text_structure.xml
81 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
<?xml version='1.0' encoding='utf-8'?>
<teiCorpus xmlns="http://www.tei-c.org/ns/1.0" xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include href="PPC_header.xml" />
<TEI>
<xi:include href="header.xml" />
<text>
<body>
<div xml:id="div-1">
<u xml:id="u-1.0" who="#MieczysławGolba">Rozpoczynamy posiedzenie Komisji Innowacyjności i Nowoczesnych Technologii. Bardzo serdecznie witam państwa posłów. Witam zaproszonych gości. Stwierdzam przyjęcie protokółu z piątego i szóstego posiedzenia Komisji Innowacyjności i Nowoczesnych Technologii wobec niewniesienia do nich zastrzeżeń. Stwierdzam kworum.</u>
<u xml:id="u-1.1" who="#MieczysławGolba">Od grupy posłów wpłynął wniosek, aby drugi punkt był pierwszym punktem, zaś pierwszy punkt był drugim punktem. Będziemy rozpatrywać punkt drugi, jako pierwszy i chyba, co do tego nie będzie uwag. Czy są uwagi do zamiany tych punktów porządku dziennego? Nie słyszę. Jeśli nie ma uwag, to w takim razie stwierdzam, że Komisja przyjęła ten wniosek.</u>
<u xml:id="u-1.2" who="#MieczysławGolba">Przystępujemy do rozpatrzenia punktu pierwszego - rozpatrzenie projektu dezyderatu w sprawie uwarunkowań i potencjalnych skutków przystąpienia Polski do jednolitego systemu ochrony patentowej. Wobec powyższego… proszę państwa, w szczególności mam apel do zaproszonych gości, ponieważ w dniu 29 lutego nasza Komisja mówiła na ten temat. Chodzi o jednolity system ochrony patentowej. W konkluzji posiedzenia Komisja – w szczególności prezydium Komisji – przygotowało projekt dezyderatu, który dzisiaj państwu posłom i zaproszonym gościom został dostarczony. Chciałbym zapytać, czy są jakieś uwagi do tego projektu? Czy ktoś chciałby jeszcze zabrać głos odnośnie tych zapisów, które się tutaj znajdują? Nie widzę.</u>
<u xml:id="u-1.3" who="#MieczysławGolba">W takim razie przejdziemy do głosowania. Proszę wszystkich posłów o głosowanie. Kto jest za przyjęciem tego dezyderatu w tej formie, jaki został przedstawiony? Dziękuję. Kto jest przeciw? Dziękuję. Kto się wstrzymał? Dziękuję bardzo. Stwierdzam, że dezyderat został przyjęty. Dziękuję bardzo.</u>
<u xml:id="u-1.4" who="#MieczysławGolba">Przechodzimy do kolejnego punktu - rozpatrzenie informacji przedstawionej przez przedstawiciela ABW na temat zagrożeń dla bezpieczeństwa teleinformatycznego infrastruktury kluczowej dla funkcjonowania państwa.</u>
<u xml:id="u-1.5" who="#MieczysławGolba">Szanowni państwo, jeśli chcecie opuścić posiedzenie Komisji – pani minister Henclewska wraz ze współpracownikami – to bardzo proszę. Można to zrobić w tej chwili tak, aby można było rozpocząć rozpatrywanie kolejnego punktu.</u>
<u xml:id="u-1.6" who="#komentarz">(Po przerwie)</u>
<u xml:id="u-1.7" who="#MieczysławGolba">Przechodzimy do rozpatrzenia punktu drugiego. Proszę o zabranie głosu dyrektora Biura Prawnego Agencji Bezpieczeństwa Wewnętrznego pana Kazimierza Mordaszewskiego. Bardzo proszę, panie dyrektorze, o zabranie głosu. Proszę też o zamknięcie drzwi, bo będziemy rozpoczynać dyskusję. Bardzo proszę, panie dyrektorze.</u>
</div>
<div xml:id="div-2">
<u xml:id="u-2.0" who="#KazimierzMordaszewski">Panie przewodniczący, szanowne panie, szanowni panowie. Tematem posiedzenia Komisji jest informacja na temat zagrożeń bezpieczeństwa teleinformatycznego infrastruktury kluczowej dla funkcjonowania państwa. Za punkt wyjściowy dla syntetycznego przedstawienia zagrożeń bezpieczeństwa teleinformatycznego infrastruktury kluczowej dla funkcjonowania państwa należy przyjąć zidentyfikowanie samego obszaru tej infrastruktury. Identyfikacja ta pozwoli na określenie właściwej skali dla zagadnienia bezpieczeństwa, a także przeprowadzenie kompleksowej oceny zagrożeń.</u>
<u xml:id="u-2.1" who="#KazimierzMordaszewski">Jeżeli chodzi o infrastrukturę krytyczną, to została ona zdefiniowana w ustawie z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym i rozumie się przez nią infrastrukturę krytyczną oraz wchodzące w jej skład, powiązane funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa oraz jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców.</u>
<u xml:id="u-2.2" who="#KazimierzMordaszewski">Rozumiem, że w zaproszeniu tak ujęta infrastruktura kluczowa obejmuje zarówno zdefiniowaną formalnoprawnie infrastrukturę krytyczną, jak też pewne elementy, które nie znalazły się w tej kategorii. Nie tylko systemy zaliczane do zasobu infrastruktury krytycznej, wykorzystywane zarówno przez państwo, jak i podmioty prywatne, do świadczenia istotnych usług na rzecz obywateli.</u>
<u xml:id="u-2.3" who="#KazimierzMordaszewski">Można tu wymienić inne usługi, takie jak: dokonywanie operacji finansowych, kontakt obywateli z dynamicznie rozwijającą się sferą e-administracji, a także świadczenia medyczne lub chociażby elektroniczne wersje aktów prawnych. Zaburzenia funkcjonowania tak zdefiniowanych usług mogą wpłynąć nie tylko na obniżenie bezpieczeństwa wewnętrznego państwa, ale także na osłabienie jego pozycji na arenie międzynarodowej oraz spadek zaufania obywateli do administracji państwowej.</u>
<u xml:id="u-2.4" who="#KazimierzMordaszewski">Należy też wspomnieć o intensywnie rozwijającym się obszarze działalności podmiotów prywatnych, jak chociażby łączność w telefonii komórkowej, która niewątpliwie stanowi element infrastruktury kluczowej. Należy powiedzieć, że zagrożenia wzrastają ustawicznie i to proporcjonalnie do rosnącej dostępności usług świadczonych drogą elektroniczną. Chodzi tu chociażby o gwałtowny rozwój telefonii komórkowej. Te zagrożenia nie występowały kilkanaście lat temu, bo były to dopiero początki. Otóż postępująca informatyzacja z każdym dniem powiększa obszar cyberprzestrzeni. Z jednej strony stanowi to niewątpliwie duże osiągnięcie technologiczne, z drugiej zaś strony mamy tutaj – tak jak to jest w realnym świecie – obszar działania przestępców (cyberprzestępców).</u>
<u xml:id="u-2.5" who="#KazimierzMordaszewski">Zagrożenia dla bezpieczeństwa teleinformatycznego można podzielić generalnie na trzy główne obszary: zagrożenia zewnętrzne – związane z bezprawnym działaniem osób, którego źródło zlokalizowane jest poza atakowanym systemem; zagrożenia wewnętrzne - wynikające tak z organizacji oraz budowy systemu, jak i odpowiedniego przygotowania jego użytkowników, ale także personelu zarządzającego bezpieczeństwem; zagrożenia wynikające z niedostatków, czy też braku pewnych rozwiązań organizacyjnych, regulacji prawnych, czy też tworzenia szczegółowych wymagań teleinformatycznych.</u>
<u xml:id="u-2.6" who="#KazimierzMordaszewski">Jako podstawowe zagrożenia zewnętrzne należy wskazać, między innymi, ataki hakerskie skierowane przeciwko dostępności, integralności oraz ewentualnie poufności przetwarzanych w postaci elektronicznej informacji, polegających na przykład na wprowadzaniu nieuprawnionych zmian w przetwarzaniu danych. Mamy tu chociażby do czynienia z istotnymi dla funkcjonowania gospodarki usługami finansowymi (bankowość elektroniczna). Polega to też na usuwaniu zasobów, powodujących utratę istotnych informacji oraz odmowę dostępu do świadczonych usług (witryny rządowe, tzw. Dos), wprowadzaniu do zaatakowanych komputerów oprogramowania przejmującego częściową kontrolę lub szpiegującego działania użytkownika, wyszukiwaniu luk w zabezpieczeniach. Mogą to być różne cele, łącznie z szantażowaniem podmiotów świadczących usługi elektroniczne. Te rodzaje ataków stanowią coraz większe zagrożenie, nie tylko dla podmiotów prywatnych, które mogą ponieść wymierne straty finansowe w przypadki ich wystąpienia, ale także te zagrożenia mogą dotyczyć podmiotów państwowych.</u>
<u xml:id="u-2.7" who="#KazimierzMordaszewski">Tutaj za szczególnie niebezpieczne z punktu widzenia bezpieczeństwa teleinformatycznego infrastruktury kluczowej państwa, należy uznać te ataki, które skierowane są przeciwko danym, przetwarzanym w systemach teleinformatycznych realizujących zadania na rzecz obywateli oraz polegające na bezprawnym pozyskiwaniu informacji. Jest to istotne w sytuacji rozwoju usług, które się rozwijają (system informacji medycznych, system informacji oświatowej etc.). Szczególnym rodzajem niebezpiecznych ataków jest tzw. phising, czyli wyłudzanie danych polegające na bezprawnym podszywaniu się przez przestępców pod podmiot uprawniony do pozyskiwania pewnej kategorii danych celem wykorzystywania ich do uprawnienia dalszych swoich działań – logowania się na stronę banku, czy też portalu oferującego zaawansowane usługi.</u>
<u xml:id="u-2.8" who="#KazimierzMordaszewski">Z kolei, jeśli chodzi o zagrożenia wewnętrzne, to tutaj możemy powiedzieć o pewnym nieprzygotowaniu użytkowników systemów teleinformatycznych, którzy albo nie doceniają, albo nie znają potencjalnych zagrożeń, albo nie stosują niezbędnych środków bezpieczeństwa.</u>
<u xml:id="u-2.9" who="#KazimierzMordaszewski">Należałoby wymienić kwestię nieprzygotowania personelu technicznego zarządzającego zasadami bezpieczeństwa systemów. To nie tylko kwestia przygotowania, ale również kwestia wykonywania tychże obowiązków - nie zawsze pozostająca w stosunku do adekwatnego poziomu zagrożeń.</u>
<u xml:id="u-2.10" who="#KazimierzMordaszewski">Jeśli chodzi o kwestię kadr w administracji, to niewątpliwie jednym z czynników może być kwestia nieatrakcyjności wynagrodzeń z uwagi na dużą konkurencyjność na rynku podmiotów prywatnych dla kadr profesjonalnych informatyków.</u>
<u xml:id="u-2.11" who="#KazimierzMordaszewski">Rozwijająca się powoli kwestia bezpieczeństwa i stosowanie wymagań, opisywanie zabezpieczeń oraz rozwiązań organizacyjnych. Możemy to uznać za taką pewną lukę w odniesieniu do systemów administracji publicznej będących w domenie gov.pl.</u>
