Obecnie konsekwencją tej decyzji (czy raczej zaniechania) jest sytuacja, w której rząd i administracja państwowa nie posiadają mechanizmów pozwalających na nadzorowanie i regulowanie funkcjonowania cyberprzestrzeni wykorzystywanej przez podmioty i obywateli z danego kraju.

Co więcej, dynamika zmian zachodzących w cyberprzestrzeni, ich innowacyjność i powiązanie z najnowocześ­niejszymi technologiami powoduje powstawanie luki prawnej – istotnego zakresu działalności niosącej skutki prawne i ekonomiczne nieuwzględnionego w pełni w systemach prawnych, tak krajowych, jak i międzynarodowych.

Oprócz niezaprzeczalnych zalet, rozwój cyberprzestrzeni pociągnął za sobą pojawienie się dobrze znanych ze świata rzeczywistego problemów. Wszystkie cechy, które zadecydowały o powstaniu nowej jakości w komunikacji, handlu czy usługach, stały się również okolicznością sprzyjającą powstawaniu zupełnie nowych możliwości dla oszustów, złodziei, terrorystów czy służb wywiadu.

W powyższym kontekście zatrważające są wnioski płynące z raportu „Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP”. Ogólna konstatacja sprowadza się do stwierdzenia, że administracja państwowa nie podjęła dotychczas niezbędnych działań, mających na celu zapewnienie bezpieczeństwa teleinformatycznego Polski. Mimo że coraz większa część usług publicznych oraz istotnych aspektów życia społecznego i gospodarczego realizowana jest obecnie w sieci, internet, lub z wykorzystaniem systemów teleinformatycznych, bezpieczeństwo Polski w dalszym ciągu jest postrzegane jedynie w sposób konwencjonalny. Nie dostrzeżono, że powstała nowa kategoria zagrożeń, wymagająca pilnej reakcji państwa. Kierownictwo najważniejszych instytucji publicznych nie było świadome niebezpieczeństw związanych z funkcjonowaniem cyberprzestrzeni oraz wynikających z tego faktu nowych zadań administracji państwowej.

O tym, że problem nie może być dalej traktowany po macoszemu, niech świadczy raport Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL o stanie bezpieczeństwa cyberprzestrzeni RP w roku 2014. Zgodnie z jego treścią dostrzegalny jest w ostatnich latach wyraźny wzrost dynamiki ataków, które łączą możliwe metody i narzędzia, zwiększając tym samym ewentualną skuteczność prowadzonych długofalowych działań, nastawionych na osiągnięcie zamierzonego celu. Atakującymi są już nie tylko pojedyncze osoby, lecz także wysoko wyspecjalizowane grupy wykorzystujące coraz bardziej zaawansowane technologie oraz kierunki ataku.

Zgodnie z raportem Zespołu CERT.GOV.PL rok 2014 okazał się rekordowy pod względem liczby otrzymanych zgłoszeń oraz obsłużonych incydentów. W sumie zarejestrowanych zostało aż 12 017 zgłoszeń, z których 7498 zakwalifikowano jako incydenty. Warto podkreślić, że Zespół CERT odnotował 119 incydentów określonych jako inżynieria społeczna, co w porównaniu z rokiem 2013 stanowiło wzrost o 350% (w 2013 roku zarejestrowanych zostało 34 incydentów będących sumą kategorii: „Inżynieria społeczna”, „Kradzież tożsamości”, „Podszycie się, w tym phishing”). W ramach incydentów tej kategorii wyłoniono 24 uznane jako masowe kampanie phishingowe o wysokim poziomie zaawansowania ataku. Przeprowadzane kampanie często wykorzystywały wizerunek znanych firm, podmiotów prowadzących sprzedaż w internecie lub firm pośredniczących, jak np.: firmy kurierskie, serwisy aukcyjne czy rezerwacyjne, banki, operatorzy telekomunikacyjni.

Jak ze współczesnymi problemami radzą sobie polskie firmy? Zgodne z wynikami badań przeprowadzonymi przez PwC Polska nie najlepiej. Aż 22% respondentów nie dysponuje wiedzą o liczbie incydentów bezpieczeństwa, które wystąpiły w danej organizacji (o 4 punkty procentowe więcej niż globalny poziom odniesienia).

Incydenty związane z bezpieczeństwem informacji

Wyniki globalnego badania wskazują również, że liczba incydentów związanych z bezpieczeństwem informacji wzrosła o ponad 25% w porównaniu z rokiem poprzednim. Takie wyniki sugerują, że coraz większy szum medialny wokół kwestii bezpieczeństwa teleinformatycznego jest w pełni uzasadniony. Niepokój budzi przy tym fakt, że wzrost ten wydaje się nie dotyczyć polskich przedsiębiorstw. Biorąc pod uwagę, że według niezależnych badań 75% ataków wynika wyłącznie z samego faktu istnienia luki w zabezpieczeniach, a nie atrakcyjności celu, rozbieżności w tym zakresie mogą wynikać z niższej efektywności procesów i rozwiązań związanych z wykrywaniem incydentów bezpieczeństwa.

Warto przy tym wskazać, że skutki niefinansowe incydentu bezpieczeństwa informacji to przede wszystkim utrata reputacji na skutek kradzieży danych, procesów, planów itp. oraz skutki personalne dla zarządów. Co ciekawe, respondenci w Polsce wskazują, że nie znają kosztu związanego z incydentami albo że pozostaje w granicach 50 tys. zł. Może to oznaczać, że incydenty bezpieczeństwa informacji nie stanowią dla najwyższego kierownictwa badanych organizacji zdarzeń, które żywotnie wpływających na procesy biznesowe zarządzanych przez siebie przedsiębiorstw. O tym, że jest to założenie zgoła błędne, przekonały się m.in. firmy Fit and Eat czy Plus Bank.