Miał być cyfrową zaporą chroniącą państwo przed falą cyberataków. Raport Najwyższej Izby Kontroli pokazuje jednak, że system S46 za ponad 74 mln zł stał się symbolem dysproporcji między ambicją a efektem. W tle rosnące koszty, nieweryfikowane dane i widmo wydatków sięgających 500 mln zł.
System S46 został zaprojektowany jako centralna platforma krajowego systemu cyberbezpieczeństwa. Miał umożliwiać zgłaszanie incydentów, wymianę informacji między CSIRT, operatorami usług kluczowych, podmiotami publicznymi i Ministerstwem Cyfryzacji, a także wspierać analizę ryzyka na poziomie krajowym. Jedno narzędzie miało zastąpić rozproszone formularze i improwizowaną komunikację. Jak wskazuje raport NIK, system pełnił głównie rolę repozytorium informacji.
Najwyższa Izba Kontroli: 74 mln zł na system bez efektów
Do momentu zakończenia kontroli wydano ponad 74 mln zł na budowę i utrzymanie S46. Dokumenty związane z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa wskazują, że w perspektywie dziesięciu lat koszty mogą przekroczyć 500 mln zł.
Najwyższa Izba Kontroli mówi wprost o dysproporcji między poniesionymi kosztami a uzyskanymi efektami. Błędy miały pojawić się już na etapie projektowania. Presja czasu, zbyt złożona architektura systemu i brak rzetelnego rozpoznania potrzeb użytkowników sprawiły, że narzędzie nie wpisało się w realne procesy operacyjne uczestników KSC.
Zobacz także
S46 bez użytkowników. Statystyki KSC pokazują skalę problemu
Statystyki logowań pokazują skalę problemu. W niektórych okresach nawet ponad jedna trzecia podmiotów wchodzących w skład Krajowego Systemu Cyberbezpieczeństwa nie logowała się do systemu ani razu. W ujęciu miesięcznym zdarzały się sytuacje, w których ponad połowa użytkowników nie wykazywała żadnej aktywności.
W efekcie S46 nie stał się operacyjną platformą reagowania na incydenty, ale administracyjnym obowiązkiem. Zaawansowane funkcje, takie jak analiza ryzyka oparta na sieci powiązań, nie działały zgodnie z założeniami. Dane zbierane w ankietach nie były systematycznie weryfikowane, co rodziło ryzyko budowania krajowych analiz na niepełnym obrazie zagrożeń.
NIK alarmuje. Szacowanie ryzyka na słabych danych
NIK zwraca uwagę na najpoważniejsze zagrożenie, czyli podejmowanie strategicznych decyzji w oparciu o złe dane. Jeśli system szacowania ryzyka opiera się na nieweryfikowanych informacjach, państwo może działać w przekonaniu, że widzi pełen obraz sytuacji, podczas gdy w rzeczywistości operuje na fragmentach.
Resort cyfryzacji i NASK-PIB rozpoczęły działania naprawcze. Zalecenia obejmują mechanizmy ewaluacji projektów IT, uwzględnianie realnych potrzeb użytkowników, testy ciągłości działania i scenariusze odtworzeniowe kopii zapasowych. Przed operatorami systemu stoi jednak większe wyzwanie niż poprawa kodu czy architektury. To odbudowa zaufania. System za setki milionów złotych nie może być cyfrową dekoracją.
Nie przegap żadnej ważnej wiadomości i obserwuj nas w Google News!