<u xml:id="u-2.12" who="#KazimierzMordaszewski">Trzecia sfera zagrożeń to kwestia zagrożeń organizacyjnych, jak też kwestia regulacji prawnych. Tutaj niewątpliwie rozwój usług świadczonych metodami elektronicznymi, rozwój Internetu, który gwałtowanie następuje, powoduje to, że następuje konieczność aktualizacji przepisów i znalezienia odpowiednich narzędzi ochrony obywateli oraz kwestii dopuszczalnych działań.</u>
<u xml:id="u-2.13" who="#KazimierzMordaszewski">Jeśli chodzi o działy, to możemy mówić o kwestii sfery cywilnej, jak i administracyjnej, ale również o sferze prawa karnego, gdzie następowały w ostatnich kilku latach zmiany w tym zakresie, dostosowanie do międzynarodowych wymagań, jednakże przestępstwa z tej sfery są zwykle ścigane na wniosek. Dlatego też, jeśli nie ma wniosku, to organy ścigania nie mogą prowadzić działań.</u>
<u xml:id="u-2.14" who="#KazimierzMordaszewski">Ta krótka prezentacja tematu będącego przedmiotem zainteresowania Komisji pokazuje i przybliża pewne zagrożenia dla bezpieczeństwa teleinformatycznego, które pojawiają się na całym świecie wraz z rozwojem nowoczesnej infrastruktury. Przeciwdziałanie im powinno być aktualne jako jedno z podstawowych działań nowoczesnego państwa pragnącego zapewnić swoim obywatelom odpowiedni udział w społeczeństwie cyfrowym.</u>
<u xml:id="u-2.15" who="#KazimierzMordaszewski">Jeszcze kilka zdań… z uwagi na to, że jest to Komisja Innowacyjności i Nowoczesnych Technologii, to chciałem powiedzieć kilka zdań o projektach innowacyjnych i naukowych, które są realizowane przez ABW jako jeden z użytkowników końcowych we współpracy Narodowym Centrum Badań i Rozwoju. Są to projekty naukowe z zakresu zaawansowanych technologii informatycznych wspierających procesy przetwarzania danych w obszarze analizy kryminalnej, zintegrowany system informacyjny wspomagający działanie centrum antyterrorystycznego, projekt dotyczący ochrony informacji istotnych dla bezpieczeństwa i funkcjonowania państwa, w tym o klauzuli „ściśle tajne”(jest to projekt budowy narodowego centrum kryptografii i dekryptażu), projekt dotyczący technik biometrycznych, nowoczesnych dokumentach tożsamości w ochronie systemów informacyjnych oraz dotyczący systemu zarządzania bezpieczeństwem teleinformatycznym w organach administracji publicznej oraz resortu obrony narodowej wraz z narzędziami wspomagającymi zwalczanie cyberterroryzmu oraz ochronę teleinformatycznej infrastruktury krytycznej.</u>
<u xml:id="u-2.16" who="#KazimierzMordaszewski">Jeśli te projekty zostaną dobrze przeprowadzone i dobrze wdrożone, to niewątpliwie zwiększą stan ochrony infrastruktury.</u>
</div>
<div xml:id="div-3">
<u xml:id="u-3.0" who="#MieczysławGolba">Dziękuję bardzo, panie dyrektorze. Otwieram dyskusję. Zapraszam panów posłów do zabierania głosu. Jako pierwszy zabierze głos pan poseł Janusz Piechociński. Bardzo proszę, panie pośle.</u>
</div>
<div xml:id="div-4">
<u xml:id="u-4.0" who="#JanuszPiechociński">Bardzo dziękuję za tę informację. Mam takie pytanie… rozumiem, że jest to na pewnym zagregowanym poziomie ogólności. Mamy otwarte transmitowane posiedzenie. Rozumiem, że część z tych zagadnień dotyczy tajemnicy państwowej na wysokim zastrzeżonym poziomie, przecież nie tylko do wiadomości poselskiej.</u>
<u xml:id="u-4.1" who="#JanuszPiechociński">Mam takie pytanie z rodzaju pytań instytucjonalnych. Jakie instytucje, obok ABW, koordynują, działają w tym obszarze albo weryfikują stany gotowości nałożone choćby ustawami poszczególnym instytucjom i organizacjom. Jak jest z realizacją zaleceń? Kto wydaje takie zalecenia w tym obszarze i kto kontroluje wykonanie tych zaleceń? Najbardziej mnie to interesuje, ponieważ ten świat coraz bardziej się komplikuje – wymiar współpracy międzynarodowej, koordynacja działań w tym zakresie.</u>
<u xml:id="u-4.2" who="#JanuszPiechociński">Mieliśmy nie tylko te proste ataki, ale tutaj chodzi o pytanie o odporność naszego systemu sterowania transportem, sterowania energetyką, wojny elektroniczne nie tylko w wymiarze skoku na bankowość. Chodzi tu nie tylko o system informacji publicznej, ale po prostu szerzej.</u>
<u xml:id="u-4.3" who="#JanuszPiechociński">W związku z tym bardzo mnie interesuje to, czy w prawie polskim jest odpowiedzialność (współodpowiedzialność) instytucjonalna? Kto uruchamia procesy nadzoru i weryfikacji? Kto stosuje zasadę uprzedzania, a jednocześnie weryfikuje poszczególne obszary gospodarki narodowej w zakresie wykonania zadań nałożonych obowiązkiem bezpieczeństwa publicznego, czy też obowiązkiem ustawowym dla poszczególnych sektorów?</u>
</div>
<div xml:id="div-5">
<u xml:id="u-5.0" who="#MieczysławGolba">Dziękuję bardzo. Bardzo proszę, pan profesor Jan Kaźmierczak. Bardzo proszę, panie przewodniczący.</u>
</div>
<div xml:id="div-6">
<u xml:id="u-6.0" who="#JanKaźmierczak">Dziękuję bardzo, panie przewodniczący. Szanowni państwo, chciałbym w pewnym sensie kontynuować pytanie pana posła Piechocińskiego. Również chodzi mi o pewne ramy prawno-instytucjonalne. Otóż kwestia zabezpieczenia tych obszarów, o których mówił pan dyrektor, to jest w pewnym sensie kwestia narzędziowa, przy czym pytanie brzmi, czy… Może inaczej: były kiedyś takie rozwiązania – nie wiem, czy one w dalszym ciągu funkcjonują, że do zabezpieczenia pewnych istotnych zadań państwa były zobligowane instytuty zewnętrzne w stosunku do administracji.</u>
<u xml:id="u-6.1" who="#JanKaźmierczak">Pan dyrektor wspomniał tutaj także o problemach, które dotyczą choćby operatorów komórkowych. Kiedyś Telekomunikacja Polska była takim narzędziowym zapleczem w sprawach, o których tutaj jest mowa. Czy to jest objęte klauzulą tajemnicy państwowej i czy pan dyrektor jest w stanie odpowiedzieć na takie pytanie?</u>
<u xml:id="u-6.2" who="#JanKaźmierczak">Druga kwestia – ponieważ jestem posłem z Gliwic, a więc z miasta, w którym mieści się siedziba firmy VASCO, to miałem okazję kilka razy odwiedzać tę firmę. Jako osiągnięcie pokazywano nam tam szyfrator narodowy czyli urządzenie, które o ile się nie mylę, powstało w kooperacji z Wojskową Akademią Techniczną. VASCO była wykonawcą. To jest pytanie dotyczące ostatniej kwestii, jaką podnosił pan dyrektor. Czy wykorzystanie tego dość unikalnego według mojej wiedzy urządzenia (w czasie prezentacji mówiono nam, że złamanie kodów, które są tam wykorzystywane, to są jakieś wręcz astronomiczne jednostki czasu)… a więc pewnie jeżeli chodzi o techniczną wartość tego urządzenia, to jest ono przydatne w celach, o których była mowa.</u>
<u xml:id="u-6.3" who="#JanKaźmierczak">Doświadczenie mówi jednak, że nie zawsze nasz dorobek myśli naukowo-technicznej jest wykorzystywany w przedsięwzięciach, które się w Polsce dzieją. W związku z tym czy więc ten szyfrator narodowy ma jakieś miejsce w państwa planach? Dziękuję.</u>
</div>
<div xml:id="div-7">
<u xml:id="u-7.0" who="#MieczysławGolba">Dziękuję bardzo. Bardzo proszę, pan przewodniczący Elsner.</u>
</div>
<div xml:id="div-8">
<u xml:id="u-8.0" who="#WincentyElsner">Nawiązując do przedmówców, zdaję sobie sprawę z otwartego posiedzenia transmitowanego itd. Dostaliśmy bardzo syntetyczną informację o możliwych zagrożeniach. Pytanie w związku z tym jest takie – czy na tym stopniu ogólności jest pan nam w stanie powiedzieć, czy ABW ocenia bezpieczeństwo teleinformatyczne infrastruktury kluczowej dla funkcjonowania państwa dobrze, czy też źle. Zwłaszcza w kontekście tego wszystkiego, co przywołaliśmy i co się zdarzyło w okresie związanym z konsultacjami w sprawie ACTA.</u>
</div>
<div xml:id="div-9">
<u xml:id="u-9.0" who="#MieczysławGolba">Dziękuję bardzo. Czy są jeszcze jakieś zgłoszenia? Bardzo proszę, pan Radosław Nielek.</u>
</div>
<div xml:id="div-10">
<u xml:id="u-10.0" who="#RadosławNielek">Dziękuję, panie przewodniczący. Panie dyrektorze, problem z dyskusją na temat bezpieczeństwa teleinformatycznego infrastruktury kluczowej (krytycznej) jest zawsze trudny, bo po pierwsze wymaga dość specjalistycznej wiedzy, a po drugie, jeśli przechodzimy do szczegółów, to pojawia się klauzula „tajemnica państwowa” i zapewnienie, że wszystko jest gotowe i wszystko właściwie działa oraz jest bezpieczne w odpowiedzi na ewentualny atak. Dlatego też takie przypadki, jak w przypadku tych konsultacji w sprawie ACTA oraz ataków, które nastąpiły, są istotne, bo ona pokazują, czy tak naprawdę jest, a więc czy to, co kryje się za etykietą „tajemnica państwowa” faktycznie coś zawiera, tzn. były jakieś projekty odpowiedzi na ACTA i potencjalny atak. Niestety ta sytuacja pokazuje, że za tym szyldem „tajemnicy państwowej” jest po prostu wielka pustka.</u>
<u xml:id="u-10.1" who="#RadosławNielek">Ten atak nie został odparty. Warto o tym pamiętać. On po prostu skończył się, bo atakującym się znudziło. Gdyby im się nie znudziło, to nie wiem, czy nie mielibyśmy do tej pory problemów z wejściem na stronę Sejmu, Kancelarię Prezesa RM, czy też z kolejnych miejsc nie kradziono by danych. Trzeba sobie więc szczerze powiedzieć, że państwo nie odparło tego ataku. Do tego stopnia nie odparło tego ataku, że osoba, która włamała się do Kancelarii Prezesa RM… choć słowo „włamała” przy odgadnięciu hasła jest dużym nadużyciem… została zatrzymana dopiero po tym, jak konkurencyjna dla niej grupa hakerów ujawniła jej dane.</u>
<u xml:id="u-10.2" who="#RadosławNielek">To de facto nie państwo go zatrzymało, ale zatrzymali go jego koledzy, konkurenci lub osoby, którego go niespecjalnie lubiły w środowisku. To też pokazuje, że następni atakujący nie będą się bali państwa, ale będą się bali swoich kolegów, którzy mogą ich ewentualnie wydać.</u>
