Przecieku w TK można było uniknąć

Upublicznienie projektu orzeczenia w sprawie grudniowej nowelizacji ustawy o Trybunale Konstytucyjnym skłania do pytań o skuteczność stosowanych procedur bezpieczeństwa. Na tym etapie wciąż nie wiadomo, czy wyciek był efektem ataku z zewnątrz, czy też został sprokurowany przez jednego z sędziów, asystentów bądź pracowników sądu konstytucyjnego. Odpowiedź na pytania mają przynieść postępowania wyjaśniające prowadzone wewnątrz trybunału oraz to wszczęte przez Prokuraturę Okręgową w Warszawie.

Samo istnienie projektu rozstrzygnięcia nie jest w praktyce trybunału niczym niezwykłym. Sędziowie przygotowując się do rozprawy odbywają posiedzenia, na których uciera się ich pogląd na sprawę oraz analizują stanowiska złożone przez uczestników postępowania. Co nie oznacza oczywiście, że rozprawa nie ma znaczenia, bo zdarza się, że pod jej wpływem sędziowie zmieniają swój pogląd. Zwłaszcza w sytuacjach, gdy sprawa nie jest jednoznaczna.

Procedury zostaną wzmocnione

– – mówi Wojciech Hermeliński, sędzia TK w stanie spoczynku, który do listopada ub. zasiadał w trybunale.

Projekt jest udostępniany pozostałym sędziom orzekającym w danej sprawie najczęściej za pomocą poczty elektronicznej. W przekazywaniu go od sędziego sprawozdawcy do składu technicznie pośredniczą wyznaczeni pracownicy sekretariatu TK. Co istotne, każdy sędzia dostaje ten sam projekt w tym samym czasie (jest to jeden e-mail z tym samym załącznikiem).

– – dodaje sędzia Hermeliński.

Sędziowie korzystają z poczty elektronicznej opartej na protokołach: SSL i TLS (standardy zapewniające poufność i integralność transmitowanych danych), a jak zapewnia biuro prasowe TK, w sądzie jest wdrożona polityka bezpieczeństwa informacji oraz procedury zarządzania systemem informatycznym. Jednak użytkownicy mający dostęp do określonego pliku mogą go zarówno kopiować, jak i drukować. Jak przyznaje Grażyna Leśniak z biura prasowego TK, ostatni przypadek prawdopodobnie wpłynie na zmianę postępowania z dokumentami.

Potrzebny jest system

– – mówi Tadeusz Kifner, niezależny konsultant w zakresie bezpieczeństwa informacji.

Na ten system składają się m.in. zabezpieczenia techniczne, takie jak np. szyfrowanie dysków w komputerach i na laptopach, szyfrowanie korespondencji mailowej w taki sposób, by nawet, gdy wiadomość trafi w niepowołane ręce, nie można było otworzyć załącznika. By uniemożliwić skopiowanie dokumentów, porty USB powinny być blokowane, nie powinno też być możliwości podłączania dysków zewnętrznych, pendrive’ów czy zgrania danych na płytę.

– – mówi ekspert, który dodaje, że oprócz odpowiedniego zabezpieczenia od strony architektury IT bardzo ważna jest świadomość pracowników na temat zagrożeń.

Chodzi m.in. o to, by pracownicy byli wyczuleni na potencjalne ataki socjotechniczne, by bezwiednie nie udostępnili np. loginów i haseł czy innych informacji mogących pomóc w uzyskaniu nieautoryzowanego dostępu, a także by stosowali odpowiednie standardy w pracy, jak np. niepozostawianie włączonego i niezablokowanego komputera, usuwanie i zamykanie na klucz po skończonej pracy dokumentów z biurka czy też unikanie łączenia się ze służbowej poczty zdalnie, za pomocą prywatnego, narażonego na ataki telefonu.

Coraz większy nacisk na zabezpieczenie poufności obiegu dokumentów kładą kancelarie prawne.

– – mówi adwokat Mariusz Mosiołek.

Wyciek świadczy o bylejakości

– – komentuje adwokat Zbigniew Krüger z poznańskiej kancelarii Krüger & Partnerzy. –– dodaje prawnik, który nie ma wątpliwości, że gdyby TK stosował odpowiednie środki bezpieczeństwa, to ryzyko wycieku byłoby zminimalizowane.

– – zaznacza.

W ocenie mec. Krüger można oczywiście rozważyć rezygnację z cyfrowej edycji dokumentów i powrót do pisania projektów za pomocą maszyny do pisania w sytuacjach, gdy względy bezpieczeństwa tego wymagają. Brzmi nieprawdopodobnie, ale maszyny do pisania wróciły do łask w niemieckiej administracji rządowej po ujawnieniu, że tamtejsze instytucje były inwigilowane przez amerykańską agencję bezpieczeństwa narodowego.