Tuzin twardzieli. Afera "dyskowa": spojrzenie odrębne

"...finałem afery może być obarczenie odpowiedzialnością za niewłaściwy nadzór nad informatycznymi nośnikami szeregowego ministerialnego "szaraczka", któremu faktycznie udowodni się informatyczny analfabetyzm"

Witold Rygiel

"Niestety, wiele urzędów lekceważy obowiązek chronienia zużytych twardych dysków. Kancelarie tajne prowadzą na ogół wojskowi w wieku przedemerytalnym, dla których dysk to po prostu kawałek metalu i nie mają pojęcia, że ma on taką wartość jak dokument" - ten błyskotliwy cytat, pochodzący z wypowiedzi anonimowego eksperta Agencji Bezpieczeństwa Wewnętrznego zamieszczonej w "Gazecie Wyborczej" [1], zdaje się sugerować, że finałem afery może być obarczenie odpowiedzialnością za niewłaściwy nadzór nad informatycznymi nośnikami szeregowego ministerialnego "szaraczka", któremu faktycznie udowodni się informatyczny analfabetyzm.

Tygodnik "NIE" wszedł - pomińmy, w jaki sposób - w posiadanie 12 dysków twardych z komputerów Ministerstwa Spraw Zagranicznych. Z relacji prasowych wynika, że na dyskach, przeznaczonych przez MSZ do likwidacji, znajdować mają się dane z lat 1992 - 2004, w tym także informacje, którym nadano klauzule tajności w rozumieniu przepisów ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późn. zm. - dalej: uoin). W konsekwencji naruszone zostały normy ustawy o ochronie informacji niejawnych, jak też przepisy o ochronie danych osobowych. Zapowiadają się pracowite tygodnie dla prokuratury i Agencji Bezpieczeństwa Wewnętrznego, natomiast media przez kilka dni epatowały będą czytelników ekscytującymi "przeciekami" z czynności podejmowanych przez właściwe w tym zakresie organy. Po kilku tygodniach sprawa, jak wiele innych, straci na znaczeniu, a podmioty dysponujące informacjami niejawnymi, obowiązane do respektowania norm uoin, powielały będą nadal teoretycznie optymalne standardy przetwarzania danych.

Służby dobrze (?) poinformowane
Szef ABW, Andrzej Barcikowski, ujawnił, że już dwa lata temu podległe mu służby skontrolowały stan przestrzegania przepisów uoin w Ministerstwie Spraw Zagranicznych, co zaowocowało skierowaniem wniosku do prokuratury [2]. Ta kluczowa z wielu względów informacja pozwala na wnioskowanie, że:


  • bałagan panujący w MSZ nie był zjawiskiem obcym służbom ochrony państwa,

  • służby te, zobowiązane z oczywistych względów do stałego monitorowania stanu ochrony tajemnic resortu spraw zagranicznych, zadowoliły się w praktyce rzeczonym powiadomieniem prokuratury, zaniedbując obowiązek wyegzekwowania w MSZ właściwego reżimu postępowania z informacjami niejawnymi,

  • kierownictwo MSZ nie spowodowało podjęcia rzeczywistych działań wdrażających zalecenia pokontrolne ABW (w tym niezbędnych posunięć kadrowych - wszakże mamy w kraju pokaźną armię wysoko kwalifikowanych bezrobotnych, którzy z dobrym skutkiem zastąpiliby niektórych ministerialnych "fachowców").

  • co najmniej wątpliwej jakości były procedury postępowań sprawdzających przeprowadzonych przez służby ochrony państwa wobec personelu Ministerstwa Spraw Zagranicznych dopuszczonego do pracy z informacjami niejawnymi.