<u xml:id="u-10.3" who="#RadosławNielek">Szczerze mówiąc przeglądam tę notatkę i mógłbym użyć dobrego słowa, iż ona jest kompaktowa. Tam są dwie rzeczy, które mnie bardzo zaskakują. Pierwsza to ta, która mówi o tym, że brak jest spójnej polityki bezpieczeństwa dla serwisów w domenie gov. Pewnie wszyscy, którzy tutaj siedzimy, zgodzimy się z tym, tylko pytanie, czy ABW to jest odpowiedni organ, który powinien wskazywać na brak takiej polityki. Czy to nie jest organ, który powinien przygotować taką politykę, a ewentualnie organy kontrolne wobec ABW powinny pisać, że brakuje takiej polityki? Jeśli główną informacją jest to, że brakuje takiej polityki, to pojawia się pytanie, co robi odpowiedzialny za to departament ABW?</u>
<u xml:id="u-10.4" who="#RadosławNielek">Tak samo jest z drugim zastrzeżeniem mówiącym o tym, że są braki kadrowe wynikające z niskiej konkurencyjności stawek, jakie proponuje administracja państwowa. Oczekiwałbym raczej od ciał do tego powołanych, jak rozwiązać ten problem, a nie jak go identyfikować, zwłaszcza że nie są to problemy, które pojawiły się znikąd. One są znane co najmniej od 10 lat.</u>
<u xml:id="u-10.5" who="#RadosławNielek">Jeszcze tak zupełnie na marginesie – nie ma się co znęcać nad poszczególnymi elementami tego ataku, ale jeśli przyjrzymy się na przykład stronom CERT-u (jest to zespół powołany teoretycznie na takie incydenty), to strona CERT-u nie działała przez tydzień, zaś ci, którzy dostali się na tę stronę, mogli przeczytać, że zgłoszenie o incydentach należy wysyłać od 8:00 do 16:00.</u>
<u xml:id="u-10.6" who="#RadosławNielek">Szczerze mówiąc, wiem, że konkretne programy i strategie odpowiedzi na ataki w dalszym ciągu będą schowane za klauzulą „tajne”, ale mimo wszystko oczekiwałbym od administracji państwowej, w tym ABW, przedstawi dokumenty i pomysły o tym, jak odpowiedzieć na te zidentyfikowane zagrożenia. To, że systemy nie są bezpieczne, to mieliśmy okazję zobaczyć. Mogliśmy to zobaczyć w starciu ze – szczerze mówiąc – niespecjalnie profesjonalnymi dziećmi (to nie jest kwestia wieku), którzy się tym bawili.</u>
<u xml:id="u-10.7" who="#RadosławNielek">Co się stanie, jeśli po drugiej stronie będziemy mieli kogoś bardziej profesjonalnego, pozostaje tylko kwestią wyobraźni. Dziękuję bardzo.</u>
</div>
<div xml:id="div-11">
<u xml:id="u-11.0" who="#MieczysławGolba">Dziękuję bardzo. Bardzo proszę.</u>
</div>
<div xml:id="div-12">
<u xml:id="u-12.0" who="#WiesławPaluszyński">Wiesław Paluszyński - członek Rady Polskiej Izby Informatyki i Telekomunikacji. Jestem też jednym z autorów raportu dotyczącego bezpieczeństwa serwisów rządowych, który był publikowany w zeszłym tygodniu. Był on oparty na danych z autentycznych audytów systemów informatycznych administracji publicznej realizowanych w trakcie ostatnich 3 lat.</u>
<u xml:id="u-12.1" who="#WiesławPaluszyński">Myślę, że chyba ten problem jest dużo bardziej skomplikowany, dlatego że w tej dyskusji chyba za dużo oczekuje się od ABW w kontekście całego bezpieczeństwa systemów teleinformatycznych administracji rządowej. To są oczekiwania, które są chyba nieuprawnione. W dzisiejszych czasach bezpieczeństwo realizuje się tam, gdzie jest eksploatowany system teleinformatyczny. Każdy organ, który eksploatuje ten system, powinien odpowiadać za bezpieczeństwo tego systemu, co wynika z polskiego porządku prawnego.</u>
<u xml:id="u-12.2" who="#WiesławPaluszyński">W obecnej, znowelizowanej przez Wysoką Izbę, ustawie o informatyzacji podmiotów realizujących zadania publiczne jest delegacja dla Ministra Administracji i Cyfryzacji do wydania rozporządzenia wykonawczego, które między innymi, poza elementami interoperacyjności, ma zawierać podstawowy kanon zasad, których ma przestrzegać administracja przy eksploatacji i budowie, a także przy projektowaniu. Bezpieczeństwo tych systemów zaczyna się na poziomie projektowania a kończy na etapie eksploatowania. W dzisiejszej rzeczywistości nie ma takiej sytuacji, w której systemy teleinformatyczne nie będą narażone na ataki związane z eksploatacją. Na końcu trzeba projektować kolejne rozwiązania, które są z tym związane.</u>
<u xml:id="u-12.3" who="#WiesławPaluszyński">Mniej więcej cztery miesiące temu to rozporządzenie, o którym mówię, było publikowane. Ono miało się podobno lada chwila ukazać, bo ono było poddane notyfikacji UE, ponieważ jest to rozwiązanie techniczne. Z punktu widzenia ekspertów od kwestii bezpieczeństwa ono jest bardzo istotne i dlatego też należałoby się skupić na monitorowaniu jego wdrożenia. To rozporządzenie to jest to, o czym mówią polskie normy, bo obszar bezpieczeństwa systemów teleinformatycznych jest ujmowany w systemie zarządzania bezpieczeństwem informacji. Nie podchodzi do tego technologicznie, ale podchodzi do tego funkcjonalnie, od strony zabezpieczania informacji, które są w systemie, bo przecież celem jest zabezpieczanie informacji.</u>
<u xml:id="u-12.4" who="#WiesławPaluszyński">Zabezpieczanie systemu jest jednym z elementów zabezpieczenia informacji. Ono wprost odwołuje się do dobrych praktyk z tej normy, a przede wszystkim do analizy ryzyk, które są związane z eksploatacją systemu. Jeśli w administracji publicznej każdy system teleinformatyczny nie będzie przez jego właściciela miał zdefiniowanych ryzyk związanych z jego eksploatacją, nie da się wydać jednego ogólnego przepisu, który powie, że każdy system teleinformatyczny musi mieć spełnione warunki A, B i C, a wtedy będzie bezpieczny. Każdy system teleinformatyczny po uruchomieniu nowego oprogramowania czy też nowej funkcji powinien być przejrzany pod kątem jego bezpieczeństwa, bo ono zmienia potencjalne możliwości jego działania.</u>
<u xml:id="u-12.5" who="#WiesławPaluszyński">Gdzie jesteśmy dzisiaj, jeśli chodzi o eksploatowane systemy? Nie te, które mówią o informacji niejawnej i poufnej, bo to jest obszar ABW, a ja nie czuję się kompetentny, aby odnieść się do tego… 90% informacji przetwarzanych przez organy administracji publicznej, to informacje niesklasyfikowane, ale brak dostępu do nich, bądź ich podmiana, bądź też ich utrata, to jest wymierna strata dla administracji i dla ludzi, którzy z tego korzystają. Bardzo często patrząc na system informatyczny w urzędzie patrzymy tylko na urządzenia, z których jest on zbudowany, a bardzo mało szacuje się, ile jest warta informacja, która jest zgromadzona w tym systemie.</u>
<u xml:id="u-12.6" who="#WiesławPaluszyński">Gotów jestem – gdybyśmy zrobili to rozwiązanie – założyć się z każdym, że w systemach teleinformatycznych administracji publicznej w większości dużych systemów wartość informacji zgromadzona w tym systemie wielokrotnie przewyższa wartość tego sprzętu i oprogramowania, które zarządza tą informacją. Tam trzeba zastosować mocne mechanizmy, które wynikają z analizy ryzyk związanych z tym systemem.</u>
<u xml:id="u-12.7" who="#WiesławPaluszyński">Rozporządzenie ministra, które widzieliśmy (oby jak najszybciej się ukazało) wprowadza taki mechanizm. Ten mechanizm daje szansę, że nie będzie sytuacji, jaka jest dzisiaj. Jaka jest dzisiaj sytuacja? Powie krótko. Hasło „admin1 admin1” to nie jest przypadek. To jest standard w administracji rządowej. Czasami żartowaliśmy, jak ktoś zrobił hasło „admin1”? Czasami jest tylko „admin admin”. Nikt nie zadaje sobie trudu, aby to zmienić. Instaluje się standardowe domyślne ustawienia urządzeń sieciowych. Ba, na serwerach wewnątrz sieci rządowych publikuje się wprost projekty techniczne tej sieci, aby ten, kto wejdzie nie miał żadnego problemu, co ma dalej zrobić z tą siecią. Udostępnia się wyjścia na zewnątrz tak, aby można było przechowywać pliki muzyczne i filmy. Te filmy są ściągane z zewnętrznych sieci. To, o czym mówię, to są fakty. Nie będę mówił gdzie, bo nie jest istotne, w którym ministerstwie czy też urzędzie, to się dzieje. Istotne jest to, aby popatrzeć na to systemowo. Naprawdę, nie jeden organ w państwie jest w stanie wyeliminować takie rzeczy, ale to musi być systemowe podejście w każdym urzędzie, który eksploatuje tego typu system informatyczny.</u>
<u xml:id="u-12.8" who="#WiesławPaluszyński">Na koniec powiem jedną rzecz. Nie budzi niczyjej wątpliwości, że przychodząc do każdego ministerstwa, jak stoją bramki, to obok tych bramek stoi strażnik, który w budce obok ma swojego szefa pilnującego, aby to się sprawnie odbywało, mimo że te bramki są elektroniczne i można powiedzieć, że one będą się same broniły. Natomiast jak się odda system administracji publicznej do użytkowania, to ten strażnik nie jest już potrzebny. System ma się sam bronić. On nie może sam się bronić, bo to jest problem tego ataku, o którym pan mówił.</u>
<u xml:id="u-12.9" who="#WiesławPaluszyński">Po prostu atak na przepełnienie wymaga reakcji człowieka – operatora systemu, który dokona przewidzianych w danej sytuacji działań, bo to jest dość prosty atak. Jeśli tego człowieka nie ma, to w większości urzędów ktoś dzwoni po 4 godzinach do kogoś, kto utrzymuje ten system i mówi: „zróbcie coś; „(…) ale kiedy wy przeglądaliście urządzenia sieciowe?; dwa lata temu nam zainstalowano; jaki jest system zarządzania tymi usługami?; bardzo dobry, bo open source; a kiedy go aktualizowaliście?; no nie, przecież dostaliśmy go za darmo, zapłaciliśmy tylko za aplikację, która na nim siedzi”. Taka jest rzeczywistość w administracji publicznej. Nikt nie liczy – kiedy instaluje system; musi instalować „łaty” na tym systemie – że po 2 miesiącach od uruchomienia ten system wymaga już kolejnej aktualizacji.</u>
