Najwyższa Izba Kontroli bardzo krytycznie oceniła ochronę cyberprzestrzeni w Polsce. Według NIK nie ma spójnej wizji ochrony instytucji państwowych w tej dziedzinie. ​NIK zbadała okres od 2008 do 2014 roku. Kontrolerzy podkreślają, że brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych.

Izba krytykuje kierownictwo administracji rządowej, w tym premiera za  „niewystarczające zaangażowanie w celu rozstrzygania kwestii spornych między poszczególnymi urzędami oraz zapewnienia współdziałania organów i instytucji związanych z bezpieczeństwem teleinformatycznym państwa”.

W raporcie NIK czytamy m.in., że nie ma narodowej strategii ochrony cyberprzestrzeni. Nie ma też określonych podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej. Nie przygotowano też reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią.  

NIK zauważyła, że od 2008 r. prowadzone były prace nad narodową strategią ochrony cyberprzestrzeni, ale kolejne wersje tego dokumentu nie były jednak zatwierdzane „ze względu na ich nierzetelne przygotowanie i sprzeczne interesy różnych instytucji, zaangażowanych w przygotowywanie strategii”. W 2013 r. Rada Ministrów przyjęła zaś „Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej”. Dokument ten – w ocenie Izby - to wynik źle rozumianego kompromisu. NIK twierdzi, że jest nieprecyzyjny i obarczony licznymi błędami merytorycznymi. Nieliczne zadania wynikające bezpośrednio z „Polityki” nie były realizowane przez większość skontrolowanych przez NIK podmiotów, co pozwala stwierdzić, że praktyczne zastosowanie strategii w celu poprawy bezpieczeństwa teleinformatycznego państwa było raczej symboliczne – czytamy w raporcie.

Jak oceniła NIK, wciąż nie zostały opracowane także założenia systemu finansowania działań związanych z ochroną cyberprzestrzeni RP. Nie przydzielono żadnych dodatkowych środków na ich wykonanie, co praktycznie sparaliżowało działania podmiotów państwowych w zakresie bezpieczeństwa teleinformatycznego.

NIK zauważa, że poszczególne kontrolowane podmioty - Rządowe Centrum Bezpieczeństwa, Ministerstwo Administracji i Cyfryzacji, Ministerstwo Obrony Narodowej, Ministerstwo Spraw Wewnętrznych, Policja, Agencja Bezpieczeństwa Wewnętrznego, Urząd Komunikacji Elektronicznej, Naukowa i Akademicka Sieć Komputerowa - posiadały własne, odrębne procedury zapobiegania zagrożeniom w cyberprzestrzeni. Nie tworzyły one jednak jednego spójnego systemu – zaznaczyła Izba.

Według kontroli nie prowadzono żadnych prac legislacyjnych, które miałyby na celu unormowanie zagadnień bezpieczeństwa teleinformatycznego państwa.

(mpw)