Bezpieczeństwo Wewnętrzne
Czas na nowy model systemu ochrony tajemnicy państwowej w Polsce
Jednym z warunków przyjęcia Polski do Sojuszu Północnoatlantyckiego była zmiana obowiązującej od 1982 r. (okres stanu wojennego) ustawy o tajemnicy państwowej i służbowej. W styczniu 1999 r. przyjęto ustawę o ochronie informacji niejawnych, która diametralnie zmieniała system pojęciowy dot. ochrony tajemnic Państwa. Ustawa zawierała m.in. katalog informacji objętych tajemnicą „ściśle tajne” oraz „tajne” oraz opisywała tryb uzyskiwania dostępu do tajemnic. Po kilkudziesięciu nowelizacjach, w sierpniu 2010 r., parlament uchwalił nową - obowiązującą do dziś - ustawę o ochronie informacji niejawnych.
Po ok. 20 latach od zasadniczej zmiany w podejściu do informacji niejawnych, można, a nawet należy, pokusić się o ocenę aktualnego systemu ochrony informacji niejawnych w kraju. Aktualnie toczą się prace nad kolejną wersją ustawy, być może jest to właściwy moment na podjęcie dyskusji nad nowymi rozwiązaniami systemowymi.
Poniżej przedstawiam kilka uwag, które mogą służyć jako przyczynek do dyskusji o owym systemie i ewentualnie o potrzebie jego zmiany.
Za dużo osób ma dostęp do informacji niejawnych o najwyższych klauzulach tajności z uwagi na brak mechanizmów weryfikujących zasadność występowania z wnioskami o przeprowadzenie postępowania sprawdzającego we wnioskowanym zakresie.
Postępowania realizowane są wobec całej rzeszy pracowników, którzy w zakresie swoich obowiązków nie mają zadań związanych z dostępem do informacji niejawnych. Postępowania robi się “na wszelki wypadek” oraz w celu wykazania gorliwości w zakresie dbałości o ochronę informacji niejawnych. Zdarza się, że pracodawcy, u których funkcjonuje system ochrony informacji niejawnych, traktują postępowania sprawdzające jako element dyscyplinowania pracowników.
Brak uregulowań nakazujących posiadania stosownego dostępu do informacji niejawnych.
Z drugiej strony są przypadki osób zajmujących najwyższe stanowiska w administracji rządowej, które powinny mieć poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o najwyższej klauzuli tajności, a odmawiają poddania się postępowaniu sprawdzającemu. Widoczny jest brak woli, aby zmusić urzędników najwyższego szczebla, by poddali się postępowaniu sprawdzającemu. W tym przypadku tworzy się zjawisko niebezpieczne dla szczelności systemu chroniącego informacje niejawne. Postępowanie sprawdzające w najszerszym wymaganym zakresie przeprowadza się nie w stosunku do kierownika jednostki, ale osoby na niższym stanowisku. Należy założyć, że w takiej sytuacji kierownik jednostki organizacyjnej i tak uzyska ewentualny dostęp do informacji niejawnych o najwyższej klauzuli tajności, jeżeli taka wpłynie do jednostki. Dysponuje wystarczającymi środkami nacisku, aby zmusić podwładnego do przekazana mu tej informacji. W takich sytuacjach tworzy się układ podobny jak w przypadku dającego i przyjmującego łapówkę – każda ze stron jest zainteresowana, by proceder nie ujrzał światła dziennego. W zamian za zachowanie stanowiska lub pozostanie w pracy, popełniając przestępstwo osoba przekazuje informacje niejawne przełożonemu. Przełożony, wykorzystując zależność pracownika, również popełnia czyn karalny i z pewnością nie będzie się z tym obnosił. W takim wypadku jeżeli osoba nieformalnie dowie się o treści tajemnicy i ujawni ją, ustalenie jej jako sprawcy przestępstwa byłoby niezwykle trudne, jako że nie ma nigdzie śladu, że zapoznała się z jej treścią.
Jak widać obydwa ww. zjawiska stanowią patologię, nad przyczynami której należy się zastanowić.
Weryfikacja Ankiety Bezpieczeństwa Osobowego jako główny element systemu ochrony informacji niejawnych.
Obecny model ochrony informacji niejawnych koncentruje się na aspekcie sprawdzania osób mających mieć dostęp do informacji niejawnych oraz wydawania poświadczeń, które jawią się jako zasadnicze dla całego systemu zabezpieczenia informacji niejawnych. Wynika on z faktu, iż podmioty mające kluczowe znaczenie dla tworzonego systemu, tj. Agencja Bezpieczeństwa Państwa oraz Służba Kontrwywiadu Wojskowego, same tworzą przepisy, za których przestrzeganie później odpowiadają. Wiedzą, że przeprowadzenie procedury quasi-administracyjnej jest stosunkowo łatwe i że, w przypadku ewentualnych problemów, wykazanie się prawidłowym przeprowadzeniem tych procedur, nie nadwątli wizerunku służb. Pojawiające się problemy nie skłaniają obu tych służb do refleksji nad sprawnością funkcjonowania systemu, ale koncentrują się na wskazaniu winnych.