<u xml:id="u-12.10" who="#WiesławPaluszyński">My to wiemy, bo jeśli w domu mamy jakieś urządzenie, które jest podłączone do sieci, to ono „krzyczy” co jakiś czas, że przyszły nowe aktualizacje i trzeba to zrobić. Tego nie ma w administracji publicznej, bo nie ma tam gospodarza dla każdego z tych systemów. Taka jest rzeczywistość i wydaje się, że najprostszym elementem, który można byłoby zrobić… oczywiście w porozumieniu z firmami, które się tym zajmują… Jeśli chodzi o samą administrację, to faktycznie pan dyrektor Mordaszewski pokazał, iż płace w administracji są takie, że rzeczywiście nie da się zatrudnić na etacie w administracji publicznej ludzi z kwalifikacjami. Ci ludzie niekoniecznie muszą „siedzieć” w administracji publicznej. Można to w jakiś sposób skompensować. To są systemy informatyczne. Można nimi zdalnie zarządzać w pewnych sytuacjach, ale muszą one być połączone ze sobą.</u>
<u xml:id="u-12.11" who="#WiesławPaluszyński">Musi być jakieś systemowe porozumienie, aby to mogło działać. Ponieważ tego nie ma, no to sytuacja jest, jaka jest. Nikt temu nie przeciwdziała. Żadnym przepisem prawnym tego się nie zmieni. Trzeba tym administrować. Bezpieczeństwem trzeba zarządzać. Bezpieczeństwo nie jest podane na talerzu. Nikt nie powie, że ono będzie funkcjonowało raz na zawsze.</u>
<u xml:id="u-12.12" who="#WiesławPaluszyński">Najlepszy system teleinformatyczny sam się nie obroni. Musi być człowiek, który monitoruje wskazania urządzeń. Pan dyrektor nie pochwalił się systemem Arrakis, który został stworzony wspólnie z ABW dla administracji publicznej. Widzieliśmy efekty funkcjonowania tego systemu w tych urzędach, które są do niego podłączone, tylko co z tego, skoro on przekazuje informację, ale nie ma administratora, który mógłby natychmiast użyć tej informacji – co się działo z administracją, gdzie były sądy. Jeśli nie ma jednak tej osoby, która patrzy na terminal i przyjmuje komunikaty od systemu, nie podejmuje działań z tym związanych, to bezpieczeństwo jest wtedy takie iluzoryczne. Jest tylko wiedza, ale nie ma działania. Dziękuję bardzo.</u>
</div>
<div xml:id="div-13">
<u xml:id="u-13.0" who="#MieczysławGolba">Dziękuję bardzo. Czy ktoś chciałby jeszcze zabrać głos? Bardzo proszę.</u>
</div>
<div xml:id="div-14">
<u xml:id="u-14.0" who="#AndrzejJanicki">Profesor Andrzej Janicki, reprezentuję Komisję Nauki i Postępu Technicznego Polskiego Lobby Przemysłowego. Nasza działalność jako klubu ludzi dobrej woli jest znana od lat bardzo wielu osobom, nawet siedzących tutaj. Bardzo dziękuję za zaproszenie.</u>
<u xml:id="u-14.1" who="#AndrzejJanicki">Jestem nadal czynnym profesorem, pomimo zaangażowanego wieku. Byłem u początków informatyki… i to światowej. Przed laty budowaliśmy do dziś istniejący Instytut Maszyn Matematycznych na bazie Instytutu Matematycznego PAN, wtedy kiedy na świecie wszystko się rodziło, a w przestrzeni środowiska programistycznego technologicznie byliśmy oczywiście zdławieni kokonem i niskim poziomem elektroniki radzieckiej, ale udawało nam się budować w świecie właśnie tym najważniejszym, bo w środowisku programistycznym, rzeczy na miarę światową. Miało to wówczas pełne uznanie. Na podstawie tego mamy pełną legitymację w kraju po stronie nauki. Gdzieniegdzie są jeszcze kontynuacje tego powiedzenia… mianowicie takiego, że jeszcze w kraju mamy kompetencje na najwyższym poziomie, aczkolwiek kompletnie rozproszone i zdezorganizowane.</u>
<u xml:id="u-14.2" who="#AndrzejJanicki">Chciałem podziękować nie tylko za osobiste zaproszenie, ale również za fakt, że Komisja zajęła się tym niesłychanie ważnym zagadnieniem. Ze względu na to, że jestem także profesorem akademickim (nie tylko w sferze badawczej), mam do czynienia z młodzieżą, którą uczę, a zarazem uczę się od niej zdolności i poziomu zaawansowania w tej dziedzinie.</u>
<u xml:id="u-14.3" who="#AndrzejJanicki">Tutaj chciałem powiedzieć, że raport o zagrożeniach, który został przedstawiony – znakomicie i lapidarnie – nie pokazał głębi zagrożeń, które są już faktem, bowiem takie zagadnienia, jak atakowanie stron, to jest zadanie dla studenta, jak to się mawia w naszym świecie. Takich, którzy potrafią to robić, są już krocie.</u>
<u xml:id="u-14.4" who="#AndrzejJanicki">Częściowo ich talent udaje się wykorzystać w ten sposób, że pomysłowość pozwala nam naukowo badać poziom odporności pewnych rozwiązań, które nawet w świecie nauki są podawane dopiero jako rzeczy gotowe do zaoferowania przez naukę. Mówię tutaj już nie tylko o algorytmach opartych na teorii liczb. Już na sieciach neuronowych i genetycznych są robione pewne rzeczy, które są znane i dające znacznie większą odporność… ale i to daje się testować w kontekście tego, jaki jest poziom odporności tych zagadnień. To się dzieje na poziomie, powiedziałbym akademickim, w tych miejscach, w których profesorowie wiedzą, o czym mówią a nie tylko przekazują wiedzę i próbują rozwijać odpowiednie kierunki nauki.</u>
<u xml:id="u-14.5" who="#AndrzejJanicki">Otóż, do czego zmierzam? Zmierzam do tego, aby stwierdzić – zaraz dam dwa przykłady, które uzasadniają tę tezę – że stan rzeczy jest już taki, iż nie da się żadnym organem, działającym nawet wspólnie z innymi organami działającymi w państwie… ze spójnością działań to jest tak, że wiedzą to państwo lepiej ode mnie, ale ja widzę to z praktyki… Wobec tego nie da się organami państwowymi, samymi jako takimi, opanować sytuacji, do jakiej doszliśmy. Szereg rzeczy było już przedstawianych od strony użytkowej. Taką tezę tutaj stawiam.</u>
<u xml:id="u-14.6" who="#AndrzejJanicki">Jakie jest rozwiązanie? Pełne współdziałanie służb ze społeczeństwem. Problem polega już na tym, że musimy się bronić sami, oczywiście w sposób zorganizowany, wiodący, wspierany działalnością służb, taką jaka może być wykonana. Co się stało? Stały się mianowicie takie rzeczy, że z chęci zysku krok po kroku na rynek wprowadzone zostały różnego rodzaju usługi. Czy ktoś zastanawiał się nad tym, jakie ryzyka wnosi wprowadzenie takiej usługi? Jakie bramy otwiera dla tej działalności, która tutaj jest podstawiana? Nikt. Po kolei wprowadzano usługę. Co więcej, maksymalnie zachęcano do korzystania z danej usługi. Jedna usługa, pół biedy, ale przecież wprowadzono multum tych usług. Znowu jest to zadanie może nie dla studenta, ale także nie dla doktoranta.</u>
<u xml:id="u-14.7" who="#AndrzejJanicki">Powiedzmy, że dla magistranta, a więc tego, kto broni pracy magisterskiej na koniec studiów. Jest to zadanie polegające na wydobywaniu i kompletowaniu zbioru, który daje pełną charakterystykę, osobnika, firmy, czy też innych podmiotów… jest to wyciąganie z różnych źródeł i kompletowanie tego, co dzieje się w rzeczywistości.</u>
<u xml:id="u-14.8" who="#AndrzejJanicki">Naprawdę tak to wygląda i taki poziom kompetencji jest do tego wystarczający. Jest to oczywiście systematyczna robota i używanie odpowiednich narzędzi.</u>
<u xml:id="u-14.9" who="#AndrzejJanicki">Teraz przejdźmy do platform. Co się dzieje? Przypuśćmy, że zrobimy tę procedurę współdziałania ze społeczeństwem, przede wszystkim z organizacjami i instytucjami rządowymi, że tak jak słusznie podkreślił szanowny przedmówca, pilnujemy tego, aby była wysoka jakość. Powiedzmy, że tak jest. W co wyposażone są te jednostki? Wszyscy powszechnie mają Windows. Co to jest za system operacyjny? Komercyjny. Europa musiała długo walczyć – Stany zjednoczone nie poradziły sobie z Gatesem (z całym szacunkiem dla niego), żeby zgodził się na przekazywanie kodów źródłowych dla stykowania z pewnymi rozwiązaniami, np. z inną przeglądarką a nie tylko ze swoją. Dopiero, gdy dostał ogromne miliardowe kary i przegrał w Europie, to zaczął to udostępniać.</u>
<u xml:id="u-14.10" who="#AndrzejJanicki">Wobec tego, szansa na to… oby tak było, ale ja tego nie wiem… chciałbym mieć nadzieję, że nasz rząd potrafi dostać od komercyjnej amerykańskiej firmy kody źródłowe na takim poziomie, na jakim można byłoby się zorientować, czy ktoś to rozpoznał i panuje nad backdoors, a więc nad tylnymi wejściami do systemu operacyjnego. Nikt nie panuje nad systemami operacyjnymi w Polsce, bo jeśli chodzi o Windows, to jest to w ogóle niemożliwe. Niestety w ogóle nikt nie panuje nad podstawowym systemem operacyjnym.</u>
<u xml:id="u-14.11" who="#AndrzejJanicki">Co Niemcy zrobili parę lat temu? Mając taki sam instytut, jak my, a więc z okresu RWPG… tak jak nasz Instytut Maszyn Matematycznych, tak oni zbudowali sobie w Kolonii taki instytut (podobny był w NRD)… Cóż zrobił rząd niemiecki? Rząd niemiecki zarządził, że wszystkie systemy, które są ze środków budżetowych… nie tylko te w gestii administracji publicznej, ale w ogóle także te samorządowe, jak i inne… to muszą być robione na Linuxie, i to tych edycji, które są pod pełną kontrolą pełnych kodów źródłowych prowadzonych przez ten instytut.</u>
<u xml:id="u-14.12" who="#AndrzejJanicki">Wobec tego ten instytut generował – z pełną kontrolą kodów źródłowych; te kody są w wolnym dostępie… na szczęście świat uczciwych informatyków-amatorów broni się przed komercją, walcząc o dostępy w źródłach wolnego oprogramowania, oddając nieodpłatnie rzeczy. Wobec tego mają instytut. To jest bardzo wyrafinowana rzecz, nie tylko w inżynierii oprogramowania, ale to się udoskonala… wchodzą różne edycje biznesowe, które w różnych sytuacjach dają produkty. Wobec tego tam jest rozwój naukowy i gwarant tego, że się panuje nad systemem operacyjnym. Wobec tego bardzo trudno jest wślizgnąć się w bramy albo jest to wręcz niemożliwe. W każdym bądź razie jest to natychmiast kontrolowane według procedur, o których była mowa. Dlatego też można coś natychmiast zrobić. Można robić to tanim kosztem. Koszt jest tutaj niesłychanie ważną rzeczą. Tak jak my w informatyce musimy liczyć złożoność czasową i złożoność w sensie komplikacji – czy algorytm ma dużą złożoność obliczeniową i czasową w wykonaniu. Wojna w czasie jest tutaj kosztem.</u>
