ciachu
forum admin
postów: 823
|
Witold Rygiel
Tuzin twardzieli
Afera "dyskowa": spojrzenie odrêbne
Kwiecieñ 2004
Witold Rygiel
Historyk, absolwent Wydzia³u Humanistycznego Uniwersytetu Miko³aja Kopernika w Toruniu. Interesuje siê problematyk± ochrony danych osobowych, ochrony informacji niejawnych oraz dostêpu do informacji publicznej.
Inni autorzy >>
"Niestety, wiele urzêdów lekcewa¿y obowi±zek chronienia zu¿ytych twardych dysków. Kancelarie tajne prowadz± na ogó³ wojskowi w wieku przedemerytalnym, dla których dysk to po prostu kawa³ek metalu i nie maj± pojêcia, ¿e ma on tak± warto¶æ jak dokument" - ten b³yskotliwy cytat, pochodz±cy z wypowiedzi anonimowego eksperta Agencji Bezpieczeñstwa Wewnêtrznego zamieszczonej w "Gazecie Wyborczej" [1], zdaje siê sugerowaæ, ¿e fina³em afery mo¿e byæ obarczenie odpowiedzialno¶ci± za niew³a¶ciwy nadzór nad informatycznymi no¶nikami szeregowego ministerialnego "szaraczka", któremu faktycznie udowodni siê informatyczny analfabetyzm.
Tygodnik "NIE" wszed³ - pomiñmy, w jaki sposób - w posiadanie 12 dysków twardych z komputerów Ministerstwa Spraw Zagranicznych. Z relacji prasowych wynika, ¿e na dyskach, przeznaczonych przez MSZ do likwidacji, znajdowaæ maj± siê dane z lat 1992 - 2004, w tym tak¿e informacje, którym nadano klauzule tajno¶ci w rozumieniu przepisów ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z pó¼n. zm. - dalej: uoin). W konsekwencji naruszone zosta³y normy ustawy o ochronie informacji niejawnych, jak te¿ przepisy o ochronie danych osobowych. Zapowiadaj± siê pracowite tygodnie dla prokuratury i Agencji Bezpieczeñstwa Wewnêtrznego, natomiast media przez kilka dni epatowa³y bêd± czytelników ekscytuj±cymi "przeciekami" z czynno¶ci podejmowanych przez w³a¶ciwe w tym zakresie organy. Po kilku tygodniach sprawa, jak wiele innych, straci na znaczeniu, a podmioty dysponuj±ce informacjami niejawnymi, obowi±zane do respektowania norm uoin, powiela³y bêd± nadal teoretycznie optymalne standardy przetwarzania danych.
S³u¿by dobrze (?) poinformowane
Szef ABW, Andrzej Barcikowski, ujawni³, ¿e ju¿ dwa lata temu podleg³e mu s³u¿by skontrolowa³y stan przestrzegania przepisów uoin w Ministerstwie Spraw Zagranicznych, co zaowocowa³o skierowaniem wniosku do prokuratury [2]. Ta kluczowa z wielu wzglêdów informacja pozwala na wnioskowanie, ¿e:
* ba³agan panuj±cy w MSZ nie by³ zjawiskiem obcym s³u¿bom ochrony pañstwa,
* s³u¿by te, zobowi±zane z oczywistych wzglêdów do sta³ego monitorowania stanu ochrony tajemnic resortu spraw zagranicznych, zadowoli³y siê w praktyce rzeczonym powiadomieniem prokuratury, zaniedbuj±c obowi±zek wyegzekwowania w MSZ w³a¶ciwego re¿imu postêpowania z informacjami niejawnymi,
* kierownictwo MSZ nie spowodowa³o podjêcia rzeczywistych dzia³añ wdra¿aj±cych zalecenia pokontrolne ABW (w tym niezbêdnych posuniêæ kadrowych - wszak¿e mamy w kraju poka¼n± armiê wysoko kwalifikowanych bezrobotnych, którzy z dobrym skutkiem zast±piliby niektórych ministerialnych "fachowców").
