O tym, co znaleziono na dyskach pracowników izb skarbowych

"W piątek sprawdzono serwery i komputery pracowników izb skarbowych w Gdańsku, Łodzi i Poznaniu. Tylko w Poznaniu nie znaleziono nielegalnych plików. Na serwerach w Gdańsku i Łodzi było w sumie pół terabajta nielegalnie sprowadzonego oprogramowania, filmów oraz muzyki"

- Grażyna Wawryniuk, rzecznik Prokuratury Okręgowej w Gdańsku. Pani rzecznika cytowana jest przez Wirtualną Polskę (za PAP) w tekście Nielegalne pliki znalezione na serwerach izb skarbowych). Przeszukano również domowe komputery niektórych pracowników izb skarbowych. Akcja prokuratury była wynikiem informacji (nie wiemy, kto ją przekazał), jaka przekazana została dyrektorowie Departamentu Informatyki Ministerstwa Finansów. Prokuratura interesowała się "pirackimi" plikami, ale przy okazji zastanawia się, czy nie postawić zarzutów "niedopełnienia obowiązków poprzez niewłaściwe administrowanie siecią" i "narażeniem bezpieczeństwa informacji niejawnych" (nieodpowiednio zabezpieczone serwery, na których przechowywano dane).

No i cóż zrobić z tymi "nielegalnymi plikami"? Przypuszczalnie chodziło o programy komputerowe bez stosownej licencji, a więc legalne pliki (no bo pliki zawsze są legalne, ale niezgodne z prawem mogą być czyny związane z przechowywaniem (np. pliki z "pornografią dziecięcą") albo pozyskiwaniem takich plików (programy komputerowe; por. jednak Secondlife: gdy organy ścigania stawiają zarzut za darmowy program oraz Śledztwo umorzono, bo nie wiadomo kto zainstalował)

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Urzędnik napaskudził, Informatyk zbierze cięgi!

Witam.

Dla mnie sprawa jest prosta. Winę za pojawienie się "nielegalnego oprogramowania" na danym komputerze w sieci firmowej ponosi wyłącznie użytkownik tego komputera! Zwłaszcza gdy wymagania urzędników co do dostępu do przestrzeni internetowej są nieograniczone, a uzasadniane koniecznością wyszukiwania "informacji związanych z zakresem wykonywanych czynności"! Administrator nie jest od pilnowania każdego użytkownika czy użyszkodnik postępuje legalnie czy nielegalnie z oprogramowaniem komputerowym. Analogią może być korzystanie z samochodu. Każdy kierowca korzysta z dróg publicznych w sposób sobie właściwy czyli zgodnie z tym jak rozumie i jaki poziom znajomości Kodeksu Ruchu Drogowego reprezentuje.
Policja Drogowa, nie jest w stanie "upilnować" każdego kierującego czy korzysta z dróg publicznych zgodnie z prawem! Powód jest jasny, wystarczy określić procentowy udział Policjantów "drogówki" w populacji kierowców. Podobnie jest z administratorem. Jest jeden lub kilku, wszystko zależy od wielkości urzędu i wartości płacy.
Ponadto każda jednostka budżetowa ma stosowne piony organizacyjne, których zadaniem jest kreowanie funkcjonowania urzędu zgodnie z obowiązującym prawem. Administrator jako pion wykonawczy ma za zadanie wdrożyć techniczne rozwiązania realizujące zarządzenia dyrektora w zakresie użytkowania sprzętu IT do pracy w urzędzie.

To, o czym napisałem, wynika wprost z analizy struktur organizacyjnych jednostek budżetowych. Serwis BIP umożliwia zapoznanie się z takimi strukturami jednostek publicznych. Jako dodatkowy wątek uzasadniający mój punkt widzenia, proszę wziąć pod rozwagę sytuację urzędu, który nie ma informatyka na etacie? Kto wtedy odpowiada za przestrzeganie zasad użytkowania komputerów w urzędzie? Jak mniemam jest to Dyrektor. Tu pojawia się pytanie, czy Dyrektor ma możliwość monitorowania na bieżąco co wyprawiają urzędnicy na komputerach, których używają do pracy biurowej?

