W urzędach dominują rozwiązania organizacyjne, w których bezpieczeństwo systemów teleinformatycznych kieruje się na boczny tor jako bardzo różnie przypisane, ogólne zadanie osób zajmujących się obsługą informatyczną.

Administracja publiczna dysponuje rozległymi zasobami informacji, której wartość, a co za tym idzie, zakres ochrony niełatwo jest w prosty sposób podsumować. W ogromnej części jest to informacja, która została powierzona przez obywateli, podmioty gospodarcze i inne organizacje. Administracja agreguje informacje, archiwizuje, przetwarza, wykorzystuje, świadcząc obywatelom usługi i podejmując działania służące w mniejszej skali lokalnym społecznościom, a większej państwu. Zarówno oczekiwana, jak i już skodyfikowana w systemie prawa odpowiedzialność za bezpieczeństwo informacji zmienia się i wzrasta razem z wprowadzeniem automatycznych systemów przetwarzania, rozwojem telekomunikacji, stosowaniem komputerów, urządzeń kopiujących i globalnym dostępem do cyberprzestrzeni Internetu.

Odpowiedzialność

Analizując wyniki badania, można odnieść wrażenie, że chociaż wiele osób w administracji publicznej zdaje sobie sprawę, że lekceważenie zaniedbań w dziedzinie bezpieczeństwa byłoby nierozsądne, to w urzędach dominują rozwiązania organizacyjne, w których bezpieczeństwo systemów informatycznych kieruje się na boczny tor, jako bardzo różnie przypisane, ogólne zadanie osób zajmujących się obsługą informatyczną. Mimo tego, że informatycy z reguły wiedzą więcej niż inni na temat sposobów unikania zagrożeń, to mieszanie bezpieczeństwa z wieloma innymi zadaniami potencjalnie obniża rangę tej problematyki. Rzadko jest tu miejsce na specjalizację, nie mówiąc o definiowaniu budżetu. Przy takiej organizacji hierarchia urzędu powoduje, że z poziomu kompetencji działu informatyki możliwości reagowania na zaistniałe lub potencjalne naruszenia bezpieczeństwa ograniczają się do kwestii ściśle technicznych. Przykładowo, nie jest łatwo z poziomu stanowiska informatyka dyscyplinować osoby kadry kierowniczej w kwestii bezpiecznego posługiwania się komputerami przenośnymi, w tym ich ochrony przed kradzieżą.

Twórcy ustawy o ochronie informacji niejawnej najprawdopodobniej zdawali sobie sprawę z tego, że bezpieczeństwo informacji należy rozpatrywać na wielu różnych poziomach, określając jednoznacznie bezpośrednią odpowiedzialność szefa danej instytucji, którego wspomaga bezpośrednio mu podległy, czyli znajdujący się poza całą strukturą organizacyjną tzw. pełnomocnik ds. ochrony informacji niejawnej. Niestety, gwarantowana ustawowo niezależność pełnomocnika przejawia się bardzo często jego praktyczną alienacją od bieżących prac "ochranianej" instytucji. Zamknięty nomen omen w strefie bezpieczeństwa kancelarii tajnej pełnomocnik często ogranicza swoje kompetencje i zainteresowania do spraw zdefiniowanych prawnie jako tajemnica państwowa i kontroli nielicznych osób, które mają w tych sprawach stosowne dopuszczenia. Ustawa określa wprawdzie również wymagania dla zewnętrznych, tzw. administracyjnych stref bezpieczeństwa, czyli w domyśle niejako całej instytucji, ale w instytucjach administracji publicznej, z samej istoty zadań publicznych, w tym wymogów jawności większości procesów decyzyjnych, mamy do czynienia z rozległą strefą ogólnie dostępną dla każdego interesanta, co jeszcze wydatniej zamyka obszar, w którym pewnym informacjom nadano wymaganą przepisami klauzulę tajemnicy.

Ustawa o ochronie infor-macji niejawnej określa też szczególne, bardzo ostre wymogi dla systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych. Dotyczy to również wyznaczenia i przeszkolenia przez służby ochrony państwa administratora systemu oraz inspektora bezpieczeństwa teleinformatycznego. Doktrynalnej, bezkompromisowej restrykcyjności zasad ochrony tajemnic pod rygorami tej ustawy nie sposób jednak rozciągnąć na praktyczne zasady działania "zwykłych" systemów informatycznych, chociaż z pewnością osoby przeszkolone przez ABW mogą się nauczyć nieco większej niż przeciętna ostrożności w planowaniu obiegu informacji. Wydaje się - i badanie Computerworld to potwierdza - że istnieje luka pomiędzy tym, co musi podlegać bezwzględnej ochronie jako tajemnica państwowa a tym, co powinno być chronione w ramach "dobrych praktyk", których rozu-mienie było tematem badania ankietowego. Dotąd mówiło się sporo o niedogodnościach stosowania tej ustawy w przedsiębiorstwach prywatnych. Czy przepisy prawa o ochronie informacji niejawnej są pomocne w tworzeniu ogólnego systemu ochrony informacji w instytucjach administracji publicznej?

Trzeba przy tym brać pod uwagę, że szczególnie niższe szczeble administracji publi-cznej, pomimo że udostępniają najwięcej kanałów komunikacji z obywatelami, mogą nie być objęte obowiązkiem organizacji wydzielonych stref bezpieczeństwa, tajnych kancelarii i akredytacji bezpieczeństwa teleinformatycznego, które narzuca ustawa o ochronie informacji niejawnej. W zasadzie wszystkie instytucje administracji publicznej obowiązuje natomiast stosowanie technicznych zabezpieczeń w związku z przepisami o ochronie danych osobowych, a także wyznaczenie administratora bezpieczeństwa informacji. Badanie pokazuje, że nie ma mowy o stosowaniu jednolitych zasad, co przekłada się w dużym stopniu na jakość obsługi interesantów za pośrednictwem Internetu, ale równocześnie niewielki jest odsetek osób, które uważają, że interpretacja przepisów o ochronie danych osobowych sprawia problemy.

