Różne historie twardych dysków

Coraz więcej ludzi zyskuje "świadomość" swoich danych. Podobno najlepiej uczyć się na cudzych błędach. Trudno powiedzieć, jakie wnioski wyciągnęła polska administracja publiczna, politycy i przedsiębiorcy z wydarzeń, jakie miały miejsce w pierwszej połowie roku 2004...

Kiedy 27 grudnia 2002 na łamach Gazety Wyborczej ukazał się artykuł "Ustawa za łapówkę czyli przychodzi Rywin do Michnika" nie mogłem przypuszczać, że powstała potem sejmowa komisja śledcza będzie zajmowała się prawnymi aspektami funkcjonowania systemów informatycznych. Tak jednak się stało, bo gdy komisja zwróciła się do Ministerstwa Kultury z prośbą o przekazanie dokumentów związanych z pracami nad nowelizacją ustawy o radiofonii i telewizji, okazało się, że brakuje części dokumentów, które znajdowały się ponoć wcześniej na dysku twardym komputera Aleksandry Jakubowskiej. W rozmowie z "Gazetą Wyborczą", którą gazeta cytowała w październiku 2003 roku Jakubowska przyznała, że dysk wyczyścił na jej prośbę jeden z jej współpracowników. Tłumaczyła, że na dysku była jej prywatna korespondencja. W marcu roku następnego odczytano dane z dysku twardego Pani minister. Zdaniem dziennikarzy Faktów: rzucało to nowe światło na wcześniejsze zeznania skłądane przed Sejmową Nadzwyczajną Komisją Śledczą. Media dotarły do treści maili. Jak podała PAP, szef sejmowej komisji śledczej Tomasz Nałęcz miał powiedzieć dziennikarzom w Sejmie, że po zapoznaniu się z treścią zapisów z twardego dysku komputera Aleksandry Jakubowskiej "bardzo trudno będzie jej udowodnić, że został on zniszczony w ramach sprzątania starego miejsca pracy". Po raz kolejny i nieubłagany powróciło pytanie o możliwości uznania zapisów na elektronicznych nośnikach danych za dowody we wszelkiego rodzaju procesach sądowych. Z dużą siłą, bo przy okazji nagłaśnianej w mediach afery, powróciło również pytanie o procedurę zabezpieczania takich dowodów. Powstała ekspertyza dotycząca zawartości dysku byłej wiceminister kultury. Ekspertyza liczyła kilkaset stron. Informatycy, na prośbę sejmowej komisji śledczej, odtworzyli usunięte dane. Ale czy wszystkie i czy tylko te, które się na dysku znajdowały?

Ujawnione fakty pokazały, że urzędnicy administracji publicznej dość swobodnie podchodzą do gromadzonych na dyskach zapisów, dokumentujących ich prace. Czy ciągów bitów nie należałoby archiwizować tak, jak ma to miejsce w przypadku dokumentów tradycyjnych? Kolejne wydarzenia pokazują, że administracja publiczna przeszła szybki, acz bolesny kurs Informatyki stosowanej. Oto na początku kwietnia Minister Spraw Zagranicznych Włodzimierz Cimoszewicz wręczył premierowi rezygnację z funkcji szefa MSZ w związku z artykułem "Cimoszewicz obnażony", który ukazał się w tygodnik "Nie". Artykuł opisuje jak redakcja tygodnika weszła w posiadanie 12 dysków twardych z komputerów w Ministerstwie Spraw Zagranicznych. Wedle artykułu, na dyskach ministerialnych znajdować się miały pliki, z których można odczytać elektroniczną treść dokumentów, w tym kodów, kluczy, haseł czy korespondencji dyplomatycznej oraz planów budynków. Jak się potem okazało: wśród plików niejawnych zawartych na dyskach zabezpieczonych w redakcji "Nie" stwierdzono kilkadziesiąt dokumentów o różnym stopniu niejawności, w tym 1 dokument zastrzeżony, kilkadziesiąt poufnych i kilkanaście tajnych. Agencja Bezpieczeństwa Wewnętrznego potwierdziła, że wiedziała wcześniej, iż student Politechniki Warszawskiej Mateusz K. rozsyła redakcjom prasowym maile oferując zawartość dysków wyniesionych z MSZ. W dniu 20 kwietnia 2004 r. sejmowa Komisja Spraw Zagranicznych zapoznała się z kompleksową informacją o skutkach kradzieży twardych dysków z komputerów należących do MSZ. Wcześniej ta sama komisja mogła wysłuchać informacji ministra, którego dymisji premier nie przyjął, oraz szefa Agencji Bezpieczeństwa Wewnętrznego na temat utraty informacji związanych z działalnością MSZ i wynikających stąd zagrożeń dla bezpieczeństwa państwa. Czego się dowiedziało społeczeństwo?