Jak widać, czas najwyższy aby w urzędach publicznych stosowne piony (widniejące w strukturze organizacyjnej) zajęły się pracą, do której zostały powołane! Budowa komputera czy ich serwis techniczny nie ma nic wspólnego z prawem, które określa jak i w jaki sposób ma być użytkowany komputer w urzędzie! Na szkolenia z "informatyzacji urzędów" mają zacząć jeździć prawnicy urzędów, a nie informatycy! Na takich szkoleniach głównym tematem są regulacje prawne dotyczące użytkowania komputerów w urzędzie, a nie konfiguracje systemu czy aplikacji użytkowych.

A tak na marginesie. Kilka takich spraw, zwłaszcza gdy Administrator zostanie ukarany, sprawi, że za nędzne 1500,00 PLN do ręki nikt nie przyjdzie na stanowisko Administratora czy Informatyka! Bo niby czemu Informatyk ma ponosić odpowiedzialność za coś na co nie ma żadnego wpływu? Czyżby potrzebny był etatowy kozioł ofiarny?

Pozdrawiam.

Niewyszkolone technomatołki

Przyłączam się do słów "Nemo", i choć poruszył w swojej wypowiedzi sprawę szkolenia prawników zamiast informatyków, to pominął kwestię moim zdaniem najistotniejszą. Mianowicie taką, że zapewne 99% (tak no oko oczywiście) to totalne technomatołki, i o funkcjonowaniu sieci, społeczeństwa informacyjnego, że nie wspomnę o elementarnej znajomości prawnych aspektów wyżej wymienionych dziedzin nie wspomnę, nie mają zielonego pojęcia.

Mam już za sobą osiem lat doświadczenia w administracji i powiem szczerze, że z każdym rokiem mam coraz gorsze zdanie na temat wiedzy urzędników, prawników oraz co najgorsze, zatrudnianych w administracji informatyków z tej dziedziny.

Brak jest podstawowych szkoleń (oprócz tych jak używać jakiegoś tam oprogramowania - a i tych jest nie za wiele). Nikt nie szkoli tych użytkowników choćby z zakresu bezpieczeństwa w sieci, prawa własności intelektualnej czy bezpieczeństwa danych. Muszę z przykrością powiedzieć, że w tym temacie jest coraz gorzej - bo i zagrożenia coraz poważniejsze. Co gorsze, osoby które o takich kwestiach (jak "właściwe" szkolenia) decydują pozostają głuche na zgłaszane im uwagi i propozycje.

Zamiast wyszkolić, przysposobić i wymagać przestrzegania pewnych "zasad", ich działalność sprowadza się najczęściej do przycinania na proxy (lub jak admin nieco bardziej rozgarnięty na DNS) pewnych adresów, blokowania uprawnień na stacjach roboczych i tym podobnych działań - zazwyczaj nie do końca skutecznych.

Gdyby urzędnicy z owych wspomnianych w publikacji urzędników wiedział, że to o robił jest niezgodne z przepisami wewnętrznymi urzędu oraz jest niezgodne z polskim prawem (jeśli tak faktycznie było - patrz "nielegalne pliki"?) to pewnie dziesięć razy by się zastanowił zanim zaczął by ściągać filmiki.
Jeśli by wiedział, że za przechowywanie na firmowym serwerze danych prywatnych może stracić pracę (nie wspomnę o odpowiedzialności karnej?) to pewnie nie naraził by się na utratę pracy.

Jeśli w urzędach przeprowadzane by były ZEWNĘTRZNE audyty a nie zapowiedziane na miesiąc wcześniej wewnętrzne kontrole, to taka sytuacja też była by wcześniej rozpoznana i prawdopodobnie wyeliminowana.

Strasznie się rozpisałem za co przepraszam, bo wiem że nie jest to poetyka :) ale problem jest naprawdę poważny i zapewne najbliższa przyszłość pokaże nam jeszcze wiele artykułów od VaGli o podobnej tematyce.

Szkolenie owszem, ale w określonej kolejności.

Witam.

Szanowny UPS5.
Celowo pominąłem aspekt szkoleń pracowników (urzędników). Ich szkolenie nie może wyprzedzać właściwego szkolenia pionów prawnych i organizacyjnych urzędu! Gdy te dwa piony lub jeden połączony będą świadome swoich obowiązków, to szkolenia o których wspominasz będą naturalną konsekwencją realizacji organizacji funkcjonowania urzędu. Nie zaprzeczysz, że tego typu szkolenia to zagadnienia prawne, a nie techniczne. Zatem Informatyk nie ma tu nic do roboty. Kto zatem odpowiada za "niewyszkolenie" urzędników w aspekcie obowiązującego prawa w odniesieniu do plików w internecie? To po pierwsze.