<u xml:id="u-14.13" who="#AndrzejJanicki">Wobec tego chciałem powiedzieć, że jest szereg podstawowych braków, w kontekście których należy z tym większym szacunkiem odnosić się do działań tych służb, które są, że w tej sytuacji robią to, co powinno być robione, ale to jest niestety działalność ex post a nie ex ante. Tymczasem nie da się wygrać wojny w cyberprzestrzeni, jeśli nie wygra się sytuacji ex ante. Nigdy bowiem nie nadążymy za rozwojem tego zjawiska. Oczywiście średnio biorąc nadążymy, ale w kazusach będzie tak jak będzie.</u>
<u xml:id="u-14.14" who="#AndrzejJanicki">Żeby nie przedłużać sprawy – w ogóle dziękuję za możliwość tak obszernego przedstawienia tej rzeczy, a jest to niezwykła rzadkość, że w poważnym gronie można podnieść takie rzeczy. Powiedziałbym nawet, że są to sytuacje zupełnie unikatowe a szkoda. W związku z tym, jak chciałbym spuentować tę sprawę? Mianowicie tak, że naprawdę powinien powstać narodowy program bezpieczeństwa w cyberprzestrzeni, w tym bezpieczeństwa teleinformatycznego, bo z całym szacunkiem dla tematu dzisiejszego posiedzenia, ale to jest fragment zagrożeń w cyberprzestrzeni.</u>
<u xml:id="u-14.15" who="#AndrzejJanicki">Pan poseł Piechociński zwrócił na to uwagę, podnosząc kwestię odporności systemów – tych, które pracują w sferze gospodarki lub bezpieczeństwa. To jest fragment, bo konsekwencje zagrożeń w cyberprzestrzeni idą dalej. Oczywiście mechanizmami są te mechanizmy dostępu. Nie chciałbym jednak dzisiaj podnosić tej kwestii, zwłaszcza w obecności szanownych przedstawicieli tej dziedziny, która powinna o tym mówić. Ja jestem w to wyposażony dla celów nauki, ale jeśli trzeba, to oczywiście nasz głos będzie włączony. Współpraca – tam gdzie trzeba.</u>
<u xml:id="u-14.16" who="#AndrzejJanicki">Naprawdę jest szansa na mobilizację w zakresie tego, co umiemy w rozproszony sposób w nauce, z tym, co mamy w technologii, z tym, co jest potrzebne naszemu wspólnie rozumianemu bezpieczeństwu, tzn. obywateli oraz organów państwa, które powinny wykonywać to co trzeba z racji konstytucji. To naprawdę dałoby się zrobić. To powoli, panie przewodniczący, czas robi swoje. Rozdrobnienie uwagi – pan profesor siedzący obok mnie. Umyka nam zdolność integrowania wysiłków, zwłaszcza w obszarach interdyscyplinarnych, zaś nadchodzi czas robienia już tylko na zasadzie „każdy swoje”, odcinkowo i wycinkowo,. Nie da się w ten sposób zapewnić bezpieczeństwa w cyberprzestrzeni. Powodzenia. Życzę nadziei, jeśli chodzi o te obrady. Co najważniejsze, mam nadzieję, że konsekwencje wynikające z tego posiedzenia będą doprowadzone do końca. Może moja nadzieja sięga za daleko. Dziękuję za uwagę.</u>
</div>
<div xml:id="div-15">
<u xml:id="u-15.0" who="#MieczysławGolba">Dziękuję, panie profesorze. Nadzieja zawsze musi być i taką też nadzieję mamy. Bardzo proszę, pan chciał zabrać głos.</u>
</div>
<div xml:id="div-16">
<u xml:id="u-16.0" who="#MieczysławGroszek">Mieczysław Groszek – Związek Banków Polskich. Również dziękuję, panie przewodniczący, za zaproszenie tak, jak moi przedmówcy. To zaproszenie jest o tyle dla nas wzruszające, że ostatnim razem to środowisko było wezwane, nie wiem, czy w poprzedniej kadencji. Ta Komisja nazywała się tak samo, natomiast po awariach w listopadzie 2010 r. w czterech bankach, pan poseł Napieralski, jako przewodniczący Komisji poprosił o wyjaśnienia. Muszę powiedzieć, że zaczynam moje wystąpienie od tego zdarzenia nie po to, aby pokazać kontrast, że dzisiaj jestem gościem, ale żeby pokazać, co się zdarzyło i jaki to ma związek z tematem, o którym dzisiaj rozmawiamy.</u>
</div>
<div xml:id="div-17">
<u xml:id="u-17.0" who="#JanuszPiechociński">Czy mogę panie prezesie? Pańskie wyzwanie nie oddaje bowiem efektu.</u>
<u xml:id="u-17.1" who="#JanuszPiechociński">Przypomnę, że rzecz dotyczyła zablokowania kilku milionów kont użytkowników i w związku z tym komisja właściwa do spraw bankowości elektronicznej miała obowiązek uspokoić nastroje społeczne oraz zweryfikować stan polskiego systemu bankowego w tym zakresie.</u>
<u xml:id="u-17.2" who="#JanuszPiechociński">Zostaliście państwo zaproszeni. Mogliście państwo wypowiedzieć się na ten temat. Związek Banków Polskich nie był wezwany, ale właściwa administracja rządowa. Związek Banków Polskich przedstawiał w imieniu swojego środowiska swoje stanowisko, jak również podjęte działania. Żeby była jasność.</u>
<u xml:id="u-17.3" who="#JanuszPiechociński">Nigdy sejmowa Komisja Innowacyjności i Nowoczesnych Technologii, także w trakcie poprzedniej kadencji, nikogo tutaj nie wzywała na dywanik, szczególnie partnera społecznego. Zaprosiliśmy państwa do udziału w otwartej dyskusji na temat tego, czy polski system bankowy i e-bankowość są bezpieczne i czy chroni podstawowe interesy milionów konsumentów.</u>
</div>
<div xml:id="div-18">
<u xml:id="u-18.0" who="#MieczysławGroszek">Bardzo dziękuję, to był kolokwializm z mojej strony, ale on pewnie był tak nieszczęśliwy, że rzeczywiście powstało takie bardzo… Dziękuję za to sprostowanie i przepraszam.</u>
<u xml:id="u-18.1" who="#MieczysławGroszek">Natomiast kontynuując wątek, chcę powiedzieć, o tym, się co stało od tego czasu. Identyfikacja przyczyn, które przekazaliśmy w wyjaśnieniach, polegała na tym, że według klasyfikacji pana dyrektora, była związana z zagrożeniami wewnętrznymi, a więc właśnie od strony sprawności i funkcjonowania systemów. To oczywiście spowodowało, najkrócej rzecz ujmując, że w okresie od tych zdarzeń, poprzez podjęte działania w systemie bankowym nie powtórzyły się zagrożenia wewnętrzne, ale też nie nastąpiły zagrożenia zewnętrzne.</u>
<u xml:id="u-18.2" who="#MieczysławGroszek">Nie wzięło się to samo z siebie i nawiązałbym do tego, o czym mówił pan przewodniczący Paluszyński a mianowicie o tym, że bezpieczeństwo kosztuje. W tym czasie te systemy zostały bardzo wzmocnione przez inwestycje. Bardzo istotnym czynnikiem było też to, że w ramach ZBP zebraliśmy najważniejsze podmioty odpowiadające za bezpieczeństwo czyli po prostu same banki i firmy technologiczne. Chciałem zwrócić uwagę na to, że oprócz inwestycji nastąpiło także coś na kształt wymiany know how.</u>
<u xml:id="u-18.3" who="#MieczysławGroszek">Chcę powiedzieć, że środowisko, które reprezentuję, jest bardzo konkurencyjne w zakresie produktów i marketingu, ale w zakresie bezpieczeństwa, a tym bezpieczeństwa elektronicznego, jest wyjątkowo koncyliacyjne i jednolite. Oznacza to, że następuje wymiana na temat tego, jak podwyższone jest bezpieczeństwo w zakresie, powiedziałbym, takim bazowym, a więc na temat technologii, które chronią, ale jednocześnie poprzez analizę tzw. ataków hakerskich nowego rodzaju, w tym phisingu, ale w ogóle wszystkich zagrożeń dla bezpieczeństwa teleinformatycznego.</u>
<u xml:id="u-18.4" who="#MieczysławGroszek">Powiedziałbym, że nie ma tutaj dużych odmienności pomiędzy domeną gov a domeną com. Dlatego też wydaje mi się, że można tutaj myśleć o swoistego rodzaju przecięciu i deklaruję ze swojej strony, że nasze forum bezpieczeństwa technologicznego bardzo chętnie spotyka się z obszarami gov. Udaje nam się rozmawiać, czy też wymieniać pewne informacje z zastrzeżeniem jednak ochrony tajemnicy. My także mamy swoje tajemnice i między innymi pan minister Wiewiórowski pilnuje, abyśmy nie naruszali pewnych zasobów danych. Jest to sfera zmilitaryzowana, do której żaden podmiot nie ma dostępu, natomiast jest cała sfera, która rzeczywiście tworzy infrastrukturę bezpieczeństwa.</u>
<u xml:id="u-18.5" who="#MieczysławGroszek">Krótko mówiąc, deklaruję, że jeśli w sferze domeny gov pojawi się potrzeba swoistego rodzaju spotkań i konsultacji, to środowisko bankowe, w szczególności zaś fora bezpieczeństwa technologicznego, będą na to otwarte. Bardzo dziękuję.</u>
</div>
<div xml:id="div-19">
<u xml:id="u-19.0" who="#MieczysławGolba">Bardzo dziękuję. Bardzo proszę, teraz pan. Za chwilę oddam panu głos.</u>
</div>
<div xml:id="div-20">
<u xml:id="u-20.0" who="#MichałJaworski">Michał Jaworski – Polska Izba Telekomunikacji i Informatyki.</u>
<u xml:id="u-20.1" who="#MichałJaworski">Niezwykle krótko, dwa punkty. Pierwszy punkt, który wynika już z samego tematu naszego dzisiejszego spotkania. Chodzi o takie rozróżnienie pomiędzy tym, co jest zdefiniowane, jako infrastruktura krytyczna i tą, która nie jest zdefiniowana ustawowo. Wiadomo, kto odpowiada za bezpieczeństwo infrastruktury krytycznej. Jak pokazały ostatnie wydarzenia i jak pokazuje życie, nie tylko ta infrastruktura krytyczna decyduje o sprawności funkcjonowania państwa, społeczeństwa, biznesu, organizacji itd. Patrząc na to z punktu widzenia takiego dezyderatu, tak jak to było w pierwszym punkcie porządku dziennego, pytanie brzmi, czy nie należałoby nieco inaczej zdefiniować tego, co jest infrastrukturą krytyczną w sensie teleinformatycznym i cybernetycznym, bądź też należałoby nieco bardziej precyzyjnie zdefiniować to, co jest poza infrastrukturą krytyczną, jak również sprawy bezpieczeństwa.</u>
