Ministrowie na podsłuchu

gen. Krzysztofem Bondarykiem

@RY1@i02/2013/226/i02.2013.226.000001600.805.jpg@RY2@

michał rozbicki

gen. Krzysztof Bondaryk, dyrektor Narodowego Centrum Kryptografii, szef Agencji Bezpieczeństwa Wewnętrznego w latach 2008-2013

Ujawniliśmy w DGP, że Rosjanie przechwytują rozmowy telefoniczne w promieniu kilometra od swojej ambasady w Warszawie. W ich zasięgu są MSZ, MON i kancelaria premiera.

Takie możliwości istnieją, przy czym taka operacja wcale nie musiałaby być prowadzona z jakiejkolwiek pobliskiej ambasady, lecz równie dobrze z odległego zakątka świata. Globalne wywiady elektroniczne dysponują technologiami pozwalającymi przechwycić dużą część rozmów na terenie Polski.

Czy więc telefony komórkowe i laptopy najważniejszych osób w państwie są odpowiednio chronione?

Dla celów państwowych istnieją dedykowane rozwiązania odseparowane od ogólnodostępnej sieci informatycznej. Trzeba ich tylko chcieć używać.

To ministrowie nie chcą?

Z powodu wygodnictwa, braku świadomości zagrożeń w cyberprzestrzeni oraz nieodpowiedzialności przedstawiciele administracji rządowej na dużą skalę posługują się niezabezpieczonymi telefonami i komputerami. W ten sposób przesyłane są m.in. rządowe kalendarze spotkań, specyfikacje przetargowe, poczta służbowa, legislacja i inne uzgodnienia oraz treści wystąpień na forach UE i NATO. Brama dla obcego wywiadu elektronicznego jest w Polsce otwarta za szeroko, a świadomość zagrożeń dalece niewystarczająca. A przecież decydenci w Polsce mają możliwości przekazywania informacji w taki sposób, żeby nie dostały się one w niepowołane ręce. Już w 2011 r. wdrożyliśmy system bezpiecznej komunikacji mobilnej CATEL przygotowany dla 3,5 tys. telefonów i 500 laptopów.

Podobno się nie przyjął. Pewnie był nieudany.

To bardzo udane rozwiązanie. CATEL jest jedynym mobilnym bezpiecznym systemem będącym pod całkowitą kontrolą polskiej administracji. Jednak niektórzy użytkownicy skarżyli się na to, że był "upierdliwy", bo wymaga, by co określony czas jego użytkownik się uwierzytelniał. Odrębnie następuje logowanie do telefonu i do bezpiecznego komputera, w którym można korzystać z internetu, ale zabezpieczenia nie pozwalają niejawnych informacji przenosić na nośniki elektroniczne. Dodatkowo w sieciach o niskiej przepustowości w czasie rozmowy z użyciem szyfrowanego komunikatora występowało niewielkie opóźnienie w transmisji głosu. Z powodu tych niedogodności część użytkowników rezygnowała z używania CATEL.

Woleli być podsłuchiwani przez zagraniczne służby niż chronieni przez ABW?

Bez komentarza. Dzisiaj ci bardziej świadomi ministrowie korzystają z tego systemu. Powstał jako alternatywa dla bezmyślności, ale nie udało się wymusić - mimo zarządzenia premiera - obowiązku jego stosowania. Podobnie jak nie możemy przecież nikomu zakazać robienia głupot. Ten, kto używał i używa CATEL, jest dobrze zabezpieczony. Inni byli i nadal są transparentni dla obcych wywiadów, służb specjalnych i zwykłych hakerów.

Teraz jest pan dyrektorem Narodowego Centrum Kryptografii (NCK), w które Narodowe Centrum Badań i Rozwoju wpompuje w ciągu pięciu lat 120 mln zł.

