do czegoś administrację. Dobrze, że w tym momencie właściwie nikt już nie kontestuje istotności tego zagadnienia. Zmieniły się priorytety. Wszystkie instytucje, które zostały przez NIK dzisiaj wspomniane w różnych aspektach, zdecydowanie wykonują realne działania organizacyjne.</u>
<u xml:id="u-19.3" who="#DyrektoroperacyjnyNaukowejiAkademickiejSieciKomputerowejTomaszJordanKruk">Natomiast, proszę państwa, nic się nie zmieni bez bardzo jawnego zdefiniowania tego zagadnienia w kolejnych ustawach budżetowych. To jest problem, który wymaga środków. Jak są środki, to są realne działania. Bez środków jest intencja. Dziękuję.</u>
</div>
<div xml:id="div-20">
<u xml:id="u-20.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję. Proszę uprzejmie dyrektora Departamentu Bezpieczeństwa Telekomunikacyjnego w UKE pana Jacka Matyszczaka, o zabranie głosu. Proszę, panie dyrektorze.</u>
</div>
<div xml:id="div-21">
<u xml:id="u-21.0" who="#DyrektorDepartamentuBezpieczenstwaTelekomunikacyjnegoUrzeduKomunikacjiElektronicznejJacekMatyszczak">Dzień dobry. Witam państwa. Panie przewodniczący, jeśli chodzi o wystąpienie pokontrolne NIK, generalnie, uwag do UKE nie było.</u>
<u xml:id="u-21.1" who="#DyrektorDepartamentuBezpieczenstwaTelekomunikacyjnegoUrzeduKomunikacjiElektronicznejJacekMatyszczak">Dostrzegamy ułomność Prawa telekomunikacyjnego w zakresie zbierania informacji o incydentach, przy czym prelegent z NIK wyjaśnił, że mieliśmy wątpliwości co do zobrazowania pewnych danych. Nie ma, zgodnie z informacją przekazaną przez NIK i wszystkimi spostrzeżeniami... Zgadzamy się i przyjmujemy je, tylko że nie mamy zdefiniowanego pojęcia, co to jest incydent. My inaczej w naszym Prawie telekomunikacyjnym rozumiemy incydent. Dla nas to jest określony brak ciągłości funkcjonowania systemu telekomunikacyjnego danego przedsiębiorcy, natomiast NASK czy CERT definiują incydent zupełnie inaczej. Stąd przedstawienie danych – 4 do 40 mln – troszeczkę jest jakby nieodpowiednie.</u>
<u xml:id="u-21.2" who="#DyrektorDepartamentuBezpieczenstwaTelekomunikacyjnegoUrzeduKomunikacjiElektronicznejJacekMatyszczak">Jeżeli chodzi o wszystkie uwagi NIK, zostały one zrealizowane w naszym wystąpieniu. Podjęliśmy działania legislacyjne zmierzające do zmiany Prawa telekomunikacyjnego, dotyczące właśnie zobowiązania przedsiębiorców do przekazywania danych o incydentach. Mam nadzieję, że to w przyszłym roku zostanie zakończone. Dziękuję bardzo.</u>
</div>
<div xml:id="div-22">
<u xml:id="u-22.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję, panie dyrektorze. Proszę dyrektora RCB pana Janusza Skulicha, o zabranie głosu. Proszę, panie dyrektorze.</u>
</div>
<div xml:id="div-23">
<u xml:id="u-23.0" who="#DyrektorRzadowegoCentrumBezpieczenstwaJanuszSkulich">Panie przewodniczący, Wysoka Komisjo, kontrola miała miejsce mniej więcej w lecie zeszłego roku. Pod koniec listopada RCB otrzymało wystąpienie pokontrolne, w którym w zasadzie działalność w zakresie realizacji zadań związanych z polityką ochrony cyberprzestrzeni w Polsce przez kontrolujących została oceniona pozytywnie. Zwrócono uwagę na konieczność uspójnienia procesów planowania i reagowania kryzysowego z planami związanymi z bezpieczeństwem cybernetycznym. Od tego czasu upłynął już prawie rok i w związku z tym pewien stan opisany w dokumentach już się lekko zdezaktualizował.</u>
<u xml:id="u-23.1" who="#DyrektorRzadowegoCentrumBezpieczenstwaJanuszSkulich">Chciałbym poinformować, że aktualizowany co 2 lata – rzeczywiście, również i w tym roku, bo w 2015 r. wypada ten rok – raport o zagrożeniach bezpieczeństwa narodowego obejmuje bardzo szeroki zakres analizy zagrożeń związanych właśnie z cyberbezpieczeństwem, w głównej mierze oparty na materiałach otrzymanych z ABW i z MON. Raport nie jest wyłącznie identyfikacją zagrożenia, ale również proponuje realizację pewnych zadań do wykonania – głównych zadań, które miałyby tę sytuację poprawić.</u>
<u xml:id="u-23.2" who="#DyrektorRzadowegoCentrumBezpieczenstwaJanuszSkulich">Jednocześnie, choć to jest odnotowane w dokumentach, w czasie cyklu aktualizacyjnego Krajowego Planu Zarządzania Kryzysowego (KPZK), który rozpoczęliśmy już w zeszłym roku, a który wypada właśnie na 2015 r., dokonano uzupełnienia krajowego planu o cały rozdział poświęcony opisowi zadań i kompetencji związanych z zagrożeniami cybernetycznymi we wszystkich czterech fazach zarządzania kryzysowego, tj. zapobiegania, przygotowania, reagowania i odbudowy. Właściwie główne tezy czy sugestie dokumentów, które otrzymaliśmy blisko rok temu, były na tym skupione.</u>
