Szyfrowane regulacje

Import urządzeń i oprogramowania szyfrującego, bez względu na długość wykorzystywanego klucza, wymaga zezwolenia Ministerstwa Gospodarki.

Import urządzeń i oprogramowania szyfrującego, bez względu na długość wykorzystywanego klucza, wymaga zezwolenia Ministerstwa Gospodarki.

Ze względu na bezpieczeństwo państwa, służby specjalne i wymiar sprawiedliwości różnych krajów starają się nadzorować używanie systemów kryptograficznych w administracji publicznej i gospodarce. Oczywiście w pierwszym przypadku jest to uzasadnione interesem państwa. Nie wszyscy jednak mogą zrozumieć, dlaczego urzędy państwowe chcą wiedzieć, w jaki sposób przedsiębiorstwo prywatne chroni swoje informacje?

W ochronie kraju

W myśl ustawowych przepisów, wiadomości stanowiące tajemnicę państwową i służbową przekazuje się za pomocą środków zapewniających ich ochronę. Nadzór nad przestrzeganiem tajemnicy państwowej i służbowej należy do zadań Urzędu Ochrony Państwa (UOP). Dotyczy to kryptograficznej ochrony wiadomości stanowiących tajemnicę państwową i służbową, przekazywanych przez techniczne środki łączności na potrzeby organów administracji państwowej, państwowych instytucji finansowych i gospodarczych.

Jeżeli jakakolwiek instytucja lub firma przetwarza informacje z klauzulą "tajne" lub "tajne specjalnego znaczenia" - nazywane informacjami klasyfikowanymi na wzór ustawodawstwa państw NATO - za pomocą urządzeń kryptograficznych lub oprogramowania, musi uzyskać certyfikat UOP na zastosowane tam algorytmy kryptograficzne.

Droga przez mękę

Jednak nie tylko od administracji wymaga się pozwoleń i certyfikatów na stosowane rozwiązania szyfrujące. Firmy, które chcą zabezpieczać poufność swoich danych, np. tajemnicy handlowej (nie objętej ustawą o tajemnicy państwowej i służbowej), wykorzystując oprogramowanie lub urządzenia szyfrujące, też zmuszone są do zgłoszenia tego faktu poprzez Departament Kontroli Eksportu Ministerstwa Gospodarki do Biura Bezpieczeństwa Łączności i Informatyki UOP.

Przykładowo, ogólnopolska firma handlowa zamierza chronić dane o swoich klientach, a także szyfrować raporty finansowe, które krążą w sieci rozległej, łączącej oddziały na terenie kraju. W tym celu ma zamiar kupić oprogramowanie, wykorzystujące algorytm z 128-bitowym kluczem i umożliwiające kodowanie w tzw. warstwie II.

Skoro produkt powstał w USA, firma musi uzyskać najpierw informacje, że rząd amerykański zgodził się na eksport tej technologii do Polski. Po drugie, musi sprawdzić, czy umowa między producentem a rządem USA nie ogranicza się wyłącznie do eksportu oprogramowania na potrzeby sektora finansowego (banków i towarzystw ubezpieczeniowych) albo dla zagranicznych oddziałów i spółek amerykańskich. Wreszcie, sprzedawca musi poinformować kupującego, czy ma pozwolenie (tzw. certyfikat importowy) Ministerstwa Gospodarki na import oprogramowania szyfrującego. Wymaga tego ustawa o zasadach szczególnej kontroli obrotu z zagranicą towarami i technologiami w związku z porozumieniami i zobowiązaniami międzynarodowymi.

Na tym jednak nie koniec. Kiedy sprzedawca powie, że wszystkie warunki są spełnione, nadmieni zapewne, iż konieczne jest jeszcze złożenie oświadczenia do Ministerstwa Gospodarki. Oświadczenie trafi do UOP. W tej deklaracji firma handlowa musi zapewnić, że nie będzie za pomocą oprogramowania szyfrującego przetwarzać informacji tajnych w rozumieniu ustawy o ochronie tajemnicy państwowej i służbowej.

Gdyby jednak kontrola UOP wykazała, że tajemnice, do których ma dostęp firma handlowa, mają charakter tajemnicy państwowej, to poza sankcjami karnymi, firma musiałaby kupić urządzenia szyfrujące lub oprogramowanie, w którym zastosowano algorytmy certyfikowane przez UOP.

Szyfrowanie w administracji

Dzisiaj certyfikat na importowane urządzenia kryptograficzne mają wyłącznie urządzenia szwajcarskiej firmy Omnisec, sprzedawane przez II Oddział Optimus SA w Warszawie. Urządzenia krajowe są produkowane z myślą o administracji publicznej, wojsku, policji i służbach specjalnych. Zastosowane tam algorytmy kryptograficzne musiały przejść przez procedurę kontroli w UOP, lecz producenci nie ujawniają publicznie przyznanych certyfikatów.

Jeśli na rynku komercyjnym można wybierać swobodnie między poszczególnymi rozwiązaniami w dziedzinie kryptografii, to wojsko, policja, służby specjalne i administracja publiczna - o ile nie chcą skorzystać z rozwiązań krajowych - są zdane na urządzenia Omnisec. UOP nie wyrazi zgody na instalację w tych instytucjach urządzeń szyfrujących, jeśli te nie przeszły długotrwałej i kosztownej procedury certyfikacyjnej w laboratoriach Biura Bezpieczeństwa Łączności i Informatyki. Certyfikacji dokonuje się na bazie Księgi Jakości Jednostki Certyfikującej Urządzeń i Systemów Kryptograficznych oraz Kompatybilności Elektromagnetycznej, zgodnie z europejskimi kryteriami ITSEC (Information Technology Security Evaluation Criteria) i standardami NATO. Jednak - jak zapewniają przedstawiciele biura - na ukończeniu są prace dopuszczające do obrotu sprzęt innych producentów.

Szyfr światowy

Jak widać, stan prawny obrotu systemami kryptograficznymi jest w Polsce dość skomplikowany. Wynika to z nachodzącego na siebie starego i nowego ustawodawstwa. Ścierają się dwie koncepcje. Jedna głosi, aby na wzór Francji zakazać lub bardziej ograniczyć import urządzeń kryptograficznych (we Francji dopuszcza się do obrotu wyłącznie urządzenia i oprogramowanie krajowe). Drugi to model, przyjęty m.in. w Belgii i Australii, w którym zakłada się, że państwa nie interesuje, w jaki sposób przedsiębiorca chroni swoje dane.

Podstawy prawne procedury legitymizującej użytkowanie sprzętu i oprogramowania kryptograficznego ora
  • Ustawa z 14 grudnia 1982 r. o ochronie tajemnicy państwowej i służbowej

  • Ustawa z 6 kwietnia 1990 r. o Urzędzie Ochrony Państwa

  • Ustawa z 2 grudnia 1993 r. o zasadach szczególnej kontroli obrotu z zagranicą towarami i technologiami w związku z porozumieniami i zobowiązaniami międzynarodowymi

  • Zarządzenie ministra gospodarki z 19 czerwca 1997 r. w sprawie ustalenia wykazów towarów i technologii objętych szczególną kontrolą obrotu z zagranicą

  • W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    TOP 200