Polska pilnie potrzebuje własnych systemów kryptograficznych, które byłyby pod kontrolą państwa. Przywrócenie jurysdykcji państwa w zakresie praw autorskich rozwiązań używanych w systemach bezpieczeństwa pozwala na uniezależnienie się od szantażu technologicznego zewnętrznych dostawców. Do NCK trafi nie więcej niż 40 mln zł z tej puli. Ta jednostka jest liderem konsorcjum, w skład którego wchodzą Wojskowa Akademia Techniczna, ABW i Wojskowe Centralne Biuro Konstrukcyjno-Technologiczne. Pieniądze trafią do naukowców: matematyków i kryptologów z wybranych wyższych uczelni, którzy stworzą rodzime rozwiązania kryptograficzne.

Ale do czego jest nam w ogóle ten projekt potrzebny?

Żeby odbudować kompetencje państwa w zakresie narodowej kryptologii, zbudować od nowa polskie szyfry i zdolności kryptoanalityczne. Dlatego minister obrony podjął też decyzje o zwiększeniu liczby studentów wojskowych w ramach dodatkowych studiów kryptologicznych na WAT. Musimy odbudować wojskowy korpus kryptologów zdolnych zapewnić armii należytą ochronę systemów dowodzenia i komunikacji, tak by nikt nie mógł nam tych systemów obronnych nigdy wyłączyć, przejąć, zakłócić ani podsłuchać.

Dzisiaj takie ryzyko istnieje?

Od sojuszników kupujemy urządzenie szyfrujące, a od ich producentów dostajemy serwis i obsługę. Nie mamy praw do modyfikacji i zmian w tych rozwiązaniach. Nie mamy wystarczającej liczby własnych rozwiązań szyfrujących, bo nie mamy prawa ani zdolności do adaptacji własnych algorytmów kryptograficznych w systemach i rozwiązaniach sojuszniczych. To zatrważające, ale zaniknęła w zasadzie kompetencja administracji rządowej w zakresie krypto. Urządzenia i narzędzia kryptograficzne powinny być zaprojektowane i wyprodukowane pod kontrolą państwa przez polskiego producenta. Własność intelektualna algorytmu we wszystkich polach eksploatacji musi znajdować się po stronie państwa. Algorytmy te muszą być wgrywane do urządzeń pod kontrolą odpowiednich służb wojskowych i cywilnych. Rozwiązania używane w systemach obronnych nie powinny być udostępniane nawet sojusznikom, powinien obowiązywać zakaz ich eksportu.

A jeśli tak się nie stanie?

Wtedy czeka nas smutny los lekceważonego partnera. Państwa drugiej kategorii, pogardzanego i naiwnego. Staniemy się konsumentami technologii, które będziemy nabywać bezrefleksyjnie, jak zakupy w supermarkecie.

A jakieś przykłady nieprawidłowości?

Ten sam producent broni dostarczył samoloty bezzałogowe Polsce i Gruzji. Moim zdaniem nie zabezpieczyliśmy właściwie dostępu do rozwiązania bezpośrednio u producenta - ani prawnie, ani inżyniersko - więc nie byliśmy zdolni do odpowiedniej modyfikacji systemów łączności. Ba, nawet nie zakładaliśmy takiej konieczności. Nie było tam także polskich rozwiązań kryptograficznych. Brak pełnej jurysdykcji państwa polskiego nad zakupionymi systemami obronnymi jest niedopuszczalny. Nie wiemy przecież, czy prywatny dostawca z zagranicy nie sprzedaje analogicznych produktów innym krajom, które nie są naszymi sojusznikami. Dzisiaj każdy liczący się członek NATO stosuje własne w pełni chronione rozwiązania. Tak robią m.in.: Wielka Brytania, Niemcy, Francja, Włochy, Hiszpania, Norwegia. Od sojuszników w ramach NATO chętnie kupujemy uzbrojenie, w tym systemy komunikacyjne z zasady "pod klucz". Kupujemy także urządzenia szyfrujące, ale dotychczas nie potrafiliśmy wynegocjować dostępu do technologii.

Jakiemuś krajowi się to udało?