* co najmniej w±tpliwej jako¶ci by³y procedury postêpowañ sprawdzaj±cych przeprowadzonych przez s³u¿by ochrony pañstwa wobec personelu Ministerstwa Spraw Zagranicznych dopuszczonego do pracy z informacjami niejawnymi.
W tej sytuacji ewentualne poszukiwanie winnych skandalu wy³±cznie w¶ród personelu MSZ wydaje siê byæ sp³ycaniem problemu. Obawiam siê, ¿e jak to zwykle bywa, znajd± siê politycy i publicy¶ci chêtni do postrzegania w "twardodyskowej" aferze elementów prowokacji, jak¿e konweniuj±cej z obecn± faz± osobliwych gier prowadzonych na rodzimej politycznej szachownicy. TVN, w wyemitowanych 6 kwietnia "Faktach", pokusi³a siê o dwuznaczne skonfrontowanie wie¶ci zaczerpniêtych z ³amów tygodnika "NIE" z trwaj±cymi od kilku dni obchodami ¶wiêta pracowników Agencji Bezpieczeñstwa Wewnêtrznego, za¶ dzieñ pó¼niej "Gazeta Wyborcza" opublikowa³a analityczny materia³ wype³niony stosownymi hipotezami, nie wykluczaj±cymi spisku elit [3]. Nie zabraknie wiêc w najbli¿szych dniach typowych w takich sytuacjach nawo³ywañ do zatkania ust dziennikarzom, których obwini siê za podwa¿anie autorytetu organów pañstwa i ujawnianie (lub prowokowanie do ujawniania) prawnie chronionych sekretów. Szef ABW zd±¿y³ ju¿ zreszt± ujawniæ swoje oburzenie na przedstawicieli niektórych redakcji, którzy nie powiadomili w³a¶ciwych s³u¿b o otrzymaniu ofert kupna rzeczonych dysków [4], czym narazi³ na histeryczne ataki ¶miechu ¶rodowiska (niekoniecznie rodzime) profesjonalnie zajmuj±ce siê pozyskiwaniem wiedzy powszechnie niedostêpnej.
W nowoczesnym i demokratycznym pañstwie ustawowym obowi±zkiem urzêdnika jest wykonywanie zadañ s³u¿bowych, zgodnie z prawem i okre¶lonymi przez pracodawcê procedurami wewnêtrznymi, bez zwa¿ania na aktualny stan politycznych rozgrywek. I tym w zasadzie mo¿na skwitowaæ próby ewentualnego t³umaczenia przyczyn MSZ-owskiego skandalu spiskiem zawi±zanym przez jedn± z politycznych "kanap" przeciwko drugiej. MSZ jest w kontek¶cie zasad funkcjonowania pañstwa jednym z newralgicznych resortów, a nie azjatyck± budk± z tanim jad³em lub bazarowym stoiskiem na stadionie X - lecia. Je¿eli s³u¿by ochrony pañstwa (SOP) nie potrafi± poradziæ sobie z w³a¶ciw± ochron± tak kluczowego dla interesów Polski ministerstwa i jego sekretów lub wyegzekwowaniem niezw³ocznej likwidacji stwierdzonego tam przed dwoma laty ba³aganu, to mo¿e lepiej zamiast forsowania zasadno¶ci kolejnych reform wydzier¿awiæ tê strukturê profesjonalnym s³u¿bom zachodnim, które zajm± siê bezpieczeñstwem podstawowych interesów RP, a odci±¿ony z realizacji skomplikowanych zadañ rodzimy personel oficerski zajmie siê tym, do czego jest wed³ug telewizyjnych relacji predysponowany: odbezpieczaniem butelek szampana, strzelaniem do tarczy, gr± w futsal, trenowaniem profesjonalnych zatrzymañ biznesmenów, czy te¿ alarmowaniem mediów o znalezieniu u wyznawcy Allaha planu stolicy.