W tej sytuacji ewentualne poszukiwanie winnych skandalu wyłącznie wśród personelu MSZ wydaje się być spłycaniem problemu. Obawiam się, że jak to zwykle bywa, znajdą się politycy i publicyści chętni do postrzegania w "twardodyskowej" aferze elementów prowokacji, jakże konweniującej z obecną fazą osobliwych gier prowadzonych na rodzimej politycznej szachownicy. TVN, w wyemitowanych 6 kwietnia "Faktach", pokusiła się o dwuznaczne skonfrontowanie wieści zaczerpniętych z łamów tygodnika "NIE" z trwającymi od kilku dni obchodami święta pracowników Agencji Bezpieczeństwa Wewnętrznego, zaś dzień później "Gazeta Wyborcza" opublikowała analityczny materiał wypełniony stosownymi hipotezami, nie wykluczającymi spisku elit [3]. Nie zabraknie więc w najbliższych dniach typowych w takich sytuacjach nawoływań do zatkania ust dziennikarzom, których obwini się za podważanie autorytetu organów państwa i ujawnianie (lub prowokowanie do ujawniania) prawnie chronionych sekretów. Szef ABW zdążył już zresztą ujawnić swoje oburzenie na przedstawicieli niektórych redakcji, którzy nie powiadomili właściwych służb o otrzymaniu ofert kupna rzeczonych dysków [4], czym naraził na histeryczne ataki śmiechu środowiska (niekoniecznie rodzime) profesjonalnie zajmujące się pozyskiwaniem wiedzy powszechnie niedostępnej.

W nowoczesnym i demokratycznym państwie ustawowym obowiązkiem urzędnika jest wykonywanie zadań służbowych, zgodnie z prawem i określonymi przez pracodawcę procedurami wewnętrznymi, bez zważania na aktualny stan politycznych rozgrywek. I tym w zasadzie można skwitować próby ewentualnego tłumaczenia przyczyn MSZ-owskiego skandalu spiskiem zawiązanym przez jedną z politycznych "kanap" przeciwko drugiej. MSZ jest w kontekście zasad funkcjonowania państwa jednym z newralgicznych resortów, a nie azjatycką budką z tanim jadłem lub bazarowym stoiskiem na stadionie X - lecia. Jeżeli służby ochrony państwa (SOP) nie potrafią poradzić sobie z właściwą ochroną tak kluczowego dla interesów Polski ministerstwa i jego sekretów lub wyegzekwowaniem niezwłocznej likwidacji stwierdzonego tam przed dwoma laty bałaganu, to może lepiej zamiast forsowania zasadności kolejnych reform wydzierżawić tę strukturę profesjonalnym służbom zachodnim, które zajmą się bezpieczeństwem podstawowych interesów RP, a odciążony z realizacji skomplikowanych zadań rodzimy personel oficerski zajmie się tym, do czego jest według telewizyjnych relacji predysponowany: odbezpieczaniem butelek szampana, strzelaniem do tarczy, grą w futsal, trenowaniem profesjonalnych zatrzymań biznesmenów, czy też alarmowaniem mediów o znalezieniu u wyznawcy Allaha planu stolicy.

Bezpieczeństwo teleinformatyczne
Wskutek politycznych swarów i gier interesów, datujących się od przełomu lat osiemdziesiątych i dziewięćdziesiątych, Sejm III Rzeczpospolitej nie był w stanie do 1999 roku uchwalić nowej ustawy regulującej zasady ochrony informacji stanowiących tajemnicę państwową lub służbową. W konsekwencji niemal przez całą poprzednią dekadę w realiach państwa uwolnionego z okowów Układu Warszawskiego obowiązywały przepisy ustawy z dnia 14 grudnia 1982 r. o ochronie tajemnicy państwowej i służbowej, stanowiące relikt minionej epoki. Rzecz jasna owa regulacja, mentalnie dostosowana do pracy z liczydłami, maszynami do pisania "Łucznik", ołówkami kopiowymi i brudzącymi palce kalkami, nie zawierała - o ile pamiętam - bezpośrednich odniesień do przetwarzania informacji w systemach i sieciach teleinformatycznych. Dopiero realna groźba nieprzyjęcia Polski do NATO z powodu tolerowania ustawodawczego skansenu skłoniła parlament do pospiesznego uchwalenia - i tak in fine niedoskonałej [5] - ustawy o ochronie informacji niejawnych.

