System S46, przewidziany w ustawie o krajowym systemie cyberbezpieczeństwa jako kluczowe narzędzie wsparcia dla uczestników KSC, miał stać się fundamentem nowoczesnego, zintegrowanego zarządzania incydentami w Polsce. Po kilku latach funkcjonowania Najwyższa Izba Kontroli oceniła jednak, że jego realny wpływ na podniesienie poziomu cyberbezpieczeństwa państwa pozostaje ograniczony, a skala poniesionych nakładów finansowych jest nieproporcjonalna do uzyskanych efektów.
Kontrola objęła działania Ministra Cyfryzacji oraz Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego, czyli NASK-PIB, jako podmiotów odpowiedzialnych za utrzymanie i rozwój systemu. Do momentu zakończenia kontroli wydatki na S46 przekroczyły 74 mln PLN, a prognozy związane z nowelizacją ustawy o KSC wskazują, że w perspektywie dekady łączne koszty mogą sięgnąć nawet 500 mln PLN.
Ambitne cele i szerokie grono odbiorców
System S46 zaprojektowano jako centralną platformę wspierającą zgłaszanie i obsługę incydentów, wymianę informacji oraz współpracę pomiędzy uczestnikami Krajowego Systemu Cyberbezpieczeństwa. Miał służyć operatorom usług kluczowych z sektorów energetyki, transportu, ochrony zdrowia czy bankowości, dostawcom usług cyfrowych, podmiotom publicznym, zespołom CSIRT oraz organom właściwym do spraw cyberbezpieczeństwa.
Założenie było jednoznaczne. W obliczu rosnącej liczby i złożoności cyberzagrożeń niezbędne stało się narzędzie umożliwiające automatyzację procesów, tworzenie jednolitego obrazu sytuacyjnego w skali kraju, szybką wymianę ostrzeżeń i rekomendacji, a także prowadzenie szacowania ryzyka na poziomie krajowym. System miał zastąpić rozproszone formularze, bazy wiedzy i narzędzia wykorzystywane wcześniej przez różne podmioty.
W praktyce Minister Cyfryzacji wywiązał się z ustawowego obowiązku uruchomienia systemu w terminie. Jednak, jak wskazała NIK, jakość wdrożonego rozwiązania nie przełożyła się w istotny sposób na wzrost poziomu cyberbezpieczeństwa w Polsce, co oznacza, że nadrzędny cel projektu nie został osiągnięty.
System działa, ale uczestnicy z niego nie korzystają
Choć S46 funkcjonuje stabilnie od strony technicznej, jego rzeczywiste wykorzystanie przez uczestników KSC pozostaje ograniczone. W wielu okresach znaczna część podłączonych instytucji nie logowała się do systemu w ogóle lub korzystała z niego sporadycznie.
W II kwartale 2025 roku spośród 296 podmiotów aż 100 nie zalogowało się ani razu. W I kwartale tego samego roku na 278 podmiotów brak logowania dotyczył 105 z nich. Jeszcze wyraźniej problem widać w ujęciu miesięcznym. W grudniu 2024 roku na 252 użytkowników 136 nie zalogowało się do systemu ani razu, a tylko 75 korzystało z niego co najmniej trzy razy.
W efekcie system pełnił głównie rolę repozytorium informacji. Kluczowe funkcje, takie jak reagowanie na incydenty, ostrzeganie, rekomendacje czy szacowanie ryzyka, nie zapewniały wartości dodanej odpowiadającej skali projektu i poniesionym nakładom.
Błędy projektowe i brak rozpoznania potrzeb
Najwyższa Izba Kontroli wskazała, że zasadnicze problemy S46 miały swoje źródło już na etapie projektowania. System oparto na wcześniejszych projektach badawczo-rozwojowych, bez pogłębionej analizy realnych potrzeb przyszłych użytkowników. Przyjęto złożoną architekturę techniczną oraz kosztowny model dostępu, który nie uwzględniał barier organizacyjnych i kompetencyjnych po stronie uczestników.
