Bezpieczna biurokracja

O ile jako tako panujemy już nad obsługą nowych urządzeń i programów informatycznych, o tyle mało kto jest w stanie przewidzieć, jakie mogą być rzeczywiste skutki stosunkowo łatwej dostępności do informacji.

O ile jako tako panujemy już nad obsługą nowych urządzeń i programów informatycznych, o tyle mało kto jest w stanie przewidzieć, jakie mogą być rzeczywiste skutki stosunkowo łatwej dostępności do informacji.

W epoce administracji analogowo-papierowej bezpieczeństwo informacji trudno było uznać za problem pierwszorzędnej wagi. Było ono po prostu wpisane w kształtowane latami doświadczenia biurokratycznych procedur i gwarantowane przede wszystkim przez tzw. pragmatykę służbową.

Rozproszona odpowiedzialność

Biurokrata na stanowisku miał regulamin, pieczątkę, referentkę, klucze do biurka i szaf w granicach swojej władzy, zeszyt z rejestrem przechowywanych dokumentów i głęboko zakorzenione przyzwyczajenie, by się tą swoją władzą zbyt łatwo nie dzielić, czyli powierzonych dokumentów byle komu nie dawać. Odstępstwa od tych zasad bywały najczęściej szybko zauważane, zakres szkód ograniczony do niewielkiego terytorium, a winnego naruszeń spotykała nieuchronna infamia ze strony innych biurokratów.

Kilka lat temu w miejscu pracy urzędnika pojawił się komputer podłączony do sieci, inspirując wprowadzenie dziesiątków nowych sposobów wykorzystania informacji gromadzonych przez administrację i równocześnie inicjując niepowstrzymywalną tendencję do upodmiotowienia informacji, nadania jej materialnej wartości, analizowania, poszerzania pól jej zastosowań daleko poza cele, dla których została pierwotnie zarejestrowana. Usieciowienie informacji jest wygodne i nadzwyczaj atrakcyjne, bo trafiło w nasz pierwotny głód wiedzy, skojarzonej z władzą. O ile jednak jako tako panujemy już nad obsługą nowych urządzeń i programów, które są coraz bardziej przyjazne, nie wymagając od nas przygotowania technicznego, o tyle mało kto jest w stanie przewidzieć, jakie mogą być skutki stosunkowo łatwej dostępności informacji, która kiedyś kurzyła się na półkach, ukryta w urzędowych segregatorach.

Osobom planującym inwestycje w sieci teleinformatyczne refleksja na temat bezpieczeństwa przychodzi na myśl często nieco później. Można to zrozumieć, bo zabezpieczenie oznacza dla użytkowników wprowadzenie w systemie informacyjnym o wielu stopniach swobody hamulców, filtrów i kontroli, wiążąc się przy tym z dodatkowymi kosztami, które nie mają bezpośredniego związku z wykorzystywanymi funkcjonalnościami. Często zadawane jest więc pytanie: Czy to bezpieczeństwo informacyjne musi tyle kosztować? Konwencjonalna riposta ze strony dostawców systemów zabezpieczających jest następująca: Jeżeli wydaje ci się to drogie, to oszacuj, ile cię będzie kosztować utrata informacji. Nie wszystkim wystarcza wyobraźni, by na to drugie pytanie znaleźć właściwą odpowiedź.

Czego jednak można wymagać od kształtowanego tradycją przez dziesięciolecia systemu administracji, skoro jeszcze 5-10 lat temu mało kto w urzędach korzystał z poczty elektronicznej, nie mówiąc już o buszowaniu, służbowo czy niesłużbowo, po Internecie, w tym ulubionemu przez wielu urzędników odreagowywaniu społecznych frustracji na forach internetowych, czy też wchodzeniu w zawiłe anonimowe interakcje Web 2.0. Niby każdy coś tam słyszał o wirusach, sprytnych hakerach, kradzieży tożsamości i innych cyberzagrożeniach, ale jakie to ma znaczenie w pracy, na służbowym komputerze, którego sprawność gwarantuje informatyk odpowiedzialny za bezpieczeństwo, najczęściej wyalienowany z biurowych hierarchii.

