Działalnością Agencji Bezpieczeństwa Wewnętrznego i sprawami jej szefa interesował się kilkakrotnie Rzecznik Praw Obywatelskich. W grudniu ubiegłego roku Janusz Kochanowski, na wniosek Stowarzyszenia „Stop Korupcji” zwrócił się do Donalda Tuska o „zbadanie zastrzeżeń co do niezależności szefa Agencji Bezpieczeństwa Wewnętrznego ppłk Krzysztofa Bondaryka w związku z pobieraniem przezeń wysokich uposażeń od Polskiej Telefonii Cyfrowej”. We piśmie RPO czytamy, iż wnioskodawca „ powołując się na publikacje prasowe, wskazał na pobieranie przez ppłk K. Bondaryka wysokich uposażeń od Polskiej Telefonii Cyfrowej sp. z o.o., gdzie był zatrudniony przed objęciem funkcji w ABW. Podniósł w tym kontekście także odmowę udostępnienia przez Szefa ABW swego kontraktu menedżerskiego z PTC Centralnemu Biuru Antykorupcyjnemu oraz wskazał na możliwość istnienia kolizji interesów w związku z pobieraniem przez ppłk. K. Bondaryka uposażenia z PTC już w trakcie pełnienia funkcji Szefa ABW”
Ponieważ na stronie internetowej RPO, nie umieszczono odpowiedzi na to wystąpienie przypuszczam, że premier rządu nie zechciał jej jeszcze udzielić.
Rzecznika zainteresował również projekt PESEL2, o którym obszernie pisałem w poprzednim wpisie. W lutym 2008 r. Janusz Kochanowski poprosił ministra Grzegorza Schetynę o udzielenie informacji na temat szczegółowej koncepcji systemu PESEL 2, w tym funkcji, jaką w zamiarach MSWiA ma spełniać projektowany system. RPO pisał m.in.:
„Zgodnie z przepisem art. 51 ust. 2 Konstytucji RP, władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Co za tym idzie, organy władzy publicznej nie mogą w sposób dowolny ustalać zasobu informacji, jakie mają zamiar gromadzić na temat obywateli. Tymczasem, z wyłaniającego się obrazu systemu PESEL 2 można wnioskować, że planowany zakres danych osobowych gromadzonych w systemie jest niezwykle szeroki. Z informacji uzyskanych przeze mnie do chwili obecnej nie wynika w sposób precyzyjny, do jakich celów mają służyć konkretne dane ujawnione w projektowanym systemie”.
Udzielając rzecznikowi odpowiedzi, podsekretarz stanu w MSWiA Witold Dróżdż zapewnił, że PESEL2 będzie zawierał wyłącznie dane w zakresie dotychczasowego zasobu PESEL i nie planuje się gromadzenia danych dotyczących, m.in.: wysokości zarobków, wysokości podatków, miejsca leczenia i jego powodów oraz liczby mandatów za złe parkowanie. W systemie mają nie być zamieszczane informacje o fakcie zalegania ze składkami ZUS, statusie rozliczeń z urzędem skarbowym, kontach bankowych i statusie stosunków obywatela z policją.
Jednocześnie potwierdził, że Projekt pl.ID stanowi kontynuację działań rozpoczętych w ramach PESEL2 i jest drugim etapem Programu PESEL2. Pisałem o tym w piątej części cyklu zwracając uwagę, że choć oficjalnie Projekt PESEL2 został zakończony w listopadzie 2008 roku, jego kluczowy składnik dotyczący Rejestru Identyfikacji Obywateli jest realizowany w ramach wprowadzania elektronicznego dowodu osobistego.
W sierpniu ubiegłego roku Janusz Kochanowski skierował również interpelację do samego szefa ABW, pytając go o zabezpieczenie sieci teleinformatycznych w Polsce przed cyberatakami. Zaniepokojony artykułami w prasie RPO pytał Bondaryka, na ile urzędy państwowe są zabezpieczone przed zakłóceniami i blokadami serwerów, oraz prosił o informację, czy "badane są źródła informacji pojawiających się na forach internetowych, które w okresie napięć politycznych, zwłaszcza podczas ostatniej wizyty prezydenta Rzeczypospolitej Polskiej i innych przedstawicieli władz państwa w Gruzji, noszą cechy informatycznej propagandy". Rzecznik chciał również wiedzieć, czy sieci teleinformatyczne urzędów państwowych, systemów komunikacji i bankowe posiadają stosowne zabezpieczenia oraz jak ABW ocenia stan bezpieczeństwa państwa "w zakresie ochrony przed bezprawnymi działaniami w cyberprzestrzeni, a także, czy odnotowano tego rodzaju przypadki i jaka jest skala zagrożeń w tej materii".
