Z Bogusławem Kusiną, dyrektorem Biura Bezpieczeństwa, Łączności i Informatyki Urzędu Ochrony Państwa, rozmawia Olo Sawa.

Czy można powiedzieć, że Biuro odpowiada za bezpieczeństwo sieci komputerowych centralnych instytucji w kraju?

Zobowiązuje nas do tego ustawa. Staramy się przeciwdziałać zagrożeniom dla informacji stanowiącej tajemnice państwową bądź służbową, przetwarzanych, przesyłanych i przechowywanych w sieciach teletransmisyjnych i w systemach teleinformatycznych.

Oznacza to, że Urząd decyduje, jak i kto będzie szyfrował informacje oznaczone klauzulą tajne bądź poufne?

Jeśli mają wpływ na bezpieczeństwo kraju bądź po prostu są objęte tajemnicą państwową lub służbową, to oczywiście tak. My decydujemy jak będzie szyfrowana informacja i kto może obsługiwać urządzenia szyfrowe. Dlatego Biuro na przykład organizuje kursy dla osób mających obsługiwać urządzenia szyfrujące.

Obecnie wykorzystywane szyfratory uważane są za bardzo przestarzałe. Czy apelujecie o ich modernizację?

Jak to jest ze wszystkimi tego typu urządzeniami, szyfratory były przestarzałe już w momencie ich produkcji. Ważne że tworzą one jednak system bezpieczny i narodowy, tzn. taki, który sami przygotowaliśmy i wdrożyliśmy bez udziału podmiotów trzecich.

Nie ma go jeszcze policja, więc nie może przesyłać istotnych dla jej pracy danych.

Są to spory kompetencyjno-finansowe, w które nie będę się wdawał.

Czy Biuro odpowiada za bezpieczeństwo serwera WWW Biura Informacyjnego Rządu.

Za jakąkolwiek stronę WWW na jakimkolwiek serwerze rządowym odpowiada kierownik jednostki organizacyjnej eksploatującej daną infrastrukturę internetową. W tym wypadku jest to jeden z naczelników Urzędu Rady Ministrów.

Czy zatem Urząd Ochrony Państwa zajmuje się przypadkiem włamania do tego serwera? Czy włamanie to stanowi zagrożenie dla bezpieczeństwa państwa?

Nie wiemy do końca, czy sieć internetowa w URM była fizycznie wydzielona. Nie mogę jednak więcej nic powiedzieć oprócz tego, że na wniosek zainteresowanych zajmujemy się tą sprawą.

Proszę mnie dobrze zrozumieć. Stan faktyczny, stan prawny, mówiący czym powinniśmy się zajmować, nie jest do końca jasny. De facto odpowiadamy na sygnały z terenu. Mówimy bankom i instytucjom centralnym, gdzie kończy się tajemnica służbowa, a zaczyna państwowa, jakie warunki system powinien spełnić, by został uznany za bezpieczny. Takich opinii wydaliśmy w ub.r. kilkanaście. Bierzemy udział w konferencjach tematycznych, porządkujemy regulacje wewnętrzne i wysuwamy propozycje aktów wykonawczych. Wreszcie chcemy szkolić specjalistów ds. bezpieczeństwa dla instytucji rządowych.

Po ostatnim włamaniu do URM stało się jasne, że administracja centralna może być narażona na włamania komputerowe w przyszłości. Czy Urząd zajmuje się tym problemem wraz z osobami z poszczególnych agend rządowych?

Mogę tylko powiedzieć, że obserwujemy sytuację z uwagą.

Jak rekrutujecie specjalistów?

Staramy się nawiązywać współpracę z ludźmi zaraz po studiach, oferując im ciekawą pracę w atrakcyjnym miejscu. Oczywiście nie ukrywam, że płace są u nas żenująco niskie. Odchodzący od nas specjalista otrzymuje z reguły 3-6-krotnie wyższe uposażenie niż w Urzędzie.

Czy Pana zdaniem, urzędy centralne mogą być podłączane do Internetu?

Uważamy, że jeśli dana instytucja przechowuje, przesyła bądź przetwarza informacje drogą elektroniczną, to infrastruktura, w której to się odbywa, nie może być podłączona do sieci otwartej.

Najsłabszym ogniwem w całym łańcuchu przetwarzania czy przesyłania tajnej informacji jest człowiek. Co z tego, że zbudujemy kabinę ciszy, kiedy pracująca w niej osoba otworzy drzwi, bo akurat zepsuje się klimatyzacja i w kabinie będzie za gorąco?