ABW zhakuje nas wszystkich. I to w majestacie prawa

Organy administracji publicznej, sieci teleinformatyczne oraz wszelkie właściwie obiekty wchodzące w skład tzw. infrastruktury krytycznej, czyli firmy energetyczne, transportowe, telekomunikacyjne czy zdrowotne - wszystkie one mają być poddane specjalnym testom, które przeprowadzi ABW.

Procedowana właśnie ustawa antyterrorystyczna, a konkretnie jej część zmieniająca zapisy dotyczące ABW, opisuje testy tak: "będzie możliwe uzyskiwanie dostępu do informacji poprzez przełamywanie lub omijanie elektronicznych, magnetycznych, informatycznych lub innych zabezpieczen´ lub uzyskiwanie dostępu do całos´ci lub częs´ci systemu teleinformatycznego". Co więcej, agencja ma mieć w tym celu prawo "wytwarzac´ lub pozyskiwac´ urządzenia lub programy komputerowe", które normalnie są nielegalne, a korzystanie z nich jest zakazane kodeksem karnym. Czyli de facto służby mają zdobyć uprawnienia do hakowania, czyli włamywania się do sieci, i to nie tylko instytucji państwowych, ale także prywatnych.

- Na pierwszy rzut oka jest to narzędzie, które wydaje się nie być niczym nowym i agencja zajmująca się bezpieczeństwem państwa powinna je posiadać. Ale wystarczy wczytać się dogłębniej w ustawę i okazuje się, że uprawnienia ABW w tym zakresie są bardzo szerokie. To praktycznie danie prawa do hakowania, i to zgodnego z literą prawa - ostrzega Igor Ostrowski, partner w kancelarii Dentons, były wiceminister administracji i cyfryzacji oraz przewodniczący Komisji ds. Cyfryzacji, organu doradczego polskiego rządu. - ABW ma mieć prawo takim badaniom poddać nie tylko instytucje państwowe, ale właściwie każdą prywatną firmę. I to próbując złamać ich zabezpieczenia, czyli tak, jak to robią cyberprzestępcy - tłumaczy Ostrowski. Jego zdaniem te, jak to nazywają eksperci, "testy prewencyjne" niosą ze sobą spore zagrożenia.

- Przecież każda ingerencja służb w system teleinformatyczny może prowadzić do wejścia w posiadanie czy nawet do zniszczenia prywatnych danych klientów danej firmy. Co więcej, może też najzwyczajniej w świecie prowadzić do tego, że tak zhakowane przedsiębiorstwo na jakiś czas po prostu przestanie działać. Owszem, testy mają pomagać w skontrolowaniu poziomu cyberbezpieczeństwa przedsiębiorców, ale równolegle mogą też narażać ich na spore koszty - dodaje prawnik.

Ale, jak ostrzega, największym problemem jest to, że ustawa nie przewidziała żadnej procedury kontrolnej nad tym, co dzieje się z danymi, do których służby mają dostęp. Rzeczywiście, jest tylko jedno zdanie, i to w uzasadnieniu ustawy, które nie ma mocy prawnej. Mówi, że dane będą stanowiły "tajemnicę prawnie chronioną, nie będą mogły byc´ wykorzystywane do realizacji zadan´ ustawowych ABW i będą podlegały niezwłocznemu komisyjnemu i protokolarnemu zniszczeniu".

Nowe uprawnienie dla ABW budzi kontrowersje także w samej agencji. Jeden z wojskowych związanych z obroną cyberprzestrzeni krytykuje ten zapis jeszcze z innego powodu. - ABW powinna mieć uprawnienie do prowadzenia kontroli bezpieczeństwa szczególnie instytucji operujących w infrastrukturze krytycznej. Co więcej, takie testy naprawdę mogą być dla tych instytucji przydatne, w końcu mogą wykazać ewentualne luki w zabezpieczeniu. Ale nie ma możliwości, by agencja wszystkie testy przeprowadzała sama - mówi nam wojskowy.

- Po prostu eksperci ABW nie są w stanie fizycznie tego dokonać. Przeprowadzenie prewencyjnych testów zajęłoby wiele lat. Rozsądniejszym rozwiązaniem byłoby wybranie grupy prywatnych instytucji, firm, które mając certyfikaty ABW i pod jej nadzorem, w ramach ściśle określonych zasad, przeprowadzałyby takie testy - dodaje wojskowy.

@RY1@i02/2016/103/i02.2016.103.00000050a.802.jpg@RY2@

Krystian Maj/Forum

Ustawa nie przewiduje, co stanie się z danymi, do których będą mieli dostęp agenci

Sylwia Czubkowska

sylwia.czubkowska@infor.pl

@sylvcz