W odpowiedzi Bondaryk poinformował rzecznika, że „w MSWiA podjęto prace nad rządowym planem ochrony cyberprzestrzeni, a także trwają prace legislacyjne zmierzające do ochrony infrastruktury krytycznej państwa. ABW zgłosi propozycje ochrony cyberprzestrzeni”.
Dokument o którym wspomina Bondaryk to „Rządowy program ochrony cyberprzestrzeni na lata 2009 –2011”, przyjęty przez rząd Tuska w marcu 2009 roku. Dokument najważniejszy, jeśli chcemy dokonać oceny zamiarów obecnej ekipy w zakresie nadzoru teleinformatycznego. Myślę, że niewiele osób miało możliwość zapoznania się z tym dokumentem, a jeszcze mniej ma świadomość zagrożeń, jakie może przynieść jego realizacja.
Najważniejsze cele programu to „zwiększenie poziomu bezpieczeństwa krytycznej infrastruktury teleinformatycznej państwa skutkujące zwiększeniem poziomu odporności państwa na ataki cyberterrorystyczne, oraz stworzenie i realizacja spójnej dla wszystkich zaangażowanych podmiotów administracji publicznej oraz innych współstanowiących krytyczną infrastrukturę teleinformatyczną państwa polityki dotyczącej bezpieczeństwa cyberprzestrzeni”.
Nie trzeba nikogo przekonywać, że w obliczu realnego zagrożenia tzw. cyberterroryzmem tworzenie tego rodzaju opracowań rządowych jest rzeczą potrzebną, a wręcz konieczną. Podobne programy powstały w wielu państwach unijnych i spełniają rolę gwaranta bezpieczeństwa teleinformatycznego. Nie w każdym jednak państwie ogromne uprawnienia, wynikające ze szczegółowych ustaw i rozporządzeń trafiają w ręce człowieka, który – jak świadczą rozliczne przykłady - nie spełnia wymogów elementarnej rzetelności. To bowiem, co zapisano w programie wydaje się projektem „skrojonym” pod pana Bondaryka.
Jak możemy przeczytać, jego adresatami ma być „administracja publiczna i inne podmioty zarządzające zasobami krytycznej infrastruktury teleinformatycznej państwa oraz beneficjenci systemów, sieci i usług teleinformatycznych stanowiących krytyczną infrastrukturę teleinformatyczną państwa”.
Jednym z podstawowych założeń programu jest ścisła współpraca „realizatorów programu” z sektorem prywatnym – czyli „operatorami telekomunikacyjnymi dysponujących infrastrukturą telekomunikacyjną stanowiącą podstawę zapewnienia komunikacji w państwie. Należy jednak podkreślić, że zagadnienie ochrony cyberprzestrzeni nie dotyczy jedynie sfery teleinformatycznej, ale również sfery innych usług, np. usług sektora bankowego”.
Kim są owi „realizatorzy programu” dowiadujemy się na stronie 6 dokumentu:
„Realizatorami programu będą podmioty odpowiedzialne za ochronę infrastruktury krytycznej kraju, w tym przede wszystkim krytycznej infrastruktury teleinformatycznej. Z tego względu wiodące role w realizacji programu odgrywać będą: Ministerstwo Spraw Wewnętrznych i Administracji (MSWiA) jako podmiot odpowiedzialny za informatyzację państwa oraz infrastrukturę krytyczną oraz Agencja Bezpieczeństwa Wewnętrznego (ABW) jako podmiot odpowiedzialny za bezpieczeństwo wewnętrzne państwa.
Ponieważ jedynie nieznaczna część infrastruktury krytycznej, w tym teleinformatycznej, jest własnością państwa, natomiast większość zasobów stanowi własność prywatną, dużą rolę w realizacji programu powinny mieć te podmioty prywatne, które są właścicielami zasobów stanowiących infrastrukturę państwa”.
By nie było wątpliwości, program zakłada, że „odpowiedzialność za koordynację działań przeciw cyberprzestępczości oraz realizację programu sprawować będzie Minister Spraw Wewnętrznych i Administracji jako minister właściwy dla zagadnień dotyczących informatyzacji państwa i bezpieczeństwa publicznego, a odpowiedzialność za podejmowanie działań przeciw cyberterroryzmowi, jako szczególnych przypadków cyberprzestępstw, sprawować będzie Szef Agencji Bezpieczeństwa Wewnętrznego”.