Bezpieczeñstwo teleinformatyczne
Wskutek politycznych swarów i gier interesów, datuj±cych siê od prze³omu lat osiemdziesi±tych i dziewiêædziesi±tych, Sejm III Rzeczpospolitej nie by³ w stanie do 1999 roku uchwaliæ nowej ustawy reguluj±cej zasady ochrony informacji stanowi±cych tajemnicê pañstwow± lub s³u¿bow±. W konsekwencji niemal przez ca³± poprzedni± dekadê w realiach pañstwa uwolnionego z okowów Uk³adu Warszawskiego obowi±zywa³y przepisy ustawy z dnia 14 grudnia 1982 r. o ochronie tajemnicy pañstwowej i s³u¿bowej, stanowi±ce relikt minionej epoki. Rzecz jasna owa regulacja, mentalnie dostosowana do pracy z liczyd³ami, maszynami do pisania "£ucznik", o³ówkami kopiowymi i brudz±cymi palce kalkami, nie zawiera³a - o ile pamiêtam - bezpo¶rednich odniesieñ do przetwarzania informacji w systemach i sieciach teleinformatycznych. Dopiero realna gro¼ba nieprzyjêcia Polski do NATO z powodu tolerowania ustawodawczego skansenu sk³oni³a parlament do pospiesznego uchwalenia - i tak in fine niedoskona³ej [5] - ustawy o ochronie informacji niejawnych.
Jednym z wa¿niejszych i zas³uguj±cych na aprobatê rozwi±zañ wprowadzonych do uoin by³o okre¶lenie w jej rozdziale 10 zasad ochrony informacji niejawnych w systemach i sieciach teleinformatycznych. Konkretyzacjê tych zasad znajdziemy w rozporz±dzeniu Prezesa Rady Ministrów z dnia 25 lutego 1999 r. w sprawie podstawowych wymagañ bezpieczeñstwa systemów i sieci teleinformatycznych (Dz. U. Nr 18, poz. 162). Warto podkre¶liæ, ¿e kierownik jakiejkolwiek jednostki organizacyjnej decyduj±cy siê na wytwarzanie, przechowywanie, przetwarzanie lub przekazywanie informacji niejawnych w systemach i sieciach TI (pod tym eufemizmem kryje siê w praktyce najzwyklejszy komputer) ma obowi±zek zapewniæ bezpieczeñstwo teleinformatyczne, a w szczególno¶ci:
1. Opracowaæ szczególne wymagania bezpieczeñstwa systemu lub sieci TI, tj. kompletny i wyczerpuj±cy opis ich budowy, zasad dzia³ania i eksploatacji wraz z procedurami bezpieczeñstwa, które musz± byæ spe³nione w fazie projektowania, wdra¿ania i funkcjonowania systemu lub sieci; procedury te obejmuj± zasady i tryb postêpowania w sprawach zwi±zanych z bezpieczeñstwem informacji niejawnych, a tak¿e okre¶laj± zakres odpowiedzialno¶ci u¿ytkowników systemu lub sieci TI oraz pracowników maj±cych do nich dostêp.
2. Wyznaczyæ administratora systemu i sieci TI odpowiedzialnego za funkcjonowanie systemu lub sieci oraz przestrzeganie zasad i wymagañ ich bezpieczeñstwa.
3. Wyznaczyæ inspektora bezpieczeñstwa teleinformatycznego odpowiedzialnego za bie¿±c± kontrolê zgodno¶ci funkcjonowania sieci lub systemu TI ze "Szczególnymi wymaganiami bezpieczeñstwa".
4. Skierowaæ administratora systemu i sieci TI oraz inspektora bezpieczeñstwa teleinformatycznego na specjalistyczne (i odp³atne) przeszkolenie organizowane przez s³u¿by ochrony pañstwa.
5. Przekazaæ w³a¶ciwej ze s³u¿b ochrony pañstwa (SOP) "Szczególne wymagania bezpieczeñstwa" w celu ich zatwierdzenia przez SOP (dotyczy informacji stanowi±cych tajemnicê pañstwow±);
6. Przedstawiæ SOP "Szczególne wymagania bezpieczeñstwa" (dotyczy informacji niejawnych stanowi±cych tajemnicê s³u¿bow±) - niewniesienie przez SOP zastrze¿eñ do tych wymagañ w terminie 30 dni od daty ich przedstawienia uprawnia do uruchomienia systemu lub sieci TI.