Po drugie, to jakoś nie mogę zrozumieć dziwnej zależności. Czy brak szkoleń jest podstawą do łamania ogólnie obowiązującego prawa? Zwłaszcza gdy najczęstszym powodem wymienianym jako uzasadnienie konieczności szerokiego dostępu do internetu jest "wyszukiwanie przepisów prawnych". Skoro tak, to jest bezsprzecznie pewnym, że urzędnik jest wyedukowany prawnie również w zakresie co mu wolno, zwłaszcza w odniesieniu do "nielegalnego oprogramowania" oraz plików pobieranych z internetu. Skoro jednak nie jest wyedukowany, to pozostaje otwarte pytanie. Na co mu internet skoro korzystać z niego nie umie? Przynajmniej w zakresie oczekiwanym przez jego pracodawcę. A może konieczne jest szkolenie dla Dyrektorów Urzędów z odpowiedzialności karnej z tytułu zarządzania Urzędem, który narusza prawo? Bo tak po prawdzie, to chyba jednak Dyrektor odpowiada za obecność nielegalnego oprogramowania na przestrzeni dysków komputerów w urzędzie którym kieruje. Możliwe, że dopiero wtedy, wiele rozwiązań jakie proponują Informatycy byłoby zaakceptowane, a nie traktowane jako utrudnianie pracy urzędnikom, bo ci ostatni tak przedstawiają Dyrektorowi skutki regulacji proponowanych przez Informatyków.

A co do audytów ZEWNĘTRZNYCH. Wystarczy "przewietrzyć" wybiórczo ale skutecznie kilka urzędów. Następnie nakazowo narzucić urzędom właściwe rozwiązania realizujące zapisy obowiązującego prawa. Jeśli urzędnicy nie potrafią korzystać z przywilejów, jakie daje im obecnie ustawodawca, to trzeba nałożyć kaganiec regulujący zasady użytkowania komputerów w urzędzie. Jeśli będzie niewygodny, to trudno. Tak już jest, że ogólne regulacje często nie pasują w 100% do wielu rozwiązań. Od czegoś trzeba jednak zacząć! Podobnie jak tworzy się reguły Firewall'a. Pierwszą jest zawsze DENY ALL, a potem dopiero przywileje.

Pozdrawiam.

Nie ulegaj złudzeniom i pozorom.

Witam ponownie.

Szanowny UPS5.

Mianowicie taką, że zapewne 99% (tak no oko oczywiście) to totalne technomatołki, i o funkcjonowaniu sieci, społeczeństwa informacyjnego, że nie wspomnę o elementarnej znajomości prawnych aspektów wyżej wymienionych dziedzin nie wspomnę, nie mają zielonego pojęcia.

To jest tylko pozorne zachowanie. Bo czyż "technomatołek" będzie surfował po necie? Albo kupował na Allegro stringi? Czy też może wymieniał sie e-mail'ami ze znajomymi, przesyłając tony zdjęć albo i nawet filmy z wakacji czy imprez.

Nie daj się zwieść! To wygodnicka poza! Uzasadnienie ślimaczenia się spraw urzędowych! Podstawa do szukania frajera (czyt. informatyka), który odwali robotę z tabelkami czy prezentacjami.

Ale gdyby jednak przyjąć, że to Ty masz rację. To aż ciśnie się pytanie. Po jaką "chimerę" kupowane są dla nich te komputery? Przecież nie potrafią ich użytkować! Przecież postawienie komputerka na biurku, nic nie przyśpieszy, a tylko spowolni proces załatwiania sprawy interesanta! Moda? Czy konieczność realizacji ustawy o informatyzacji? A wszystko za kasę podatnika czyli także moją czy Twoją! Kto tu kogo robi w balona? No tak! Większość ma rację! A jak pamiętam, to "Vox populi, vox Dei".

Pozdrawiam.

Poniekąd tak właśnie

Poniekąd tak właśnie jest, ale...

Średnia wieku w wielu urzędach jest bardzo wysoka - co za tym idzie wiele Pań i Panów tuż przed emeryturą (troszkę ubarwiam, ale o to mniej więcej chodzi), które do tej pory rysowały tabeli przy pomocy flamastrów, a komputery używała tylko jako maszynę do pisania i nawet style formatowania w MS Word są dla nich czarną magią, nagle dostali narzędzia i możliwości serfowania, ściągania i dzielenia się z innymi różnymi zasobami.