Wzorem dla nas może być Turcja, która robi zakupy na Zachodzie, ale sprzęt składa zazwyczaj u siebie, a w ramach offsetu potrafi uzyskać dostęp do technologii kryptograficznych. Kraj ten dysponuje prawem implementacji narodowych rozwiązań kryptograficznych bez utraty gwarancji. Turcy mają wojskowe centrum kompetencji kryptologicznej zdolne do obsługi takich projektów, mają odpowiednią kadrę i rodzimy przemysł kryptograficzny. A my w ciągu ostatnich 20 lat kupiliśmy większość sprzętu, nie stawiając wymagań dostępu do technologii kryptograficznych. W największych zamówieniach nie było takich wymagań.

To znaczy, że nie mamy do końca kontroli nad myśliwcami F-16, bezzałogowymi samolotami, systemami rakietowymi?

Mogę sobie wyobrazić scenariusz wyłączenia bez udziału polskiej strony systemów dowodzenia, systemów identyfikacji "swój-obcy" albo uszkodzenie systemów bojowych. Zawsze istnieje takie ryzyko, jeśli nie potrafimy zapewnić bezpieczeństwa informacjom przekazywanym przez techniczne środki łączności.

Czy takie przypadki gdzieś na świecie się zdarzały?

Żaden kraj do tego by się nie przyznał.

A czy polska kryptologia jeszcze w ogóle istnieje?

Raczej powinniśmy pytać o jej kondycję. Mamy wielkie tradycje - nasz sukces to rozszyfrowanie Enigmy ponad 80 lat temu. Niestety w ciągu ostatnich lat nie przejęliśmy technologii od sojuszników, nie spolonizowaliśmy ich, polska kryptologia była pozostawiona przez rząd sama sobie.

Dlaczego pomysł NCK urodził się akurat teraz?

Polska jest jedynym tej wielkości krajem w Europie, który zamierza przeznaczyć do 2022 r. na wydatki zbrojeniowe co najmniej 1,95 proc. PKB rocznie. Musimy kupować sprzęt od dostawców krajowych i zagranicznych. Przy okazji tych zakupów mamy ostatnią szansę uzyskać dostęp do technologii na szczeblu strategicznym. Biorcą technologii niech będzie jednak MON, który będzie unowocześniał armię na własnych warunkach i według zasady "w pełni panuję nad tym, co kupuję".

NCK zajmie się nasłuchem internetu? Amerykańskie służby mają niekontrolowany dostęp do danych zgromadzonych na serwerach Facebooka, Google’a, YouTube itd.

Nie jest tajemnicą, że komercyjna inwigilacja jest rozwinięta, bo internauci bezrefleksyjnie powierzają serwisom społecznościowym coraz większą ilość prywatnych danych. Polskie służby specjalne nie mają możliwości, pieniędzy ani aspiracji, jak amerykańskie CIA czy NSA. Jeśli chodzi o NCK, to jako część sił zbrojnych nie będzie się zajmowało monitorowaniem internetu, bo naszym celem jest obrona narodowa, a nie inwigilacja. W resorcie obrony takie uprawnienia mają wyłącznie Służba Kontrwywiadu Wojskowego, Służba Wywiadu Wojskowego i Żandarmeria Wojskowa.

Serwis Niebezpiecznik.pl ujawnił, że armia zleciła właśnie projekt stworzenia wirusa, która będzie w stanie infekować sieci komputerowe i przejmować nad nimi kontrolę.

Nie znam szczegółów tego projektu. Armia jest duża. Sam jestem ciekawy, kto w sposób jawny proceduje takie projekty.

Dlaczego po odejściu z ABW nie poszedł pan do biznesu?

A dlaczego miałbym tam szukać pracy? Oceniłem, że moje możliwości funkcjonowania jako szefa ABW się wyczerpały i podałem się do dymisji. Jednak państwo polskie uznało, że mogę jeszcze się przydać w innej roli.