7. Zorganizowaæ zgodne z wymaganiami SOP pomieszczenia s³u¿±ce do lokalizacji urz±dzeñ systemu i sieci TI.
8. Zakupiæ sprzêt komputerowy maj±cy s³u¿yæ do przetwarzania informacji niejawnych posiadaj±cy certyfikaty w³a¶ciwej krajowej w³adzy bezpieczeñstwa w pañstwie bêd±cym stron± Organizacji Traktatu Pó³nocnoatlantyckiego (wzglêdnie uzyskaæ certyfikacjê posiadanego sprzêtu przez SOP).
Mniej zorientowanym czytelnikom wyja¶niæ nale¿y, ¿e zdecydowana wiêkszo¶æ wy¿ej okre¶lonych obowi±zków jest, delikatnie rzecz ujmuj±c, nader dolegliwa organizacyjnie, kadrowo i finansowo dla podmiotów, które zamierza³yby wdro¿yæ w swoich strukturach pracê z informacjami niejawnymi w systemach lub sieciach TI. St±d okre¶lona liczba instytucji pañstwowych broni siê wszelkimi mo¿liwymi sposobami przed nieuchronn± w perspektywie konieczno¶ci± wytwarzania, przechowywania, przetwarzania lub przekazywania informacji niejawnych w systemach i sieciach TI.
By dope³niæ obrazu powy¿szych nieszczê¶æ dodajmy do tego zauwa¿alny w wielu urzêdach syndrom strachu czê¶ci personelu przed komputerem i Internetem, brak ¶rodków finansowych na zakup sprzêtu wykorzystywanego dla zwyk³ych, s³u¿bowych celów, jak te¿ spotykane w niektórych instytucjach pogl±dy, ¿e komputer nie s³u¿y do pisania, lecz do liczenia (sic! autentyczne wypowiedzi decydentów w pañstwie wchodz±cym do Unii).
Ustawowa teoria a urzêdowa praktyka
Nie do koñca uzasadnione jest obarczanie win± za nierozumienie zasad i procedur bezpieczeñstwa teleinformatycznego i wynikaj±cych z powy¿szych uwarunkowañ przypadków niedbalstwa szeregowych pracowników jednostek organizacyjnych zobowi±zanych do respektowania przepisów uoin. Nowe przepisy o ochronie informacji niejawnych obowi±zuj± od 5 lat, a niektóre okoliczno¶ci ich wdra¿ania na prze³omie 1999/2000, w tym nieterminowe realizowanie przez SOP procedur postêpowañ sprawdzaj±cych, spowodowa³y oczywisty chaos w organach w³adzy i administracji pañstwowej. Kierownictwa podmiotów zmuszonych do stosowania przepisów o ochronie informacji niejawnych, w wielu przypadkach desygnowa³y do "pionów ochrony", które obowi±zane by³y powo³aæ [7], pracowników kompletnie nieprzygotowanych i niezainteresowanych tak± problematyk±. W znacznej czê¶ci przypadków osobom tym dopisano do zakresu obowi±zków s³u¿bowych rzeczone, dodatkowe kompetencje wynikaj±ce z przepisów uoin, nie odci±¿aj±c pracowników z dotychczasowych obligacji zawodowych. Czy nie zabrak³o projektodawcom wyobra¼ni, by s±dziæ, ¿e pani Krysia lub pan Jurek, zajmuj±cy siê w swoim urzêdzie logistyk±, ksiêgowo¶ci± lub wydawaniem decyzji administracyjnych, ochoczo zajm± siê po godzinach pracy pog³êbianiem wiedzy o zasadach ochrony informacji wymagaj±cych ochrony przed nieuprawnionym ujawnieniem, to jest licz±c± ponad 90 artyku³ów ustaw±, kilkunastoma rozporz±dzeniami wykonawczymi, literatur± fachow± i wytycznymi resortowymi?