Jednym z ważniejszych i zasługujących na aprobatę rozwiązań wprowadzonych do uoin było określenie w jej rozdziale 10 zasad ochrony informacji niejawnych w systemach i sieciach teleinformatycznych. Konkretyzację tych zasad znajdziemy w rozporządzeniu Prezesa Rady Ministrów z dnia 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. Nr 18, poz. 162). Warto podkreślić, że kierownik jakiejkolwiek jednostki organizacyjnej decydujący się na wytwarzanie, przechowywanie, przetwarzanie lub przekazywanie informacji niejawnych w systemach i sieciach TI (pod tym eufemizmem kryje się w praktyce najzwyklejszy komputer) ma obowiązek zapewnić bezpieczeństwo teleinformatyczne, a w szczególności:

1. Opracować szczególne wymagania bezpieczeństwa systemu lub sieci TI, tj. kompletny i wyczerpujący opis ich budowy, zasad działania i eksploatacji wraz z procedurami bezpieczeństwa, które muszą być spełnione w fazie projektowania, wdrażania i funkcjonowania systemu lub sieci; procedury te obejmują zasady i tryb postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych, a także określają zakres odpowiedzialności użytkowników systemu lub sieci TI oraz pracowników mających do nich dostęp.

2. Wyznaczyć administratora systemu i sieci TI odpowiedzialnego za funkcjonowanie systemu lub sieci oraz przestrzeganie zasad i wymagań ich bezpieczeństwa.

3. Wyznaczyć inspektora bezpieczeństwa teleinformatycznego odpowiedzialnego za bieżącą kontrolę zgodności funkcjonowania sieci lub systemu TI ze "Szczególnymi wymaganiami bezpieczeństwa".

4. Skierować administratora systemu i sieci TI oraz inspektora bezpieczeństwa teleinformatycznego na specjalistyczne (i odpłatne) przeszkolenie organizowane przez służby ochrony państwa.

5. Przekazać właściwej ze służb ochrony państwa (SOP) "Szczególne wymagania bezpieczeństwa" w celu ich zatwierdzenia przez SOP (dotyczy informacji stanowiących tajemnicę państwową);

6. Przedstawić SOP "Szczególne wymagania bezpieczeństwa" (dotyczy informacji niejawnych stanowiących tajemnicę służbową) - niewniesienie przez SOP zastrzeżeń do tych wymagań w terminie 30 dni od daty ich przedstawienia uprawnia do uruchomienia systemu lub sieci TI.

7. Zorganizować zgodne z wymaganiami SOP pomieszczenia służące do lokalizacji urządzeń systemu i sieci TI.

8. Zakupić sprzęt komputerowy mający służyć do przetwarzania informacji niejawnych posiadający certyfikaty właściwej krajowej władzy bezpieczeństwa w państwie będącym stroną Organizacji Traktatu Północnoatlantyckiego (względnie uzyskać certyfikację posiadanego sprzętu przez SOP).

Mniej zorientowanym czytelnikom wyjaśnić należy, że zdecydowana większość wyżej określonych obowiązków jest, delikatnie rzecz ujmując, nader dolegliwa organizacyjnie, kadrowo i finansowo dla podmiotów, które zamierzałyby wdrożyć w swoich strukturach pracę z informacjami niejawnymi w systemach lub sieciach TI. Stąd określona liczba instytucji państwowych broni się wszelkimi możliwymi sposobami przed nieuchronną w perspektywie koniecznością wytwarzania, przechowywania, przetwarzania lub przekazywania informacji niejawnych w systemach i sieciach TI.

By dopełnić obrazu powyższych nieszczęść dodajmy do tego zauważalny w wielu urzędach syndrom strachu części personelu przed komputerem i Internetem, brak środków finansowych na zakup sprzętu wykorzystywanego dla zwykłych, służbowych celów, jak też spotykane w niektórych instytucjach poglądy, że komputer nie służy do pisania, lecz do liczenia (sic! autentyczne wypowiedzi decydentów w państwie wchodzącym do Unii).

