Gdyby w Trybunale Konstytucyjnym stosowano odpowiednie procedury bezpieczeństwa, szybko by odkryto, kto stoi za wyciekiem projektu orzeczenia
Upublicznienie projektu orzeczenia w sprawie grudniowej nowelizacji ustawy o Trybunale Konstytucyjnym skłania do pytań o skuteczność stosowanych procedur bezpieczeństwa. Na tym etapie wciąż nie wiadomo, czy wyciek był efektem ataku z zewnątrz, czy też został sprokurowany przez jednego z sędziów, asystentów bądź pracowników sądu konstytucyjnego. Odpowiedź na pytania mają przynieść postępowania wyjaśniające prowadzone wewnątrz trybunału oraz to wszczęte przez Prokuraturę Okręgową w Warszawie.
Samo istnienie projektu rozstrzygnięcia nie jest w praktyce trybunału niczym niezwykłym. Sędziowie przygotowując się do rozprawy odbywają posiedzenia, na których uciera się ich pogląd na sprawę oraz analizują stanowiska złożone przez uczestników postępowania. Co nie oznacza oczywiście, że rozprawa nie ma znaczenia, bo zdarza się, że pod jej wpływem sędziowie zmieniają swój pogląd. Zwłaszcza w sytuacjach, gdy sprawa nie jest jednoznaczna.
Procedury zostaną wzmocnione
– Nad wstępną wersją projektu orzeczenia pracuje sędzia sprawozdawca i na tym etapie dostęp do dokumentu mają co najwyżej jego asystenci. Dopiero gdy projekt nabierze już bardziej zaawansowanej formy, jest rozsyłany do pozostałych sędziów orzekających w danej sprawie. Gdy otrzymają projekt orzeczenia, dostęp do dokumentu mają jeszcze co najwyżej ich asystenci. Poza przypadkami, gdy sprawa jest przedłożona do rozstrzygnięcia pełnemu składowi, nie ma możliwości, aby sędzia niebędący członkiem składu w danej sprawie zapoznał się z jakimikolwiek projektami orzeczenia, ani by dowiedział się w jakim kierunku zmierza rozstrzygnięcie – mówi Wojciech Hermeliński, sędzia TK w stanie spoczynku, który do listopada ub. zasiadał w trybunale.
Projekt jest udostępniany pozostałym sędziom orzekającym w danej sprawie najczęściej za pomocą poczty elektronicznej. W przekazywaniu go od sędziego sprawozdawcy do składu technicznie pośredniczą wyznaczeni pracownicy sekretariatu TK. Co istotne, każdy sędzia dostaje ten sam projekt w tym samym czasie (jest to jeden e-mail z tym samym załącznikiem).
– Komunikacja mailowa jest oparta na poccie służbowej, zabezpieczonej okresowo zmienianymi hasłami, komputery są serwisowane i zabezpieczane przed ingerencją z zewnątrz, m. in. wyposażone w aktualizowanego antywirusa, nad działaniem poczty czuwa zespół informatyki – dodaje sędzia Hermeliński.
Sędziowie korzystają z poczty elektronicznej opartej na protokołach: SSL i TLS (standardy zapewniające poufność i integralność transmitowanych danych), a jak zapewnia biuro prasowe TK, w sądzie jest wdrożona polityka bezpieczeństwa informacji oraz procedury zarządzania systemem informatycznym. Jednak użytkownicy mający dostęp do określonego pliku mogą go zarówno kopiować, jak i drukować. Jak przyznaje Grażyna Leśniak z biura prasowego TK, ostatni przypadek prawdopodobnie wpłynie na zmianę postępowania z dokumentami.
Potrzebny jest system
– Skuteczne wdrożenie środków technicznych i procedur zapewniających bezpieczeństwo informacji jest możliwe tylko wtedy, gdy poszczególne mechanizmy zabezpieczające tworzą spójny system – mówi Tadeusz Kifner, niezależny konsultant w zakresie bezpieczeństwa informacji.
