Coraz większa złożoność systemów przetwarzania informacji stawia przed wszystkimi ich użytkownikami coraz większe wymagania w zakresie bezpieczeństwa. Szczególna rola w tym względzie przypada administracji publicznej, gdyż informacja staje się jednym z najcenniejszych zasobów współczesnego państwa.

Bezpieczeństwo ważnych, urzędowych dokumentów w Polsce przez wiele lat symbolizował zwyczajny kapsel po piwie przymocowany do drzwi. Oficjalnego znaczenia nabierał dzięki śladowi po okrągłym, misternie grawerowanym stempelku, zwanym referentką, odbitym w wypełniającej kapsel plastelinie i zanurzonym w niej sznurku, uniemożliwiającym nieupoważnione, niezauważone otwarcie służbowych drzwi. Ciekawe, ilu zagranicznych szpiegów musiało skapitulować zadumanych nad prostotą i skutecznością tego rozwiązania?

Fizycznego bezpieczeństwa urzędów mogą dzisiaj strzec coraz lepiej opracowane, wystandaryzowane procedury, strefy ograniczonego dostępu, atestowane szyfrowe zamki, systemy alarmowe, kamery, elektroniczne karty identyfikacyjne. Środki ochrony bywają bardzo złożone technologicznie i organizacyjnie, a co za tym idzie wpływają na sposób działania wszystkich, którzy mają do czynienia z "wrażliwymi" informacjami.

Cyfrowa biurokracja

Wygoda przetwarzania i przesyłania informacji w formie cyfrowej przełamała opory wielu najbardziej konserwatywnych, "papierowych" biurokratów. Efektem ubocznym powszechności zastosowań teleinformatyki jest jednak to, że problematyka ochrony informacji stała się udziałem każdego, kto posługuje się komputerem podłączonym do sieci. Technologie cyfrowe i teleinformatyka wkroczyły już do wszystkich dziedzin automatyzacji pracy biurowej. Aplikacje elektronicznej administracji są wpisane w programy rządowe i unijne.

O ile jednak w Strategii Lizbońskiej i programie i-Europe 2010 problematyka bezpieczeństwa technologii IT jest zapisana jako jeden z kluczowych priorytetów, to w Polsce wydaje się wciąż bagatelizowana. Trzeba ciągle przypominać, że upowszechnianie usług i aplikacji wykorzystujących cyfrowe technologie nie tylko w administracji, ale we wszystkich dziedzinach ludzkiej aktywności, wcale nie na wyrost na całym świecie określa się rewolucją informacyjną i nie da się jej po prostu zignorować. Wieloaspektowo rozumiana informacja staje się obecnie jednym z najcenniejszych zasobów nowoczesnego państwa. Jest to jednak specyficzny rodzaj zasobu, którego wartość zmienia się w czasie i w zależności od kontekstu. Zasoby informacyjne przetworzone w formie cyfrowej mogą być stosunkowo łatwo przejęte, zmienione, również niezgodnie z wolą i interesem właściciela. Sprawcy naruszeń mogą się ukrywać, a skutki ich działań mogą być przez dłuższy czas nierozpoznane.

Abstrakcyjne rozumienie znaczenia ochrony zasobów informacyjnych powoduje, że opisanie środków tejże ochrony w formie przepisów prawa, a co ważniejsze ich praktyczne stosowanie może być bardzo trudne i nie zawsze możliwe. Nadużywanym truizmem jest stwierdzenie, że bez względu na skuteczność zasad ochrony w końcu najsłabszym ogniwem łańcucha przekazu informacji jest człowiek. Z drugiej strony jednak dyskrecja, wyobraźnia i odpowiedzialność to cechy osobowe niezbędne u każdego, komu powierzono informację wymagającą ochrony.

Ściśle tajne, czyli spalić przed czytaniem

Charakterystyczna dla administracji biurokratyczna pragmatyka cechuje się oczekiwaniem prawnego uregulowania wszelkich obowiązków i procedur. Stopniowo wprowadzane są kolejne akty prawne, które definiują różne obszary ochrony informacji. Najdalej idącym uregulowaniem, które obejmuje bezpieczeństwo teleinformatyczne, jest Ustawa o ochronie informacji niejawnej.

Bezpieczeństwo państwa jest wprawdzie kategorią dosyć pojemną, ale równocześnie bezwzględną, czyli zakładającą użycie wszelkich znanych środków, by chronić tajemnicę państwową. Informacja tak sklasyfikowana pojawia się prawie na wszystkich szczeblach władzy publicznej. Wypełnienie wymagań związanych z ochroną tajemnicy państwowej przesyłanej drogą elektroniczną nie jest jednak łatwe. Wymaga zastosowania systemów i urządzeń kryptograficznych, które przeszły skomplikowany proces certyfikacji. Lista urządzeń certyfikowanych w Polsce nie jest zatem zbyt długa, a systemy tworzone z ich zastosowaniem są bardzo kosztowne. Należy jednak pamiętać, że ten koszt może być niczym w porównaniu ze stratami wynikającymi z przechwyceniem tajnych danych. Informacja o tym, czy te urządzenia są w ogóle w administracji stosowane jest oczywiście niejawna.