Projekt NCK będzie działał na styku biznesu, bo wymaga zaangażowania polskiego przemysłu. NCK będzie zlecał duże kontrakty prywatnemu biznesowi.

NCK nie będzie zlecało biznesowi dużych kontraktów i nie będzie działało na styku z biznesem. Tym zajmują się w MON inspektorat uzbrojenia, departament polityki zbrojeniowej i inspektorat wsparcia. Przemysł kryptograficzny w Polsce nie jest zbytnio rozbudowany i możliwe, że dzięki powodzeniu projektu centrum przemysł ten się wzmocni i rozwinie. Zwłaszcza że narodowa kryptografia jest ważnym czynnikiem w modernizacji armii. Generalnie armia powinna współpracować z rodzimym przemysłem. Jeśli chodzi o krypto, to na innych zasadach niż dotychczas. Brak jasnych reguł dotyczących współpracy sektora prywatnego z wojskiem oraz ze służbami specjalnymi powodował, że autorskie opracowania kryptograficzne były przejmowane przez firmy komercyjne. Zamieszani w to pracownicy trafiali tam do pracy, a rozwiązania - już jako własność firm - były kupowane przez administrację państwową, w tym np. ABW i SKW. Skarb Państwa wielokrotnie przepłacał.

Można się przed tym w ogóle zabezpieczyć?

Przygotowaliśmy rozwiązania, które umożliwią partnerstwo w ramach projektów badawczych instytucji państwowych z prywatnym biznesem w ten sposób, żeby własność intelektualna opracowanych rozwiązań nie miała szans wywędrować z pracownikami. W tym przypadku outsourcing to dla biznesu wielki zysk, ale dla administracji duża strata.

Skoro pozuje pan na ojca kryptografii, dlaczego podczas pana rządów w ABW ubyło certyfikatów urządzeń szyfrujących?

To błędna interpretacja. Po pierwsze, z listy publikowanej na stronie internetowej ABW nie były usuwane certyfikaty urządzeń ponownie certyfikowanych po zmianach lub błędach technologicznych. Po drugie, wykaz jest listą certyfikatów urządzeń i narzędzi kryptograficznych dostępnych w ofercie handlowej producentów. A skoro w pewnym momencie położyliśmy nacisk na urządzenie wytworzone i certyfikowane w ABW i na potrzeby służb, to nie są one dostępne w ofercie handlowej i nie publikuje się ich na liście.

Jednak od 2008 r. padły niektóre firmy zajmujące się kryptografią.

Zmniejszyła się liczba podmiotów, niektóre zostały przejęte, ale skończyło się żerowanie na państwie. To dlatego ten projekt, który dopiero rusza, już budzi kontrowersje. Były szef ABW, jeśli wykonywał swoje obowiązki przez 5 lat uczciwie, ma wielu wrogów. Nie wszystkich da się rozpoznać, ale oni bez kłopotu identyfikują mnie. Inni starają się zdeprecjonować NCK, zablokować nabycie kompetencji armii, podniesienie tematu "polskich szyfrów". Czasami są to i ci, którzy przez lata w dziedzinie kryptografii bezkarnie wciskali administracji produkty niskiej wartości.

W takim razie kawa na ławę. Co obiecuje pan zdziałać z rekrutowaną armią naukowców i specjalistów podkupywanych z biznesu?

Musimy mieć wyłączność pod względem własności intelektualnej i majątkowej dla kryptografii stosowanej w sprzęcie, który służy ochronie narodowych tajemnic. Dzisiaj sytuacja jest chora. W uproszczeniu: kupujemy za granicą drogie, zaawansowane urządzenie z pilotem, którego sami nie możemy otworzyć ani przekonstruować. Dla własnego bezpieczeństwa dobierzemy się teraz do środka tych pudełek.

@RY1@i02/2013/226/i02.2013.226.000001600.806.jpg@RY2@

@RY1@i02/2013/226/i02.2013.226.000001600.807.jpg@RY2@

@RY1@i02/2013/226/i02.2013.226.000001600.808.jpg@RY2@

East News