<u xml:id="u-20.2" who="#MichałJaworski">Druga sprawa, a mianowicie to, o czym mówił pan profesor – bezpieczeństwo przy użyciu produktów firm komercyjnych. Rzecz nie w tym, żeby myśleć o tym, aby wszystko zastąpić swoimi produktami. Tego na świecie nikt nie robi. To jest funkcja takiego nawiązania współpracy między największymi firmami na świecie a administracją, w szczególności zaś tymi jednostkami, które będą odpowiedzialne za bezpieczeństwo na określonych poziomach, które nie dotyczy spraw handlowych, marketingowych, czy też konferencyjnych itp. Tam mają rozmawiać nie handlowcy, tylko ludzie odpowiedzialni za bezpieczeństwo z ludźmi odpowiedzialnymi za bezpieczeństwo. Tego rodzaju postulat – formułuję go jako przedstawiciel samorządu gospodarczego – jest do przeprowadzenia i nie jest to żaden kłopot. To się dzieje. Dziękuję bardzo.</u>
</div>
<div xml:id="div-21">
<u xml:id="u-21.0" who="#MieczysławGolba">Dziękuje bardzo. Bardzo proszę, teraz pan.</u>
</div>
<div xml:id="div-22">
<u xml:id="u-22.0" who="#DariuszDylski">Dzień dobry państwu, Dariusz Dylski. Ja również reprezentuję Związek Banków Polskich. Moi poprzednicy właściwie powiedzieli już wiele z tego, co chciałem powiedzieć. Dodam tylko tytułem uzupełnienia. Ja zajmuję się w Związku Banków Polskich… jestem przewodniczącym jednej z grup, o których mówił mój przedmówca. Jest to grupa, która zajmuje się zarządzaniem ciągłością biznesową. Ja zajmuję się tą tematyką od lat.</u>
<u xml:id="u-22.1" who="#DariuszDylski">Chciałem państwu powiedzieć, że warto brać przykład ze środowiska bankowego. Powiem dlaczego to o czym dzisiaj państwo rozmawiacie, a więc szeroko rozumiane zabezpieczenie kluczowej infrastruktury państwa przed różnego rodzaju zagrożeniami buduje się systemowo. One już są na świecie. Nie trzeba ich specjalnie szukać. Musimy się tylko ich uczyć. Instytucje bankowe już się tego dobrze nauczyły. Kiedy zaczynałem zajmować się tematyką w banku, w którym pracuję (zajmuję się tym już od 10 lat), to miałem bardzo duży problem, aby znaleźć informację na ten temat – jak postępować i jak to robić. Dzięki działaniu Związku Banków Polskich właściwie w tej chwili w instytucjach finansowych nie ma problemów z wymianą takiej informacji i ze zdobyciem wiedzy na ten temat.</u>
<u xml:id="u-22.2" who="#DariuszDylski">Zastrzegam natomiast, że jest problem ze znalezieniem wiedzy na temat tego, jak zabezpieczyć infrastrukturę poszczególnych przedsiębiorstw w wielu innych branżach, ponieważ tam, jak sądzę, tego typu fora nie działają. Nie ma takiej wymiany i brakuje pewnych narzędzi odgórnie nakładających na firmy konieczność prowadzenia tego typu działań. Tutaj dostrzegam duży problem. W trakcie ostatniego roku w ramach ZBP napisaliśmy księgę dobrych praktyk w zakresie kontynuacji i działania, której jestem współautorem. Zawiera ona informacje na temat tego, jak należy postępować w przedsiębiorstwie, aby zabezpieczyć się przed różnymi sytuacjami, które mogą przerwać to działanie.</u>
<u xml:id="u-22.3" who="#DariuszDylski">Muszę ze smutkiem stwierdzić, iż podczas pisania tej publikacji najtrudniej było nam znaleźć regulacje prawne, które obowiązywałyby w Polsce i zmuszały przedsiębiorców do myślenia na ten temat. Tutaj widzę bardzo poważny brak. Kiedy zaczęliśmy tę dyskusję, to pan poseł Piechociński był uprzejmy zadać kilka pytań. Ucieszyło mnie, że takie pytania są stawiane, ponieważ to nie jest tak, że nie ma instytucji nadzoru, ale tak naprawdę nie ma jasno postawionych wymogów odnośnie do tego, co powinny robić organy państwa lub firmy.</u>
<u xml:id="u-22.4" who="#DariuszDylski">Chciałbym powiedzieć, że martwi mnie to, iż ta dyskusja zeszła w stronę takiego jednego, może medialnego, ale małego problemu… może nie był mały, ale w skali całej infrastruktury państwa nie był to najważniejszy problem… dotyczącego ataku na strony gov. Życzyłbym sobie, żeby efektem tego typu dyskusji były konkretne rozwiązania a nie tylko i wyłącznie podniesienie jakiegoś tematu, który pojawił się na skutek incydentu, a następnie zamknięcie tej sprawy w ten sposób. Dziękuję bardzo.</u>
</div>
<div xml:id="div-23">
<u xml:id="u-23.0" who="#MieczysławGolba">Dziękuję bardzo. Czy ktoś z zaproszonych gości chciałby jeszcze zabrać głos? Bardzo proszę, pan profesor.</u>
</div>
<div xml:id="div-24">
<u xml:id="u-24.0" who="#AndrzejJanicki">Jeśli pan przewodniczący pozwoli, to chciałbym odnieść się ad vocem do spraw bankowości. Naprawdę nie jestem profesorem z tej dziedziny i wskazałbym raczej palcem na kolegów, ale pewien aspekt jest mi dobrze znany i wiąże się z dzisiejszym wątkiem. Otóż, co robi przedsiębiorca, powiedziałbym, że nawet najbardziej zmotywowany… On jest dobrym przedsiębiorcą, dobrze działa w państwie, on naprawdę postępuje uczciwie. Kończy się jego sprawa na przypadku bankowym. Nie będę wymieniał banku, bardzo poważnego banku… Jako użytkownik w tym banku miałem pewien kazus.</u>
<u xml:id="u-24.1" who="#AndrzejJanicki">Mianowicie w nowych propozycjach, które się tam znalazły – ja czytam wszystko bardzo dokładnie – była zachęta, że będą nowe usługi internetowe itd. Zaznaczono jednak, że wyłącza się z zakresu odpowiedzialności banku, poza tym, co jest normalnym standardem siły wyższej także to, co znajduje się w zakresie ryzyka komunikacyjnego (bardzo zręcznie to dopisano). Było to dopisane do części definiującej znaczenie siły wyższej. Zakwestionowałem to i mam dowód zakwestionowania tego. Dlaczego mówię o tym przypadku? Nie będąc z tej dziedziny, musiałem uwiarygodnić swoje spostrzeżenia.</u>
<u xml:id="u-24.2" who="#AndrzejJanicki">Mianowicie chodzi mi o to, że każdy przedsiębiorca, w tym przypadku bank… Nie będę dołączał do krytyki banków ze strony jednego z amerykańskich kandydatów na prezydenta. To nie jest moja sprawa. Bank tak jak każdy przedsiębiorca też gdzieś kończy swoje zainteresowanie użytkownikiem. Wobec tego kończył w tym miejscu.</u>
<u xml:id="u-24.3" who="#AndrzejJanicki">Powiem tylko tyle, że w naszym systemie bankowym – nie uczestniczyłem w tej dyskusji, o której mówił pan poseł Piechociński – ale do tego sprowokowała mnie taka oto wypowiedź: z punktu widzenia bezpieczeństwa użytkownika (punkt widzenia użytkownika końcowego)… Dzisiaj świat ma nowy paradygmat ekonomii, który jest fundamentem e-gospodarki i wszystko musi być kumulowane w interesie użytkownika – kształtowanie cen itp., a więc to wszystko, czemu się wszyscy w tym miejscu dziwią. Wobec tego z punktu widzenia bezpieczeństwa tego użytkownika w tej cyberprzestrzeni musimy jednak popatrzeć… przepraszam, to będzie złe słowo, ale nie da się inaczej – samorefleksyjnie (nie chcę powiedzieć samokrytycznie), wszyscy na siebie, z punktu widzenia dobra tego użytkownika końcowego, bo jego dobro w tej przestrzeni na pewno skumuluje się w dobro całej organizacji, zgodnie z teorią society of mind, a więc z całą teorią agencji inteligentnych, która w tej chwili jest podstawą systemowego myślenia.</u>
<u xml:id="u-24.4" who="#AndrzejJanicki">Wobec tego dołączam do tych uwag być może jeszcze to, aby we wszystkich tych analizach przyjmować ten punkt widzenia bezpieczeństwa tego użytkownika końcowego a kategorie tych użytkowników końcowych są oczywiste. Student jest kategorią użytkownika końcowego, także przedsiębiorca i każdy obywatel. Mamy bardzo klarowną taksonomię. Wobec tego zdefiniowanie poczucia bezpieczeństwa… Czego chce ten obywatel (przedsiębiorca)? Po pierwsze, poczucia bezpieczeństwa, a po drugie – poczucia wsparcia, wtedy, gdy w coś wchodzi, to za plecami ma „ABW” (służby państwowe). Dziękuję.</u>
</div>
<div xml:id="div-25">
<u xml:id="u-25.0" who="#MieczysławGolba">Dziękuję bardzo. Bardzo proszę, panie ministrze.</u>
</div>
<div xml:id="div-26">
<u xml:id="u-26.0" who="#WojciechWiewiórowski">Wojciech Wiewiórowski – GIODO. Krótka uwaga. Jedną z podstawowych kwestii, która powinna być zauważona, jeśli mówimy o cyberprzestrzeni, to kwestia zabezpieczenia w zakresie prawa karnego w Polsce. Pragnę przypomnieć, czy też wezwać do tego, aby w trakcie całej tej dyskusji, w ramach organu, który zajmuje się legislacją, rozważyć dwie podstawowe kwestie dotyczące polskiego prawa karnego.</u>
<u xml:id="u-26.1" who="#WojciechWiewiórowski">Po pierwsze, Polska powinna ratyfikować konwencję o cyberprzestępczości z 2001 r., którą kilkanaście lat temu podpisała i w tym kształcie, który został podpisany kilkanaście lat temu ta konwencja w tej chwili została ratyfikowana przez kilkanaście krajów UE oraz przez Stany Zjednoczone. Polska do tej pory nie ratyfikowała tej konwencji. Nie wiadomo, czy to jest celowe działanie Polski, że mamy jej nie ratyfikować, bo jest z nią jakiś problem, czy też jest tak, że od 11 lat wciąż zapominamy o tym fakcie.</u>
<u xml:id="u-26.2" who="#WojciechWiewiórowski">Prawdą jest, że wiele ważnych przepisów z tej konwencji próbowano w Polsce implementować w latach 2004 i 2008. Prawdą jest także fakt, że zostały one inkorporowane do polskiego prawa z błędami. Te błędy zostały już opisane w 2003 r. w ekspertyzach, które zostały przekazane Wysokiej Izbie i one do dzisiejszego dnia nie zostały poprawione, a wpływają głównie na to, że przede wszystkim przepis art. 269b (nie tylko on) jest po prostu nieskuteczny. W związku z tym jeżeli dyskutujemy o standardach bezpieczeństwa w tym rozumieniu, o którym tutaj mówimy, to pamiętajmy o problemie prawa karnego, które jest niedostosowane na dwa sposoby do tego problemu.</u>
<u xml:id="u-26.3" who="#WojciechWiewiórowski">Myślę, że ten problem można stosunkowo łatwo rozwiązać, z tego powodu, że jak mówię, iż od co najmniej 8 lat istnieją ekspertyzy mówiące o tym, co można byłoby zrobić. W środowisku jest dość powszechna zgoda w środowisku, co do tego, że co najmniej 2 z tych rozwiązań to niewątpliwie błędne rozwiązania. Przy innych można się kłócić, czy są lepsze, czy też gorsze, ale te dwa zawierają klasyczne błędy. Dziękuję.</u>
</div>
<div xml:id="div-27">