Dodatkowo system nie oferował informacji, które byłyby unikalne lub trudno dostępne w innych źródłach. Dane o podatnościach i ostrzeżeniach można było znaleźć poza S46, a niektóre funkcje uznawane za innowacyjne, w tym analiza ryzyka oparta na sieci powiązań, nie działały zgodnie z założeniami.
W ocenie NIK oznaczało to, że system nie był od początku projektowany jako narzędzie operacyjne realnie wspierające codzienną pracę uczestników KSC, lecz jako rozbudowana platforma technologiczna o ograniczonej praktycznej użyteczności.
Rosnące koszty i ambitne plany
Budowa i utrzymanie S46 realizowane były w ramach siedmiu zadań finansowanych głównie z dotacji Ministra Cyfryzacji. Pięć z nich zostało zakończonych, natomiast w momencie zamknięcia kontroli w toku pozostawały dwa kolejne projekty o planowanej wartości 16,1 mln PLN oraz 41,7 mln PLN, z czego zdecydowaną większość stanowiły środki unijne.
Skala wydatków znacząco przekroczyła pierwotne założenia przyjęte przy uchwalaniu ustawy o KSC w 2018 roku. W kontekście planowanej nowelizacji przepisów, która może znacząco zwiększyć liczbę uczestników systemu, pojawia się pytanie o efektywność dalszych inwestycji oraz o to, czy model funkcjonowania S46 zostanie istotnie skorygowany.
Ryzyko błędnych decyzji strategicznych
Szczególne zastrzeżenia NIK wzbudziła metodologia szacowania ryzyka na poziomie krajowym, oparta na danych gromadzonych w systemie. Informacje pozyskiwano głównie z ankiet, przy założeniu, że uczestnicy przekazują dane prawidłowe i aktualne. W praktyce ankiety nie były systematycznie aktualizowane, weryfikowane ani potwierdzane audytem.
W rezultacie w systemie gromadzono dane o niejednoznacznej jakości, które następnie wykorzystywano do analiz i raportów krajowych. Ograniczona aktywność części uczestników dodatkowo zniekształcała obraz sytuacji. Przez kilka lat analizy ryzyka prowadzone były w oparciu o informacje o niepewnej wiarygodności, co stwarzało realne zagrożenie podejmowania decyzji strategicznych na podstawie danych niepełnych lub niereprezentatywnych.
W ocenie Izby mogło to prowadzić zarówno do fałszywego poczucia bezpieczeństwa, jak i do nieadekwatnych reakcji państwa na rzeczywiste zagrożenia.
Próba odbudowy wiarygodności
NIK pozytywnie oceniła fakt, że w trakcie kontroli zarówno Ministerstwo Cyfryzacji, jak i NASK-PIB rozpoczęły działania naprawcze mające zwiększyć użyteczność systemu. Zapowiedziano zmiany funkcjonalne w obszarze ostrzegania, komunikacji między uczestnikami KSC, rekomendacji, szacowania ryzyka oraz obsługi incydentów.
Izba podkreśliła jednak, że obie instytucje będą musiały zmierzyć się z kryzysem zaufania kluczowych interesariuszy. Szybkie i skuteczne wdrożenie zapowiadanych modyfikacji stanie się warunkiem odbudowy wiarygodności S46, zwłaszcza w kontekście planowanego rozszerzenia systemu na nowe podmioty.
Wnioski pokontrolne obejmują konieczność wprowadzenia mechanizmów ewaluacji projektów informatycznych, rzetelnej analizy potrzeb użytkowników końcowych oraz cyklicznych, udokumentowanych testów ciągłości działania systemu, w tym pełnych testów odtworzeniowych kopii zapasowych.
Sprawa S46 pokazuje, że w obszarze cyberbezpieczeństwa nie wystarczy formalne wdrożenie rozwiązania ani spełnienie ustawowego obowiązku. Kluczowe znaczenie ma realna użyteczność systemu, jego akceptacja przez użytkowników oraz jakość danych, na których opiera się państwowa polityka bezpieczeństwa cyfrowego. Bez tych elementów nawet najbardziej ambitny projekt może pozostać kosztowną, lecz w ograniczonym stopniu wykorzystywaną infrastrukturą.
Czytaj także:
