„Antyterrorystyczne” przejęcie systemu IT

Dyskusja wokół tak zwanej ustawy antyterrorystycznej skupiała się na rozwiązaniach takich, jak ułatwienie inwigilacji obcokrajowców czy przyznanie Agencji Bezpieczeństwa Wewnętrznego szerokiego dostępu do rejestrów publicznych. Ciekawych rozwiązań jest jednak więcej. Jedno z nich przewiduje możliwość przejęcia przez ABW kontroli nad systemem informatycznym.

Przepisem o „przejęciu systemu” jest art. 32b wprowadzony do ustawy o Agencji Bezpieczeństwa Wewnętrznego i Agencji Wywiadu. Wynika z niego, że ABW w pewnych sytuacjach może zażądać „przedstawienia informacji o budowie, funkcjonowaniu oraz zasadach eksploatacji posiadanych systemów teleinformatycznych, w tym informacji obejmujących hasła komputerowe, kody dostępu i inne dane umożliwiające dostęp do systemu oraz ich używanie”.

O jakie systemy chodzi? Przepisy nie są tu w pełni jasne, ale wydaje się, że chodzi o: „istotne z punktu widzenia ciągłości funkcjonowania państwa” systemy organów administracji publicznej, a także systemy wchodzące w skład tzw. infrastruktury krytycznej w rozumieniu przepisów o zarządzaniu kryzysowym (w tej kategorii mogą znaleźć się np. systemy odpowiadające za zaopatrzenie w energię, łączność, czy też systemy zapewniające ciągłość działania administracji publicznej).

W praktyce treść przepisu sprowadza się do stwierdzenia: można zobowiązać właściciela systemu do oddania ABW kluczyków do niego i instrukcji obsługi.

I tu kończą się przepisy, a zaczynają schody.

Zagrożenie atakami terrorystycznymi na krytyczną infrastrukturę informatyczną oczywiście nie jest czysto teoretyczne. Nie szukając daleko, opisano niejeden atak na systemy typu SCADA, działające w przedsiębiorstwach energetycznych. Obecny kształt przepisów wprawdzie daje ABW podstawę do działania w nagłej sytuacji, ale sam sposób uregulowania tej kwestii pozostawia sporo wątpliwości.

Co z kompetencjami ABW?

Czy ABW ma kompetencje (w ściśle technicznym, merytorycznym znaczeniu), żeby przejąć kontrolę nad kluczowymi systemami informatycznymi? To banał, ale muszę go napisać: nie mając odpowiedniej wiedzy łatwiej coś popsuć, niż pomóc.

Sama dokumentacja i hasła to mało. Czy w takim razie właściciel systemu ma obowiązek szkolić funkcjonariuszy albo zapewnić szkolenia? Czy ma czuwać nad ich działaniami w systemie? Ustawa nie mówi o tym wprost, a bez tego koncepcja „przejęcia systemu” wydaje się co najmniej problematyczna.

Nauczenie się obsługi systemu na sensownym poziomie wymaga sporo pracy i – przede wszystkim – czasu. W przypadku krytycznych systemów: na tyle dużo pracy i czasu, że mam wątpliwości, czy całe rozwiązanie ma sens.

Jaki w zasadzie ma być cel działań ABW?

Żądanie danych jest możliwe, jeśli ABW otrzyma informację o „wystąpieniu zdarzenia o charakterze terrorystycznym”. Mówimy zatem o reakcji na konkretny incydent dotyczący krytycznego systemu. Wydawałoby się, że w tej sytuacji chodzi tylko o jakąś formę zarządzania kryzysowego i ułatwienie ścigania sprawców. Ustawa o tym wspomina, ale do listy celów, jakie mogą przyświecać ABW, dodaje także zapobieganie zdarzeniom i przestępstwom o charakterze terrorystycznym. Dlaczego – skoro celem mają być także działania zapobiegawcze – procedura może zostać uruchomiona dopiero po incydencie? Czy chodzi o zapobieganie dalszym atakom powiązanym z pierwszym incydentem? Ale jeśli tak, to dlaczego nigdzie nie wskazano, na jak długo ABW ma uzyskać dostęp do systemu?

Co to za hasła i dane dostępowe?

Ustawa nakazuje zapewnić dostęp do systemu. Ale z jakimi uprawnieniami? Czy jeśli ABW zażąda hasła dla roota, to trzeba oddać hasło dla roota?

Jak przekazać hasła?

Nie znajdziemy w ustawie ani słowa o sposobie przekazywania haseł i danych. Nawet generalnej klauzuli nakazującej „zastosowanie odpowiednich środków zapewniających ich poufność”. Nie pojawi się też żaden przepis wykonawczy do ustawy, bo nie przewidziano wydania jakiegokolwiek rozporządzenia na ten temat.

Co jeśli hasła to za mało?

System o krytycznym znaczeniu może (a nawet powinien) być niedostępny dla świata, czyli odcięty od publicznej sieci. Czy w takim wypadku właściciel systemu ma dopuścić ABW także do swojej sieci korporacyjnej? Czy jeśli uwierzytelnianie jest dwuskładnikowe, mam obowiązek zapewnić także „drugi składnik” (np. token)? Wydaje się, że tak, choć wymaga to bardzo szerokiej interpretacji pojęcia „dane umożliwiające dostęp do systemu oraz ich używanie”.

Co z bezpieczeństwem haseł?

Ustawa nakazuje traktowanie ich jak informacji niejawnych. Dostęp do nich maja mieć funkcjonariusze prowadzący w danym postępowaniu czynności operacyjno-rozpoznawcze i ich przełożeni uprawnieni do nadzoru nad tymi czynnościami. Wraca tu jednak pytanie, na jak długo administrator systemu ma zapewnić ABW dostęp do systemu. Czy „tak długo, jak ABW widzi potrzebę”? Jak stosować politykę bezpieczeństwa do haseł udostępnionych ABW (czy można je zmienić, jeśli poinformuję ABW o tym, jak brzmi nowe hasło)?

Co z odpowiedzialnością za szkody właściciela systemu?

Ustawa wspomina tylko, ze jeśli hasła nie będą traktowane jak informacje niejawne albo zostaną udostępnione komuś nieuprawnionemu, za szkody odpowiada Skarb Państwa. Nasuwa się pytanie – czy tylko wtedy? Czy jeśli wskutek działań funkcjonariuszy dojdzie do awarii systemu, Skarb Państwa także odpowie za szkodę na zasadach ogólnych? Przy obecnym brzmieniu ustawy, wcale nie jest to oczywiste – art. 32b ust. 3 można przecież interpretować jako wyłączenie odpowiedzialności odszkodowawczej w przypadkach inny, niż te, które w nim opisano. Takie podejście wydaje się sprzeczne z konstytucyjną zasadą odpowiedzialności odszkodowawczej za działania władzy publicznej (art. 77 ust. 1 konstytucji), ale trudno przewidzieć, jak omawiany przepis potraktują sądy, jeśli dojdzie do sytuacji, które tu rozważamy…



ZESPÓŁ

NASZE DANE