Publiczne czy prywatne

Jawność życia publicznego jest jednym z najważniejszych atrybutów demokracji. Prawda ta przebija się bardzo powoli do świadomości urzędników, ale jest już gwarantowana w wielu ustawach. Pomimo oczywistej, wydawałoby się, intencji przepisów często jednak zwycięża biurokratyczna wygoda, przesadna ostrożność lub kunktatorska kalkulacja.

Poza niektórymi politykami, którzy dbają o samopromocję w Internecie, stosunkowo rzadko można dzwonić i mailować wprost do osób, które zajmują się konkretną sprawą - urzędy wolą być bezosobowo Urzędami.

To oczywiście głównie kwestia kultury politycznej, ale zasłanianie się w tym przypadku przepisami o ochronie danych osobowych świadczy o niezrozumieniu ich istoty. Prawo o ochronie danych osobowych bywa zresztą nadużywane w urzędach przy wielu okazjach.

Nie tylko ze względu na obowiązki związane z Biuletynem Informacji Publicznej, ale często też niezależnie od tego wiele urzędów szeroko wykorzystuje Internet do prezentacji i konsultacji oficjalnych dokumentów. Jednak to co jawne również wymaga profesjonalnej ochrony. Ogromne szkody dla wizerunku każdej instytucji może spowodować włamanie na stronę internetową czy ataki blokujące dostęp do publicznych zasobów serwera. Jeszcze gorzej, gdy atak jest bardziej wyrafinowany i np. narusza integralność publikowanych informacji, fałszuje je, służy manipulowaniu informacjami, prowadzi do przechwycenia urzędowej poczty elektronicznej.

Informacja krytyczna

Szczególne znaczenie ma zapewnienie dostępu do zasobów informacyjnych w sytuacjach kryzysowych. Wtedy dochodzi do prawdziwego sprawdzianu przyjętych zawczasu planów ochrony. Prace nad projektem ustawy o zarządzaniu kryzysowym ciągnęły się latami, ale w tej kadencji Sejmu ustawa jest wreszcie bliska uchwalenia. Organizacja bezpiecznego i niezawodnego dostępu do zasobów informacyjnych w kontekście ochrony infrastruktury krytycznej jest deklarowana jako jedno z kluczowych zagadnień proponowanej regulacji, chociaż można mieć obawy, czy zasady współdziałania z przedsiębiorcami telekomunikacyjnymi, szczególnie na szczeblu terenowych organów administracji, są wystarczająco przejrzyście określone, by rozstrzygać np. kwestię kosztów.

Najważniejsze dla oceny nowej regulacji jest jednak to, że do polskiego systemu prawnego po raz pierwszy zostanie wprowadzone kluczowe dla nowoczesnej doktryny bezpieczeństwa pojęcie infrastruktury krytycznej. Można mieć nadzieję, że wykorzystując również przepisy o partnerstwie publiczno-prywatnym uda się roboczo wypracować efektywne modele współpracy w zakresie bezpieczeństwa.

Mniej więcej od 2002 r. na szczeblu powiatów i województw organizowane są centra powiadamiania ratunkowego, które są również centrami przyjmowania zgłoszeń numeru alarmowego 112. Na razie odbywa się to bez koordynacji na szczeblu krajowym, w niejednolity sposób, głównie na podstawie przepisów o Państwowym Ratownictwie Medycznym bądź o Krajowym Systemie Ratowniczo-Gaśniczym, zarówno w jednostkach podległych Państwowej Straży Pożarnej, jak i Policji. Niestety, można odnieść wrażenie, że jak na razie brakuje refleksji nad zoptymalizowaniem systemu pod kątem bezpieczeństwa teleinformatycznego.