Ustawowa teoria a urzędowa praktyka
Nie do końca uzasadnione jest obarczanie winą za nierozumienie zasad i procedur bezpieczeństwa teleinformatycznego i wynikających z powyższych uwarunkowań przypadków niedbalstwa szeregowych pracowników jednostek organizacyjnych zobowiązanych do respektowania przepisów uoin. Nowe przepisy o ochronie informacji niejawnych obowiązują od 5 lat, a niektóre okoliczności ich wdrażania na przełomie 1999/2000, w tym nieterminowe realizowanie przez SOP procedur postępowań sprawdzających, spowodowały oczywisty chaos w organach władzy i administracji państwowej. Kierownictwa podmiotów zmuszonych do stosowania przepisów o ochronie informacji niejawnych, w wielu przypadkach desygnowały do "pionów ochrony", które obowiązane były powołać [7], pracowników kompletnie nieprzygotowanych i niezainteresowanych taką problematyką. W znacznej części przypadków osobom tym dopisano do zakresu obowiązków służbowych rzeczone, dodatkowe kompetencje wynikające z przepisów uoin, nie odciążając pracowników z dotychczasowych obligacji zawodowych. Czy nie zabrakło projektodawcom wyobraźni, by sądzić, że pani Krysia lub pan Jurek, zajmujący się w swoim urzędzie logistyką, księgowością lub wydawaniem decyzji administracyjnych, ochoczo zajmą się po godzinach pracy pogłębianiem wiedzy o zasadach ochrony informacji wymagających ochrony przed nieuprawnionym ujawnieniem, to jest liczącą ponad 90 artykułów ustawą, kilkunastoma rozporządzeniami wykonawczymi, literaturą fachową i wytycznymi resortowymi?

Stan "użytkowej" wiedzy w tym zakresie uzależniony jest przede wszystkim od poziomu szkoleń prowadzonych, zgodnie z ustawą o ochronie informacji niejawnych, przez służby ochrony państwa. Tymczasem z odczuć wielu uczestników szkoleń organizowanych przez SOP dla pełnomocników ds. ochrony informacji niejawnych wynika, że zajęcia prowadzone są zazwyczaj w poetyce czytania zebranym treści przepisów aktów normatywnych. Znany jest mi przykład osobliwego przeszkolenia przez UOP dwustuosobowej grupy kandydatów na pełnomocników, gdy na zajęciach z bloku tematycznego poświęconego bezpieczeństwu teleinformatycznemu nie pojawił się jakikolwiek prelegent. Uczestnicy otrzymali rzecz jasna stosowne zaświadczenia o odbyciu przeszkolenia, a po powrocie do zatrudniających ich instytucji zobligowani zostali do przeprowadzenia szkoleń dla personelu, w tym również w zakresie bezpieczeństwa teleinformatycznego.

W 2001 roku znowelizowano przepisy uoin, a obecnie trwają w parlamencie prace nad kolejną, merytorycznie głęboką, zmianą tej ustawy. Nie wypracowano dotąd jakiegokolwiek trybu postępowania, mającego na celu rzeczywiste zaznajomienie pełnomocników ochrony z istotą dokonywanych w ustawodawstwie zmian. Absurdem jest liczenie przez służby ochrony państwa na to, że większość z pełnomocników przyswoi prawne nowinki we własnym zakresie (i właściwie je zinterpretuje). Część z nich, zatrudnionych w niewielkich jednostkach organizacyjnych, zrealizowała to, co kiedyś nakazano, tj. przeprowadziła zwykłe postępowania sprawdzające wobec wytypowanego personelu, rozdała owym wybrańcom poświadczenia bezpieczeństwa, dopilnowała organizacji tajnej kancelarii i zajęła się tym, czego na co dzień wymaga pracodawca, czyli podstawowymi obowiązkami służbowymi, niezwiązanymi z informacjami niejawnymi.

Co stoi na przeszkodzie, poza odrobiną konceptu i dobrej woli, aby Agencja Bezpieczeństwa Wewnętrznego podjęła się zadania wydawania interesująco i przystępnie redagowanego periodyku przeznaczonego dla pełnomocników ochrony? Mógłby to być miesięcznik lub kwartalnik, prenumerowany przez każdą z jednostek organizacyjnych obowiązanych do wdrożenia norm uoin, zawierający treści przydatne w pracy każdego "pionu ochrony", stanowiący jednocześnie forum wymiany doświadczeń osób profesjonalnie związanych z problematyką ochrony informacji. Dotychczasowe próby wydawania takich periodyków przez podmioty komercyjne [8] zakończyły się niepowodzeniem z uwagi na problemy finansowe wydawców, przeładowanie pism niespójnymi z rzeczywistością, naukowymi teoriami, nieregularnym ukazywaniem się periodyków, kłopotami z kolportażem i pozyskiwaniem potencjalnych prenumeratorów.