<u xml:id="u-23.3" who="#DyrektorRzadowegoCentrumBezpieczenstwaJanuszSkulich">RCB współpracuje z MAiC w ramach zespołu, który tej tematyce jest poświęcony. Również do planu pracy tego zespołu sformułowaliśmy kilka propozycji, odnoszących się np. do ujednolicenia metodyki oceny ryzyka w tym obszarze, tak żeby była spójna z analogicznymi dokumentami wytwarzanymi w obszarze infrastruktury krytycznej czy w innych obszarach zarządzania kryzysowego. Projekt tej oceny w tej chwili chyba jest w końcowej, jeśli dobrze znam sprawę, fazie uzgadniania. W związku z tym będę miał okazję wykorzystania tych dokumentów do tego, by wdrożyć je w proces oceny ryzyka zagrożenia cybernetycznego w infrastrukturze krytycznej. W ten sposób niejako zostanie zrealizowany postulat ujednolicenia tych metodyk.</u>
<u xml:id="u-23.4" who="#DyrektorRzadowegoCentrumBezpieczenstwaJanuszSkulich">Propozycje przejęcia przez RCB roli organu koordynującego zagadnienia związane z ochroną cybernetyczną niejako ujawniły się dopiero w momencie publikacji informacji o kontroli, tak? W mojej ocenie, myślę, że przy tej formie organizacyjnej RCB ta propozycja po prostu nie przyniesie oczekiwanego efektu. Dziękuję za uwagę.</u>
</div>
<div xml:id="div-24">
<u xml:id="u-24.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję bardzo. Proszę uprzejmie przedstawiciela Komendanta Głównego Policji pana podkomisarza Marcina Kuskowskiego, o zabranie głosu. Proszę, panie komisarzu.</u>
</div>
<div xml:id="div-25">
<u xml:id="u-25.0" who="#MarcinKuskowski">Dziękuję bardzo. Szanowni państwo, szanowna Komisjo, chciałbym powiedzieć, że Komendant Główny Policji podejmował i podejmuje działania, nałożone ustawą, w zakresie zwalczania cyberprzestępczości, a także podejmuje szereg działań organizacyjnych i technicznych w zakresie budowy systemu ochrony cyberprzestrzeni lub ochrony infrastruktury Policji. Te działania skupiają się na naszej organizacji. Nie wychodzą jakby poza infrastrukturę Policji, natomiast zarówno przed kontrolą, jak i w chwili obecnej współpracowaliśmy i współpracujemy tutaj z ABW i z Rządowym Zespołem Reagowania na Incydenty Komputerowe CERT.GOV.PL. W okresie wcześniejszym te działania może nie były sformalizowane. Nie było żadnych organizacyjnych warunków na to, ażeby można było to jakby udokumentować. Natomiast administratorzy, którzy byli odpowiedzialni za infrastrukturę połączoną z siecią publiczną, reagowali na zachodzące zdarzenia w infrastrukturze publicznej połączonej z siecią policyjną.</u>
<u xml:id="u-25.1" who="#MarcinKuskowski">Tutaj chciałbym powiedzieć, tak jak pan przedstawiciel NIK to przedstawił, że Komendant Główny Policji powołał w Policji Zespół Reagowania na Incydenty Komputerowe POL-CERT. Doposażył Biuro Łączności i Informatyki w etaty funkcyjne, na których to etatach funkcjonariusze Policji będą mogli te zadania realizować. Dodatkowo w zakresie Zespołu Reagowania na Incydenty Komputerowe POL-CERT zbudowano w skali kraju strukturę punktów kontaktowych w komendach wojewódzkich Policji, które to punkty kontaktowe współpracują z zespołem. Zarówno z punktów kontaktowych, jak i do punktów kontaktowych przesyłane są informacje o występujących incydentach. To jakby daje możliwość usprawnienia reagowania na te zdarzenia, które odnotowujemy w infrastrukturze policyjnej. Dziękuję bardzo.</u>
</div>
<div xml:id="div-26">
<u xml:id="u-26.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję, panie komisarzu. Otwieram dyskusję. Kto z państwa posłów chce zabrać głos? Pan przewodniczący Elsner, proszę bardzo.</u>
</div>
<div xml:id="div-27">
<u xml:id="u-27.0" who="#PoselWincentyElsner">Szanowni państwo, będę miał kilka szczegółowych pytań, szczególnie do pana ministra z MAiC, bo pana wypowiedź była niezwykle ogólna. Natomiast wcześniej parę takich zasadniczych uwag.</u>
<u xml:id="u-27.1" who="#PoselWincentyElsner">Przede wszystkim bardzo źle się stało, że w dzisiejszym posiedzeniu nie uczestniczy nikt z Ministerstwa Spraw Wewnętrznych, zwłaszcza że w wynikach kontroli napisane jest, że właśnie Minister Spraw Wewnętrznych również nie realizował żadnych zadań związanych z budową krajowego systemu ochrony cyberprzestrzeni. Zajmował się tylko własnymi sieciami oraz systemami resortowymi, ale nawet w tym zakresie, jak oceniła NIK, były te działania prowadzone w sposób nierzetelny. Nie mamy więc dzisiaj możliwości usłyszenia odpowiedzi Ministra Spraw Wewnętrznych, dlaczego tak się działo.</u>