Stan "u¿ytkowej" wiedzy w tym zakresie uzale¿niony jest przede wszystkim od poziomu szkoleñ prowadzonych, zgodnie z ustaw± o ochronie informacji niejawnych, przez s³u¿by ochrony pañstwa. Tymczasem z odczuæ wielu uczestników szkoleñ organizowanych przez SOP dla pe³nomocników ds. ochrony informacji niejawnych wynika, ¿e zajêcia prowadzone s± zazwyczaj w poetyce czytania zebranym tre¶ci przepisów aktów normatywnych. Znany jest mi przyk³ad osobliwego przeszkolenia przez UOP dwustuosobowej grupy kandydatów na pe³nomocników, gdy na zajêciach z bloku tematycznego po¶wiêconego bezpieczeñstwu teleinformatycznemu nie pojawi³ siê jakikolwiek prelegent. Uczestnicy otrzymali rzecz jasna stosowne za¶wiadczenia o odbyciu przeszkolenia, a po powrocie do zatrudniaj±cych ich instytucji zobligowani zostali do przeprowadzenia szkoleñ dla personelu, w tym równie¿ w zakresie bezpieczeñstwa teleinformatycznego.
W 2001 roku znowelizowano przepisy uoin, a obecnie trwaj± w parlamencie prace nad kolejn±, merytorycznie g³êbok±, zmian± tej ustawy. Nie wypracowano dot±d jakiegokolwiek trybu postêpowania, maj±cego na celu rzeczywiste zaznajomienie pe³nomocników ochrony z istot± dokonywanych w ustawodawstwie zmian. Absurdem jest liczenie przez s³u¿by ochrony pañstwa na to, ¿e wiêkszo¶æ z pe³nomocników przyswoi prawne nowinki we w³asnym zakresie (i w³a¶ciwie je zinterpretuje). Czê¶æ z nich, zatrudnionych w niewielkich jednostkach organizacyjnych, zrealizowa³a to, co kiedy¶ nakazano, tj. przeprowadzi³a zwyk³e postêpowania sprawdzaj±ce wobec wytypowanego personelu, rozda³a owym wybrañcom po¶wiadczenia bezpieczeñstwa, dopilnowa³a organizacji tajnej kancelarii i zajê³a siê tym, czego na co dzieñ wymaga pracodawca, czyli podstawowymi obowi±zkami s³u¿bowymi, niezwi±zanymi z informacjami niejawnymi.
Co stoi na przeszkodzie, poza odrobin± konceptu i dobrej woli, aby Agencja Bezpieczeñstwa Wewnêtrznego podjê³a siê zadania wydawania interesuj±co i przystêpnie redagowanego periodyku przeznaczonego dla pe³nomocników ochrony? Móg³by to byæ miesiêcznik lub kwartalnik, prenumerowany przez ka¿d± z jednostek organizacyjnych obowi±zanych do wdro¿enia norm uoin, zawieraj±cy tre¶ci przydatne w pracy ka¿dego "pionu ochrony", stanowi±cy jednocze¶nie forum wymiany do¶wiadczeñ osób profesjonalnie zwi±zanych z problematyk± ochrony informacji. Dotychczasowe próby wydawania takich periodyków przez podmioty komercyjne [8] zakoñczy³y siê niepowodzeniem z uwagi na problemy finansowe wydawców, prze³adowanie pism niespójnymi z rzeczywisto¶ci±, naukowymi teoriami, nieregularnym ukazywaniem siê periodyków, k³opotami z kolporta¿em i pozyskiwaniem potencjalnych prenumeratorów.