W odwodzie Generalny Inspektor
Jeśli nawet okazałoby się, że twarde dyski nie zawierały informacji stanowiących tajemnicę państwową lub służbową, to oczywiste jest naruszenie przez kierownictwo MSZ szeregu innych regulacji, w tym głównie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (uodo). Przepisy rozdziału 5 uodo oraz rozporządzenia wykonawczego Ministra Spraw Wewnętrznych i Administracji [6] nie pozostawiają w tej materii jakichkolwiek wątpliwości. Mało tego, pobieżna lektura § 10 rozporządzenia powinna nawet komputerowemu analfabecie uprzytomnić jakimi zasadami kierować należy się likwidując nośniki informatyczne. Do przyswojenia takiej wiedzy w zupełności wystarczą kwalifikacje nabyte po kilku latach spędzonych w szkole podstawowej lub - dla bardziej odpornych na wiedzę - w ławach gimnazjalnych. MSZ zatrudnia zaś personel kompletnie wyedukowany i profesjonalnie obeznany zarówno w polszczyźnie, jak też językach obcych.

Jest stanowczo za wcześnie na formułowanie ocen odnośnie rzeczywistego naruszenia przez personel MSZ przepisów ustawy o ochronie informacji niejawnych. Wszelkie niuanse wyjaśnić powinny właściwe w tym zakresie organy, tym bardziej, że prokuratura i ABW wszczęły śledztwo mające wykryć odpowiedzialnych za to, że dyski znalazły się poza MSZ. Czarnym scenariuszem - obym go nie wykrakał - będzie jednak znalezienie winnego w postaci niewyspanego dozorcy magazynów MSZ, ulokowanych gdzieś w podwarszawskich suburbiach, który w asyście wychudzonego i ślepawego psa czuwać miał nad zdeponowanymi tam dyskami i nie sprawdził na czas sprawności pordzewiałej kłódki na drzwiach magazynu lub stanu rozmiarów dziury w ogrodzeniu obiektu.

Witold Rygiel

-
[1] Ekspert ABW: Wszyscy lekceważą dyski, Gazeta Wyborcza Nr 82. 4596 z dnia 6 kwietnia 2004 r.
[2] http://info.onet.pl/897668,11,item.html
[3] P. Wroński, MSZ do remontu, Gazeta Wyborcza z dnia 7 kwietnia 2004 r.
[4] Rozmowa z dziennikarzem TVN 24 w dniu 6 kwietnia 2004 r.
[5] Szerzej na ten temat: M. i R. Taradejna, Dostęp do informacji publicznej, a prawna ochrona informacji dotyczących działalności gospodarczej, społecznej, zawodowej oraz życia prywatnego, Toruń 2003.
Zob. też: W. Rygiel, Projekt nowelizacji ustawy o ochronie informacji niejawnych w ocenie pełnomocnika ochrony. Przed pierwszym czytaniem - poprawić, Rzeczpospolita z dnia 8 sierpnia 2003 r.
[6] Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 1998 r. Nr 80, poz. 521 z późn. zm.)
[7] Art. 18 ust. 4 i 5, art. 63 ust. 1 oraz art. 64 uoin.
[8] Warto w tym kontekście zadumać się nad losami Biuletynu TISM "Ochrona Informacji", wydawanego przez pewien okres przez spółkę ENSI (do tej pory, mimo opłaconych z góry prenumerat nie ukazały się numery czasopisma planowane do wydania w 2002 (!) roku. Próbę stworzenia czasopisma o zbliżonej tematyce podjęła obecnie warszawska spółka Euro- Media- z uwagi na niszowy charakter przedsięwzięcia i brak jakiejkolwiek popularyzacji periodyku można domyślać się, że podzieli on smutne losy niesławnej pamięci wydawnictwa ENSI.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>