<u xml:id="u-27.2" who="#PoselWincentyElsner">Druga sprawa ogólna. Wspominał pan o ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne. Znając ją bardzo dobrze, mogę powiedzieć, że w tej ustawie akurat nie ma ani słowa o ochronie cyberprzestrzeni. To jest ustawa dotycząca, tak jak tytuł wskazuje, właśnie informatyzacji podmiotów publicznych.</u>
<u xml:id="u-27.3" who="#PoselWincentyElsner">Trzecia sprawa. Tutaj pojawiały się zamiennie określenia dotyczące ochrony cyberprzestrzeni i reakcji na incydenty. Nie chciałbym, aby te dwa tematy były wiązane, bo te dwie sprawy mniej więcej się mają tak jak ochrona przeciwpożarowa i gaszenie pożarów. Gaszeniem pożarów zajmuje się straż pożarna, natomiast ochroną przeciwpożarową musimy się zajmować wszyscy.</u>
<u xml:id="u-27.4" who="#PoselWincentyElsner">I ostatnia sprawa, z tych uwag ogólnych, właśnie do pana ministra. W bardzo wielu wypowiedziach mówił pan minister „zrobimy”, „planujemy”, „przewidujemy”, tak jakby pan zapomniał, że za 6 tygodni kończy się kadencja pańskiego rządu. Snucie perspektyw wieloletnich czy wielomiesięcznych przynajmniej jest zupełnie niewiarygodne, dlatego że ważne jest to, co ten rząd zrobił w tym czasie. W związku z tym, jak myślę, to bardzo ładnie przeszło do pytań szczegółowych.</u>
<u xml:id="u-27.5" who="#PoselWincentyElsner">Sprawa pierwsza z tych pytań szczegółowych. Brak jest regulacji dotyczących ochrony cyberprzestrzeni. W związku z tym mam pytanie. Jakie działania i jakie projekty dotyczące tej tematyki przygotowało MAiC? No, zawęźmy to pytanie do ostatnich 4 lat, do ostatniej kadencji. Jakie projekty zmian legislacyjnych, jakie projekty ustaw wyszły spod ręki kolejnych ministrów administracji i cyfryzacji, z pana ministerstwa? Pierwsze pytanie konkretne.</u>
<u xml:id="u-27.6" who="#PoselWincentyElsner">Drugie pytanie. Tak jak pan mówił i tak jak tutaj przedstawiciel NIK mówił, MAiC z jednej strony nie dysponuje zasobami powalającymi na realną realizację zadań dotyczących zarządzania krajowym systemem ochrony cyberprzestrzeni oraz nie ma uprawnień do oddziaływania na inne instytucje. Pan minister natomiast mówił, że ministerstwo koordynuje różnego rodzaju działania, więc proste pytanie. Jakie działania państwo konkretnie koordynowali w tym czasie?</u>
<u xml:id="u-27.7" who="#PoselWincentyElsner">Kolejna sprawa, też z pytań konkretnych. Wyraził się pan, że przyczyniamy się do określonych rozwiązań, jesteśmy aktywni. Do jakich określonych rozwiązań przyczyniło się ministerstwo w ciągu ostatnich 4 lat?</u>
<u xml:id="u-27.8" who="#PoselWincentyElsner">I ostatnie pytanie, dotyczące budżetu. Przedstawiciel NASK wspomniał, że – rzecz dosyć oczywista – do wszystkiego potrzebne są pieniądze. W tej chwili rząd jest na finiszu pewnie, o ile już nie zafiniszował, jeżeli chodzi o budżet na rok kolejny. W związku z tym spytam, o jakie środki dotyczące sfery ochrony cyberprzestrzeni wystąpił Minister Administracji i Cyfryzacji, jeżeli chodzi o zapisy budżetowe na rok 2016. To tyle. Dziękuję.</u>
</div>
<div xml:id="div-28">
<u xml:id="u-28.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję bardzo, panie przewodniczący. Ze strony Komisji było zaproszenie do pani minister Elżbiety Piotrowskiej, ale...</u>
</div>
<div xml:id="div-29">
<u xml:id="u-29.0" who="#PoselWincentyElsner">Nie skorzystała.</u>
</div>
<div xml:id="div-30">
<u xml:id="u-30.0" who="#PrzewodniczacyposelWitoldCzarnecki">Nie ma żadnego przedstawiciela w randze ministra. Dziękuję. Czy są następne pytania? Pan przewodniczący Suski, proszę uprzejmie.</u>
</div>
<div xml:id="div-31">
<u xml:id="u-31.0" who="#PoselMarekSuski">Dziękuję, panie przewodniczący. Trzeba powiedzieć, że w jakimś sensie nie dziwię się, że ministerstwo nie przysłało przedstawiciela, bo psiapsiółka pani premier, pani Piotrowska nawet na zaproszenie do prezydenta nie idzie, więc dlaczego miałaby do Sejmu przysyłać kogoś. Tutaj mamy do czynienia już z całkowitym brakiem szacunku dla różnych organów władzy państwowej wzajemnie.</u>
<u xml:id="u-31.1" who="#PoselMarekSuski">Można powiedzieć, że końcówka rządów Platformy Obywatelskiej to jest upadek państwa po prostu, bo to całkowity brak szacunku dla różnych organów władzy państwowej wzajemnie do siebie. Coś takiego, co jest bardzo niepokojące. To świadczy już zupełnie o zaniku wręcz propaństwowych pierwiastków wśród rządzących. Mam nadzieję, że po najbliższych wyborach to się zmieni, bo w tej chwili taka ignorancja, z jaką mamy do czynienia, sięgnęła zenitu. To, co choćby obserwujemy w sprawie dotyczącej emigrantów, którzy mają być przyjęci do Polski, gdzie nawet polski premier obiecywał co innego i robi co innego. To czego się spodziewać po ministrach?</u>