W odwodzie Generalny Inspektor
Je¶li nawet okaza³oby siê, ¿e twarde dyski nie zawiera³y informacji stanowi±cych tajemnicê pañstwow± lub s³u¿bow±, to oczywiste jest naruszenie przez kierownictwo MSZ szeregu innych regulacji, w tym g³ównie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (uodo). Przepisy rozdzia³u 5 uodo oraz rozporz±dzenia wykonawczego Ministra Spraw Wewnêtrznych i Administracji [6] nie pozostawiaj± w tej materii jakichkolwiek w±tpliwo¶ci. Ma³o tego, pobie¿na lektura § 10 rozporz±dzenia powinna nawet komputerowemu analfabecie uprzytomniæ jakimi zasadami kierowaæ nale¿y siê likwiduj±c no¶niki informatyczne. Do przyswojenia takiej wiedzy w zupe³no¶ci wystarcz± kwalifikacje nabyte po kilku latach spêdzonych w szkole podstawowej lub - dla bardziej odpornych na wiedzê - w ³awach gimnazjalnych. MSZ zatrudnia za¶ personel kompletnie wyedukowany i profesjonalnie obeznany zarówno w polszczy¼nie, jak te¿ jêzykach obcych.
Jest stanowczo za wcze¶nie na formu³owanie ocen odno¶nie rzeczywistego naruszenia przez personel MSZ przepisów ustawy o ochronie informacji niejawnych. Wszelkie niuanse wyja¶niæ powinny w³a¶ciwe w tym zakresie organy, tym bardziej, ¿e prokuratura i ABW wszczê³y ¶ledztwo maj±ce wykryæ odpowiedzialnych za to, ¿e dyski znalaz³y siê poza MSZ. Czarnym scenariuszem - obym go nie wykraka³ - bêdzie jednak znalezienie winnego w postaci niewyspanego dozorcy magazynów MSZ, ulokowanych gdzie¶ w podwarszawskich suburbiach, który w asy¶cie wychudzonego i ¶lepawego psa czuwaæ mia³ nad zdeponowanymi tam dyskami i nie sprawdzi³ na czas sprawno¶ci pordzewia³ej k³ódki na drzwiach magazynu lub stanu rozmiarów dziury w ogrodzeniu obiektu.
Witold Rygiel
-
[1] Ekspert ABW: Wszyscy lekcewa¿± dyski, Gazeta Wyborcza Nr 82. 4596 z dnia 6 kwietnia 2004 r.
[2] http://info.onet.pl/897668,11,item.html
[3] P. Wroñski, MSZ do remontu, Gazeta Wyborcza z dnia 7 kwietnia 2004 r.
[4] Rozmowa z dziennikarzem TVN 24 w dniu 6 kwietnia 2004 r.
[5] Szerzej na ten temat: M. i R. Taradejna, Dostêp do informacji publicznej, a prawna ochrona informacji dotycz±cych dzia³alno¶ci gospodarczej, spo³ecznej, zawodowej oraz ¿ycia prywatnego, Toruñ 2003.
Zob. te¿: W. Rygiel, Projekt nowelizacji ustawy o ochronie informacji niejawnych w ocenie pe³nomocnika ochrony. Przed pierwszym czytaniem - poprawiæ, Rzeczpospolita z dnia 8 sierpnia 2003 r.
[6] Rozporz±dzenie Ministra Spraw Wewnêtrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie okre¶lenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadaæ urz±dzenia i systemy informatyczne s³u¿±ce do przetwarzania danych osobowych (Dz. U. z 1998 r. Nr 80, poz. 521 z pó¼n. zm.)
[7] Art. 18 ust. 4 i 5, art. 63 ust. 1 oraz art. 64 uoin.
[8] Warto w tym kontek¶cie zadumaæ siê nad losami Biuletynu TISM "Ochrona Informacji", wydawanego przez pewien okres przez spó³kê ENSI (do tej pory, mimo op³aconych z góry prenumerat nie ukaza³y siê numery czasopisma planowane do wydania w 2002 (!) roku. Próbê stworzenia czasopisma o zbli¿onej tematyce podjê³a obecnie warszawska spó³ka Euro- Media- z uwagi na niszowy charakter przedsiêwziêcia i brak jakiejkolwiek popularyzacji periodyku mo¿na domy¶laæ siê, ¿e podzieli on smutne losy nies³awnej pamiêci wydawnictwa ENSI.
--
C
U
S |
![[Schwiebus.pl - ¦wiebodzin na starych kartach pocztowych, stare pocztówki, widokówki, kartki pocztowe]](http://www.schwiebus.pl/schwiebus_pl.png)
