Odpowiedź na interpelację nr 18683

w sprawie ochrony przed cyberatakami oraz osłony kontrwywiadowczej najwyższych urzędników państwowych

Odpowiadający: sekretarz stanu w Kancelarii Prezesa Rady Ministrów Marek Zagórski

Warszawa, 10-03-2021

Szanowna Pani Marszałek,

W odpowiedzi na Interpelację nr 18683 – na wstępie należy podkreślić, że odpowiedzi na pytania Pana Posła w sprawie ochrony i osłony kontrwywiadowczej najwyższych urzędników państwowych znajdują się w kompetencji Agencji Bezpieczeństwa Wewnętrznego i stanowią informacje niejawne, przetwarzane zgodnie z ustawą o ochronie informacji niejawnych^[1].

Poniżej przekazuję odpowiedzi na pytania będące w kompetencji Ministra Cyfryzacji.

Ad 2) Jaka instytucja i w jakim zakresie odpowiada za ochronę przed cyberatakami oraz kontrwywiadowczą osłonę najwyższych urzędników w państwie?

Jak wspomniano we wstępie, za ochronę przed cyberatakami oraz kontrwywiadowczą osłonę najwyższych urzędników w państwie odpowiada Agencja Bezpieczeństwa Wewnętrznego. Zakres działania Agencji Bezpieczeństwa Wewnętrznego oraz prawa i obowiązki jej funkcjonariuszy reguluje ustawa z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu^[2] oraz następujące akty prawne:

1. Ustawa z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych - Dz. U. z 2019 r. poz. 796^[3].
2. Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa - Dz. U. z 2020 poz.1369^[4].
3. Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych - Dz. U. 2019 poz. 742^[5].

Ad 4) Czy w związku z ostatnimi, niestety skutecznymi, cyberatakami na urzędników rządu Pana Premiera i członka sejmowej komisji do spraw służb specjalnych jest planowana, zmiana istniejących rozwiązań? I jakie działania już Pan podjął w tym zakresie?

Na wstępie należy zaznaczyć, że niedawne ataki dotyczyły prywatnych kont poczty elektronicznej parlamentarzystów oraz profili w sieciach społecznościowych, które podlegają ogólnym przepisom w zakresie świadczenia usług drogą elektroniczną oraz przepisom Kodeksu karnego. Ściganie sprawców takich przestępstw prowadzone jest na wniosek pokrzywdzonego. W zakresie walki z cyberprzestępczością działania podejmują organy ścigania, czyli Agencja Bezpieczeństwa Wewnętrznego, Policja i Prokuratura. W niniejszej sprawie, osoby poszkodowane złożyły stosowne zawiadomienia do właściwych miejscowo komend Policji. Należy podkreślić, że w każdej komendzie wojewódzkiej działają zespoły do walki z cyberprzestępczością, zaś w Komendzie Głównej Policji funkcjonuje Biuro do Walki z Cyberprzestępczością, które koordynuje działania komend wojewódzkich w tym zakresie.

Za bezpieczeństwo służbowej poczty elektronicznej parlamentarzystów odpowiada komórka organizacyjna Kancelarii Sejmu – Biuro Informatyki. Zgłaszanie incydentów naruszenia bezpieczeństwa w służbowej poczcie, sieci czy sprzęcie IT, powinno odbywać się według procedur ustalonych w Kancelarii Sejmu.

Zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa^[6], analizę ataków na podmioty krajowego systemu cyberbezpieczeństwa prowadzą zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). Dla administracji rządowej, w tym Kancelarii Sejmu, właściwym jest CSIRT ABW i do tego zespołu zgłaszane są incydenty w systemach służbowych udostępnianych przez Kancelarię Sejmu.

Niezależnie od powyższego, ze względu na wrażliwość społeczną i w odpowiedzi na otrzymywane sygnały ataków na konta e-mail oraz media społecznościowe parlamentarzystów, Pełnomocnik Rządu ds. Cyberbezpieczeństwa w listopadzie 2020 roku polecił podjęcie dodatkowych działań, których celem ma być zwiększenie poziomu cyberbezpieczeństwa parlamentarzystów. W dniu 24 listopada 2020 r. Pełnomocnik wystosował pismo do Pani Marszałek Elżbiety Witek, adresowane do wiadomości wszystkich klubów parlamentarnych. Pismo informowało o uruchomieniu skrzynki dedykowanej wyłącznie do obsługi parlamentarzystów: cyber.parlament@mc.gov.pl, w przypadku wystąpienia incydentu bezpieczeństwa mediów społecznościowych parlamentarzystów czy prywatnych skrzynek pocztowych. W załączeniu do ww. pisma przekazana została również wstępna wersja poradnika dot. bezpiecznego korzystania z mediów społecznościowych.

