Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Ile kosztuje firmy bezpieczeństwo państwa?

Ile kosztuje firmy bezpieczeństwo państwa?

Przedsiębiorcy, którzy myślą o kontraktach w służbach mundurowych lub też finansowanych z budżetu NATO, na własnej skórze doświadczają, ile kłopotów sprawia ochrona informacji niejawnych. Jednakże rzadko decydują się ujawnić, jakie ponieśli koszty z tego tytułu.

Przedsiębiorcy, którzy myślą o kontraktach w służbach mundurowych lub też finansowanych z budżetu NATO, na własnej skórze doświadczają, ile kłopotów sprawia ochrona informacji niejawnych. Jednakże rzadko decydują się ujawnić, jakie ponieśli koszty z tego tytułu.

DGT od początku swojej działalności zawierało kontrakty z wojskiem, policją i Strażą Graniczną. Ma stosowne certyfikaty NATO, jest wpisane na listę potencjalnych dostawców tamtejszej agencji ds. zaopatrzenia NAMSA. Działalność w sferze specjalnej wymusiła na firmie poważne inwestycje w pion ochrony. Sama kancelaria tajna to ogromna inwestycja w budynku DGT w gdańskim Straszynie. Samo bezpieczne stanowisko komputerowe - spełniające wymogi ochrony przed ulotem elektromagnetycznym klasy TEMPEST - kosztowało 40 tys. zł. Za certyfikat bezpieczeństwa przemysłowego dotychczas przyznawany na potrzeby każdego kontraktu o charakterze specjalnym trzeba było zapłacić 8 tys. zł. Natomiast poświadczenie bezpieczeństwa osobowego - zgodnie z wymogami Ustawy o ochronie informacji niejawnych - to koszt rzędu 1200 zł. Rok temu DGT szacowało, że takim poświadczeniem legitymowało się 120 osób.

Te liczby przybliżają choć trochę koszty ponoszone przez biznes na rzecz bezpieczeństwa państwa. Trzeba jednak pamiętać, że przedsiębiorca musi płacić jeszcze za np. certyfikację urządzeń kryptograficznych czy też systemów teleinformatycznych. Biznes obciążają również szkolenia pełnomocników ochrony informacji niejawnych.

Sporym wydatkiem - zwłaszcza dla operatorów telekomunikacyjnych - jest "wykonywanie zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego" zgodnie z Prawem telekomunikacyjnym. Dostosowanie do wymogów stosownego rozporządzenia ze stycznia 2003 r. miało kosztować Telekomunikację Polską 100 mln zł. Stąd pojawiały się głosy wśród przedsiębiorców telekomunikacyjnych, że skoro państwo chce podsłuchiwać swoich obywateli, niech za to płaci.

Trudno nie przyznać racji operatorom, skoro co najmniej 6 służb państwowych ma prawo do podsłuchiwania, czyli stosowania technik operacyjnych. Wśród nich są policja, MON, Agencja Bezpieczeństwa Wewnętrznego czy też wywiad skarbowy. W konsekwencji TP SA ma specjalny system Beethoven, który na żądanie wymienionych wyżej służb nagrywa rozmowy wskazanych osób. Zajmuje się tym Pion Bezpieczeństwa TP, której szefem jest były zastępca szefa Urzędu Ochrony Państwa płk Jerzy Nóżka.

Certyfikacja za pieniądze

Tylko 18 firm uzyskało certyfikaty Jednostki Certyfikującej Departamentu Bezpieczeństwa Teleinformatycznego ABW (DBTI) na środki ochrony fizycznej, ochrony kryptograficznej i ochrony elektromagnetycznej. Najwięcej produktów zgłosił do badań warszawski COMP SA. Jest pod tym względem bezsprzecznie liderem rynku.

Niestety, nawet z prospektu emisyjnego nie dowiemy się, ile kosztował proces certyfikacji, szerzej przygotowanie produktów spełniających wymogi Ustawy o ochronie informacji niejawnych. COMP SA chwali się tym, że uzyskał 25 takich certyfikatów dla urządzeń CompCrypt potwierdzających, że urządzenia te spełniają określone normy bezpieczeństwa teleinformatycznego i mogą być wykorzystywane jako środki ochrony kryptograficznej informacji niejawnych stanowiących tajemnicę służbową lub państwową do oznaczonych klauzulą "tajne" włącznie. Ich produkcja była poprzedzona pracami badawczo-rozwojowymi z dziedziny kryptografii, projektowania układów scalonych i "projektowania światowej klasy urządzeń do kryptograficznej ochrony danych".

