Nowe uprawnienie dla Agencji Bezpieczeństwa Wewnętrznego: za pomocą „testów bezpieczeństwa” będzie mogła próbować włamać się i sprawdzić zabezpieczenia. Nie tylko instytucji państwowych, ale też prywatnych firm.
Organy administracji publicznej, sieci teleinformatyczne oraz wszelkie właściwie obiekty wchodzące w skład tzw. infrastruktury krytycznej, czyli firmy energetyczne, transportowe, telekomunikacyjne czy zdrowotne – wszystkie one mają być poddane specjalnym testom, które przeprowadzi ABW.
Procedowana właśnie ustawa antyterrorystyczna, a konkretnie jej część zmieniająca zapisy dotyczące ABW, opisuje testy tak: „będzie możliwe uzyskiwanie dostępu do informacji poprzez przełamywanie lub omijanie elektronicznych, magnetycznych, informatycznych lub innych zabezpieczen´ lub uzyskiwanie dostępu do całos´ci lub częs´ci systemu teleinformatycznego”. Co więcej, agencja ma mieć w tym celu prawo „wytwarzac´ lub pozyskiwac´ urządzenia lub programy komputerowe”, które normalnie są nielegalne, a korzystanie z nich jest zakazane kodeksem karnym. Czyli de facto służby mają zdobyć uprawnienia do hakowania, czyli włamywania się do sieci, i to nie tylko instytucji państwowych, ale także prywatnych.
– Na pierwszy rzut oka jest to narzędzie, które wydaje się nie być niczym nowym i agencja zajmująca się bezpieczeństwem państwa powinna je posiadać. Ale wystarczy wczytać się dogłębniej w ustawę i okazuje się, że uprawnienia ABW w tym zakresie są bardzo szerokie. To praktycznie danie prawa do hakowania, i to zgodnego z literą prawa – ostrzega Igor Ostrowski, partner w kancelarii Dentons, były wiceminister administracji i cyfryzacji oraz przewodniczący Komisji ds. Cyfryzacji, organu doradczego polskiego rządu. – ABW ma mieć prawo takim badaniom poddać nie tylko instytucje państwowe, ale właściwie każdą prywatną firmę. I to próbując złamać ich zabezpieczenia, czyli tak, jak to robią cyberprzestępcy – tłumaczy Ostrowski. Jego zdaniem te, jak to nazywają eksperci, „testy prewencyjne” niosą ze sobą spore zagrożenia.
– Przecież każda ingerencja służb w system teleinformatyczny może prowadzić do wejścia w posiadanie czy nawet do zniszczenia prywatnych danych klientów danej firmy. Co więcej, może też najzwyczajniej w świecie prowadzić do tego, że tak zhakowane przedsiębiorstwo na jakiś czas po prostu przestanie działać. Owszem, testy mają pomagać w skontrolowaniu poziomu cyberbezpieczeństwa przedsiębiorców, ale równolegle mogą też narażać ich na spore koszty – dodaje prawnik.
Ale, jak ostrzega, największym problemem jest to, że ustawa nie przewidziała żadnej procedury kontrolnej nad tym, co dzieje się z danymi, do których służby mają dostęp. Rzeczywiście, jest tylko jedno zdanie, i to w uzasadnieniu ustawy, które nie ma mocy prawnej. Mówi, że dane będą stanowiły „tajemnicę prawnie chronioną, nie będą mogły byc´ wykorzystywane do realizacji zadan´ ustawowych ABW i będą podlegały niezwłocznemu komisyjnemu i protokolarnemu zniszczeniu”.
Nowe uprawnienie dla ABW budzi kontrowersje także w samej agencji. Jeden z wojskowych związanych z obroną cyberprzestrzeni krytykuje ten zapis jeszcze z innego powodu. – ABW powinna mieć uprawnienie do prowadzenia kontroli bezpieczeństwa szczególnie instytucji operujących w infrastrukturze krytycznej. Co więcej, takie testy naprawdę mogą być dla tych instytucji przydatne, w końcu mogą wykazać ewentualne luki w zabezpieczeniu. Ale nie ma możliwości, by agencja wszystkie testy przeprowadzała sama – mówi nam wojskowy.
– Po prostu eksperci ABW nie są w stanie fizycznie tego dokonać. Przeprowadzenie prewencyjnych testów zajęłoby wiele lat. Rozsądniejszym rozwiązaniem byłoby wybranie grupy prywatnych instytucji, firm, które mając certyfikaty ABW i pod jej nadzorem, w ramach ściśle określonych zasad, przeprowadzałyby takie testy – dodaje wojskowy.