Biorąc pod uwagę ograniczone zasoby organizacyjne większości instytucji administracji publicznej można się domyśleć, że możemy mieć do czynienia z łączeniem różnych wymaganych przepisami stanowisk. Niestety, nie udało się w ankiecie wychwycić różnicy pomiędzy potocznym znaczeniem funkcji administratora systemu a nazwą stanowiska, wynikającą ze stosowania ustawy o ochronie informacji niejawnej.

Sami sobie?

To, co zaniepokoiło mnie chyba najbardziej w wynikach badania Computerworld, to wyraźnie dominacja osób uważających, że są w stanie poradzić sobie sami z zagrożeniami, jeżeli tylko zapewni się im nieco więcej środków w budżecie. Inaczej mówiąc, brak jest szczególnych oczekiwań, co do współpracy z innymi instytucjami, wymiany informacji, instruktażowych przepisów prawa lub pomocy instytucji nadrzędnych. To dosyć niecodzienne u urzędników, którzy zwykle preferują zadekretowanie wszystkich swoich kompetencji w kręgu bezpiecznych przepisów.

W jakimś stopniu jest to pewnie przejaw słabej wiary w państwo i jego instytucje. Trochę to zaskakuje, bo doświadczenia praktyków powinny być źródłem wskazówek do tego, co i jak należałoby uregulować.

Gorzej jeżeli jest to coś, co Mirosław Maj nazywa "bojaźnią przed bezpieczeństwem", co bym podsumował jako chęć zamknięcia problemów we własnym dziale, w kręgu specjalistycznej wiedzy o protokołach i ustawieniach kontrolowanych urządzeń, by kierownictwo za bardzo się nie mieszało, rozliczając zbyt gorliwie niedociągnięcia, słabości lub wpadki. Skoro nie jesteśmy w stanie przekonać osób podejmujących w instytucji strategiczne decyzje, że należy radykalnie poprawić rangę problematyki bezpieczeństwa, co nie jest łatwe wobec dziesiątków innych priorytetów, które motywują działania władzy publicznej, to lepiej siedźmy - póki co - cicho.

Jest to jednak również przejaw niedostatecznej wiedzy, co do zakresu i istoty zagrożeń, które nieuchronnie rosną wraz z rozwojem zastosowań teleinformatyki. Bezpieczeństwo jest kategorią bardzo subiektywną. Można się świetnie czuć, nawet kiedy jesteśmy realnie zagrożeni, można też angażować wiele niepotrzebnego wysiłku i pieniędzy w działania przesadzone. Trzeba jednak brać pod uwagę to, że zakres i repertuar zagrożeń w cyberprzestrzeni zmienia się, specjalizuje, coraz częściej również organizuje i wiedza na ten temat jest przeważnie ograniczona.

Przede wszystkim nie zawsze jesteśmy w stanie zrozumieć motywacje atakującego nasz system informacyjny - korzyści może osiągnąć uzyskując dostęp do wybranych informacji, monitorując pocztę elektroniczną, manipulując jej przepływem, zmieniając jej treść, wprowadzając w błąd odbiorcę informacji, zamieniając stronę internetową. Bardzo trudno z tym sobie radzić ograniczając się tylko do mechanicznego stosowania barier technicznych, chociaż i z tym bywa różnie. W tej kwestii niezwykle istotne jest właściwe szkolenie wszystkich pracowników, prowadzące do akceptacji zasad bezpieczeństwa, a także odpowiednia pozycja osób odpowiedzialnych za ochronę, by dobrze rozumiały, jakie są racje ochrony informacji i potrafiły nadzorować wdrażanie zasad bezpieczeństwa.

Jak komentował niedawno znany kryptolog Bruce Schneier, osoby mające rzadki talent do poszukiwania podatności w złożonych systemach myślą zupełnie inaczej niż informatycy, którzy w dobrej wierze tworzą systemy o funkcjonalnościach oczekiwanych przez użytkowników. Ci pierwsi inaczej widzą te systemy i chyba w ogóle świat - nie interesuje ich, jak system pracuje, tylko jak go można złamać, osłabić, opanować i zaprząc do własnych celów lub jak go ochronić przed złamaniem, jeżeli znaleźli się po dobrej stronie mocy. Trzeba sobie zdawać sprawę z tych różnic wiedząc, że troska o bezpieczeństwo to w dużej części bezustanne łatanie dziur, które zauważył ktoś inny.

To, że osoby odpowiedzialne za bezpieczeństwo w instytucjach administracji publicznej liczą na własne siły, wynika też z braku wiedzy o możliwościach wymiany informacji o zagrożeniach w podobnych instytucjach i dosyć płytkim rynku usług w zakresie usuwania podatności. Miejmy nadzieję, że kolejne raporty Computerworld będą się cieszyć rosnącym odzewem, przyczyniając się do wypracowania dobrych praktyk i powszechnie akceptowanych standardów postępowania.

Piotr Rutkowski jest ekspertem w zakresie strategii rozwoju sektora telekomunikacyjnego i jego systemu regulacyjno-prawnego; zajmuje się również bezpieczeństwem informacji (ukończył kursy kryptografii na Politechnice w Zurichu i studia podyplomowe bezpieczeństwa informacyjnego w Akademii Obrony Narodowej); prowadzi własną firmę konsultingową Rotel.