Należyte zabezpieczenie systemów informatycznych państwa należy w dzisiejszych czasach do absolutnych priorytetów. W Polsce rozwiązaniem prawnym służącym temu celowi jest krajowy system cyberbezpieczeństwa. Teraz rząd wziął się za jego reformowanie. Niestety, fatalna legislacja i przyjęcie arbitralnych kryteriów przysłaniają w tym przypadku dobre chęci.
Krajowy system cyberbezpieczeństwa stanowi podstawowe ramy prawne ochrony instytucji państwa przed atakami w cyberprzestrzeni
Z punktu widzenia interesów państwa bezpieczeństwo przepływu danych w najważniejszych instytucjach ma kluczowe znaczenie. Naiwnością w końcu byłoby sądzić, że cyberprzestrzeń to strefa, w której największe zagrożenie stanowi grupka znudzonych internautów, trolli i domorosłych hakerów. Prowadzeniem tego typu działań, na dużo większą skalę, interesują się także tajne służby i rządy.
Najlepszym przykładem mogą być w tym przypadku działania służb rosyjskich, oskarżanych nie tylko o ingerencję w poprzednie wybory prezydenckie w USA. Tamtejszym profesjonalnym hakerom przypisuje się atak na Estonię w 2007 r. Zablokowano wówczas zarówno strony internetowe, jak i serwery tamtejszego Zgromadzenia Państwowego, agend rządowych, banków i mediów. Nie sposób także nie wspomnieć o skutecznych izraelskich cyberatakach na irański program atomowy.
Dlatego właśnie rozsądne państwa działają na rzecz zapewnienia ochrony systemów informatycznych swojej administracji i swoich instytucji. W Polsce ramy prawne takich działań określa krajowy system cyberbezpieczeństwa. Wygląda na to, że rządzący postanowili go zreformować. To zasadniczo całkiem rozsądny pomysł. Problem w tym, że przygotowana przez nich nowela sprawia wrażenie projektu, w najlepszym wypadku, stworzonego w pośpiechu. W najgorszym – z dużą dozą złej woli.
Warto przy tym zaznaczyć, że prace nad projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz prawa telekomunikacyjnego trwają już przynajmniej od drugiej połowy zeszłego roku. Poprzednia wersja trafiła do konsultacji społecznych, obecna nawet uwzględniła część zgłoszonych uwag. Problem w tym, że projektodawcy pozostawili w projekcie szereg kontrowersyjnych propozycji.
Projekt ustawy to narzędzie do podejmowania szybkich, arbitralnych i praktycznie niewzruszalnych decyzji
Postulowany nowy art. 66a pierwszej ustawy pozwoli ministrowi właściwego do spraw informatyzacji, obecnie jest nim premier Mateusz Morawiecki, uznać dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Przesłanką do wydania takiej decyzji administracyjnej będzie „stwierdzenie poważnego zagrożenia dla bezpieczeństwa narodowego ze strony dostawcy sprzętu lub oprogramowania„.
Proponowany krajowy system cyberbezpieczeństwa definiuje „wysokie ryzyko” jako występujące wówczas, gdy „dostawca sprzętu lub oprogramowania stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa i zmniejszenie poziomu tego ryzyka przez wdrożenie środków technicznych lub organizacyjnych nie jest możliwe„. Tylko co z tego tak naprawdę wynika?
Samo pojęcie „bezpieczeństwa narodowego” nie posiada żadnej definicji legalnej. Stosowanie pojęć nieostrych w projektowaniu przepisów prawa nieuchronnie skutkuje powstawaniem wątpliwości interpretacyjnych przy ich stosowaniu. Dodatkowo sprzyja interpretowaniu tak stworzonego przepisu w sposób uznaniowy.
Zasady prawidłowej legislacji sugerują stosować pojęcia nieostre wtedy, gdy prawodawcy zależy na zapewnieniu elastyczności danego aktu prawnego. W tym konkretnym przypadku chęć uelastycznienia wydaje się iść za daleko. Wydaje się wręcz, że motywem przewodnim projektu jest właśnie wola dania ministrowi właściwemu do spraw informatyzacji narzędzia właśnie do podejmowania szybkich, arbitralnych i praktycznie niewzruszalnych decyzji.