<u xml:id="u-27.0" who="#MieczysławGolba">Dziękuję. Czy ktoś z państwa chciałby jeszcze zabrać głos? Nie widzę, nie słyszę. Wobec tego bardzo proszę o zabranie głosu przez pana dyrektora Biura Prawnego ABW Kazimierza Mordaszewskiego. Bardzo proszę, panie dyrektorze.</u>
</div>
<div xml:id="div-28">
<u xml:id="u-28.0" who="#KazimierzMordaszewski">Szanowny panie przewodniczący, szanowni państwo, zacznę może od kwestii podniesionej przez pana posła Piechocińskiego. Rzeczywiście pan poseł zwrócił uwagę na istotne kwestie. O ile kwestia bezpieczeństwa systemów teleinformatycznych co do ochrony informacji niejawnych, za którą między innymi odpowiada ABW i Służba Kontrwywiadu Wojskowego, została dobrze uregulowana w ustawie z 2010 r. o ochronie informacji niejawnych, o tyle ta kwestia, o której mówimy, wymaga dopracowania i niewątpliwie zapewne zmian legislacyjnych.</u>
<u xml:id="u-28.1" who="#KazimierzMordaszewski">Jeden z przedmówców mówił o tym, że jeśli chodzi o ochronę infrastruktury krytycznej, to ona jest normalnie uregulowana w ustawie o zarządzaniu kryzysowym i taki program ochrony przygotowuje dyrektor Rządowego Centrum Bezpieczeństwa we współpracy z ministrami i kierownikami urzędów centralnych odpowiedzialnymi za te systemy. Następnie przyjmuje to Rada Ministrów w formie uchwały, ale w praktyce każde ministerstwo i urząd odpowiada za własny system. Wiemy, że to funkcjonuje tak, jak wynika z tej dyskusji.</u>
<u xml:id="u-28.2" who="#KazimierzMordaszewski">Niewątpliwą próbą, która została już podjęta, była inicjatywa pana Prezydenta RP w zakresie ustaw o stanie wyjątkowym i klęsce żywiołowej, gdzie zostało zdefiniowane pojęcie cyberprzestrzeni. Myślę, że dalsze prace będą konsekwentnie realizowane. Oczywiście wiodącym organem jest tutaj Minister Administracji i Cyfryzacji, z którym zresztą ABW ściśle współpracuje w ramach Rządowego Komitetu do spraw Cyfryzacji w trybie roboczym.</u>
<u xml:id="u-28.3" who="#KazimierzMordaszewski">Jeśli chodzi o kwestie ocen, to nie chcielibyśmy w to wchodzić do końca, przedstawiając to szczegółowo. Była mowa o systemie bankowym. Wydaje się, że od strony bezpieczeństwa funkcjonuje on całkiem nieźle w naszym kraju…</u>
</div>
<div xml:id="div-29">
<u xml:id="u-29.0" who="#MichałMłotek">Jeśli chodzi o realizację systemów bezpieczeństwa dostępu zdalnego, przede wszystkim do systemów bankowych, to jest to jeden z lepszych systemów na świecie, zarówno pod względem technicznym, jak i w zakresie podejścia do prób ataków na systemy poprzez wykorzystanie słabości użytkowników.</u>
</div>
<div xml:id="div-30">
<u xml:id="u-30.0" who="#KazimierzMordaszewski">Poproszę pana Michała Młotka, eksperta z naszej agencji, o uzupełnienie w kilku zdaniach. Padło pytanie o stronę CERT. Była także mowa o domenie gov.pl a także o Arrakis oraz o narodowym szyfratorze, o którym wspominałem. Prowadzone są pewne prace. Jest też projekt badawczy. Niewątpliwie część z tych kwestii… tutaj niewątpliwie zgodzę się z przedmówcami oraz z panem ministrem Wiewiórowskim, który podniósł kwestię implementacji przepisów prawa karnego.</u>
<u xml:id="u-30.1" who="#KazimierzMordaszewski">Oczywiście powstaje pytanie, czy one powinny być ścigane na wniosek na przykład organu odpowiedzialnego za kwestie bezpieczeństwa a nie tylko danej instytucji, która została pokrzywdzona, ale to właśnie państwo jako tworzący prawo będziecie szukali odpowiedzi.</u>
<u xml:id="u-30.2" who="#KazimierzMordaszewski">Poprosiłbym jeszcze o uzupełnienie pana Michała Młotka.</u>
</div>
<div xml:id="div-31">
<u xml:id="u-31.0" who="#MieczysławGolba">Bardzo proszę.</u>
</div>
<div xml:id="div-32">
<u xml:id="u-32.0" who="#MichałMłotek">Dziękuję serdecznie. Panie i panowie, przede wszystkim, tak jak tutaj już zapewne zostało powiedziane, nie będziemy rozpatrywać bezpieczeństwa systemów teleinformatycznych tylko z punktu widzenia bezpieczeństwa tych systemów od strony sprzętowej. Nie możemy mówić o bezpieczeństwie systemów. Musimy mówić o bezpieczeństwie informacji. Musimy podejść do tego kompleksowo, zarówno jeśli chodzi o bezpieczeństwo tych rozwiązań, bezpieczeństwo techniczne oprogramowania, ale również o ludziach, którzy, patrząc na trendy w ostatnich latach, są coraz częstszym celem ataku. Poza tym należy bezpośrednio i od razu stwierdzić, że systemy teleinformatyczne musimy podzielić na dwie główne grupy: te, które są chronione ustawą o ochronie informacji niejawnych (co do których jest cała nadbudowa legislacyjna), jak również pozostałe systemy, które są niestety regulowane wyrywkowo.</u>
<u xml:id="u-32.1" who="#MichałMłotek">Jest bodajże ustawa o ochronie informacji bankowej (przepraszam, jeśli mylę nazwę tej ustawy) i jest też ustawa o ochronie danych osobowych, ale większość systemów podłączonych do Internetu nie „łapie” się pod żadną z tych ustaw. Jest to niewątpliwie problem, jeśli chodzi o bezpieczeństwo tych systemów, ponieważ aktualnie nie ma żadnego rozporządzenia wykonawczego, które byłoby adresowane przede wszystkim do administracji rządowej. Jest ustawa o informatyzacji, ale niestety po jej zmianie obowiązujące rozporządzenie o minimalnych wymaganiach dla systemów wygasło bodajże w grudniu 2010 r.</u>
<u xml:id="u-32.2" who="#MichałMłotek">Tutaj odniosę się do wątku CERT-u, który działa w ramach ABW (pełna nazwa to Rządowy Zespół Reagowania na Incydenty Komputerowe – cert.gov.pl), który przede wszystkim zarządza systemem Arrakis, o którym tutaj wspomniano. Zespól ten jest zespołem osób, których zadaniem jest przede wszystkim pomoc organom administracji rządowej oraz jednostkom odpowiedzialnym za podtrzymanie infrastruktury krytycznej i głównym celem – wbrew nazwie - jest przede wszystkim zapobieganie a nie reagowanie. Jeśli bowiem dojdzie do incydentu, to wtedy jest już za późno. Jest incydent i nastąpiła szkoda.</u>
<u xml:id="u-32.3" who="#MichałMłotek">W związku z tym przede wszystkim prowadzimy działania edukacyjne skierowane do kadry technicznej oraz dla użytkowników i kadry zarządzającej. Staramy się na bieżąco informować o zagrożeniach i podatnościach. Tak jak wspomniałem, zarządzamy także systemem Arrakis. Czym jest system Arrakis, o którym czasami jest tak głośno? Wbrew temu, o czym czasami się pisze, nie jest to system, który zapewni całkowite i idealne bezpieczeństwo.</u>
<u xml:id="u-32.4" who="#MichałMłotek">Arrakis jest systemem wspomagającym istniejące rozwiązania techniczne oraz wspomagającym administratorów. Arrakis wykrywa nadchodzące zagrożenia poprzez analizę anomalii. Nie będę już wnikał w kwestie techniczne. Praktycznie dostarcza on użytkownikom informacje o nadchodzącym niebezpieczeństwie oraz „szczepionkę” na to niebezpieczeństwo, które wystarczy, że zostanie zaaplikowane do lokalnych systemów, gdyż to właściciel systemu odpowiada za jego bezpieczeństwo. Niestety nie może liczyć na nikogo innego. Właściciel musi zaaplikować te rozwiązania. Aktualnie staramy się wdrożyć to w całej administracji, jak również w jednostkach odpowiedzialnych za infrastrukturę krytyczną.</u>
<u xml:id="u-32.5" who="#MichałMłotek">Padło pytanie, czemu strona CERT-u była niedostępna przez pewien okres. Otóż budując system CERT-u podłączony do Internetu, wychodziliśmy z założenia implementacji rozporządzenia o minimalnych wymaganiach, które nakazywało budowanie systemów zgodnie z polskimi normami. Jednym z wymagań polskich norm było zrobienie analizy ryzyka bezpieczeństwa informacji również pod względem dostępności. Dostępność została odpowiednio oszacowana. W środku ataku łącze zostało przepełnione tak jakby wiele osób naraz dzwoniło na jeden numer telefonu. Jeśli robią to z żartów, to osoba, która próbuje dodzwonić się na ten numer nie dodzwoni się. Jest po prostu prawo techniki i prawo fizyki,. Tego nie da się przeskoczyć w łatwy i tani sposób.</u>
<u xml:id="u-32.6" who="#MichałMłotek">Odniosę się także do pytania o szyfrator. Tym razem odnosi się to drugiego obszaru czyli informacji niejawnych. ABW jest właściwa do ochrony informacji niejawnych. Ochrona informacji niejawnych jest bardzo dobrze obudowana jeśli chodzi o rozporządzenia. Między innymi są wymagania dla systemów niejawnych na różnych poziomach. Na stronie ABW są w sposób ciągły publikowane informacje o sprzęcie, który posiada odpowiednie certyfikacje do ochrony informacji, w tym do przetwarzania informacji – mówię tutaj o szyfratorach. ABW nigdy nie będzie w żaden sposób mówiła o tym, że należy stosować dany szyfrator, gdyż jest to oczywiście złamanie w prosty sposób ustawy o konkurencyjności, jednakże publikuje informacje o tym, jakie aktualnie szyfratory są dopuszczone do użytkowania.</u>
<u xml:id="u-32.7" who="#MichałMłotek">Była sprawa polityki bezpieczeństwa. Zostało także powiedziane, że nie można za pomocą jednego dokumentu zabezpieczyć każdego systemu, gdyż każdy system jest inny. Owszem, ale powinna powstać jednolita polityka bezpieczeństwa do systemów rządowych, która wymagałaby określenia na poziomie każdej jednostki (nie ma jednak podstaw prawnych), iż kierownik danej jednostki, tak jak w klasycznej polityce bezpieczeństwa, zdaje sobie sprawę z istnienia systemu i przejmuje odpowiedzialność za jego bezpieczeństwo. W większości jawnych systemów, w przeciwieństwie do systemów niejawnych, takie polityki nie istnieją.</u>
<u xml:id="u-32.8" who="#MichałMłotek">Odniosę się jeszcze do stosowania otwartego bezpiecznego oprogramowania. Owszem, im lepiej zaudytowane oprogramowanie, tym lepiej dla bezpieczeństwa danego systemu. Niestety rzeczywistość jest taka, że tak jak to wynika z przytoczonych przykładów, system jest instalowany a potem leży „odłogiem”. Sam system nie załatwi nam bezpieczeństwa. Cały czas musimy pamiętać o tym, że ludzie a zwłaszcza usługa, są częścią tego systemu. Dziękuję bardzo.</u>
