Ani jedna firma z branży teleinformatycznej nie uzyskała jeszcze świadectwa bezpieczeństwa przemysłowego

W rok po uchwaleniu ustawy o ochronie informacji niejawnych ani jedno przedsiębiorstwo z branży teleinformatycznej nie uzyskało świadectwa bezpieczeństwa przemysłowego.

W rok po uchwaleniu ustawy o ochronie informacji niejawnych ani jedno przedsiębiorstwo z branży teleinformatycznej nie uzyskało świadectwa bezpieczeństwa przemysłowego. Kłopotliwą sytuację stwarza podstawowy wymóg specyfikacji przetargowych przy zamówieniach np. na potrzeby wojska lub policji, który żąda od oferenta przedstawienia tego świadectwa. Natomiast ustawodawca wyraźnie określił, że dopiero po zawarciu umowy odpowiednie służby ochrony państwa - Urząd Ochrony Państwa (UOP) lub Wojskowe Służby Informacyjne (WSI) - ocenią w postępowaniu sprawdzającym zdolność przedsiębiorstwa do zapewnienia ochrony informacji niejawnych.

W jego trakcie trzeba przeanalizować m.in. strukturę i pochodzenie kapitału przedsiębiorcy, sytuację finansową i źródła pochodzenia środków finansowych. Poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych muszą uzyskać też pracownicy zajmujący stanowiska związane z kierowaniem, wykonaniem umowy lub z jej bezpośrednią realizacją. Procedurze sprawdzającej podlegają pracownicy pionu ochrony.

Ciągnące się procedury

Sprawdzanie firmy i jej pracowników przez UOP lub WSI siłą rzeczy musi potrwać. Ustawa przewiduje, że proces ten trwa od miesiąca do trzech. Z nieznanych przyczyn, być może problemów kadrowych służb ochrony państwa, procedura znacznie się wydłuża. Formalnie ustawodawca założył, że w okresie przejściowym powinny wystarczyć dotychczasowe uprawnienia dostępu do tajemnic.

Jakie są konsekwencje braku poświadczeń bezpieczeństwa osobowego i świadectwa bezpieczeństwa przemysłowego? Zerwanie umowy, kary umowne lub opóźnienie w realizacji kontraktu. Toteż w przedsiębiorstwach nieustannie szuka się kruczków prawnych, które pozwolą poradzić sobie z żywym wcieleniem hellerowskiego "Paragrafu 22". Najprawdopodobniej ten paradoks rozwiąże wkrótce nowelizacja ustawy.

Uczyć się odpowiedzialności

Zdaniem specjalistów, przyczyną większości przypadków ujawniania tajemnic była nierozwaga ludzi. By temu zaradzić, pełnomocnik ds. bezpieczeństwa informacji, powoływany przez kierownika instytucji, powinien przeszkolić pracowników i wyznaczyć inspektora ds. bezpieczeństwa teleinformatycznego.

Zanim to nastąpi, pełnomocnik musi odbyć szkolenie, które zgodnie z ustawą organizuje UOP lub WSI. Płaci zań pracodawca. Zdaniem Krzysztofa Jastrzębskiego, dyrektora Biura Bezpieczeństwa Łączności i Informatyki UOP (BBŁiI), znaczniej trudniej sprecyzować, na czym miałoby polegać specjalistyczne przeszkolenie inspektorów bezpieczeństwa teleinformatycznego. Gdyby byli to w większości fachowcy po studiach na kierunkach teleinformatycznych, szkolenie mogłoby się skupić na kryteriach i standardach w zakresie bezpieczeństwa teleinformatycznego oraz opracowaniu dokumentów Szczególnych Wymagań Bezpieczeństwa (SWB). Lecz, jeśli trafią na kurs nowicjusze?

BBŁiI UOP zaproponowało, aby firmy edukacyjne i konsultingowe oraz ośrodki akademickie wspólnie ze służbami ochrony państwa podjęły próbę opracowania programu szkoleń podstawowych. Służby ochrony państwa przygotowałyby jedynie program szkoleń specjalistycznych. Osoby nie posiadające stosownej wiedzy i doświadczenia odbyłyby najpierw szkolenia podstawowe w firmach szkoleniowych, a dopiero potem byłyby kierowane na szkolenie do służb ochrony państwa.

