Zbędne centrum obrony przed hakerami
7 czerwca 2014
Stworzona przez federalne Ministerstwo Spraw Wewnętrznych pod egidą Federalnego Urzędu ds. Bezpieczeństwa Informatycznego (BSI) placówka miała być centralnym miejscem informacji i obrony przed cyberatakami i zagrożeniami. W tym celu w byłej siedzibie Federalnych Służb Wywiadowczych w Bonn utworzono przed trzema laty 10 etatów.
Najwyraźniej jednak centrum nie jest w stanie podołać takim zadaniom - wynika z poufnego raportu Federalnego Trybunału Obrachunkowego. Treść dokumentu ujawnił zespół śledczy złożony z dziennikarzy gazety „Süddeutsche Zeitung” oraz rozgłośni NDR i WDR.
Raport głosi, że narodowemu centrum obrony przez atakami cybernetycznymi brakuje zarówno odpowiednich kompetencji, jak i jasnej struktury pracy. Niektóre z uczestniczących w projekcie urzędów nie są już zainteresowane pracą centrum i nie wysyłają na konferencje swoich przedstawicieli.
Struktura do poprawki
Kontrolerzy nie zostawiają suchej nitki na strukturze placówki. „Obecnie centrum nie jest w stanie zjednoczyć wszystkich rozsianych po różnych urzędach kompetencji i zdolności do obrony przed atakami w przestrzeni cybernetycznej”, głosi dokument.
Do stałych członków w bońskim centrum należą obok BSI również Federalny Urząd Ochrony Konstytucji i Federalny Urząd ds. Ochrony Ludności i Klęsk Żywiołowych (BBK). Ponadto rolę stowarzyszonych członków posiada: kontrwywiad wojskowy, Federalna Służba Wywiadowcza, Federalny Urząd Kryminalny, Kryminalny Urząd Celny, a także Policja Federalna.
Federalny Trybunał Obrachunkowy krytykuje ponadto, że pomimo udziału wszystkich najważniejszych urzędów centrum brakuje odpowiedniej ekspertyzy. Placówka nie jest w stanie podołać podstawowemu zadaniu, jakim jest obrona przed zagrożeniem, a na dodatek jako platforma informacyjna cieszy się niewielką akceptacją.
Brak zainteresowania
Niejasne jest ponadto, jakie zadania ma przejąć centrum, bo najwyraźniej brakuje jasnego podziału kompetencji. Trybunał uznał zatem istnienie centrum, którego jedynym punktem porządku dziennego jest „omówienie sytuacji” i które w dorocznym raporcie wypowiada „rekomendacje działania na płaszczyźnie polityczno-stategicznej” za nieuzasadnione.
Niektóre z zaangażowanych w pracę centrum instytucji (m.in. BBK, Kryminalny Urząd Celny czy służby Bundeswehry) tylko rzadko lub wcale nie uczestniczą w codziennych naradach.
Cios dla ministerstwa
Dla niemieckiego MSW raport ten to poważny cios. Ówczesny szef tego resortu Hans-Peter Friedrich dokonał uroczystego otwarcia centrum w Bonn i wiązał z nim wielkie oczekiwania. – Musimy wydawać rekomendacje dotyczące bezpieczeństwa cybernetycznego, zanim dojdzie do ataku – powiedział Friedrich. – Struktury władzy w obszarze zorganizowanej przestępczości i terroryzmu łączą się i również planują ataki cybernetyczne – mówił. Na takie ataki miało reagować nowe centrum i czuwać nad bezpieczeństwem republiki i jej „krytycznej infrastruktury”.
Z raportu wynika, że również MSW widzi potrzebę ulepszeń. W dokumencie z lutego br. MSW donosi, że praca centrum „wymaga poprawek”, a udział wszystkich urzędów „wymaga kontroli”. Ministerstwo nie uznało jednak, że trzeba konkretnie zdefiniować przebieg pracy placówki. Scenarie ataków są bowiem zbyt różne, by wtłoczyć je w standardowe procesy.
Brak kompetencji do działania
Nawet w przypadku optymalizacji przebiegu pracy niejasne jest, jakie zadania ma w ogóle przejąć centrum w Bonn. Od czasu jego utworzenia centrum konkuruje z całą gamą innych urzędów i oddziałów, które uważają się za odpowiedzialne za bezpieczeństwo w dziedzinie IT. Nawet sprawujący pieczę nad centrum BSI w ważnych kwestiach zwraca się do własnego centrum IT lub do tzw. federalnego „Computer Emergency Response Team”.
I nie bez powodu, bo bońskiemu centrum brakuje kompetencji. Feredalny Trybunał Obrachunkowy również nie ma pojęcia, jakie „produkty" centrum „regularnie sporządza”, czyli właściwie, co centrum robi w przypadku ataku cybernetycznego.
ARD / Katarzyna Domagała
red. odp.: Iwona D. Metzner