Pełna wersja poradnika pn. „Jak chronić się przed cyberatakami – poradnik dla parlamentarzystów i nie tylko” została przekazana do Kancelarii Sejmu w dniu 29 stycznia 2021 roku. Ponadto, wspomniany poradnik - bez części adresowanej wyłącznie parlamentarzystom, został również zamieszczony na portalu gov.pl.

Pragnę zapewnić, że resort cyfryzacji uważnie analizując potrzeby w zakresie bezpieczeństwa usług teleinformatycznych, podjął działania edukacyjne i zainicjował kampanie mające zwiększyć świadomość o cyberzagrożeniach wszystkich obywateli. Od 2017 r. wspólnie z NASK-PIB prowadzone są kampanie edukacyjno-informacyjne na rzecz upowszechniania korzyści z wykorzystywania technologii cyfrowych, w ramach których realizowane są kampanie dedykowane różnym grupom odbiorców. Są to:

• e-polak potrafi, której celem jest zwiększenie świadomości Polaków na temat wykorzystania technologii informacyjno-komunikacyjnych, promowanie usług e-administracji publicznej oraz wzrost kompetencji i dostępu do wiedzy w zakresie programowania, z uwzględnieniem kwestii bezpieczeństwa;
• „Nie zagub dziecka w sieci” adresowana do rodziców, której celem jest wsparcie w mądrym towarzyszeniu dzieciom w bezpiecznym poznawaniu internetowego świata;
• e-senior potrafi, której celem jest wsparcie seniorów w poznawaniu Internetu i nauka, jak bezpiecznie z niego korzystać.

W ramach kampanii przygotowywane są m.in. poradniki, filmy, webinaria, które są publikowane na portalu gov.pl. W działania edukacyjne angażowani są specjaliści ds. cyberbezpieczeństwa, eksperci świata nauki, a także znane osoby publiczne, które jako ambasadorowie promują bezpieczne korzystanie z Internetu.

Dodatkowo na portalu gov.pl uruchomiono bazę wiedzy poświęconą cyberbezpieczeństwu, gdzie publikowane są informacje z zakresu podstawowych zasad cyberhigieny. Realizowane są również szkolenia dla kadr administracji publicznej w ramach uruchomionej w maju 2020 r. kampanii #CyberbezpiecznySamorzad. Szkolenia realizowane są na różnym poziomie zaawansowania: poziom 100 – dla każdego, poziom 200 – dla kadry zarządzającej i specjalistów IT oraz poziom 300 – specjalistów IT, programistów oraz osób zarządzających bezpieczeństwem w podmiotach publicznych. Szkolenia są prowadzone przez ekspertów Departamentu Cyberbepieczeństwa KPRM, NASK-PIB, partnerów technologicznych w ramach Programu Współpracy w Cyberbezpieczeństwie oraz partnerów społecznych. Od czerwca 2020 r. do 17 lutego 2021 r. przeszkolonych zostało 3450 pracowników podmiotów publicznych. Dodatkowo, specjalnie dla kadr administracji publicznej uruchomiony zostanie e-learning z trzema ścieżkami tematycznymi – dla każdego pracownika, kadry zarządzającej oraz specjalistów.

Kancelaria Prezesa Rady Ministrów planuje również zacieśnienie współpracy z krajowymi dostawcami usług (np. poczty elektronicznej) i promowanie podniesienia oferowanych metod zabezpieczeń, np. poprzez popularyzację uwierzytelniania dwuskładnikowego.

Jednocześnie, chciałbym zachęcić do zapoznania się Raportem opracowanym przez Stowarzyszenie Polska Obywatelska Cyberobrona pt.: Stan bezpieczeństwa stron internetowych Posłów Rzeczypospolitej Polskiej opublikowanym w czerwcu br.

Raport przedstawia wyniki badania przeprowadzonego w 2019 roku, którego celem było wykrycie podatności oraz błędów konfiguracyjnych, które mogłyby zostać wykorzystane przez potencjalnych atakujących. W raporcie przedstawiony został wykaz błędów bezpieczeństwa znalezionych na badanych stronach internetowych wraz z przypisanym poziomem ryzyka. Warto zaznaczyć, że każda z przeanalizowanych stron w ramach badania obarczona była przynajmniej jednym problemem dotyczącym bezpieczeństwa.

Z poważaniem

z up. Marek Zagórski
Sekretarz Stanu w Kancelarii Prezesa Rady Ministrów

^[1] Ustawa z dnia 5 sierpnia 2010 roku o ochronie informacji niejawnych – Dz. U. z 2010 nr 182 poz. 1228;

^[2] ustawa z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu Dz. U. z 2020 r. poz. 27 i poz. 2320

^[3] ustawa z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych - Dz. U. z 2019 r. poz. 796;

^[4] ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa - Dz. U. z 2020 poz.1369;

^[5] ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych - Dz. U. 2019 poz. 742;

^[6] ustawa z dnia 13 sierpnia 2018 r. o krajowym systemie cyberbezpieczeństwa;