Zaproponowana klauzula natychmiastowej wykonalności ministerialnej decyzji prowadzi do czysto pozornej możliwości jej zaskarżenia
Warto w tym momencie wspomnieć o najważniejszej chyba kwestii – co się właściwie stanie w sytuacji, gdy minister wskaże jakiegoś „dostawcę wysokiego ryzyka”? Taki podmiot mógłby w zasadzie zapomnieć o dostępie do zamówień publicznych. Zgodnie z nowym art. 66b sprzęt takiej firmy byłby wręcz wycofywany z użytku przez podmioty krajowego systemu cyberbezpieczeństwa.
Jakby tego było mało, decyzja taka podlega rygorowi natychmiastowej wykonalności. Niezależenie od toczącego się właśnie postępowania odwoławczego, instytucje państwa byłyby zobowiązane do rozpoczęcia usuwania ze swoich zasobów sprzętu z chwilą wydania decyzji.
Zastosowanie w tym przypadku rygoru natychmiastowej wykonalności nie ma większego sensu. Ogranicza bowiem prawa dostawcy – do sprawiedliwego i rzetelnego procesu, do sądu, czy do wniesienia skutecznego środka zaskarżenia w ogóle. Chyba że sensem takiego rozwiązania jest właśnie upewnienie się, że taki „dostawca wysokiego ryzyka” w praktyce nie będzie mógł wzruszyć decyzji wydanej przez ministra.
Odstępstwa od przepisów Kodeksu Postępowania Administracyjnego tylko pogłębiają wrażenie arbitralności całego projektu
Kolejnym elementem projektu wpisującym się w ten schemat jest zakładana procedura załatwiania tego typu spraw. Teoretycznie decyzję o uznaniu danego dostawcy za niepożądanego, to znaczy: „dostawcę wysokiego ryzyka”, minister miałby podejmować w formie decyzji administracyjnej. To dobra wiadomość, bo Kodeks Postępowania Administracyjnego zapewnia stronie szereg określonych gwarancji uczciwego załatwiania jej sprawy przez organ.
Problem w tym, że procedura administracyjna stosowana byłaby w praktyce jedynie wtedy, jeśli ustawa nie reguluje jakiejś materii odmiennie. Jak się łatwo domyślić, takich przypadków w projekcie znajdziemy całkiem sporo. Minister może na przykład zrezygnować ze sporządzania uzasadnienia wydania decyzji – ze względu na obronność albo bezpieczeństwo państwa. Jak już wspomniano wyżej, „bezpieczeństwo państwa” nie posiada definicji legalnej…
Jak w takim razie „dostawca wysokiego ryzyka” miałby się skutecznie od takiej decyzji odwołać? Trudno powiedzieć. Z pewnością taki podmiot nie miałby żadnej realnej szansy ustosunkować się w postępowaniu odwoławczym do rządowych zastrzeżeń, jeśliby nie miał możliwości ich poznania. Temu przecież służy właśnie uzasadnienie wydania decyzji.
Przewidziana przez projekt droga odwoławcza na każdym niemal kroku pozbawia dostawcę jakiegoś prawa przynależnego stronie
Warto przy tym wspomnieć, że dostawca będzie miał 14 dni na złożenie odwołania, które następnie Kolegium do Spraw Cyberbezpieczeństwa rozpatrzy w ciągu 2 miesięcy od jego otrzymania. Do momentu uzyskania prawomocnego wyroku sądu taka firma nie mogłaby zostać dopuszczona do żadnego rządowego zamówienia. Obejmuje to także zamówienia publiczne będące już w trakcie stosownej procedury. „Dostawca wysokiego ryzyka” po prostu nie będzie mógł wygrać żadnego przetargu.
Jakby tego było mało, przewidziane przez projekt środki odwoławcze dodatkowo utrudniają także sądowe dochodzenie swoich praw. Sąd administracyjny rozpatruje skargę na posiedzeniu niejawnym. Odpis sentencji wyroku z uzasadnieniem dostarcza się wyłącznie ministrowi. Druga strona sporu otrzyma jedynie odpis wyroku zawierający tą część uzasadnienia, która nie wymaga utajnienia ze względu na ochronę informacji niejawnych.
W ten sposób także wniesienie środków odwoławczych do sądu wyższej instancji może wysoce utrudnione. Warto także wspomnieć, że projekt nie przewiduje możliwości wstrzymania wykonalności decyzji przez sąd. Rozwiązanie takie zakrawa wręcz na absurd. Pamiętajmy w końcu, że przez cały ten czas instytucje państwowe byłyby zobowiązane do usuwania sprzętu i oprogramowania pochodzące od takiego podmiotu.
Krajowy system cyberbezpieczeństwa powinien opierać się o precyzyjne definicje i kryteria czysto techniczne
Oczywiście, jakieś kryteria oceny poszczególnych podmiotów postulowany krajowy system cyberbezpieczeństwa zawiera. Oceny danego dostawcy nie opiera się na kryteriach technicznych lub certyfikacyjnych. Projektodawca postanowił za to uwzględnić pochodzenie sprzętu.
Z mocy ustawy jako bardziej zaufane traktowalibyśmy sprzęt pochodzący z państw NATO i Europejskiego Obszaru Gospodarczego. Na pierwszy rzut oka brzmi to całkiem sensownie. W praktyce jednak trudno oprzeć się wrażeniu, że chodzi o preferencje dla jednych konkretnych firm kosztem innych, również konkretnych.
Osobną kwestię stanowi załącznik nr 3 do projektu zatytułowany „Kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług”. Akurat w tym przypadku autorom projektu zabrakło elastyczności. Dobrą praktyką w innych państwach jest przygotowywanie tego typu list przez regulatora rynku telekomunikacyjnego. Tymczasem postulowany krajowy system cyberbezpieczeństwa opierałby się o listę stanowiącą załącznik do ustawy.
Takie rozwiązanie jest podwójnie szkodliwe. Każda potencjalna zmiana wymagałaby nowelizacji całej ustawy. To nie sprzyja szybkiemu reagowaniu na zmiany na rynku. Co więcej, lista przygotowana w projekcie sprawia wrażenie przygotowanej bez odpowiedniej weryfikacji technicznej i rynkowej. Ot, kolejny przykład arbitralnych ciągotek całego projektu.
Warto podkreślić, że wprowadzenie do projektu ustawy załącznika nr 3 nigdy nie było konsultowane z podmiotami działającymi na rynku. Podobnie zresztą jak wprowadzenie pojęcia „narodowego operatora”. Ktoś złośliwy mógłby stwierdzić, że w dzisiejszej Polsce wszystko musi być „narodowe”. W praktyce warto się jednak skupić bardziej na aspekcie czysto technicznym.
Projekt zakłada na przykład uznanie sieci radiowej za infrastrukturę krytyczną. Narodowy operator ma otrzymać za darmo dostęp do częstotliwości 80 MHz, podczas gdy inne podmioty muszą za dokładnie to samo płacić. Jest to propozycja sprzeczna między innymi z prawem Unii Europejskiej. Co więcej, narodowy operator będzie mógł korzystać z praktycznie dowolnej infrastruktury. Jeśli jej właściciel nie będzie chciał jej udostępnić, to zostanie zmuszony decyzją Urzędu Komunikacji Elektronicznej.
Jeżeli chodziło o możliwość odcięcia z dnia na dzień dowolnego dostawcy od zamówień publicznych, to chyba się udało
Nie da się ukryć, że tak skonstruowany krajowy system cyberbezpieczeństwa wcale nie służy zwiększeniu bezpieczeństwa instytucji naszego państwa. To zbiór ogólników, bardzo podatnych na swobodną interpretację. Jednocześnie znacząco ogranicza prawa podmiotu uznanego za dostawcę wysokiego ryzyka. Trudno mówić w tym przypadku o jakimkolwiek sprawiedliwym podejściu.
Jakby tego było mało, rządzący nie tylko – jak już wspomniano wyżej – nie uwzględnili wielu sugestii złożonych przez stronę społeczną w toku poprzednich konsultacji, ale w ogóle nie zaplanowali żadnych w przypadku tej wersji projektu.
Oczywiście, krajowy system cyberbezpieczeństwa powinien wykazywać daleko idącą elastyczność. Postęp w technologiach informatycznych sprawia, że stan prawny może dość szybko przestać nadążać za rzeczywistością. Nie oznacza to jednak, że przepisy powinny ignorować podstawowe zasady funkcjonowania administracji. Prawo nie może być z góry projektowane tak, by umożliwiać organom arbitralne rozstrzygnięcia bez realnej możliwości jego wzruszenia. Nawet uznanie administracyjne ma swoje granice.
Tworzenie sobie narzędzia pozwalającego w teorii z dnia na dzień odciąć dowolnego dostawcę od zamówień publicznych nie rozwiązuje żadnego problemu. Co najwyżej tworzy szereg kolejnych, związanych raczej z kwestią praworządności.