<u xml:id="u-31.2" who="#PoselMarekSuski">Powracając jednak do tego tematu, mam pytanie do MAiC, jak też do NIK, bo słyszeliśmy tutaj dużo słów krytycznych pod adresem MAiC, że to była jedna instytucja, która zupełnie odmówiła współpracy, wręcz spostponowała to, co NIK dostrzegła. Natomiast dzisiaj słyszymy o pewnej zmianie myślenia. Nie wiem, czy to jest tylko na potrzeby posiedzenia Komisji, żeby pokazać, że jednak coś tam drgnęło, ale tak niekonkretna odpowiedź raczej sugeruje, że to taka myśl dość płocha, która powstała gdzieś, być może dopiero na korytarzu, przed posiedzeniem Komisji.</u>
<u xml:id="u-31.3" who="#PoselMarekSuski">Prosiłbym o przedstawienie konkretów co do szczegółów i co zaleciła NIK. Chciałbym, żeby to tak było punkt po punkcie opowiedziane, co na poszczególne, spostrzeżone niewładne działania czy bezwładne działania robi Minister Administracji i Cyfryzacji.</u>
<u xml:id="u-31.4" who="#PoselMarekSuski">No, bo jeżeli teraz się zaczyna czymś zajmować to, oczywiście, cieszy. A to, że się nie zajmował tym, do czego jest powołany, to wiemy, bo np. pan minister Michał Boni bardzo chętnie chciał powoływać komisję w sprawie mowy nienawiści, ale tym, do czego był powołany, nie miał czasu się zajmować. Później, oczywiście, zajął się wyborami do Parlamentu Europejskiego i przeniósł swoją aktywność na pole Brukseli. Zresztą też ostatnie głosowania pokazały, że głosował wbrew interesowi Polski, więc co się dziwić, że będąc w MAiC, nie podjął działań, które są niezbędne.</u>
<u xml:id="u-31.5" who="#PoselMarekSuski">Później był minister Trzaskowski, który – zdaje się – chyba raz zaszczycił naszą Komisję po upominaniu go, żeby się tu pojawił. To, co usłyszeliśmy od ministra Trzaskowskiego, to były, rzeczywiście, dywagacje, kosmiczne opowieści o... Nie wiem, jak to określić, ale zupełnie oderwane od rzeczywistości, więc trudno się dziwić, że tej rzeczywistości nie było. Obecny minister też raczej rzadko naszą Komisję odwiedza, ale chociażby sama deklaracja, że coś tam drgnęło, jest dobra. Jeżeli jednak moglibyśmy usłyszeć o konkretach, jakie efekty przynosi ta powolna zmiana sposobu myślenia... Dziękuję.</u>
</div>
<div xml:id="div-32">
<u xml:id="u-32.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję bardzo, panie przewodniczący. Czy są jeszcze pytania ze strony posłów? Pan Radosław Nielek, stały doradca Komisji. Proszę bardzo.</u>
</div>
<div xml:id="div-33">
<u xml:id="u-33.0" who="#StalydoradcaKomisjiRadoslawNielek">Dzień dobry państwu. Mieliśmy już okazję na posiedzeniu Komisji raz rozmawiać o kwestiach bezpieczeństwa czy cyberbezpieczeństwa. Tamta rozmowa motywowana była tym, co się wydarzyło przy okazji ACTA, tzn. tymi atakami hakerskimi DDoS (Distributed Denial of Service), które w jakiś tam sposób blokowały działanie czy to stron internetowych administracji publicznej, czy to systemów takich jak poczta, np. w Sejmie.</u>
<u xml:id="u-33.1" who="#StalydoradcaKomisjiRadoslawNielek">Konkluzji, szczerze mówiąc, po tamtym spotkaniu nie było za wiele. Poza tym, że właściwie nie do końca wiadomo, kto odpowiada za bezpieczeństwo takich elementów. Mieliśmy wtedy ciekawą dyskusję z ABW, która mówiła, że właściwie to nie jest jej element i to nie jest jej odpowiedzialność, bo to nie jest część infrastruktury krytycznej. A w związku z tym, skoro to nie jest część infrastruktury krytycznej, to trudno stwierdzić, żeby strona internetowa Prezesa Rady Ministrów była częścią infrastruktury krytycznej. W związku z tym za to ABW nie odpowiada, ale – zgodnie z ustawą – ABW odpowiada za zapobieganie (także wykrywanie, ale również zapobieganie) przestępstwom, które podważają ekonomiczne podstawy funkcjonowania państwa.</u>
<u xml:id="u-33.2" who="#StalydoradcaKomisjiRadoslawNielek">W związku z tym mam proste pytanie – jedno z kilku, które chciałbym zadać. Kto zajmuje się bezpieczeństwem konta twitterowego Ministra Finansów w tej chwili w Polsce?</u>
<u xml:id="u-33.3" who="#StalydoradcaKomisjiRadoslawNielek">To może się wydać banalne, ale włamanie się na konto Associated Press w 2013 r. w Stanach spowodowało, że z giełdy amerykańskiej wyparowało 130 mld dolarów. Bez najmniejszego problemu jestem w stanie sobie wyobrazić skoordynowany atak, zwłaszcza że takie media społecznościowe jak Twitter, Facebook, ale także jakieś inne, mniej formalne kanały stały się istotnym elementem komunikowania się władzy z obywatelami. Jestem więc sobie w stanie bez problemu wyobrazić skuteczny atak, który spowodowałby bardzo duże problemy jednego z banków w Polsce, gdyby w odpowiednich miejscach pojawiły się odpowiednie informacje lub taki atak, który spowodowałby mocne tąpnięcie na giełdzie.</u>