Na ten system składają się m.in. zabezpieczenia techniczne, takie jak np. szyfrowanie dysków w komputerach i na laptopach, szyfrowanie korespondencji mailowej w taki sposób, by nawet, gdy wiadomość trafi w niepowołane ręce, nie można było otworzyć załącznika. By uniemożliwić skopiowanie dokumentów, porty USB powinny być blokowane, nie powinno też być możliwości podłączania dysków zewnętrznych, pendrive’ów czy zgrania danych na płytę.
– Bezpieczeństwo zwiększa też minimalizowanie użycia komputerów czy laptopów na rzecz przetwarzania centralnego opartego o „wirtualny desktop”, gdzie wszystkie dane są dostępne na centralnym serwerze, a plików nie zapisuje się lokalnie na komputerze, ale wyłącznie w centralnym repozytorium z logowaniem aktywności. Dzięki temu, po zakończeniu pracy nad plikiem na komputerze lokalnym, nie zostają żadne ślady aktywności, co zabezpiecza przed przechwyceniem danych, np. w wypadku kradzieży laptopa. Z drugiej strony każda aktywność: zmiany w pliku, kopiowanie, drukowanie, jest monitorowane – mówi ekspert, który dodaje, że oprócz odpowiedniego zabezpieczenia od strony architektury IT bardzo ważna jest świadomość pracowników na temat zagrożeń.
Chodzi m.in. o to, by pracownicy byli wyczuleni na potencjalne ataki socjotechniczne, by bezwiednie nie udostępnili np. loginów i haseł czy innych informacji mogących pomóc w uzyskaniu nieautoryzowanego dostępu, a także by stosowali odpowiednie standardy w pracy, jak np. niepozostawianie włączonego i niezablokowanego komputera, usuwanie i zamykanie na klucz po skończonej pracy dokumentów z biurka czy też unikanie łączenia się ze służbowej poczty zdalnie, za pomocą prywatnego, narażonego na ataki telefonu.
Coraz większy nacisk na zabezpieczenie poufności obiegu dokumentów kładą kancelarie prawne.
– W tym celu zabezpieczane są nie tylko kanały komunikacyjne pomiędzy klientem a kancelarią, jak e-maile, nośniki danych czy dyski w chmurze, ale też wdrażane są wewnętrzne protokoły ograniczające dostęp pracowników kancelarii do określonych danych poufnych. Szyfrowanie e-maili, folderów czy dokumentów staje się standardem w pracy prawników obsługujących klientów biznesowych, rzadziej ma to miejsce w przypadku prawników obsługujących klientów indywidualnych. Standardem stał się zakaz wynoszenia poza kancelarię dokumentów klientów oraz nakaz pracy poza kancelarią jedynie na komputerach służbowych – mówi adwokat Mariusz Mosiołek.
Wyciek świadczy o bylejakości
– Wyciek projektu wyroku przed jego publikacją jest niewątpliwie zdarzeniem niefortunnym i nie powinien mieć miejsca. Zdarzenie to pokazuje, niestety po raz kolejny, panującą w instytucjach publicznych bylejakość – komentuje adwokat Zbigniew Krüger z poznańskiej kancelarii Krüger & Partnerzy. – Nie świadczy to najlepiej o instytucji, która być może będzie badać zgodność z konstytucją ustaw uderzających w prawo obywateli do ich prywatności, gdy instytucja ta sama nie dba o zachowanie poufności najważniejszych dokumentów roboczych – dodaje prawnik, który nie ma wątpliwości, że gdyby TK stosował odpowiednie środki bezpieczeństwa, to ryzyko wycieku byłoby zminimalizowane.
– Choć pewnie nie udałoby się uniknąć przecieku całkowicie – zaznacza.
W ocenie mec. Krüger można oczywiście rozważyć rezygnację z cyfrowej edycji dokumentów i powrót do pisania projektów za pomocą maszyny do pisania w sytuacjach, gdy względy bezpieczeństwa tego wymagają. Brzmi nieprawdopodobnie, ale maszyny do pisania wróciły do łask w niemieckiej administracji rządowej po ujawnieniu, że tamtejsze instytucje były inwigilowane przez amerykańską agencję bezpieczeństwa narodowego.