Kap, kap, certyfikat

Janusz Cendrowski, który w BBŁiI zajmuje się m.in. certyfikowaniem urządzeń kryptograficznych, ma nadzieję, że szkolenia szybko wyeliminują kolejne dwa przypadki nadające się do określenia mianem syndromem "Paragrafu 22". Ustawa o ochronie informacji niejawnych nakazuje bowiem wszystkim podmiotom podlegającym ustawie, opracowanie szczególnych wymagań bezpieczeństwa obejmujących środki ochrony kryptograficznej, elektromagnetycznej, technicznej i organizacyjnej odpowiednich dla danego systemu i sieci teleinformatycznej, w której mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne stanowiące tajemnicę państwową. I znowu ustawodawca domaga się, aby te wymagania były indywidualnie zatwierdzane przez służby ochrony państwa. Minął rok i nikt nie zgłosił się do UOP z tego typu wymaganiami. Świadczy to o trudności zagadnienia i braku osób mających uprawnienia, a także potrafiących przygotować dokumenty SWB.

Syndrom "Paragrafu 22" widoczny jest także w postępowaniu szefów instytucji i firm, którzy wierzą, że tylko najsilniejsze urządzenia kryptograficzne - z reguły bardzo drogie - mogą chronić tajemnice. Krzysztof Jastrzębski i Janusz Cendrowski uważają, że przedsiębiorcy, który realizuje kontrakt wymagający dostępu do tajemnicy państwowej, wystarczy kilka komputerów klasy TEMPEST (o nikłym ulocie elektromagnetycznym, nie do "podsłuchania"), kancelaria tajna i szafy pancerne w strefie bezpieczeństwa. Zgodnie z ustawą, miejscem do zapoznawania się z informacjami niejawnymi jest kancelaria tajna. Tak więc często lepszym rozwiązaniem jest zainwestowanie w kancelarię tajną i zatrudnienie doświadczonych pracowników niż kupowanie urządzeń szyfrujących.

Większa konkurencja

Po czterech latach działalności laboratorium certyfikującego UOP, certyfikat do ochrony informacji o klauzuli "tajne" posiadają jedynie urządzenia firmy Omnisec ( modemy szyfrujące, przystawki do faksów szyfrujących, telefony szyfrujące i rodzina szyfratorów liniowych), które sprzedaje Optimus SA. W grudniu 1999 r. certyfikat potwierdzający przydatność do ochrony informacji niejawnych o klauzuli "poufne" uzyskał także telefon szyfrujący GSM szwajcarskiej firmy Crypto AG, reprezentowanej w Polsce przez Mega-Sonic z Warszawy. UOP przyznał także certyfikat karcie szyfrującej dyski twarde (ochrona informacji niejawnych o klauzuli "zastrzeżone"), która jest wynalazkiem firmy Comp SA.

"W przypadku urządzenia dopuszczonego do ochrony tajemnicy państwowej o klauzuli ściśle tajne, algorytmy kryptograficzne muszą być opracowane przez UOP. Nie wchodzą w grę rozwiązania obce" - tłumaczy Krzysztof Jastrzębski. "Nigdy nie uzyska certyfikatu do ochrony informacji o klauzuli ściśle tajne urządzenie produkcji zagranicznej. Natomiast urządzenie uzyska certyfikat do ochrony "tajne", jeśli producent dostarczy pełną dokumentację" - dodaje Janusz Cendrowski.

Mamy zatem do czynienia z kolejnym paradoksem ustawy. Tajemnic nie strzegą urządzenia najnowszej generacji produkowane w Polsce. UOP zapowiada, że w ciągu dwóch lat pojawią się polskie nowoczesne rozwiązania do ochrony informacji niejawnych o klauzuli tajne i ściśle tajne. Tak więc przez te dwa lata będzie dominował syndrom "Paragrafu 22".