Jak wybrać optymalny i bezpieczny system kryptograficzny (cz. I)

Wiele instytucji i przedsiębiorstw zastanawia się nad wprowadzeniem systemów kryptograficznej ochrony informacji w swoich sieciach telekomunikacyjnych i komputerowych. Nie jest to jednak łatwe, m.in. ze względu na brak informacji na temat praktycznych problemów z tym związanych. Z jednej strony dostępne są podręczniki, które w sposób encyklopedyczny lub naukowy opisują dziedzinę kryptologii, z drugiej - materiały reklamowe pełne technicznego żargonu, przekonujące o doskonałości proponowanych systemów.

Wiele instytucji i przedsiębiorstw zastanawia się nad wprowadzeniem systemów kryptograficznej ochrony informacji w swoich sieciach telekomunikacyjnych i komputerowych. Nie jest to jednak łatwe, m.in. ze względu na brak informacji na temat praktycznych problemów z tym związanych. Z jednej strony dostępne są podręczniki, które w sposób encyklopedyczny lub naukowy opisują dziedzinę kryptologii, z drugiej - materiały reklamowe pełne technicznego żargonu, przekonujące o doskonałości proponowanych systemów.

Celem niniejszego cyklu artykułów jest zasygnalizowanie kilku zagadnień, które wiążą się z planowaniem, wyborem i eksploatowaniem systemów kryptograficznej ochrony informacji w polskich warunkach. Ponadto zapoznanie czytelników z terminologią wykorzystywaną w ustanowionych i przygotowywanych z tej dziedziny polskich normach. Ze względu na słabe rozpowszechnienie tej terminologii, w odsyłaczach podane są alternatywne terminy występujące w materiałach reklamowych i literaturze.

Stosowanie kryptografii - przywilej, prawo czy obowiązek?

Motywacja do stosowania zabezpieczeń może być różna. Instytucje i urzędy państwowe mają ustawowy obowiązek ochrony przesyłanych, przechowywanych i przetwarzanych danych, jeśli stanowią one tajemnicę państwową i służbową, a kierownicy tych instytucji mogą być pociągnięci do odpowiedzialności karnej w przypadku niedopełnienia tego obowiązku. Wyraźnie mówi o tym ustawa z 1982 r. o przestrzeganiu tajemnicy państwowej i służbowej. (Dz. U. Nr 40 poz. 271). Lecz wprowadzenie zabezpieczeń może spowodować wzrost zaufania klientów do danej firmy, zwłaszcza prywatnej, czy umożliwić jej bezpieczne przeprowadzenie transakcji drogą elektroniczną. Rozumieją to zwłaszcza banki, zarówno państwowe, jak i prywatne, stosując się do przepisów o przestrzeganiu tajemnicy bankowej. Inne firmy wdrażają systemy ochrony danych po prostu dbając o swój dobrze pojęty interes.

Zanim przystąpimy do omawiania kwestii technicznych i organizacyjnych, spróbujmy odpowiedzieć na pytanie, czy użycie kryptografii w Polsce jest prawem, przywilejem czy obowiązkiem? Niestety, istniejące w tej dziedzinie przepisy prawne są niepełne i nie zawsze spójne. W ustawie o Urzędzie Ochrony Państwa (Dz. U. z 1990 r. Nr 30, poz. 180 z późniejszymi zmianami), w artykule 1.2, punkt 7, do obowiązków szefa UOP została zaliczona "kryptograficzna ochrona wiadomości stanowiących tajemnicę państwową i służbową przekazywanych przez techniczne środki łączności na potrzeby organów administracji państwowej i państwowych instytucji finansowych i gospodarczych". Już pobieżny rzut oka na ten przepis świadczy o ograniczonym zakresie jego stosowania. Po pierwsze - ustawodawca pomija dane przechowywane i przetwarzane, a mówi tylko o przekazywanych, po drugie - ogranicza jego zastosowanie do administracji i instytucji państwowych. Do kogo mają się zwracać instytucje, które nie należą do tej kategorii - a więc administracja samorządowa, organizacje finansowe (banki) i gospodarcze (prywatne lub z udziałem Skarbu Państwa)? Tym bardziej, jeśli nie posiadają informacji stanowiących tajemnicę państwową, a mają potrzebę chronić swoje dane. Nie można zresztą nazwać tajemnicą służbową informacji, których ujawnienie może narazić na szkodę duży bank prywatny. W myśl ustawy o tajemnicy państwowej i służbowej z 1982 r. (Dz. U. Nr 40 poz. 271), kategoria ta może się odnosić tylko do instytucji państwowych, spółdzielczych bądź społecznych, ale nie prywatnych. Wyjściem byłoby określenie (wzorem USA) takich wiadomości jako wrażliwe i wskazanie instytucji państwowej władnej wydawać normy, certyfikować urządzenia do ochrony informacji objętych taką klauzulą, szkolić specjalistów, oceniać stan zabezpieczenia całych systemów ochrony informacji ,czyli używając modnego ostatnio słowa służyć konsultingiem w tej dziedzinie. Sytuacja jest bowiem o tyle dziwna, że w myśl wspomnianej ustawy o UOP państwowa fabryka może zwrócić się do tego urzędu o kryptograficzną ochronę wiadomości o płacach kadry kierowniczej (jeśli dyrektor uzna, że jest to tajemnica służbowa), zaś duży bank prywatny nie może. Tymczasem ujawnienie informacji o kondycji dużego banku może doprowadzić do zaburzenia na krajowym rynku finansowym. Prędzej czy później taki bank zdecyduje się więc na samodzielne wdrożenie kryptografii. Powstaje pytanie - czy takie postępowanie będzie zgodne z obowiązującymi przepisami?

Kilka lat temu w czasie przygotowywania nowej ustawy o przestrzeganiu tajemnicy państwowej i służbowej przygotowywano delegacje ustawowe dla organów państwowych, by w aktach wykonawczych do niej określiły zasady zabezpieczania systemów teleinformatycznych i ochrony danych w administracji państwowej. Takie przepisy, wzorem amerykańskiej Computer Security Act, mogłyby wreszcie uporządkować te sprawy, nie tylko dla administracji państwowej, ale i innych zainteresowanych podmiotów. Niestety, po odrzuceniu projektu ustawy nic w tej dziedzinie (oprócz wspomnianego zapisu w ustawie o UOP) nie zrobiono. Odnosi się wrażenie, że władze ustawodawcze niezbyt rozumieją wagę ochrony informacji.


TOP 200