Można wziąć wszakże pod uwagę zapisy stosownych rozporządzeń, które regulują wysokość opłat. I tak Rozporządzenie Prezesa Rady Ministrów z dnia 16 lipca 2001 r. w sprawie wysokości opłat za przeprowadzenie przez służbę ochrony państwa czynności warunkujących wydanie certyfikatu dla systemu lub sieci teleinformatycznej, urządzenia lub narzędzia kryptograficznego oraz za wydanie tych certyfikatów uzależnia je od czasochłonności testów i jest "krotnością kwoty przeciętnego wynagrodzenia za godzinę pracy zespołu badawczego".

W ocenie Roberta Kośli, zastępcy dyrektora DBTI, badania przygotowujące urządzenie do certyfikacji trwają średnio 2-6 miesięcy. Samo rozporządzenie wprowadza ograniczenie czasu trwania procesu certyfikacji do 40 godzin pracy zespołu badawczego, zaś w przypadku certyfikacji systemu informatycznego - 16 godzin. "Czas certyfikacji zależy w głównej mierze od złożoności przedmiotu oceny (np. oprogramowanie, pojedyncze urządzenia, rodzina urządzeń) i wnioskowanego poziomu certyfikatu. Koszty certyfikacji w Polsce są średnio 3-4 razy niższe niż w innych krajach UE - głównie ze względu na niższe koszty osobowe" - wyjaśnia Robert Kośla.

Podobnie jak w największych krajach NATO i Unii Europejskiej, środki ochrony kryptograficznej powstają w wyniku współpracy służb ochrony państwa z komercyjnymi producentami, którzy ponoszą nakłady finansowe na proces badawczo-rozwojowy, pokrywane następnie ze sprzedaży gotowych urządzeń. Współpraca ta wykracza poza ustawowe zadania służb ochrony państwa i realizowana jest na zasadach odpłatności, tak jak np. w Wlk. Brytanii współpraca producentów z CESG czy w Niemczech współpraca producentów z BSI.

W Polsce w 2000 r. - na podstawie decyzji ówczesnego szefa Urzędu Ochrony Państwa - powstało w tym celu Gospodarstwo Pomocnicze UOP, realizujące obsługę prawno-finansową projektów budowy nowych urządzeń kryptograficznych. Jego utworzenie było zgodne z Ustawą o finansach publicznych, która narzuciła likwidację środka specjalnego wykorzystywanego w latach 90. do obsługi współpracy z producentami urządzeń kryptograficznych.

Nowa ustawa, nowe nadzieje

W połowie czerwca wchodzi w życie znowelizowana ustawa o ochronie informacji niejawnych. Najważniejsze jej zmiany - mające ułatwić funkcjonowanie przedsiębiorcom - zostały zaproponowane przez służby ochrony państwa. Ku radości przedsiębiorców poświadczenie bezpieczeństwa będzie się wydawać odtąd na okres 10 lat w przypadku dostępu do informacji niejawnych oznaczonych klauzulą "zastrzeżone" lub "poufne", 7 lat w przypadku dostępu do informacji niejawnych oznaczonych klauzulą "tajne" oraz 5 lat w przypadku dostępu do informacji niejawnych oznaczonych klauzulą "ściśle tajne". Oznacza to znaczące obniżenie wydatków z tego tytułu.

Jeszcze lepsze wieści przynosi art. 68 ust. 1. Wreszcie służba ochrony państwa wydaje świadectwo bezpieczeństwa przemysłowego, które zachowuje ważność od daty wydania przez okres 5 lat - w przypadku umów lub zadań związanych z dostępem do informacji niejawnych oznaczonych klauzulą "ściśle tajne", 7 lat - w przypadku umów lub zadań związanych z dostępem do informacji niejawnych oznaczonych klauzulą "tajne" oraz 10 lat - w przypadku świadectwa bezpieczeństwa przemysłowego, oznaczonych klauzulą poufne.

Zatem można już dziś poddać się temu procesowi, by wystartować w przetargu np. za rok lub dwa.

URTiP o obowiązkach operatorów telekomunikacyjnych

Szczegółowy katalog zadań i obowiązków przedsiębiorców telekomunikacyjnych na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego nie jest zamknięty. Wciąż identyfikowane są nowe problemy, wymagające prawnego uregulowania. Niektóre z nich znajdują się bezpośrednio lub pośrednio w zakresie właściwości Prezesa URTiP.