Zgodnie z ustawą o OIN postępowanie sprawdzające powinno zostać zakończone w ciągu maksymalnie 3 miesięcy. Normą jest, iż postępowanie służby prowadzą przez ok. 1 rok lub dłużej. Przewrotnie – ich przewlekłość jest tłumaczona skrupulatnością owego postępowania.
Za przedstawioną filozofią przemawia rozmiar (zawartość) ankiety bezpieczeństwa osobowego. Ilość i szczegółowość danych, które muszą w niej zostać zamieszczone, powodują, że konieczność poddania się procedurze sprawdzianowej traktowania jest przez pracowników jako nadmierna uciążliwość. Kto ma taką możliwość – unika złożenia ankiety. Kto ma taką możliwość (kierownicy niektórych urzędów) unikają przekazania służbom informacji, które w powszechnym odczuciu nie służą do stwierdzenia, czy osoba daje czy nie daje rękojmi zachowania tajemnicy. Domniemywa się bowiem, że tak szeroki zakres informacji gromadzony jest przez służby dla ich własnych celów, by móc wykorzystać je przeciwko danej osobie. W ten sposób państwo i jego organy postrzegane są jako wrogie i opresyjne. Sytuacja ta nie służy budowaniu zaufania obywateli do Państwa.
Działalność szkoleniowa w zakresie ochrony informacji niejawnych realizowana przez służby.
Osobne zagadnienie dotyczy aktywności służb w zakresie działalności szkoleniowej w zakresie OIN. Doświadczenia osób najbardziej zainteresowanych, tj. pełniących funkcje pełnomocników ochrony i kierowników kancelarii tajnych niestety nie napawają optymizmem. Sposób prowadzenia szkoleń przez służby i zakres przekazywanej w ich trakcie wiedzy nie zachwycają. Szkolenia zwykle ograniczają się do przekazania tego, co każda z osób może przeczytać w ustawie czy aktach wykonawczych. Brakuje zajęć o charakterze praktycznym, ćwiczeń i warsztatów. Po wstępnym przeszkoleniu, a właściwie przedstawieniu na slajdach treści obowiązujących przepisów, kończy się aktywna rola służb państwowych. Od tego momentu inicjatywa zostaje przekazana w ręce prywatnych podmiotów, których działalność w znacznej mierze koncentruje się na próbie określenia tego, co powinno być dla każdego zainteresowanego dostępne i przekazane przez organ, który przeprowadził szkolenie z zakresu ochrony informacji niejawnych.
Forum pełnomocników ochrony prowadzone przez ABW na jej stronie internetowej, nie jest miejscem, w którym można uzyskać kompetentną i przede wszystkim wiążącą odpowiedź na pojawiające się pytania i przedstawiane problemy. Nie ma na nim możliwości zadania pytania przedstawicielom ABW. Brak interakcji ze strony Departamentu Ochrony Informacji Niejawnych oraz Departamentu Bezpieczeństwa Teleinformatycznego ABW pogłębia brak zaufania do kompetencji funkcjonariuszy tej służby.
Prowadzenie postępowań przed wydaniem świadectwa bezpieczeństwa przemysłowego dla przedsiębiorców.
Zgodnie z ustawą o OIN, postępowanie związane w wydaniem świadectwa bezpieczeństwa przemysłowego powinno być zakończone przez służby w terminie 6 miesięcy. Termin ten w praktyce nigdy nie jest dotrzymywany. Zapis ten, podobnie jak termin realizacji poświadczenia bezpieczeństwa (3 miesiące), jest zapisem martwym, tym bardziej, że nie istnieje instancja wyższa, do której można złożyć ew. skargę na przewlekłość postępowania. Lekceważący stosunek do owych terminów prezentowany przez ABW, podważa w oczach podmiotów zainteresowanych, profesjonalizm działań służb.
Funkcjonariusze prowadzący postępowania najczęściej nie mają doświadczeń związanych z biznesem, stąd realizowana przez nich weryfikacja wiarygodności biznesowej badanego przedsiębiorstwa, zwłaszcza o skomplikowanej strukturze własnościowej, jest iluzoryczna. Prowadzenie postępowania polega głównie na “zbieraniu papierków”: różnego rodzaju dokumentów i oświadczeń, często dublowanych z uwagi na okres prowadzenia postępowania.
Prowadzenie czynności audytowych i kontrolnych.