<u xml:id="u-33.4" who="#StalydoradcaKomisjiRadoslawNielek">Trzeba mieć także świadomość, że te informacje coraz częściej są przetwarzane już nie tylko przez ludzi, ale także przez maszyny. Pojawienie się takiego twitta na koncie, które jest oficjalnym kontem np. Ministra Finansów, skutkuje tym, że automatyczne systemy tradingowe zaczynają sprzedawać lub kupować określone akcje lub waluty.</u>
<u xml:id="u-33.5" who="#StalydoradcaKomisjiRadoslawNielek">Trzeba więc mieć świadomość, że to działa jak domino. Przewrócenie jednego klocka może spowodować daleko idący efekt. Tutaj rolą Policji jest, oczywiście, zbudowanie infrastruktury, która będzie w stanie złapać tego, kto ten klocek przewrócił, w jakimś dłuższym etapie, ale ktoś musiałby temu zapobiegać? Wydaje mi się, że tutaj tak naprawdę może być to rolą tylko ABW. Trudno sobie wyobrazić, żeby ktoś inny zajmował się czymś takim. RCB nie będzie w stanie się tym zająć, bo nie ma ani kompetencji, ani środków, ani narzędzi, ale też nie pracuje w takim trybie, żeby bezpośrednio się tym zajmować.</u>
<u xml:id="u-33.6" who="#StalydoradcaKomisjiRadoslawNielek">To jest takie pytanie. Czy w tej chwili ktoś z państwa dyrektorów tutaj obecnych, ze współpracowników pana ministra byłby w stanie odpowiedzieć na pytanie o to, kto zajmuje się bezpieczeństwem konta twitterowego Ministra Finansów w Polsce? Dziękuję bardzo.</u>
</div>
<div xml:id="div-34">
<u xml:id="u-34.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję, panie doktorze. Kto z państwa chciałby jeszcze zadać pytanie czy zabrać głos? Nawet ci, co się już wypowiadali, bo potem jeszcze, oczywiście, spróbuję uruchomić dodatkową serię pytań, jak się taka potrzeba pojawi. Nie ma osób się zgłaszających? A, proszę bardzo. To od razu pan dyrektor.</u>
</div>
<div xml:id="div-35">
<u xml:id="u-35.0" who="#WicedyrektordepartamentuNIKTomaszSordyl">Dziękuję bardzo, panie przewodniczący. Bardzo krótko do kilku kwestii się odniosę, żeby one były po prostu dla nas wszystkich tutaj jasne i klarowne.</u>
<u xml:id="u-35.1" who="#WicedyrektordepartamentuNIKTomaszSordyl">Kwestia postulowania przez izbę scentralizowanego systemu ochrony cyberprzestrzeni. My jakby nie narzucamy ostatecznych wizji, nie mamy też takich uprawnień, czy ten system powinien funkcjonować jako scentralizowany czy zdecentralizowany. Natomiast bez względu na to, w jakiej formie ten system będzie działał, musi on zakładać koordynację działań, muszą być jasno przypisane obowiązki i zadania poszczególnym podmiotom, muszą być określone mierniki ich realizacji, muszą być określone kanały współpracy.</u>
<u xml:id="u-35.2" who="#WicedyrektordepartamentuNIKTomaszSordyl">Jeżeli chodzi o powołanie CERT-u narodowego, bo tego nie mamy, to też nie jest postulat centralizacji w tym znaczeniu, żeby wszystko powierzyć CERT-owi narodowemu i on się wszystkim zajmie. Nie. Potrzebny jest taki podmiot, który będzie funkcjonował w naszym obszarze ochrony cyberprzestrzeni, będzie wpływał i koordynował w pewnym zakresie wymianę informacji, współpracę międzynarodową z innymi podmiotami.</u>
<u xml:id="u-35.3" who="#WicedyrektordepartamentuNIKTomaszSordyl">Oczywiście, CERT działający w ABW i CERT działający w NASK, tak jak tutaj kolega mówił, zostały wysoko przez nas ocenione, natomiast każdy z nich ma swoją specyfikę działania. CERT, który działa w ABW, tak jak tutaj przedstawiciel ABW podkreślił, zajmuje się tylko obszarem administracji państwowej. Nie zajmuje się podmiotami prywatnymi. Znowu działania CERT-u w NASK są ograniczone specyfiką funkcjonowania NASK jako instytucji badawczej, instytucji naukowej i państwowej, ale instytucji, która musi się sama finansować i może realizować działania w pewnym, ograniczonym zakresie. Jest więc potrzeba, żeby powstał taki CERT, który skoordynuje te wszystkie działania i będzie przyczyniał się do rozwijania tej współpracy.</u>
<u xml:id="u-35.4" who="#WicedyrektordepartamentuNIKTomaszSordyl">Jeśli chodzi jeszcze o RCB jako taki podmiot, który mógłby odgrywać kluczową rolę w tym systemie, nasz wniosek został sformułowany wariantowo. On nie mówił, że to musi być RCB. To może być inna instytucja, powołana specjalnie do tego celu. Natomiast, oczywiście, poruszamy się w sferze kosztów, pewnych już struktur, które są gotowe.</u>