Dowiedzieliśmy się m.in. że utrata przez MSZ twardych dysków i ujawnienie ich zawartości wskazały na słabości systemu ochrony informacji niejawnych w tym ministerstwie. Z powodu niewykazania dostatecznej dbałości o bezpieczeństwo informacji wytwarzanych w MSZ z zajmowanych stanowisk odwołani zostali pełniący obowiązki dyrektora Biura Informatyki oraz dyrektor zarządu obsługi MSZ. Po ujawnieniu zawartości dysków opracowany został program specjalnego cyklu szkoleń, którym objęci zostali wszyscy pracownicy ministerstwa. Przeprowadzono szkolenie kadry kierowniczej resortu. Stwierdzono, że ulepszenia wymaga nadzór nad wykorzystywaniem techniki komputerowej przez pracowników i rozpoczęto opracowywanie planu wzmocnienia tego nadzoru. W założeniu nadzór zakłada zapewnienie stosownego instruktażu na stanowiskach pracy, zintensyfikowanie działań kontrolnych ze strony kierowników komórek organizacyjnych oraz przestrzeganie o konsekwencjach służbowych w przypadku naruszenia ustalonych procedur. Minister poinformował komisję, że zweryfikowania wymagają procedury wprowadzania i wykreślania z ewidencji majątkowej MSZ komputerów i ich ważniejszych podzespołów, w tym twardych dysków.

Inne agendy administracji publicznej nie uczą się jednak na błędach MSZ. Już po aferze z dwunastoma dyskami ktoś ukradł twardy dysk z komputera Krystyna Weremowicza, dyrektora generalnego Ministerstwa Nauki i Informatyzacji. Tu już mniej szumu medialnego. Życie Warszawy poinformowało jedynie, że sprawców włamania poszukuje śródmiejska policja. Do kradzieży doszło w gmachu ministerstwa, w nocy z piątego na szóstego sierpnia 2004 roku, a więc znacznie po tym, jak odpowiedzialny za resort spraw zagranicznych przedstawiał informacje sejmowej komisji. Z kolei Minister Rolnictwa musiał deklarować chęć :błyskawicznego wyjaśnienia skandalu z kasowaniem danych o eksportowanym bydle". Gazeta Wyborcza opublikowała artykuł, zgodnie z którym pracownicy ARiMR usunęli część dokumentów gromadzonych w komputerowej bazie danych, by umożliwić jednemu z prywatnych eksporterów szybką sprzedaż blisko 2,5 tys. sztuk bydła. Wniosek z tego, że wiele jeszcze musi zginąć dyskówi i wiele jeszcze danych należy skasować, by coś się zmieniło w resortach.

Początek roku 2004 charakteryzował się istnym "wysypem" dyskowych afer. W nocy z 10 na 11 marca mniejszościowi akcjonariusze Wirtualnej Polski zabrali z gabinetu prezesa spółki komputer z danymi. Ich zdaniem zgromadzone tam dane miały dowodzić, że Marek Borzestowski, prezes WP, działał na szkodę firmy. Podczas "nocnej akcji" zabrano komputer z danymi służbowymi i osobistą korespondencją prezesa. W przytaczanych przez media wypowiedziach mniejszościowi akcjonariusze twierdzili, że wszystko odbyło się zgodnie z kodeksem spółek handlowych. Powoływali się na przepisy, wedle których członek rady nadzorczej ma prawo do dokonania czynności kontrolnych w spółce, w tym rewizji. Marek Borzestowski zawiadomił policję. Co było dalej? Komputer z danymi, które miały stanowić materiał dowodowy w sprawie przeciwko TP Internet (będącej większościowym akcjonariuszem WP), zdeponowano u notariusza. Zanim to jednak nastąpiło, przedstawiciele spółek GIF i Key7 przejrzeli zawartość dysku, w tym pliki mające świadczyć o próbie doprowadzenia portalu do upadłości. Przeglądając pliki zmieniono jednak ich atrybuty, czym pozbawiono ich wartości dowodowej. Jedna z firm specjalizujących się w zabezpieczeniu danych stwierdziła, że gdyby zabezpieczono nośnik przez jego skopiowanie, wartość dowodowa zgromadzonego materiału zostałaby zachowana.

