W Polsce wiele istotnych dla funkcjonowania państwa systemów obsługiwanych jest przez firmy, które wystartowały w otwartych przetargach publicznych i wygrały je. Zdarza się, że nawet przy realizacji najważniejszych projektów w policji, sądownictwie czy administracji przetwarzającej wrażliwe dane dotyczące niemal wszystkich obywateli nie stosuje się żadnej ochrony – brak barier przed firmami potencjalnie nieuczciwymi czy niosącymi zagrożenia dla bezpieczeństwa. W takich przypadkach żądania dostarczenia dokumentów o niekaralności członków zarządu i niezaleganiu ze składkami są na pewno niewystarczającymi środkami bezpieczeństwa. Bo też zagrożenia są realne – należy ocenić ryzyko, jakie z nich wynika i dobrać odpowiednie zabezpieczenia. Do dyskusji o strategii rozwoju systemu bezpieczeństwa narodowego warto dołączyć temat kluczowych dla funkcjonowania państwa polskiego rozwiązań IT.
Systemy szczególnej ochrony
Jednym z najważniejszych systemów, w których dane muszą być chronione w sposób szczególny, jest Kompleksowy System Informatyczny Zakładu Ubezpieczeń Społecznych, w którym przetwarzane są wrażliwe dane prawie wszystkich obywateli. Podobnie jest w przypadku aplikacji dla sektora zdrowia utrzymywanych przez Narodowy Fundusz Zdrowia oraz jego ośrodki czy budowanej przez Centrum Systemów Informacyjnych Ochrony Zdrowia (jednostkę podległą Ministerstwu Zdrowia) elektronicznej platformy gromadzenia, analizy i udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (tzw. Projekt P1) oraz systemów jej towarzyszących (platforma udostępniania online przedsiębiorcom usług i zasobów cyfrowych rejestrów medycznych, elektroniczna platforma konsultacyjnych usług telemedycznych Ministerstwa Zdrowia, NFZ oraz sieci szpitali wysokospecjalistycznych, e-recepta czy internetowe konto pacjenta).
Równie istotne dane, które powinny być jak najlepiej chronione przed szpiegostwem i potencjalnymi działaniami terrorystycznymi, przetwarzają systemy Ministerstwa Spraw Wewnętrznych oraz Ministerstwa Administracji i Cyfryzacji, CEPiK (Centralna Ewidencja Pojazdów i Kierowców), PESEL (Powszechny Elektroniczny System Ewidencji Ludności), na którego bazie powstaje pl.ID (nowy dowód osobisty), systemy paszportowe, powiadamiania ratunkowego, STAP (Sieć Teleinformatyczna Administracji Publicznej) i inne systemy łączności, czy wreszcie ePUAP (Elektroniczna Platforma Usług Administracji Publicznej). Te rozwiązania na pewno wymagają szczególnej troski i miejsca we wszystkich strategiach dotyczących bezpieczeństwa teleinformatycznego państwa.
Reklama
Projekty cywilne i mundurowe
Podobnie jest w przypadku projektów teleinformatycznych związanych z sektorem finansowym i zarządzaniem gospodarką. Szczególnego nadzoru wymagają: zintegrowane systemy obsługi budżetu państwa, systemy scentralizowane obsługujące Narodowy Bank Polski, Bank Gospodarstwa Krajowego, PKO BP, PZU, Giełdę Papierów Wartościowych w Warszawie, rozwiązania IT nadzoru finansowego i ubezpieczeniowego, e–podatki, systemy celne czy realizujące dopłaty rolne (w Agencji Restrukturyzacji i Modernizacji Rolnictwa). We wszystkich gałęziach gospodarki uważanych za strategiczne i tam, gdzie przetwarzane są duże ilości danych obywateli (Poczta Polska, energetyka, łączność), nadzór nad systemami IT powinien być skrupulatnie sprawowany, a zawarte w nich dane powinny być zabezpieczone, również przed zagrożeniami wewnętrznymi, a nie tylko zewnętrznymi.
Równie istotne jest zapewnienie odpowiedniego nadzoru nad systemami centralnymi i „cywilnymi” w sektorze mundurowym. Z definicji realizują one zadania z zakresu bezpieczeństwa, w którym praca na danych wrażliwych i dostęp do poufnych informacji są codziennością. Kompleksowy System Informacyjny Policji i inne rozwiązania wykorzystywane przez tę formację, systemy nadzoru granicy i obsługi Straży Granicznej, rozwiązania stosowane przez Państwową Straż Pożarną to projekty, w których poszczególne prace są często zlecane w otwartych przetargach. Co gorsza, zwycięzca nie musi gwarantować najwyższej jakości usług, bo liczy się tylko cena.
Niższe koszty ważniejsze od bezpieczeństwa
Dbałość zamawiających o budżet i oszczędne gospodarowanie środkami bywają ważniejsze niż braki w zabezpieczeniach. Niestety chodzi o rozwiązania zasługujące na szczególną uwagę, gdzie szpiegostwo, awarie czy ataki terrorystyczne mogłyby doprowadzić do skutków trudnych do naprawienia.
Podobnie jest w przypadku kluczowych systemów działających w ministerstwach, które realizują zadania ważne dla gospodarki, dyplomacji czy sprawiedliwości. Gdyby Ministerstwo Spraw Zagranicznych padło ofiarą szpiegostwa, kradzieży danych czy cyberataku terrorystycznego, szkody dyplomatyczne i wizerunkowe również byłyby ciężkie do naprawienia. Nie mniej istotne jest bezpieczeństwo systemów i infrastruktury użytkowanych przez organy resortu sprawiedliwości: samego ministerstwa, struktur więziennictwa, prokuratur, sądów, instytucji nadzorujących poszczególne gałęzie gospodarki oraz kontrolujące zagrożenia naturalne (np. IMiGW).
We wszystkich tych miejscach zwiększenie nadzoru nad projektami i zapewnienie ich realizacji przez wiarygodnych partnerów podlegających w pełni polskiemu nadzorowi mają niezwykle istotne znaczenie dla ich bezpieczeństwa oraz dla bezpieczeństwa polskiego państwa.