Przedsiębiorcy telekomunikacyjni oczekują, że stosowane dotąd ogólne, niekiedy nadmiernie dyskrecjonalne uregulowania, będą zastępowane przez szczegółowe, przejrzyste przepisy. Problemem zarówno dla przedsiębiorców, jak i administracji jest to, że jak dotąd nie wszystkie przepisy uwzględniają specyfikę i kluczowe znaczenie systemów łączności.

Oprócz ogólnych zasad konstytucyjnych ramy regulacyjne dla zobowiązań przedsiębiorców telekomunikacyjnych wobec bezpieczeństwa i obronności oraz bezpieczeństwa i porządku publicznego tworzą obecnie przede wszystkim następujące ustawy:

  • Ustawa prawo telekomunikacyjne
  • Ustawa o powszechnym obowiązku obrony Rzeczpospolitej Polskiej
  • Ustawa o organizowaniu zadań na rzecz obronności państwa realizowanych przez przedsiębiorców
  • Ustawy o stanie klęski żywiołowej; o stanie wyjątkowym; o stanie wojennym
  • Kodeks postępowania karnego
Źródło: Strategia regulacyjna URTiP

Nakłady na kryptografię w firmie COMP S.A.

Przykładowo w roku 2002 COMP SA zakończył prace projektowe i rozpoczął produkcję urządzeń pozwalających na ochronę informacji między użytkownikami dołączonymi poprzez te urządzenia do sieci telekomunikacyjnej łączami ISDN. Prace trwały dwa lata wespół z DGT i były współfinansowane ze środków Komitetu Badań Naukowych (KBN). Uzyskały potwierdzenie bezpieczeństwa do stopnia "tajne". Widać, że wydatki na te prace były na tyle znaczne, że COMP uznał je za informacje tajne i jako takie zostały objęte wnioskiem o niepublikowanie.

Warto zwrócić uwagę, że PACOMP - jedna ze spółek zależnych - jest jedną z firm na rynku uprawnioną do wykorzystywania w produkowanych urządzeniach Narodowych Algorytmów Szyfrowych (NASZ) opracowanych przez DBTI. Oznacza to, że może produkować urządzenia dopuszczane nawet do przetwarzania tajemnic z klauzulą "ściśle tajne". Ma własne biuro konstrukcyjne specjalizujące się w konstrukcjach układów elektroniki, elementów mechanicznych oraz tworzeniu oprogramowania. "Dotychczas potencjał biura jest najczęściej wykorzystywany do tworzenia urządzeń i narzędzi wspomagających specjalistyczną produkcję oraz aplikacji testujących" - czytamy w prospekcie emisyjnym.

Przy okazji można się dowiedzieć, że COMP wraz ze spółkami Grupy Kapitałowej posiada 6 świadectw bezpieczeństwa przemysłowego udzielonych przez Agencję Bezpieczeństwa Wewnętrznego (uprzednio Urząd Ochrony Państwa) dotyczących zdolności Emitenta i spółek Grupy Kapitałowej do zapewnienia ochrony informacji niejawnych oznaczonych klauzulą "tajne" w zakresie wykonania umowy na rzecz ABW oraz podmiotów uznanych przez ABW za powierników informacji niejawnych. Prospekt ujawnia także, że pracownicy COMP i jego spółek zależnych uzyskali, w związku z wykonywanymi czynnościami, 63 poświadczenia bezpieczeństwa osobowego upoważniające do dostępu do informacji niejawnych stanowiących tajemnicę służbową lub państwową.

W prospekcie jest jednak pewna informacja, która może ujawnić skalę nakładów na ten cel. Wejście COMP SA na giełdę było spowodowane chęcią pozyskania m.in. 12 mln zł na nowe projekty z dziedziny bezpieczeństwa. Chodzi o "uzyskanie sprzętowych rozwiązań kryptograficznych umożliwiających ochronę informacji w systemach wykorzystujących najnowsze technologie informatyczne". Te projekty obejmą ochronę poufności i integralności danych transmitowanych szybkimi, złożonymi sieciami pomiędzy bardzo dużą ilością użytkowników oraz informacji przechowywanych i przetwarzanych w serwerach i bazach danych. W tych projektach wykorzystane zostaną zarówno nowoczesne mechanizmy kryptograficzne, np. podpis elektroniczny, jak i narodowe algorytmy zapewniające najwyższy poziom bezpieczeństwa.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas