Jesteśmy dalecy od szerzenia paniki i wprowadzania w społeczeństwie psychozy związanej z podsłuchami, hakerami, wyciekami informacji, ale uważamy, że lepiej mieć świadomość zagrożeń i im zapobiegać, niż dać się zaskoczyć, bo od postępu i coraz nowszych technologii nie uciekniemy – mówi płk rez. Tadeusz Koczkowski, prezes zarządu Krajowego Stowarzyszenia Ochrony Informacji Niejawnych
Jak z państwa perspektywy należy oceniać ochronę informacji w Polsce i jak misja stowarzyszenia wpisuje się w jej poprawę?
– Potrzeba istnienia naszego stowarzyszenia jest konsekwencją „Ustawy o ochronie informacji niejawnych”, uchwalonej 22 stycznia 1999 r. Upublicznienie tej tematyki zaprocentowało istotnym otwarciem na społeczeństwo. Wcześniej ochroną informacji niejawnych zajmowały się wyłącznie służby specjalne. Ustawa zapoczątkowała prawdziwą rewolucję na wzór rozwiązań stosowanych w NATO i UE. W jej następstwie w firmach i instytucjach powstały odrębne komórki organizacyjne – piony ochrony informacji niejawnych. Dostrzeżono potrzebę edukacji prezesów, dyrektorów, kierowników, dowódców oraz powołania pełnomocników ds. ochrony informacji niejawnych i szkolenia pracowników tej wąskiej tematyki. Obecnie przyjmuje się, że ochrona informacji niejawnych w Polsce jest na dobrym poziomie, czego nie można powiedzieć o innych tajemnicach prawnie chronionych.
O czym tak naprawdę mówimy, operując pojęciem „informacje niejawne”?
– Mówiąc najogólniej, informacje niejawne to te, które nie są powszechnie dostępne, zaś w rozumieniu „Ustawy o ochronie informacji niejawnych” są to informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej, dotyczą one najczęściej bezpieczeństwa i suwerenności państwa, obrony narodowej, polityki zagranicznej oraz jego interesów ekonomicznych.
Przeciętnemu obywatelowi informacje niejawne kojarzą się z wojskiem i służbami specjalnymi, ale coraz częściej tematem są zainteresowane samorządy i przedsiębiorstwa. W jakim wymiarze wiedza na temat ochrony informacji może im się przydać?
– Słusznie. Ochrona informacji niejawnych nie ogranicza się do sztabów i central ministerialnych. Część informacji niejawnych o różnych klauzulach tajności jest udostępniana instytucjom, urzędom administracji państwowej i samorządowej. Przedsiębiorcy, którzy chcą mieć dostęp do informacji niejawnych, muszą mieć świadectwo bezpieczeństwa przemysłowego.
Coraz więcej firm spełnia wymogi formalne, organizuje w swoich strukturach piony ochrony informacji niejawnych i z powodzeniem ubiega się o dostęp do informacji niejawnych. Przedsiębiorcy, którym zależy na zamówieniach związanych z obronnością państwa, muszą przestrzegać określonych przepisów. Jeśli natomiast zapytamy o to, jak w ogóle przedsiębiorcy chronią informacje, należy odpowiedzieć, że byle jak. Cała sfera związana z tajemnicami zawodowymi przedsiębiorstwa szwankuje.
System zarządzania informacją zgodnie z ISO 27001 nie działa jak należy. Dla przykładu można podać, że szacunkowo zaledwie ok. 10 proc. przedsiębiorstw stosuje się do wymogów ochrony danych osobowych, a przecież to obowiązek ustawowy. Dobry przykład dają najczęściej duże firmy z obcym kapitałem, które przywiązują należytą rangę i należyte znaczenie do przestrzegania standardów bezpieczeństwa. Należy ubolewać nad rzeczywistym stanem rzeczy, wynikającym z faktu, że przedsiębiorcy są bardzo odporni na wiedzę dotyczącą obszarów zagrożeń informacji i stosowania procedur bezpieczeństwa.
Na spotkaniach ludzi biznesu tematyka ochrony informacji jest najczęściej pomijana. Jedynym pozytywnym przykładem wymiany doświadczeń i dostępem do tematycznej wiedzy jest Europejski Kongres MŚP, organizowany corocznie jesienią przez Regionalną Izbę Gospodarczą w Katowicach przy wsparciu i udziale naszego stowarzyszenia, a i tak niewielu jest chętnych, by bezpłatnie skorzystać z fachowej wiedzy. Jako stowarzyszenie postulujemy, by firmy ubiegające się o publiczne pieniądze były zobowiązane do wdrożenia systemu ochrony informacji i danych osobowych, podobnie jak w przypadku ubiegania się o zawarcie umowy związanej z dostępem do informacji niejawnych.
Naszym zadaniem jest promocja i uświadamianie potrzeby ochrony informacji, czemu służą m.in. nowoczesne formy edukacji, jak np. studia podyplomowe, nasze publikacje książkowe i filmowe, nowo utworzone specjalistyczne Radio TOP SECRET, tematyczne strony internetowe: www.ksoin.pl, www.swbn.pl i www.radiotopsecret.pl. Negatywna ocena ochrony nie dotyczy jedynie informacji, lecz także bezpieczeństwa innowacji i wynalazków, czyli własności intelektualnej i przemysłowej, które są w Polsce słabo chronione.
Czy temat ochrony informacji nie powinien pojawiać się już na etapie edukacji, by uświadamiać studentom wagę tego aspektu w przyszłej działalności?
– Myślę, że warto wprowadzać tę tematykę jak najwcześniej, nie tyle na studiach, ile na wcześniejszych szczeblach edukacji – szkolnej, a nawet przedszkolnej. Potrzeba ochrony informacji powinna być niemalże wyssana z mlekiem matki. Wiele uczelni państwowych i prywatnych prowadzi takie kierunki, jak bezpieczeństwo wewnętrzne, a w ofercie studiów podyplomowych ma m.in. ochronę danych osobowych, ale wciąż jest to zbyt mało, by tematyka ta dotarła do świadomości przedsiębiorców i wpłynęła na stan ochrony informacji. Dlatego robimy, co możemy, np. na wszystkich targach, w których uczestniczymy, proponujemy doradztwo w kwestiach bezpieczeństwa informacji, co również ma służyć poprawie sytuacji i zachęcać przedsiębiorców do poszerzenia wiedzy na ten temat.
Zbliża się XII Kongres Ochrony Informacji Niejawnych, Biznesowych i Danych Osobowych. Jakie są oczekiwania względem najbliższego spotkania?
– Kongres odbywa się corocznie od 12 lat. Jest to najważniejsze i najbardziej prestiżowe edukacyjne przedsięwzięcie w Polsce, mające fundamentalne znaczenie i wpływ na stan bezpieczeństwa państwa, firm, instytucji i obywateli W tym roku jak zwykle będziemy mówili o ochronie informacji, w tym tajemnicy przedsiębiorstwa, handlowej i giełdowej, informacji niejawnych i danych osobowych, zwłaszcza że lada moment spodziewamy się publikacji rozporządzenia unijnego dotyczącego ochrony danych osobowych.
Omówimy rolę administratora danych osobowych w zderzeniu z przyszłą rolą inspektora danych osobowych. Poruszymy też sprawy bieżące związane z nowymi ustawami: inwigilacyjną oraz antyterrorystyczną. Co roku staramy się zapraszać interesujących gości. W najbliższej edycji w tej roli wystąpi ppłk Edward Kotowski, były oficer polskiego wywiadu w Watykanie, który w latach 70. i 80. działał na rzecz ustanowienia oficjalnych kontaktów międzypaństwowych i zawarcia porozumienia.
W wyniku dobrej woli obydwu stron w 1989 r. podpisany został konkordat. Podczas kongresu będą też spotkania z ekspertami, którzy znają tę tematykę lub na co dzień zajmują się ochroną informacji: byłymi ministrami i posłami, praktykami z firm, a także profesorami, którzy kształcą przyszłych fachowców w tej dziedzinie. W omawianej tematyce nie może zabraknąć zagadnień związanych z zagrożeniami terrorystycznymi w kontekście przygotowywanego szczytu NATO i Światowych Dni Młodzieży.
Tę tematykę warto poruszać jak najczęściej, bo skala zagrożeń rośnie dynamicznie. Dlatego trzeba ludzi uprzedzać i przygotowywać na każdą ewentualność, bo nawet najlepsza ochrona, która zawsze jest ogromnym przedsięwzięciem logistycznym, nie daje pewności 100 proc. bezpieczeństwa. Już teraz zapraszamy do udziału we wrześniowej Konferencji Bezpieczeństwa Narodowego w Zakopanem, poświęconej m.in. zarządzaniu kryzysowemu i ochronie infrastruktury krytycznej, a także zapewnieniu bezpieczeństwa ludności, uwzględniając jednocześnie nasz patriotyzm gospodarczy.
Na marzec przyszłego roku zaplanowaliśmy z kolei konferencję „Safety & Security”, której wiodącym tematem będą nowoczesne techniki i technologie oraz rozwiązania organizacyjne, służące ochronie informacji i przeciwdziałaniu jej zagrożeniom, czyli – najogólniej mówiąc – innowacyjność w bezpieczeństwie naszej gospodarki, firm i instytucji.
Jak nowe technologie wpływają na bezpieczeństwo informacji?
– Można w pewnym sensie powiedzieć, że z jednej strony, ułatwiają ochronę informacji, a z drugiej – jej szkodzą. Wszystko zależy od użytych narzędzi i ich zastosowania. Przedsiębiorca musi mieć świadomość, co służy jego bezpieczeństwu, a co stanowi zagrożenie dla ochrony informacji. Jesteśmy dalecy od szerzenia paniki i wprowadzania w społeczeństwie psychozy związanej z podsłuchami, hakerami, wyciekami informacji, ale uważamy, że lepiej znać zagrożenia i im zapobiegać, niż dać się zaskoczyć, bo od postępu i coraz nowszych technologii nie uciekniemy. Przeciwnie – jako społeczeństwo informacyjne, w którym rozwija się gospodarka oparta na wiedzy, gromadzimy wciąż więcej nowych rozwiązań i innowacyjnych narzędzi, które mogą nam pomóc lub zaszkodzić. Warto jednak pamiętać, że największą siłą jest wiedza ludzi.
Murami i drutami można ochronić obiekt, ale nie to, co jest w nim najważniejsze. Zbyt wiele uwagi poświęca się ochronie w wymiarze fizycznym, a zbyt mało – intelektualnym. Skuteczne bezpieczeństwo wymaga trzech elementów: człowieka, maszyny/urządzeń i procedur, z których najważniejszym ogniwem jest ten pierwszy, który ma władzę nad pozostałymi. Mówi się jednak czasami, że nie ma informacji nie do zdobycia – to tylko kwestia czasu i pieniędzy. Mówi się również też, że żadna ochrona nie gwarantuje 100-procentowego bezpieczeństwa. Dlatego ludzie, system i procedury wymagają ciągłej kontroli i doskonalenia. Poprzez utratę informacji gospodarki świata i firmy tracą na wartości miliardy dolarów, a wiele z nich nie przyznaje się w ogóle, że taka utrata miała miejsce. We współczesnym świecie na każdym kroku trzeba zachować szczególną ostrożność i korzystać z możliwości edukacji, by nie dać się oszukać i utrzymać właściwy poziom bezpieczeństwa informacji.
Czy samorządy, które przejmują coraz więcej zadań i odpowiedzialności za rozwój, są przygotowane, by chronić dane, którymi dysponują?
– W większości urzędów administracji samorządowej działają piony ochrony informacji niejawnych i te funkcjonują na ogół dobrze. W wielu urzędach nieźle działa też ochrona danych osobowych, ale sporo obszarów pozostawia wiele do życzenia. Nieliczne samorządy zainwestowały nawet spore pieniądze w systemy zarządzania bezpieczeństwem informacji, ale za małe nakłady przeznacza się na tematyczne szkolenie urzędników z ochrony informacji i danych osobowych. Urzędnicy nie wykazują chęci podnoszenia kwalifikacji i kompetencji w zakresie bezpieczeństwa informacji i nie mają poczucia odpowiedzialności, że muszą dbać o ochronę powierzanych im danych przez obywateli.
Trudno reagować na zagrożenia, gdy brakuje świadomości, że w ogóle jesteśmy na nie narażeni i co nam zagraża. Na zakończenie rozmowy życzyłbym sobie większego zaangażowania społeczeństwa, a zwłaszcza decydentów i kierowników jednostek organizacyjnych, na rzecz bezpieczeństwa i ochrony informacji. Zapraszam na organizowane przez nas przedsięwzięcia edukacyjne dotyczące ochrony informacji i danych osobowych oraz na najbliższy majowy kongres w Szklarskiej Porębie, o których piszemy na stronach internetowych www.ksoin.pl i www.radiotopsecret.pl.
Rozmawiał Mariusz Gryżewski
Dodaj komentarz