Debaty sejmoweIX Kadencja

Odpowiedź na interpelację w sprawie penetracji wywiadowczej obcych służb i wywiadów naszej gospodarki oraz życia politycznego

   Interpelacja pana posła z dnia 22 lipca 1998 r. dotyczy jednego z najważniejszych we współczesnym świecie obszarów bezpieczeństwa państwa, jakim jest bezpieczeństwo teleinformacyjne.    Zagadnienia należy rozważyć w dwóch aspektach:    - dostępności informacji, czyli zakresu i jakości usług oferowanych przez operatorów telekomunikacyjnych, oraz    - poufności przetwarzanych, przechowywanych i przekazywanych informacji, czyli możliwych do zastosowania środków i metod ochrony informacji.    Urząd Ochrony Państwa, wykonując zadania statutowe, prowadzi prace w zakresie bezpieczeństwa teleinformacyjnego organów władzy państwowej oraz instytucji administracji państwowej i ważnych instytucji gospodarczych i finansowych państwa w odniesieniu do informacji stanowiących tajemnicę państwową i służbową, a także informacji klasyfikowanych NATO ˝sfery cywilnej˝. Działania te obejmują wszystkie aspekty bezpieczeństwa informacji, tzn.:    - bezpieczeństwo transmisyjne,    - bezpieczeństwo fizyczne,    - bezpieczeństwo emisji elektromagnetycznej,    - bezpieczeństwo kryptograficzne.    Prace prowadzone są w różnym zakresie, począwszy od konsultowania lub opracowania polityki bezpieczeństwa instytucji i programu organizacyjno-użytkowego budowy podsystemu ochrony informacji poprzez dobór technicznych kryptograficznych środków ochrony informacji, szkolenia personelu technicznego i użytkowników, aż po wdrażanie systemu i stałą kontrolę funkcjonowania.    Należy podkreślić, że zarówno rozwiązania sprzętowe, jak i oprogramowanie central teleinformacyjnych nie stanowią tajemnicy państwowej lub służbowej. Opisy tych technologii są powszechnie publikowane - stanowią one wręcz element marketingu. Przypuszczać należy, że każdy producent (dostawca) pozostawia dla swojej wyłącznej wiedzy pewne fragmenty rozwiązań, dające mu różne możliwości - w tym i penetracyjne. Rutynowo też diagnostyka i serwisowanie publicznych central teleinformacyjnych odbywa się zdalnie.    Najbardziej wrażliwymi (z punktu widzenia bezpieczeństwa) elementami central teleinformacyjnych są ich systemy zarządzania (TMN - Telecommunications Management Networks) wraz z integralnymi systemami baz danych (MIB - Management Information Base). Z tego też powodu powinny być szczególnie chronione przez operatorów telekomunikacyjnych.    Podzielając zaniepokojenie pana posła, wyrażam przekonanie, że problem ten znajduje swoje uregulowanie w projektowanym aktualnie ˝prawie telekomunikacyjnym˝.    Odpowiadając na poszczególne pytania:    1. Ochroną kontrwywiadowczą objęte są przedsięwzięcia teleinformacyjne systemów, w których przechowywane, przetwarzane i przesyłane są informacje stanowiące tajemnicę państwową i służbową.    2. Urząd Ochrony Państwa dysponuje wiedzą na temat stosowanych rozwiązań sprzętowych i programowych w centralach telefonicznych. Jednakże nie ma niestandardowych funkcji do miniprocesorów sterowanych pracą central.    3. Standard cyfrowej telefonii komórkowej zawiera kryptograficzne algorytmy ochrony poufności danych identyfikacyjnych abonenta oraz poufności rozmów wyłącznie dla potrzeb komercyjnych (przeznaczony jest dla obsługi informacji jawnych - nie stanowiących tajemnicy państwowej lub służbowej). Znane są przypadki łamania ich zabezpieczeń. W Polsce nie wprowadzono jeszcze usługi ochrony poufności rozmów.    4. Aktualnie trwa proces legislacyjny budowy nowego ˝prawa telekomunikacyjnego˝ prowadzony przez resort łączności.    5. Skuteczna ochrona informacji przed penetracją obcych służb specjalnych może zostać osiągnięta jedynie poprzez kompleksowe działania obejmujące zarówno sferę organizacyjną, jak i techniczną. Sposoby ochrony informacji przygotowywane i wdrażane muszą być indywidualnie dla konkretnego systemu - nie ma tutaj ˝uniwersalnych recept˝. Wdrożenie bardzo kosztownych technik kryptograficznych oraz elektromagnetycznej ochrony informacji powinno być poprzedzone wykonaniem analizy zagrożeń oraz opracowaniem polityki bezpieczeństwa teleinformacyjnego dla danego systemu. Urząd Ochrony Państwa wykonuje takie działania w stosunku do podmiotów administracji państwowej, które przetwarzają, przechowują i przesyłają informacje stanowiące tajemnicę państwową i służbową.    6. Koszt budowy i utrzymania podsystemu ochrony informacji kilkakrotnie przewyższa koszt budowy samego nowoczesnego systemu teleinformacyjnego.    Minister    Janusz Pałubicki    Warszawa, dnia 13 sierpnia 1998 r.