Projekt przewiduje zatem, że Krzysztof Bondaryk będzie posiadał nieograniczone wprost kompetencje w zakresie „współpracy z sektorem prywatnym” – czyli również swoim niedawnym pracodawcą - Polską Telefonią Cyfrową, bankami i licznymi przedsiębiorstwami, m.in. należącymi do Zygmunta Solorza. Ponieważ współpraca odbywać się będzie w ramach zarządzania tzw. infrastrukturą krytyczną, kluczową dla bezpieczeństwa państwa, nie istnieją praktycznie żadne możliwości sprawowania nadzoru nad tym procesem, a wszystkie decyzje ABW w tej kwestii pozostaną utajnione.
Ponadto - Bondaryka obdarza się prawem do „podejmowania działań przeciwko cyberterroryzmowi”.
Problem polega na tym, że dotąd w polskim prawie nie istnieją definicje pojęć „cyberterroryzm” i „cyberprzestępstwo” - o czym zresztą wspomina się w programie -postulując konieczność prawnego zdefiniowania tych terminów. Można zatem łatwo przewidzieć w jakim kierunku pójdzie praktyka działania. Jeśli bowiem na str.10 stwierdza się, iż „ brak precyzyjnych definicji może powodować wątpliwości polegające na trudności w ustaleniu organu właściwego dla ścigania sprawców cyberprzestępstwa”, by już na następnej obdarzyć szefa ABW odpowiedzialnością za „działania przeciw cyberterroryzmowi” – nietrudno dociec, że praktyka ścigania cyberprzestępców wyprzedzi długoletnie, prawnicze spory. Przy braku szczegółowej regulacji jest oczywiste, że ABW może w praktyce zaliczyć do cyberprzestępców każdego internautę, portal lub firmę, a jedynym kryterium „cyberprzestępstwa” będzie ocena szefa ABW. Jeśli nawet w postępowaniu sądowym, zarzut okaże się bezprzedmiotowy, podejrzenie o enigmatyczne „cyberprzestępstwo” wystarczy, by wobec delikwenta podjąć działania operacyjne; inwigilację, podsłuch itp.
Uprawnienia Bondaryka wyszczególniono na str.14. Mają do nich należeć m.in.:
-opracowanie oraz zarządzanie systemem koordynacji zwalczania, przeciwdziałania i reagowania na zagrożenia i ataki na cyberprzestrzeń państwa, w tym prowadzenie rejestru systemu krytycznej infrastruktury teleinformatycznej państwa. Szef ABW powinien dokonywać wpisu do powyższego rejestru – z urzędu – w przypadku organów administracji rządowej, samorządowej, państwowych osób prawnych jak i – na wniosek – w przypadku przedsiębiorstw i organizacji społecznych realizujących zadania publiczne,
- gromadzenie i przetwarzanie informacji w rejestrze oraz ich udostępnianie,
- opracowywanie analiz w zakresie krytycznej infrastruktury teleinformatycznej państwa,
- kontrolę ochrony systemu lub sieci teleinformatycznej wpisanej do rejestru,
Dodatkowy, ogromny obszar władzy dotyczy tzw. administratorów systemu. Projekt bowiem przewiduje, że „w każdej jednostce organizacyjnej w ramach systemu ochrony krytycznej infrastruktury teleinformatycznej zostanie powołany administrator systemu. W tym celu określone zostaną minimalne wymagania do obsady stanowiska administratora. Wśród wymagań dla administratorów, które będzie musiał spełnić kandydat na to stanowisko będzie obowiązek posiadania stosownego certyfikatu poświadczającego odbycie specjalistycznego przeszkolenia przez ABW lub SKW w ramach swojego obszaru kompetencyjnego”.
Tym samym, zmonopolizowany już niemal w całości przez ABW „rynek” certyfikatów bezpieczeństwa zostanie poszerzony o nowe możliwości wpływów.
Na podstawie prerogatyw wynikających z tego projektu ABW – jako instytucja nadzorująca, będzie miała prawo wstępu do obiektów i pomieszczeń tysięcy podmiotów gospodarczych, wglądu w ich dokumentację techniczną, żądania udostępnienia do kontroli systemu lub sieci teleinformatycznej, wydawania poleceń pokontrolnych i żądania wyjaśnień.
Pierwsze efekty rządowego programu, widoczne są już w nowelizacji ustawy o zarządzaniu kryzysowym i wzbudziły uzasadnione zastrzeżenia Rzecznika Praw Obywatelskich.
Wojciech Wybranowski w dzisiejszej „Rzeczpospolitej” pisze, że „Kontrowersje wzbudzają głównie nowe przepisy nakazujące firmom zarządzającym tzw. infrastrukturą krytyczną (to np. wodociągi, teleinformatyka, transport) obowiązek wyznaczenia pełnomocników do kontaktów z Agencją Bezpieczeństwa Wewnętrznego. Projekt, zdaniem krytyków, daje też agencji niekontrolowany dostęp do informacji oraz dokumentów w tych przedsiębiorstwach. Przedstawiciele ABW uczestniczyli w pracach nad nowymi przepisami”.
W czerwcu br. roku pismo w tej sprawie skierował do rzecznika klub PiS, prosząc o opinię na temat projektu ustawy. Obawy Janusza Kochanowskiego dotyczą art. 13a ustawy, który przyznaje szefowi ABW prawo do wydawania specjalnych zaleceń zarządom przedsiębiorstw. Kochanowski jest zaniepokojony, że ustawa nie precyzuje charakteru tych poleceń, a także nie wprowadza możliwości odwołania się od nich.
Zagrożeń wynikających z rządowego programu ochrony cyberprzestrzeni jest znacznie więcej, niż próbowałem tu wskazać. Dopiero przełożenie go na konkretne ustawy i rozporządzenia, może ukazać prawdziwą skalę niebezpieczeństwa. Warto podkreślić, że nie sam program stanowi zagrożenie i byłoby absurdem upatrywanie w nim wyłącznie ograniczeń dla naszych wolności, lub pola do korupcji i nadużyć. Problem pojawia się wówczas, gdy tego rodzaju uprawnienia trafią do instytucji, na której czele stoi człowiek uwikłany w niejasne, biznesowe relacje, podatny na naciski, owładnięty obsesją budowania swojej pozycji poprzez gromadzenie informacji. Tym samym - realna władza, jaką może nabyć ten człowiek jest niewspółmiernie wielka do poziomu jego kwalifikacji, a przede wszystkim - predyspozycji moralnych.
Kończąc cykl poświęcony „nietykalnemu” mam świadomość, że pan Bondaryk nieprędko zniknie z polskiej sceny politycznej i nadal trzeba z wielką uwagą przyglądać się jego poczynaniom, dostrzegając zagrożenia tam, gdzie one rzeczywiście istnieją.
Skłonności Krzysztofa Bondaryka, nie idą bowiem w parze z jawnością działań podejmowanych przez ABW, ani obowiązkiem udzielania wyjaśnień podmiotom uprawnionym do stawiania trudnych pytań. Milczenie premiera w sprawie zarzutów dotyczących kontraktu z PTC oraz ignorowanie wszystkich, licznych oskarżeń dowodzi, że szef ABW ma mocną pozycję i został wyznaczony na wykonawcę planów rządzącego układu. Choć można snuć hipotezy próbując wyjaśnić fenomen „nietykalności” Bondaryka, nie sposób nie dostrzec, że intencje objęcia Polaków wielorakim nadzorem, a przy tym stworzenia biznesowego zaplecza dla „antyrozwojowych grup interesów” dają dostatecznie mocne i logiczne wyjaśnienie tym relacjom. W tak zdefiniowanym układzie, szef ABW spełnia rolę ogniwa pośredniczącego między mocodawcą, a kontrahentem w wykonywaniu konkretnych, zleconych przedsięwzięć.
Jeśli ten obraz nałożymy na realny potencjał władzy, zawarty w rządowym programie ochrony cyberprzestrzeni i dziesiątek innych przepisów umożliwiających Bondarykowi nadzór nad systemami informacji związanymi z naszą aktywnością życiową: ZUS, NIP, REGON, ewidencja skazanych, ewidencja pojazdów i gruntów, PESEL2, - pojawi się wizja państwa policyjnego, przy której utopia Orwela wyda się niegroźną, literacką baśnią.
Źródła:
http://www.rpo.gov.pl/pliki/12193195660.pdf
http://www.rpo.gov.pl/pliki/12384977680.pdf
http://www.rpo.gov.pl/index.php?md=5913&s=1
http://www.rpo.gov.pl/pliki/12299359850.pdf
http://www.stopkorupcji.org/tresc.php?subaction=showfull&id=1228314240&…;
http://www.rpo.gov.pl/pliki/1202392788.pdf
http://www.rpo.gov.pl/pliki/12048952730.pdf
http://www.rpo.gov.pl/pliki/12296889760.pdf
http://www.cert.gov.pl/images/stories/form/Zalozenia_Rzadowy_Program_Oc…
http://www.rp.pl/artykul/2,343688.html
Autor publikacji
Archiwum ABCNET 2002-2010