Na tle omówionych wyżej spraw blado wypadają takie doniesienia, jak te z 2003. Rzeczpospolita informowała wówczas o kradzieży w Urzędzie Miasta na Miodowej w Warszawie. Podobno przepiłowano kłódki w kracie okna i w ten sposób sprawca dostał się do biura urzędu. Cóż skradł z tego biura? Wymontował twardy dysk z jednego z komputerów. Na dysku znajdowały się podobno jedynie informacje dotyczące płac pracowników urzędu... Współczesne dużym aferom dyskowym, bo z kwietania 2004 roku, są informacje o włamaniu i kradzieży pięciu komputerów z krakowskiej siedziby Platformy Obywatelskiej, gdzie swoje biura mieli posłowie: Jan Rokita, Tomasz Szczypiński i Paweł Graś. Złodzieje nie tknęli wartościowego sprzętu biurowego, takiego jak np. kserokopiarka. Z pomieszczeń zajmowanych przez posłów oraz z sekretariatu skradziono same komputery, bez monitorów. Można tylko przypuszczać, że chodzić mogło o zgromadzone na dyskach dane.

Co jakiś czas na świecie zdarzają się wpadki związane z zapisami na elektronicznych nośnikach danych takie jak sprzedaż na aukcji internetowej starego, służbowego palmtopa wraz z kompletem danych klientów firmy i historią kontaktów z nimi. Zdarzają się nawet kradzieże dysków. Tak było w przypadku firmy ubezpieczeniowej z Saskatchewan (prowincja w środkowej Kanadzie). Na dysku ubezpieczyciela znajdowały się dane osób fizycznych takie jak nazwiska, adresy, numery ubezpieczenia społecznego, nazwiska panieńskie matek etc. Takich jednak afer dyskowych jak te, które miały miejsce w Posce na początku roku 2004 nie odnotowałem.

Wedle Życia Warszawy - byłej szefowej gabinetu Leszka Millera Aleksandrze Jakubowskiej grożą dwa lata więzienia za usunięcie danych z twardego dysku służbowego komputera. Śledztwo w tej sprawie wszczęła warszawska prokuratura okręgowa z zawiadomienia posła Zbigniewa Nowaka. Wedle Nowaka Jakubowska usuwając dane z ministerialnego komputera, popełniła dwa przestępstwa: zniszczyła ważne dokumenty i utrudniła pracę sejmowej komisji śledczej badającej aferę Rywina. Czy dojdzie do prawomocnego wyroku w tej sprawie? Istnieją już w Polsce pewne sądowe orzeczenia dotyczące kasowania danych. Zapadły jednak w sprawie cywilnej. Otóż podczas naprawy gwarancyjnej pewnego komputera doszło do utraty zgromadzonych na jego twardym dysku danych. Stało się tak, gdyż wbrew ostrzeżeniu oddającego do naprawy klienta naprawiający sformatował dysk. Warszawski Sąd Apelacyjny uznał w sierpniu 2004 roku (sygn. I ACa 1615/03), że obciąża to naprawiającego i zasądził odeń odszkodowanie. W kontekście kilkusetstronicowej ekspertyzy dotyczącej odzyskanych danych Jakubowskiej można zadać sobie pytanie, dlaczego nie można było odzyskać danych w tej sprawie, którą zajmował się warszawski sąd apelacyjny?

Jak widać z dyskami nie ma żartów. Mogą się tam znajdować dowody w ważnych sprawach kryminalnych, mogą się też znajdować tam tajemnice państwowe czy też pewne informacje ważne z punktu widzenia stosunków gospodarczych. Procedury zbierania cyfrowych dowodów pozostawiają wiele do życzenia, jednak dla wielu osób wystarczy pozyskanie zgromadzonych na dyskach informacji bez formalnej procedury, by podjąć pewne działania związane z np. oddaniem głosu na walnym zgromadzeniu spółki czy wydaniem polecenia służbowego swojemu dyrektorowi marketingu, by wysłał oferty określonym klientom. Oczywiście o tym, że dyski są skarbnicą ciekawych informacji wiedzą wszyscy ci, którzy takie, używane dyski skupują na giełdzie komputerowej. Przypadki minister Jakubowskiej, czy Wirtualnej Polski wskazują na fakt, że coraz więcej ludzi zyskuje "świadomość" swoich danych. Będąc przedsiębiorcą - dwa razy zastanowiłbym się zanim oddałbym swój komputer do serwisu wraz z znajdującym się w jego wnętrzu nośnikiem istotnych dla mojej firmy danych. A może receptą na wyciekające z dysków dane będzie ustawa o zużytym sprzęcie elektrycznym i elektronicznym, implementująca w Polsce dyrektywę 2002/96/WE z dnia 27 stycznia 2003 r.? Teoretycznie ustawa ta służyć ma ograniczeniu ilości odpadów, jednak na "odpady" w postaci zużytego sprzętu pochodzącego z instytucji dysponujących ciekawymi informacjami nie trzeba na siłę szukać amatorów.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>