<u xml:id="u-35.5" who="#WicedyrektordepartamentuNIKTomaszSordyl">Oczywiście, to była propozycja do dyskusji, czy to ma być RCB, czy to ma być inna, wyspecjalizowana instytucja. Natomiast, naszym zdaniem, potrzebna jest właśnie taka wyspecjalizowana instytucja, która... Pan minister Drop mówił tutaj właśnie o tym, że ministerstwo zajmuje się trochę bardziej sferą taką strategiczną, polityczną działań. Potrzebny jest też ktoś, kto będzie organizował konkretne działania, kto będzie odpowiedzialny za tę sferę i będzie posiadał potencjał i kompetencje w tym zakresie. Stąd, tak jak mówię, nie przesądzamy, czy to ma być RCB, czy nie, czy ma być to inny podmiot. Natomiast, w naszej ocenie, taki podmiot jest potrzebny.</u>
<u xml:id="u-35.6" who="#WicedyrektordepartamentuNIKTomaszSordyl">Jeszcze jedna kwestia, dotycząca ocen poszczególnych jednostek, dla pełnej jasności sytuacji. My co do 7 z 8 jednostek, które skontrolowaliśmy, zdecydowaliśmy się zastosować ocenę opisową, dlatego że ta klasyczna nasza skala ocen, czyli ocena pozytywna, pozytywna z nieprawidłowościami i negatywna, nie mogła być tutaj zastosowana. Uznaliśmy, że ze względu na to, jak są ich zadania i kompetencje opisane w ramach obowiązujących przepisów, jak precyzyjnie są to określone rzeczy, dokonanie właściwej oceny w skali trzystopniowej byłoby dla tych podmiotów niesprawiedliwe. Dlatego dokonaliśmy oceny opisowej, chcąc też zwrócić uwagę nawet nie na kwestię odpowiedzialności za pewne działania czy ich brak, natomiast żeby zwrócić uwagę na te problemy rzeczywiste, które funkcjonują i na konieczność podjęcia działań w tym zakresie.</u>
<u xml:id="u-35.7" who="#WicedyrektordepartamentuNIKTomaszSordyl">Dziękuję bardzo. Jeżeli będzie potrzebne odniesienie się do zgłoszonej przez pana posła Suskiego kwestii wniosków, to my jesteśmy, oczywiście, je w stanie powtórzyć i wyselekcjonować te, które były skierowane wprost do Ministra Administracji i Cyfryzacji.</u>
</div>
<div xml:id="div-36">
<u xml:id="u-36.0" who="#PoselMarekSuski">Może zróbmy tak. Jeżeli przedstawiciel ministerstwa by odpowiedział i czegoś by zabrakło w tej odpowiedzi, to wtedy bym prosił o uzupełnienie.</u>
</div>
<div xml:id="div-37">
<u xml:id="u-37.0" who="#WicedyrektordepartamentuNIKTomaszSordyl">Dobrze. Oczywiście.</u>
</div>
<div xml:id="div-38">
<u xml:id="u-38.0" who="#PoselMarekSuski">Bo wiadomo przecież, że – przynajmniej tak mi się wydaje – ministerstwo wie, jakie były wasze wnioski.</u>
</div>
<div xml:id="div-39">
<u xml:id="u-39.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję, panie przewodniczący. Dziękuję, panie dyrektorze. Poproszę jednak teraz o odpowiedź wywołanego do tablicy pana ministra Dropa. Proszę bardzo.</u>
</div>
<div xml:id="div-40">
<u xml:id="u-40.0" who="#PodsekretarzstanuwMAiCJurandDrop">Dziękuję bardzo. Jeśli chodzi o konkretne pytania pana posła, środki finansowe, o które wystąpiliśmy w ramach Departamentu Społeczeństwa Informacyjnego, gdzie jest umiejscowiony ten wydział, to jest 230 tys. zł na funkcjonowanie tej części koordynacyjnej. Wystąpienie o większe środki jest możliwe tylko wtedy, jeśli będzie ogólna koncepcja całego systemu i będzie można rozpisać zadania. Wcześniej tu nawet pisaliśmy o tym do NIK, że mieliśmy koncepcję Departamentu Ochrony Cyberprzestrzeni, natomiast w czasie wstępnych prac nieformalnych okazało się, że dopiero, jeśli jest konkretny opis zadań i koncepcja systemu, wtedy można z tym pójść do przodu.</u>
<u xml:id="u-40.1" who="#PodsekretarzstanuwMAiCJurandDrop">Jeśli chodzi o zapisy w ustawie o informatyzacji, to rzeczywiście nie ma tam konkretnego opisu cyberbezpieczeństwa, natomiast na podstawie tej ustawy przyjęto rozporządzenie o KRI i są tam wymagania dotyczące bezpieczeństwa systemów.</u>
<u xml:id="u-40.2" who="#PodsekretarzstanuwMAiCJurandDrop">Jeśli chodzi o konkretne działania, to w ramach – już nie będę powtarzał – tej funkcji koordynacyjnej w ramach całej administracji i funkcjonowania Komitetu Rady Ministrów ds. Cyfryzacji powołano zespół zadaniowy do spraw bezpieczeństwa cyberprzestrzeni oraz zapewniający obsługę techniczną zespołu grupę ekspercką. Na jej forum uzgodniono plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP, który został przyjęty przez komitet 13 kwietnia br. Jest on wdrażany w życie. Są przewidziane działania w perspektywie 3–6 miesięcy i działania długoterminowe. W zakresie tej krótkiej perspektywy, która mogłaby być realizowana, jest opracowanie założeń do nowej metodyki szacowania ryzyka. To, co już wspominałem. Przeszło to przez grupę ekspercką i zostanie przez Komitet Rady Ministrów ds. Cyfryzacji przyjęte w ramach informacji.</u>
<u xml:id="u-40.3" who="#PodsekretarzstanuwMAiCJurandDrop">To również stworzenie rekomendacji co do posiadanych kwalifikacji osób zatrudnianych do zespołów reagowania na incydenty komputerowe. To zostało przyjęte. Jest prowadzona i aktualizowana lista pełnomocników do spraw bezpieczeństwa cyberprzestrzeni.</u>