Dając im takie narzędzia zapomniano ich nauczyć posługiwania się nimi.

W końcu, chcąc prowadzić samochód, najpierw trzeba się tego nauczyć a potem uzyskać odpowiedni dokument uprawniający do prowadzenia pojazdów mechanicznych.

A tu mamy do czynienia z sytuacją kiedy zwykłemu "urzyszkodnikowi" dajemy, żeby szybciej się poruszał po autostradach swoich obowiązków służbowych motocykl wyścigowy, i zapominamy, że on nawet rowerem kiepsko jeździł.

Niestety, same szkolenia kadry zarządzającej nie poprawią sytuacji. Trzeba zadbać aby najsłabsze ogniwo, którym w tym momencie są właśnie urzyszkodnicy :), wiedzieli jak się prowadzi ten motor wyścigowy.

Pozdrawiam

"Zdaniem Wawryniuk, w grę

"Zdaniem Wawryniuk, w grę może wchodzić postawienie trzech zarzutów, w tym bezprawnego pozyskiwania oraz rozpowszechniania cudzych utworów, za co grozi do pięciu lat pozbawienia wolności." [1]

Czemu Rzecznik Prasowy Prokuratury Okręgowej w Gdańsku p. Grażyna Wawryniuk używa takich stwierdzeń? Przecież to jest umyślne wprowadzanie ludzi w błąd. Czy celem takich wypowiedzi jest wywołanie w społeczeństwie przekonania, że już samo pozyskanie programów, filmów, muzyki jest nielegalne?

Taki offtopic:
A co jeśli ściągam plik, który ma nazwę zdjęcia_dla_Ciebie.rar, a okazuje się, że w archiwum znajduje się program, który jest 'nielegalny' (np program + crack)? Czy automatycznie staję się przestępcą? Czy jeśli ktoś wyśle na skrzynkę pocztową p. Grażyny 'nielegalny' program, a ona ściągnie pocztę to stanie się automatycznie przestępcą bo na jej komputerze będzie nielegalne oprogramowanie?

fn1. za rp.pl http://www.rp.pl/artykul/21,196371.html

z pewną przekorą

Użytkownik ma tyle praw ile mu przyzna Admin.
Moim zdaniem brak dostatecznej informacji do oceny zdarzenia.

Miłego
psb

Admin nie ma prawa wkraczać w kompetecje innych Kierowników.

Admin przyznaje tyle praw ile nakaże Dyrektor na wniosek urzędnika. Nawet jeśli uprawnienia są bez sensu, ale większość ma rację. Są to jak widać skutki demokracji permanentnie nadużywanej przy forsowaniu "prawd absolutnych" tudzież "praw zwyczajowych". Nie wiem czy dostrzegasz, ale informatyk ma realizować ściśle określone reguły funkcjonowania urzędu w odniesieniu do obowiązującego prawa. Ma swoje określone miejsce wynikające ze schematu organizacyjnego urzędu, a to ma przeniesienie na kompetencje. Restrykcje na prawa dostępu określa nikt inny tylko Dyrektor, tudzież kierownik komórki. Informatyk nie ma prawa organizować czy dezorganizować funkcjonowania urzędu, a regulować uprawnienia dostępu może bezpośrednio jedynie wobec swojego konta czy swoich podwładnych, ogólnie ujmując: tylko w obrębie komórki którą kieruje. Nie naruszaj kompetencyjności stanowisk! Jak widać, to pojedynczo nie masz racji, aż wkroczy prokurator. Tyle, że będąc Informatykiem stajesz się kozłem ofiarnym! Coś jeszcze w tej materii?

A po drugie. Zakres uprawnień winien wynikać z regulaminu organizacyjnego urzędu, a ściślej mówiąc, od zakresu funkcjonalnego stanowiska pracy. Ciekawe czy komukolwiek przyszło do głowy wymusić taki opis stanowisk pracy? Opór materii urzędniczej jest silniejszy, bo zbiorowy. Zbiorowa inteligencja i siła perswazji wobec Dyrektora jest zabójcza. Często dosłownie i co gorsza, może uderzyć bezpośrednio w Dyrektora.

Pozdrawiam.

Istotą jest kto za to odpowiada

Winna być Polityka Bezpieczeństwa.