Osoby odpowiedzialne za bezpieczeństwo teleinformatyczne w urzędach, o ile podobna specjalność w ogóle została wyodrębniona, mają w takich warunkach bardzo trudne zadanie, bo oczekuje się od nich zaprowadzenia ładu w systemie obiegu informacji, w których dane z publicznie otwartej cyberprzestrzeni są przetwarzane w tych samych sieciach i urządzeniach co dane potencjalnie wrażliwe, do których w tradycyjnych warunkach nikt postronny dostępu na pewno by nie miał. Pomijając, oczywiście, rozwiązanie radykalne, czyli fizyczne oddzielenie wymagającego ochrony systemu informacyjnego, co w systemach o większej skali jest w praktyce trudne i kosztowne, trzeba się opierać na różnych rozwiązaniach technicznych i kryptograficznych, które ograniczają dostęp do informacji osobom nieupoważnionym, wykrywają podatności, tworzą zapory.

Nic przy tym nie zastąpi odpowiedzialnej rozwagi i samokontroli osób dysponujących informacją wymagającą ochrony. Do tego niezbędne są jednak wiedza i świadomość, a wobec złożoności technicznej nowoczesnych systemów informatycznych o to nie jest łatwo. Urzędnik wolałby mieć ponadto na wszystko instrukcję w przepisach prawa. Dyskomfort wynikający z braku precyzyjnej instrukcji jest dla niego trudny do zniesienia.

Bezwładność przepisu

Kiedy razem z rozpowszechnianiem cyfrowych systemów przetwarzania, przesyłania i przechowywania danych pojawiły się problemy z ochroną informacji, konieczne okazało się również wprowadzenie do prawa nowych kategorii interesu prawnego, mającego regulować ochronę takich informacji oraz penalizować związane z tym naruszenia. Globalny zasięg sieci telekomunikacyjnych i Internetu powoduje, że obszar ten należy do dziedzin, w których trwają intensywne wysiłki, aby dojść do porozumienia pomiędzy wieloma państwami, by podobne problemy prawne i naruszenia były wszędzie tak samo regulowane. Stąd od kilkunastu lat rozwijają się w prawie międzynarodowym, w tym unijnym, i w systemach prawnych poszczególnych państw przepisy na temat ochrony danych osobowych, prywatności, umów zawieranych na odległość, praw własności intelektualnej, uwierzytelniania dokumentów, podpisu elektronicznego, kryptografii, tajemnicy telekomunikacyjnej, coraz to nowych cyberprzestępstw, podsłuchów, retencji danych, infrastruktury krytycznej. Trudne do ogarnięcia zmiany wynikające z tempa postępu technologicznego oraz sposobów i zakresu wykorzystania usług wciąż dostarczają nowych problemów prawnych.

Dla administracji problemem bywa ostrożna inercja we wdrażaniu nowego prawa. Trudno jest na przykład rzeczowo podejść do wypracowania zasad postępowania z dokumentami elektronicznymi, jeżeli wciąż odsuwa się wdrażanie podpisu elektronicznego, pomimo że ustawowa podstawa prawna ma już ponad 5 lat - nie mówiąc o niekończących się dyskusjach o formatach dokumentów.

Z natury rzeczy, wiele przepisów z obszaru, który w środowiskach uczelnianych nazywa się prawem nowych technologii, ma wpływ na sposób ochrony informacji w sieciach administracji rządowej lub samorządowej. Widać chyba coraz wyraźniej, że, podobnie jak próbowano - niestety, ze średnim skutkiem - ogarnąć w jednej ustawie problematykę informatyzacji, potrzebne by było nadanie ustawowych ram prawnych w stosowaniu zasad bezpieczeństwa w administracji, na przykład wychodząc z dokumentów normalizacyjnych PN ISO/IEC 17799.