Rządowy program “ochrony cyberprzestrzeni” na lata 2009-2011

W dniu 9 marca 2009 Komitet Stały Rady Ministrów przyjął dokument: “Rządowy program ochrony cyberprzestrzeni RP na lata 2009-2011 – założenia”. Prace zostały zainicjowane przez Agencję Bezpieczeństwa Wewnętrznego i Ministerstwo Spraw Wewnętrznych i Administracji w związku z “narastającymi na świecie zagrożeniami w obszarze szeroko pojętej teleinformatyki”. W celu uzasadnienia podjętych nad programem prac powołano się m.in.: na cyberatak na Estonię, blokadę teleinformatyczną Gruzji, kradzież danych osobowych w Anglii, ataki hackerskie na portale administracji publicznej i banki w wielu krajach. Warto zapoznać się z dokumentem (do pobrania poniżej), aby znać zamiary władzy w zakresie nadzoru teleinformatycznego.

Najważniejsze cele programu to zwiększenie poziomu bezpieczeństwa krytycznej infrastruktury teleinformatycznej państwa skutkujące zwiększeniem poziomu odporności państwa na ataki cyberterrorystyczne, oraz stworzenie i realizacja spójnej dla wszystkich zaangażowanych podmiotów administracji publicznej oraz innych współstanowiących krytyczną infrastrukturę teleinformatyczną państwa polityki dotyczącej bezpieczeństwa cyberprzestrzeni”. Jego adresatami ma być “administracja publiczna i inne podmioty zarządzające zasobami krytycznej infrastruktury teleinformatycznej państwa oraz beneficjenci systemów, sieci i usług teleinformatycznych stanowiących krytyczną infrastrukturę teleinformatyczną państwa”.

Co więcej, program zakłada ścisłą współpracę “realizatorów programu” (patrz: cytat wyjaśniający poniżej) z sektorem prywatnym, czyli “operatorami telekomunikacyjnymi dysponujących infrastrukturą telekomunikacyjną stanowiącą podstawę zapewnienia komunikacji w państwie. Należy jednak podkreślić, że zagadnienie ochrony cyberprzestrzeni nie dotyczy jedynie sfery teleinformatycznej, ale również sfery innych usług, np. usług sektora bankowego“. Projekt przewiduje, że “odpowiedzialność za koordynację działań przeciw cyberprzestępczości oraz realizację programu sprawować będzie Minister Spraw Wewnętrznych i Administracji jako minister właściwy dla zagadnień dotyczących informatyzacji państwa i bezpieczeństwa publicznego, a odpowiedzialność za podejmowanie działań przeciw cyberterroryzmowi, jako szczególnych przypadków cyberprzestępstw, sprawować będzie Szef Agencji Bezpieczeństwa Wewnętrznego“. Oznacza to pełen nadzór ze strony ABW, gdyż współpraca odbywać się będzie w ramach zarządzania tzw. infrastrukturą krytyczną (kluczową dla bezpieczeństwa państwa), a więc nie istnieją praktycznie żadne możliwości sprawowania nadzoru nad tym procesem, a wszystkie decyzje ABW w tej kwestii pozostaną utajnione. W przyjętym przez rząd programie wyraźnie stoi, iż: “Realizatorami programu będą podmioty odpowiedzialne za ochronę infrastruktury krytycznej kraju, w tym przede wszystkim krytycznej infrastruktury teleinformatycznej. Z tego względu wiodące role w realizacji programu odgrywać będą: Ministerstwo Spraw Wewnętrznych i Administracji (MSWiA) jako podmiot odpowiedzialny za informatyzację państwa oraz infrastrukturę krytyczną oraz Agencja Bezpieczeństwa Wewnętrznego (ABW) jako podmiot odpowiedzialny za bezpieczeństwo wewnętrzne państwa. Ponieważ jedynie nieznaczna część infrastruktury krytycznej, w tym teleinformatycznej, jest własnością państwa, natomiast większość zasobów stanowi własność prywatną, dużą rolę w realizacji programu powinny mieć te podmioty prywatne, które są właścicielami zasobów stanowiących infrastrukturę państwa”.

Kolejna istotna kwestia dotyczy definicji pojęć: “cyberterroryzm” i “cyberprzestępstwo”. Dotąd w polskim prawie nie istnieją definicje owych pojęć, o czym zresztą wspomina się w programie jednocześnie postulując konieczność prawnego zdefiniowania tych terminów. Stwierdza się, iż: “brak precyzyjnych definicji może powodować wątpliwości polegające na trudności w ustaleniu organu właściwego dla ścigania sprawców cyberprzestępstwa”, co oznacza – przy braku szczegółowej regulacji – że ABW może w praktyce zaliczyć do cyberprzestępców każdego internautę, portal lub firmę, a jedynym kryterium “cyberprzestępstwa” będzie ocena ABW. Jeśli nawet w postępowaniu sądowym, zarzut okaże się bezprzedmiotowy, podejrzenie o enigmatyczne “cyberprzestępstwo” wystarczy, by wobec “podejrzanego” podjąć działania operacyjne, inwigilację, podsłuch itp.

Tym samym zadania szefa ABW to m.in.:

  • “opracowanie oraz zarządzanie systemem koordynacji zwalczania, przeciwdziałania i reagowania na zagrożenia i ataki na cyberprzestrzeń państwa, w tym prowadzenie rejestru systemu krytycznej infrastruktury teleinformatycznej państwa. Szef ABW powinien dokonywać wpisu do powyższego rejestru – z urzędu – w przypadku organów administracji rządowej, samorządowej, państwowych osób prawnych jak i – na wniosek – w przypadku przedsiębiorstw i organizacji społecznych realizujących zadania publiczne,
  • gromadzenie i przetwarzanie informacji w rejestrze oraz ich udostępnianie,
  • opracowywanie analiz w zakresie krytycznej infrastruktury teleinformatycznej państwa,
  • kontrolę ochrony systemu lub sieci teleinformatycznej wpisanej do rejestru

Dodatkowy, ogromny obszar władzy dotyczy tzw. administratorów systemu. Projekt bowiem przewiduje, że “w każdej jednostce organizacyjnej w ramach systemu ochrony krytycznej infrastruktury teleinformatycznej zostanie powołany administrator systemu. W tym celu określone zostaną minimalne wymagania do obsady stanowiska administratora. Wśród wymagań dla administratorów, które będzie musiał spełnić kandydat na to stanowisko będzie obowiązek posiadania stosownego certyfikatu poświadczającego odbycie specjalistycznego przeszkolenia przez ABW lub SKW w ramach swojego obszaru kompetencyjnego”. Tym samym, zmonopolizowany już niemal w całości przez ABW “rynek” certyfikatów bezpieczeństwa zostanie poszerzony o nowe możliwości wpływów. Na podstawie prerogatyw wynikających z tego projektu ABW – jako instytucja nadzorująca, będzie miała prawo wstępu do obiektów i pomieszczeń tysięcy podmiotów gospodarczych, wglądu w ich dokumentację techniczną, żądania udostępnienia do kontroli systemu lub sieci teleinformatycznej, wydawania poleceń pokontrolnych i żądania wyjaśnień. Pierwsze efekty rządowego programu, widoczne są już w nowelizacji ustawy o zarządzaniu kryzysowym i wzbudziły uzasadnione zastrzeżenia Rzecznika Praw Obywatelskich (patrz: poprzednie posty).

Zalozenia_Rzadowy_Program_Ochrony_Cyberprzestrzeni_RP_2009-2011

Ochrona cyberprzestrzeni – prezentacja ABW i MSWiA: Cyberprogram_-_prezentacja_CERT

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: