Bezpieczna biurokracja

O ile jako tako panujemy już nad obsługą nowych urządzeń i programów informatycznych, o tyle mało kto jest w stanie przewidzieć, jakie mogą być rzeczywiste skutki stosunkowo łatwej dostępności do informacji.

Oczywiście, wiele organów administracji musi wdrażać zasady bezpieczeństwa pod rządami ustawy o ochronie informacji niejawnej. Pomimo jednak niedawnej znaczącej nowelizacji, dominuje w niej podejście do ochrony informacji, które poprzez przypisanie formalnej klauzuli upodmiotowia informację niejawną, wychodząc od tajemnicy państwowej, razem ze wszystkimi atrybutami tajności, strefami bezpieczeństwa, tajną kancelarią, poświadczeniami bezpieczeństwa osobowego. Tymczasem, pomiędzy rzeczywistym, czy też postulowanym obszarem regulacji tej bardzo poważnej i restrykcyjnej ustawy a tym, co zasługuje na zastosowanie ochrony, jest spory obszar dobrej praktyki i zwykłej ostrożności, której należałoby oczekiwać od każdego państwowego lub samorządowego urzędnika i osób odpowiedzialnych za systemy teleinformatyczne administracji.

Pomylony obywatel

Bezpieczeństwo to nie tylko kontrola dostępu do informacji, ale również zapewnienie, by system spełniał swoje zadanie w sposób niezawodny, w tym, mówiąc kolokwialnie, nie szkodził użytkownikom, na przykład popełniając błędy. Rządowe plany wykorzystania teleinformatyki dla wsparcia administracji rządowej i samorządowej, nazywane informatyzacją państwa, ciągle wracają do idealnej wizji zintegrowania różnorakich zasobów informacji gromadzonych i przetwarzanych przez administrację, w tym we wszystkich rejestrach państwowych. Dużą część tych informacji daje się przypisać przede wszystkim do obywateli, stąd był pomysł, by podstawowym zasobem porządkującym był system ewidencji ludności PESEL.

Dla niejednego informatyka taka uniwersalna optymalizacja zasobów informacyjnych państwa jawi się jako zgrabny pomysł. Idea "jednego okienka" wygląda też zapewne dobrze dla wielu zwykłych obywateli, gorzej to widzą ci, również liczni, którzy są nieufni wobec koncepcji państwa, które na kliknięcie wie prawie wszystko o każdym obywatelu.

Już przy wstępnej analizie widać, że tego rodzaju system to bardzo złożony problem z punktu widzenia bezpieczeństwa. Dane do rejestrów państwowych są wprowadzane w różnym celu i dla różnych zastosowań z wielu tysięcy terminali rozproszonych po całej Polsce, a co ważniejsze - przez wiele tysięcy osób o różnych zwyczajach i pomysłach co do interpretacji sposobu używania formularzy, nie mówiąc już o normalizacji i indeksowaniu dokumentów. Celem integracji byłoby kierowanie raz zebranych danych do innych, nazwijmy je umownie, specjalizowanych rejestrów, a także wyciąganie z nich danych w miarę potrzeby. Usuwanie błędów w takim układzie może być trudne, a przecież istnieje prawdopodobieństwo, że błędy będą się nakładać. Odrębnym, poważnym problemem byłoby również skuteczne nadawanie i separowanie różnego rodzaju uprawnień.

Wreszcie ciekawe jest również rozważanie, czy w takim supersystemie informacyjnym, z ogromną liczbą informacji, nie zaczęły działać prawa fizyki statystycznej, razem z naturalną w przyrodzie tendencją do entropii, nieuporządkowania, czyli również powstawania błędów.

Bezpieczeństwo ze wspomaganiem

Fundamentalnym problemem we wdrażaniu zabezpieczeń w systemach teleinformatycznych jest fakt, że do niedawna wiedza o tym była, a po części pewnie też nie przestała być, wiedzą ezoteryczną. Kryptograficzne metody ochrony informacji do niedawna pozostawały domeną rządów, a te bardziej zaawansowane są nadal objęte kontrolą obrotu, koncesjami, i przystosowanie ich do ochrony strategicznych tajemnic z natury rzeczy jest kosztowne.

Rynek jednak potrzebuje bezpieczeństwa nie mniej od rządów i niektóre rozwiązania kryptograficzne stały się od kilku lat powszechnie dostępne. Na rynku dostępnych jest już dużo narzędzi sprzętowych i oprogramowania, nawet darmowego, które pozwala przynajmniej częściowo zabezpieczyć wrażliwe informacje. Należy przyjąć, że każde zabezpieczenie jest lepsze niż żadne, skoro podłączenie komputera do sieci publicznej potencjalnie otwiera dostęp do niego z dowolnego miejsca świata. Powstaje również rynek firm, które specjalizują się na zasadach outsourcingu w oferowaniu usług stałej ochrony, wykrywania i usuwania podatności na zagrożenia w systemach teleinformatycznych.

Z punktu widzenia skomplikowanej struktury administracji rządowej i samorządowej oraz w obliczu tendencji do integracji systemów informacyjnych konieczne jest obecnie wykorzystywanie doświadczeń kryptologów, związanych ze stosowaniem wielostronnych obliczeń zabezpieczeń transakcyjnych, przydatnych w systemach płatności elektronicznych. Kiedy dobrze zdefiniuje się relacje prawne i organizacyjne oraz uprawnienia dostępu do informacji (co oczywiście samo w sobie może być wyzwaniem niebanalnym) - w tym między innymi, gdzie informacja powinna być uwierzytelniona, a gdzie w sposób gwarantowany anonimowa, gdzie jest ważna niezaprzeczalność lub rozliczalność - odpowiednio opracowane protokoły kryptograficzne mogą wspomagać bezpieczeństwo obiegu informacji, przynajmniej częściowo uniezależniając go od użytkownika.