</div>
<div xml:id="div-33">
<u xml:id="u-33.0" who="#MieczysławGolba">Dziękuję bardzo. Czy pan, panie dyrektorze, chciałby jeszcze zabrać głos? Nie. Dziękuję bardzo. Czy ktoś z państwa chciałby jeszcze zabrać głos? Nie widzę, nie słyszę. Bardzo proszę, panie profesorze.</u>
</div>
<div xml:id="div-34">
<u xml:id="u-34.0" who="#AndrzejJanicki">Czy można mieć przekonanie, że chociażby po dzisiejszym posiedzeniu, a jeśli trzeba będzie, to dodatkowo mogłoby być zbudowane uzasadnienie tej kwestii, że należałoby wystąpić o to, aby poważna jednostka (kiedyś jednostki badawczo-rozwojowe; w tej chwili instytuty badawcze według ustawowej nomenklatury)… Żeby na przykład taki Instytut Maszyn Matematycznych, który jest państwową jednostką prawną, a więc jest zaliczony do naszego bogactwa – jest uwłaszczony, ale znajduje się w „księdze Ministra Skarbu Państwa”, bo jest państwową jednostką prawną – skoncentrował się, nie na drobnym zarabianiu na kształceniu starszych pań (choć takie kursy też są potrzebne, jeśli chodzi o przystosowanie do zawodu), ale żeby miał obowiązek opanowania systemu operacyjnego, który nie jest niczym innym, jak otwartą platformą.</u>
<u xml:id="u-34.1" who="#AndrzejJanicki">Wszyscy robią swoje instalacje na Windows i otwierają to wszystkim… Nikt u nas nie panuje nad tym. Jeżeli użytkownik będzie prawnie odpowiedzialny, w sytuacji, kiedy będzie odpowiednia ustawa, to zleci komercyjnej firmie opiekę nad tym i będzie miał papier, że przecież on zlecił dbałość o to itd. Tymczasem nie mają wiedzy na ten temat. Jeśli bowiem ktoś kupuje produkt, czyli oprogramowanie i dostaje dokumentację wyłącznie z kodami użytkowymi? Gdzie są kody źródłowe? Tam są dopiero pieniądze i cała wiedza, bo bogactwo w informatyce, to są liczby kodów, jakie poszczególne firmy posiadają do takich czy też innych rozwiązań.</u>
<u xml:id="u-34.2" who="#AndrzejJanicki">Wobec tego pytanie, czy dorobimy się w Polsce odpowiedzialnego rządowego miejsca, które powie: „ja panuję nad systemem operacyjnym, którego edycję wy dostajecie.” Wzorem może być tutaj koloński instytut, który ma taki sam rodowód, a nasz Instytut Maszyn Matematycznych (jest to miejsce, które kiedyś współzakładałem)… Żeby być przyzwoitym, to powiem: szkoda, że nie zajmuje się takimi problemami, choć powinien, ma takie warunki. Ktoś w swojej gestii ma nadzór założycielski nad takim instytutem. Jeżeli ktoś, kto ma nadzór założycielski nad takim instytutem, nie umie wykorzystać tego instytutu i postawić mu zadań. Koszt zrobienia czegoś w Polsce jest wielokrotnie niższy od kosztu, który zakupujemy gdziekolwiek, nawet w polskich firmach komercyjnych. To wynika z normalnych zasad ekonomii. Przepraszam, że jeszcze raz pozwoliłem sobie naświetlić ten punkt.</u>
</div>
<div xml:id="div-35">
<u xml:id="u-35.0" who="#MieczysławGolba">Dziękuję bardzo. Bardzo proszę, pan przewodniczący Kaźmierczak.</u>
</div>
<div xml:id="div-36">
<u xml:id="u-36.0" who="#JanKaźmierczak">Bardzo dziękuję. Panie profesorze, ja spróbuję odpowiedzieć na pańskie wątpliwości, ponieważ w poprzedniej kadencji dosyć intensywnie pracowałem nad ustawami o instytutach badawczych. Sytuacja prawna – nawiązuje do tego, o czym mówił pan dyrektor, a mianowicie o konkurencyjności – jest taka, że obecnie instytuty o statusie instytutów badawczych mają pewną ścieżkę stania się podmiotami działającymi na rzecz państwa, mówiąc bardzo ogólnie. Mianowicie jest to formuła uzyskania statusu państwowego instytutu badawczego. Takich instytutów, które zaspokajają potrzeby państwa w wybranych obszarach, jest już kilka w Polsce. Nie tak dawno nasza Komisja wizytowała Centralny Instytut Ochrony Pracy, który ma takim status.</u>
<u xml:id="u-36.1" who="#JanKaźmierczak">Oprócz tego, że wykonuje działalność komercyjną, czyli na przykład uczy te starsze panie – co też jest zresztą nie od rzeczy, bo warto uczyć – wykonuje także zadania, które są dedykowane do jednego obszaru działalności. Z tego, co wiem z rozmów z dyrektorami różnych instytutów, decyzja o tym, czy występować o taki status nie jest taka jednoznaczna, bo mniej więcej, w praktycznym wymiarze oznacza, że taki państwowy instytut badawczy uzyskuje większe środki na działania statutowe, ale ma z kolei większe ograniczenia, jeśli chodzi o działalność komercyjną.</u>
<u xml:id="u-36.2" who="#JanKaźmierczak">Z mojej wiedzy na dzień dzisiejszy wynika, że zrobienie tego, o co apeluje pan profesor, w takim czystym trybie, jest mało realne. Jesteśmy na innym etapie. Tym niemniej, jeśli taki Instytut Maszyn Matematycznych bądź też inny kompetentny wziąłby na siebie taką rolę, to oczywiście bardzo dobrze. Wtedy sprawa byłaby jakby rozwiązana. To istniejące zaplecze badawcze mogłoby być wykorzystane w celu, z którym ja zgadzam się w 100%. To jest potrzebne.</u>
<u xml:id="u-36.3" who="#JanKaźmierczak">Mniej realne wydaje mi się tworzenie jednostki „rządowej” od zera, bo po pierwsze, to nie mieści się w porządku, zaś po drugie to nie jest kwestia tego, że mamy budynek i maszyny. Potrzebne są kadry. To nie jest, że tak powiem, moja miłość do pewnego klasyka, który mówił, że kadry przede wszystkim. To są pewne realia.</u>
<u xml:id="u-36.4" who="#JanKaźmierczak">Więc tak jak mówię, jeśli jest taka potrzeba, a ona jest, to wymagałoby to autonomicznej decyzji takiego podmiotu, który może wystąpić o status PIM-u. Wtedy ustawiałoby to nas mniej więcej w tym kierunku, o który apelował pan profesor.</u>
<u xml:id="u-36.5" who="#JanKaźmierczak">Skoro jestem przy głosie, to chciałbym zadać pytanie, może poza protokołem. Czy ktoś z państwa może mi odpowiedzieć na pytanie, czy nazwa systemu Arrakis, to jest wyraz fascynacji twórcy tego systemu książkami o Diunie, czy to jest jakiś akronim? Dziękuję.</u>
</div>
<div xml:id="div-37">
<u xml:id="u-37.0" who="#MieczysławGolba">Dziękuję bardzo, panie profesorze. Czy pan chciałby zabrać głos? Bardzo proszę.</u>
</div>
<div xml:id="div-38">
<u xml:id="u-38.0" who="#GrzegorzMazurkiewicz">Chciałem tylko sprostować jedną rzecz. Moja nazwisko Grzegorz Mazurkiewicz. Tak się składa, że jestem kierownikiem Zakładu Systemów Informacyjnych w Instytucie Maszyn Matematycznych. Chciałem sprostować jedną rzecz – naprawdę nie zajmujemy się kształceniem starszych pań, ale poważniejszymi rzeczami, aczkolwiek bardzo dziękuję panu profesorowi, że pan lobuje na naszą rzecz. Nie chciałbym natomiast, żeby tutaj pozostało takie wrażenie, że my zajmujemy się kształceniem. Zapraszam do zapoznania się z naszą ofertą. Dziękuję bardzo.</u>
</div>
<div xml:id="div-39">
<u xml:id="u-39.0" who="#AndrzejJanicki">Z największą przyjemnością lobowałbym w tej chwili o wielu ważnych wydarzeniach w Instytucie Maszyn Matematycznych…Jesteśmy kolegami z tego samego instytutu, tylko trochę innej daty… Osobiście zaczynałem komórkę w tym instytucie zajmującą się systemem operacyjnym na poziomie Unixa, który był początkiem wszystkiego. Niestety z powodu losów tego instytutu sytuacja jest taka, że ten instytut, ważny kiedyś (o dużym znaczeniu) nie ma teraz żadnych kompetencji w zakresie systemów operacyjnych.</u>
<u xml:id="u-39.1" who="#AndrzejJanicki">Przez to, że w IPIPAN-ie wszyscy przechodzili przez Instytut Maszyn Matematycznych (zresztą współdziałamy)… Jeden z profesorów, który rozumie, co to znaczy warstwa sprzętowa… Dzisiaj programiści kompletnie nie rozumieją warstwy sprzętowej, a nie rozumiejąc warstwy sprzętowej przy robieniu oprogramowania, nie ma mowy o zachowaniu bezpieczeństwa.</u>
<u xml:id="u-39.2" who="#AndrzejJanicki">Wobec tego chcę powiedzieć, że te kompetencje, które jeszcze są u nas w świecie nauki nie są podtrzymywane i wobec tego siłą rzeczy nasi młodzi koledzy są angażowani w najprzeróżniejsze projekty o mniejszej lub większej wartości, ale przeważnie kończącymi się na półkach, z żadnym prawie skutkiem zwrotów do gospodarki, dzięki zastosowaniom. Jeśli nie będzie zwrotów do gospodarki, to nie będzie akumulacji na środki, które zasilą finansowanie nauki w dalszym rozwoju.</u>
<u xml:id="u-39.3" who="#AndrzejJanicki">Wobec tego, proszę mnie tak rozumieć. Jeżeli chodzi o imię Instytutu Maszyn Matematycznych, to we wszystkim, co dzisiaj jest dobre… wszędzie, gdzie tylko daje się za granicą (w Polsce jest mniej okazji), jest podtrzymywane. Szanse dla was są, według recepty, którą dał pan profesor w podsumowaniu. Zechciejcie.</u>
</div>
<div xml:id="div-40">
<u xml:id="u-40.0" who="#MieczysławGolba">Dziękuję bardzo. Zdominował pan, panie profesorze, dzisiejsze posiedzenie, ale nic nie szkodzi. Bardzo się cieszymy, że przekazał pan wiele cennych informacji. Powiem tak: bezpieczeństwo teleinformatyczne jest bardzo ważne, jak również bardzo ważna jest polityka państwa. Ma to służyć temu, abyśmy wszyscy czuli się bardzo bezpiecznie. Przykład banków jest bardzo ważny, bo każdy ma konto i tym samym każdego może to dotknąć i każdy może na tym stracić.</u>
<u xml:id="u-40.1" who="#MieczysławGolba">Jeśli chodzi o bezpieczeństwo, to ostatnio mieliśmy tę sprawę (ataki na strony kancelarii premiera itd.), która dala nam pewne natchnienie, abyśmy zaczęli o tym szerzej rozmawiać. To dobrze, abyśmy o tym rozmawiali i żeby z tego wynikały działania na przyszłość. Kończąc słowem pana profesora, nie post factum, ale ex ante. Myślę, że tym akcentem można zakończyć posiedzenie. Dziękuję. Porządek dzienny dzisiejszych obrad został wyczerpany – zamykam posiedzenie Komisji. Dziękuję bardzo.</u>
</div>
</body>
</text>
</TEI>
</teiCorpus>