<u xml:id="u-40.4" who="#PodsekretarzstanuwMAiCJurandDrop">W samym MAiC powołano pełnomocnika do spraw bezpieczeństwa cyberprzestrzeni, ale to jak w każdej instytucji, prawda? Tutaj jest konkretnie. Tych pełnomocników obecnie, jak wyliczyliśmy, mamy ponad 130.</u>
<u xml:id="u-40.5" who="#PodsekretarzstanuwMAiCJurandDrop">Tam są poszczególne działania, które – tak jak wspomniałem – obowiązują i dotyczą albo MAiC, albo każdej instytucji. To np. powołanie przez instytucje lokalnych zespołów reagowania na incydenty komputerowe lub przypisanie funkcji reagowania na incydenty komputerowe do istniejącej już komórki oraz zapewnienie skutecznej formy wymiany informacji z CERT.GOV.PL. To jest przyporządkowane do każdej instytucji, natomiast jest to coś, co jest uzgadniane na forum Komitetu Rady Ministrów ds. Cyfryzacji i to jest cały proces biurokratyczny, co zajmuje też... To jest właśnie ta funkcja koordynacyjna.</u>
<u xml:id="u-40.6" who="#PodsekretarzstanuwMAiCJurandDrop">W tej chwili pracujemy, ponieważ to było w dłuższej perspektywie, nad wypracowaniem jednolitej terminologii i taksonomii w dziedzinie cyberbezpieczeństwa. Nad tym pracujemy. Kończymy opracowanie nowej metodyki szacowania ryzyka. Szkolenia dla tych jednostek z nowej metodyki, które są przewidziane, będą w momencie, jak zostanie to przyjęte.. Natomiast prowadzimy szkolenia pełnomocników. Było kilka warsztatów, które zostały w tym roku przeprowadzone, znowu w ramach tego, na co mamy środki czy raczej zasoby wszelkie.</u>
<u xml:id="u-40.7" who="#PodsekretarzstanuwMAiCJurandDrop">Co do opracowania planu założeń do ustawy regulującej system cyberbezpieczeństwa, zleciliśmy ekspertyzę. Niedługo będzie ona ukończona. Znowu to jest taki proces dialogu i przygotowywania koncepcji, wskazywania kierunków.</u>
<u xml:id="u-40.8" who="#PodsekretarzstanuwMAiCJurandDrop">Opracowanie rekomendacji mających na celu podnoszenie bezpieczeństwa systemu teleinformatycznego dla administracji publicznej w obszarze wymagań technicznych. Tutaj CERT.GOV.PL był podmiotem wiodącym i to zostało zrobione.</u>
<u xml:id="u-40.9" who="#PodsekretarzstanuwMAiCJurandDrop">Oszacowanie kosztów realizacji zadań z zakresu bezpieczeństwa cyberprzestrzeni obecnie jest realizowane przez Ministerstwo Finansów. Jako element tej koordynacji zbieraliśmy informacje. W tym roku przeprowadziliśmy ankietę wśród jednostek. Jeśli chodzi o te rzeczy, to jakby wspomagamy tutaj MF, co jest koordynowane w ramach Komitetu Rady Ministrów ds. Cyfryzacji.</u>
<u xml:id="u-40.10" who="#PodsekretarzstanuwMAiCJurandDrop">No, i tutaj mamy dalsze działania, zgodnie z tym planem, do których albo się przygotowujemy, albo które, tak jak np. wprowadzanie w instytucjach procedury reagowania na incydenty, są omawiane na tych forach. Z innych działań. Było pytanie i była uwaga NIK à propos samej struktury organizacyjnej. Tak jak już wspomniałem, mieliśmy koncepcję departamentu. Mamy wydział, który rolę koordynacyjną pełni. Jest pytanie, czy trzeba znacznie więcej. Jak słyszeliśmy tutaj z wypowiedzi, trzeba znacznie więcej i tutaj mieliśmy wezwania, jaka instytucja to powinna realizować. Prawdę mówiąc, nie będę może wchodził w sprawy międzyinstytucjonalne, bo tutaj były uwagi NIK. Jak słyszeliśmy, też ABW zajmuje się sprawami administracji i niektórymi z infrastruktury krytycznej. Z drugiej strony, patrząc na uwagi NIK, to powinien być dużo szerszy zakres koordynacji. Tak jak wspomniałem, dużo bardziej związany z gospodarką. Potem mamy cały problem tego, na ile podmioty prywatne będą ufały i będą chciałby się dzielić informacjami.</u>
<u xml:id="u-40.11" who="#PodsekretarzstanuwMAiCJurandDrop">Tutaj jakby przechodząc do spraw międzynarodowych, nie będę znowu wymieniał różnych międzynarodowych gremiów typu grupa przyjaciół prezydencji do spraw cyberbezpieczeństwa, funkcjonująca w ramach Rady Unii Europejskiej albo wspomniana dyrektywa NIS, która jest negocjowana przez kolejną grupę roboczą do spraw telekomunikacji. To jest też proces koordynacji, zbierania informacji i opinii, tworzenia wspólnych stanowisk, które są prezentowane na forum międzynarodowym.</u>