Przygotowanie i utrzymanie zasobów informacyjnych, które mogłyby być przydatne w sytuacjach kryzysowych, jest odpowiedzialnością dysponentów sił i środków jednostek administracji wszystkich szczebli, przy czym każdy w zakresie swojej odpowiedzialności i wiedzy musi stwierdzić, jakiego rodzaju informacje mogą mieć znaczenie krytyczne. Utrzymuje się wprawdzie nadal optymistyczne przekonanie, że niewielki kraj w Europie Środkowo-Wschodniej nie jest w centrum zainteresowania terrorystów, ale tak ukierunkowana ostrożność powinna być pomocna również w analizie wielu innych rodzajów zagrożeń. Wczucie się w kogoś, kto chce do ataku wykorzystać najsłabszy punkt, może być dobrą wskazówką do wypracowania najlepszego systemu ochrony, niezależnie od standardowego audytu bezpieczeństwa, który nakażą przepisy. Trzeba też mieć świadomość, że bezpośredni atak na lokalny system informacyjny może być furtką otwierającą dostęp do innych, ważniejszych systemów.

Standardowe bezpieczeństwo

Coraz większa złożoność wszystkich elementów systemów przetwarzania informacji przyczynia się do wzrostu ryzyka pojawiania się luk w systemach bezpieczeństwa, które przeoczyli projektanci. Nie jest to ryzyko teoretyczne, producenci powszechnie stosowanych i w związku z tym najczęściej atakowanych rodzajów oprogramowania mają ogromne problemy, by nadążyć z publikacją "łat", które usuną ujawnione luki. Uczestnicy rynku technologii informacyjnych ścigają się w oferowaniu najbardziej atrakcyjnych i uniwersalnych systemów i aplikacji, ale w tym wyścigu bardzo często pomija się mniej "widoczne" dla użytkownika kwestie bezpieczeństwa, ponieważ ich rozwiązanie wymaga zazwyczaj znacznych nakładów finansowych i dużo czasu na dodatkowe opracowania i żmudne testy.

Wprowadzając na rynek nowe rozwiązania komunikacyjne, producenci często przyjmują przejściowe założenie, że celowe naruszenia bezpieczeństwa, to sytuacje incydentalne, których skutki można zminimalizować w ramach zwykłych, standardowych zabezpieczeń, ewentualnie przypominając użytkownikowi o potrzebie stosowania dodatkowych środków, w postaci haseł dostępu, firewalla, oprogramowania antywirusowego, filtrów antyspamowych itp. Przy takim podejściu ulepszenia są wprowadzane dopiero, kiedy staje się to uzasadnione ekonomicznie, czyli po osiągnięciu pierwszych celów rynkowych lub gdy jest wymuszone przez okoliczności.

Podobnie dzieje się z niektórymi nowymi technologiami (np. Wi-Fi, WiMAX). Uzgadnianie ich standardów na forum organizacji normalizacyjnych skupiających wielu producentów pozwala podzielić koszty rozwoju systemów i wdrożeń, ułatwia otwieranie nowych rynków i konkurowanie z alternatywnymi rozwiązaniami. Ogromną korzyścią dla użytkowników jest to, że takie rozwiązania mogą szybko tanieć, a standaryzacja uwalnia od dyktatu jednego producenta. Normy dotyczące zaawansowanych kwestii bezpieczeństwa są rozstrzygane dopiero wtedy, kiedy uda się zrealizować pierwsze wyzwanie, jakim jest osiągnięcie porozumień w zakresie podstawowych standardów komunikacyjnych, co ma prowadzić do przełamania barier ekonomicznych.

Obecnie takim najbardziej "gorącym" przykładem jest telefonia IP, która rewolucjonizuje rynek taryf telefonicznych. Unormowania dotyczące zabezpieczeń w "taniej" telefonii IP są jednak bardzo wyraźnie w tyle za podstawowymi, tradycyjnymi standardami dotyczącymi przesyłania głosu. Warto pamiętać, że naruszenie bezpieczeństwa tradycyjnej, analogowej telefonii wymagało w praktyce uzyskania fizycznego dostępu do danej linii, a użytkownik telefonu IP musi się liczyć z atakiem z dowolnego miejsca w Internecie oraz z tym, że wszelkie standardowo oferowane zabezpieczenia mogą być łamane.

Organy administracji publicznej wdrażające systemy bezpieczeństwa teleinformatycznego zawsze powinny dokładnie rozważyć, czy decydować się na rozwiązanie, które eksperci oceniają jako najnowocześniejsze, czy też przyjąć konserwatywne kryteria, zakładając, że łatwiej jest zapewnić bezpieczeństwo w systemach, które już na rynku jakiś czas funkcjonują i producenci zdążyli je pod tym względem dopracować. Wobec obecnego tempa rozwoju technologii rozstrzygnięcie tego rodzaju dylematów nie jest łatwe. Trzeba brać pod uwagę również to, że nawet firmy specjalizujące się w profesjonalnych systemach bezpieczeństwa działają z pewną bezwładnością wobec rynkowych nowinek, bo również potrzebują czasu na opracowania i testy.

Piotr Rutkowski prowadzi firmę Rotel specjalizującą się w problematyce strategii rozwoju telekomunikacji.