Nadal nie wiem jak tam było. Pozostaje czekać na rozstrzygnięcie.

Admin ma obowiązek realizować Politykę Bezpieczeństwa

Admin ma obowiązek realizować Politykę Bezpieczeństwa. Tę Politykę (jeśli jej wcześniej nie było) ustala "Kierownik" informatyki z "Szefem" Urzędu i ew. działami kontroli..., na podstawie istniejących przepisów Prawa i przepisów wewnętrznych czy branżowych. Sęk w tym aby ta Polityka była przemyślana, klarowna i przede wszystkim przestrzegana.
Jeśli w urzędzie jest taki dokument, to admin powołuje się na niego w przypadkach nacisków o bezzasadne zwiększenie uprawnień. W sytuacjach konfliktu może poprosić o polecenie na piśmie. Tak więc raczej admin powinien być "na prawie".

Pozdrawiam

Polityka Bezpieczeństwa tylko dotyczy plików komputerowych? :-O

Witam.

I już na wstępie widzę błąd w rozumowaniu.
Polityka bezpieczeństwa dotyczy Informacji jako takiej, a nie tylko tej która jest ulokowana w sieci firmy bądź na dyskach komputerów. Jak wiadomo, informacje są również na papierze A4 lub papierze termicznym (z fax-u). Te dwa przykładowe nośniki danych nie mają nic wspólnego z komputerem, a co więcej były nieco wcześniej niż komputer. Czy informacje gromadzone na takim nośniku nie podlegają polityce bezpieczeństwa?

Szanowny UPS5. Proponuję popatrzeć nieco szerzej na problem polityki bezpieczeństwa. W niej bowiem są również, a przynajmniej powinny być zawarte informacje na temat np. zamków w szafach czy drzwiach do pomieszczeń. Czy w takim przypadku, również należy ślusarza zatrudnić przy pisaniu polityki bezpieczeństwa?

Innym przykładem niech będzie pytanie. Czy przepisy Kodeksu Karnego tworzą np. tylko Policjanci? A przecież gdyby analizować tok Twego rozumowania, to powinni bo nadzorują zachowanie obywateli.

Polityka Bezpieczeństwa to spis zasad postępowania celem zapewnienia bezpieczeństwa informacji jako takiej, a nie tylko tej komputerowo przetwarzanej. Żeby w polityce napisać zdanie "w pomieszczeniu nie mogą przebywać osoby bez nieupoważnienia dostępu do komputera lub terminala" to nie trzeba być informatykiem czy administratorem sieci.
Aby napisać zdanie "dostęp do komputera ma być ograniczony dla osób upoważnionych i ewidencjonowany za pomocą dostępnych metod informatycznych", to też nie trzeba być informatykiem. Wystarczy z informatykiem ustalić jakie są możliwe w firmie "metody informatyczne" i można je wtedy wymienić w Polityce Bezpieczeństwa z nazwy, a nie ogólnikowo. Informatyk czy też "Kierownik Informatyki", to może jedynie napisać opis jak włączyć czy wyłączyć stanowisko komputerowe lub aplikację użytkową w sposób zapewniający realizację zaleceń Polityki Bezpieczeństwa. Oczywiście, o ile taki opis jest wymagany w Polityce Bezpieczeństwa. Polityka Bezpieczeństwa to zapis ewidentnie organizacyjny!

Mam propozycję, aby nie zrzucać wszystkiego na Informatyków, bo dotyczy komputera. Wiele spraw stanowi tylko o tym jaki ma być dostęp do komputera, a to już nie wymaga wiedzy informatycznej, a jedynie organizacyjnej lub z zakresu zarządzania. Jak widać nie jest to kierunek Informatyczny, a raczej menedżerski!

I na koniec stałe pytanie. A co mają zrobić urzędy nie mające Informatyków na etacie? Mają nie mieć Polityki Bezpieczeństwa? A to czemu? Bo nikt nie umie sklecić kliku zdań zawierający opis ograniczeń w pracy codziennej ze stanowiskiem komputerowym?

Pozdrawiam.

Jako użytkownik komputera w

Jako użytkownik komputera w urzędzie skarbowym nie mam wystarczających uprawnień, aby wykonywać takie czynności o jakich mowa w informacjach prasowych. Mają je tylko admini i to być może nie w urzędzie skarbowym lecz dopiero w izbie skarbowej. Patrz komentarze w serwisie www.skarbowcy.pl.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>