<u xml:id="u-40.12" who="#PodsekretarzstanuwMAiCJurandDrop">Z innych działań to znowu są takie rzeczy, które trochę trudno wymieniać. MAiC było np. współorganizatorem konferencji „CyberGov 2015. Bezpieczeństwo IT w sektorze publicznym”, gdzie zbieraliśmy naszych pełnomocników do spraw cyberbezpieczeństwa. W ramach rożnych programów zawsze ta część cyberbezpieczeństwa czy też bezpieczeństwa w sieci jest obecna, typu projekty finansowane, które nazywają się „Bezpieczeństwo dzieci w sieci”, „Bezpieczne dzieciaki”, „Internet – Uwaga Niebezpiecznie”, „Mobilne bezpieczeństwo”. To też są te rzeczy za zakresu świadomości i one są finansowane w dużej mierze z programów, które są współfinansowane na podstawie ustawy o informatyzacji (nie pamiętam, którego artykułu), a także z funduszy europejskich. Myślę, że to są te informacje, które chciałem w tym momencie przekazać. Dziękuję bardzo.</u>
</div>
<div xml:id="div-41">
<u xml:id="u-41.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję bardzo, panie ministrze. Czy ktoś z gości, bo przecież nie wszyscy zabierali głos, chciałby go jeszcze zabrać czy zadać pytanie? Czy może pan jeszcze, panie dyrektorze, podsumować? Czy już uważa pan, że wszystko... Czy są jeszcze pytania? A, jeszcze pan przewodniczący Elsner. Proszę uprzejmie.</u>
</div>
<div xml:id="div-42">
<u xml:id="u-42.0" who="#PoselWincentyElsner">Chciałbym tylko prosić o potwierdzenie czy doprecyzowanie, bo tak jak rozumiem, jak pan minister odpowiadał, jeżeli chodzi o działania legislacyjne w ciągu tych 4 lat, to zdążyli państwo zamówić ekspertyzę do założeń ustawy i tyle przez te 4 lata.</u>
<u xml:id="u-42.1" who="#PoselWincentyElsner">Po drugie, proszę o potwierdzenie tej kwoty. Powiedział pan o 230 tys. zł, tak? Tyle w budżecie na 2016 r. będzie dla państwa zarezerwowane. To oznacza, że Minister Administracji i Cyfryzacji, któremu zgodnie z ustawą o działach bezpośrednio przypisane są obowiązki związane z ochroną cyberprzestrzeni, potrzebuje ćwierć miliona złotych na to, żeby chronić cyberprzestrzeń Polski. To jest mniej więcej, tak circa szacując, około 2,5 etatu i to nawet bez możliwości zapłacenia za tę ekspertyzę, którą państwo zamówili. Prosiłbym o potwierdzenie tych dwóch informacji.</u>
</div>
<div xml:id="div-43">
<u xml:id="u-43.0" who="#PrzewodniczacyposelWitoldCzarnecki">Dziękuję, panie przewodniczący. Proszę bardzo, panie ministrze.</u>
</div>
<div xml:id="div-44">
<u xml:id="u-44.0" who="#PodsekretarzstanuwMAiCJurandDrop">Jeśli o to chodzi, bo jeszcze sobie przypomniałem, że pan poseł zapytał o funkcjonujące przepisy prawa, gdzie są sprawy związane z cyberbezpieczeństwem, to wymagania w zakresie zarządzania bezpieczeństwem w sieci, informacji i systemów teleinformatycznych, dotyczące zarówno podmiotów prywatnych, jak i jednostek sektora finansów publicznych, znajdują się w ustawie z 1997 r. – Kodeks karny, ustawie z 1997 r. o ochronie danych osobowych (to jest ważne), ustawie z 2009 r. o finansach publicznych, ustawie z 2001 r. o dostępie do informacji publicznej, ustawie z 2011 r. o systemie informacji oświatowej. Myślę, że nie ma sensu, żebym tutaj to wszystko, co zostało przygotowane, wymieniał. Natomiast wynika to z logiki tego zdecentralizowanego systemu, że przepisy są w rozmaitych aktach prawa.</u>
<u xml:id="u-44.1" who="#PodsekretarzstanuwMAiCJurandDrop">I podobnie... Tutaj jest odpowiedź na pytanie pana co do środków, prawda? Żeby przypadkiem nie poszła w świat wieść, że całe państwo poświęca 230 tys. zł na cyberbezpieczeństwo. Jeśli jest takie pytanie, to pytałem swoich współpracowników o to, jaką daną konkretną dysponujemy. Działalność wydziału u nas, w Departamencie Społeczeństwa Informacyjnego, to jest 230 tys. zł na funkcjonowanie tego wydziału w przyszłym roku. Natomiast to absolutnie nie są wielkości... To byśmy musieli pozbierać dane. Nie wiem, czy na podstawie tego, co zbieraliśmy przy informacji z Ministerstwa Finansów. To możemy prawdopodobnie wziąć.</u>
</div>
<div xml:id="div-45">
<u xml:id="u-45.0" who="#PoselWincentyElsner">To prosiłbym o odpowiedź pisemną, jeżeli chodzi o samo MAiC.</u>
</div>
<div xml:id="div-46">
<u xml:id="u-46.0" who="#PodsekretarzstanuwMAiCJurandDrop">Dobrze. Myślę, że to możemy zebrać.</u>
</div>
<div xml:id="div-47">
<u xml:id="u-47.0" who="#PrzewodniczacyposelWitoldCzarnecki">Bardzo dziękuję. Czy jeszcze pan chciał zabrać głos? Dobrze, panie przewodniczący. W takim razie więcej zgłoszeń nie słyszę. Każdy miał możliwość wypowiedzenia się. Dziękuję, panie dyrektorze. Zamykam dyskusję.</u>
<u xml:id="u-47.1" who="#PrzewodniczacyposelWitoldCzarnecki">Stwierdzam, że porządek dzienny posiedzenia został wyczerpany. Zamykam posiedzenie Komisji. Protokół posiedzenia z załączonym zapisem jego przebiegu jest do wglądu w sekretariacie Komisji w Kancelarii Sejmu. Dziękuję państwu bardzo.</u>
</div>
</body>
</text>
</TEI>
</teiCorpus>