Służby prowadzą działania związane z odbiorami kancelarii tajnych (audyty) oraz kontrole: planowe i doraźne. Praktyka tych działań wskazuje, iż nie dokonuje się realnej oceny stanu zabezpieczeń, leczy sprawdza się jedynie poprawność formalną (certyfikaty i poświadczenia zgodności) na szafy, zamki, drzwi, okna, zastosowane elektroniczne systemy ochrony. W stosownym rozporządzeniu wskazano normy, które nie są powszechnie stosowane a również nie są aktualne. Poza tym opisy zabezpieczeń fizycznych, technicznych i organizacyjnych dotyczą osobnych budynków a nie przystają do sytuacji, gdy firma mieści się w obiekcie biurowym, który jest wynajmowany przez wiele niezależnych podmiotów i np. kontrola dostępu do pomieszczeń biurowych jest realizowana na wielu poziomach a obiekt, przykładowo, nie jest ogrodzony.
Prowadzenie akredytacji systemów teleinformatycznych służących do przetwarzania informacji niejawnych.
Brak stosownych wytycznych oraz przykładowych wzorów dokumentów utrudnia właściwe przygotowanie procesu akredytacji. Dodatkowo, wprowadzona rejonizacja polegająca na niezależnym prowadzeniu akredytacji przez właściwe miejscowo delegatury lub Centralę ABW, uniemożliwia jakąkolwiek unifikację dokumentacji. W efekcie, praktycznie jedynymi osobami, które są w stanie skutecznie przeprowadzić dla przedsiębiorców wzmiankowany proces, są byli funkcjonariusze ABW pełniący służbę w pionie bezpieczeństwa teleinformatycznego.
Wnioski
Myśląc o naprawie systemu, należy przeanalizować nie tylko kto powinien i kto musi mieć dostęp do najtajniejszych informacji. Należy się również zastanowić nad ograniczeniem zakresu informacji, które przekazywane są w nadmiernie rozbudowanej ankiecie bezpieczeństwa osobowego. Kierunek analizy powinien dotyczyć refleksji i sprawdzenia, jakie faktycznie informacje z przeszłości i otoczenia osoby sprawdzanej muszą zostać sprawdzone przed wydaniem poświadczenia, a które informacje z dotychczas zbieranych nic nie wnoszą (lub stosunkowo niewiele) dla stwierdzenia, czy osoba daje czy też nie daje rękojmi zachowania tajemnicy.
Z całą pewnością jednak szereg wpisywanych do ankiet informacji nie stanowi wsparcia przy podejmowaniu decyzji. Ciekawe jest na przykład, w ilu przypadkach uzyskano informacje od osób polecających, które okazały się istotne dla oceny czy osoba poddana postępowaniu daję rękojmię zachowania tajemnicy. Wydaje się, że wpisywanie w ankiecie tzw. osób polecających służy jedynie temu, by działania służb przed wydaniem poświadczenie widoczne były nie tylko dla osoby sprawdzanej, ale również by były zauważalne dla jej znajomych.
Wart zauważenia jest również brak konsekwencji: w ABO skrupulatnie wypisuje się wszelkie zobowiązania finansowe (łącznie ze stanem zadłużenia na kartach kredytowych i w tzw. kredytlinii na ROR), ale zupełnie pomija się należności. Tym samym ocena sytuacji finansowej osoby sprawdzanej jest ułomna i może prowadzić do zgoła nieprawdziwych wniosków.
Przyglądając się procedurze sprawdzeniowej, można odejść do wniosku, że niezwykle skrupulatne sprawdzenie członków rodziny i osób najbliższych dla osoby sprawdzanej, jej sytuacji finansowej i przeszłości daje gwarancję, że osoba ta w przyszłości będzie w sposób odpowiedzialny postępowała z informacjami niejawnymi, a informacje niejawne w jej rękach będą bezpieczne. Być może takie jest założenie, ale…
Znacznie większym problemem jest weryfikacja rękojmi zachowania tajemnicy przez osoby, które już poświadczenie otrzymały. Poświadczenia zachowują ważność przez okres od 5 do 10 lat i w tym czasie służby praktycznie nie kontrolują osób je posiadających. Co prawda ustawa o OIN przewiduje instytucję kontrolnego postępowania sprawdzającego. Pytanie – w jakim zakresie poprzez swoje działania służby pozyskują informacje o zdarzeniach stanowiących zagrożenie dla informacji niejawnych a w jakim zakresie jest podmiotem biernie czekającym na przekazanie jej takich informacji. Odpowiedź na to pytanie niestety nie wskazuje na służby jako aktywnych graczy na tym boisku. Są one biernym odbiorcą informacji przekazywanych przez media, organy ścigania a przede wszystkim przekazywanych przez same podmioty, w których doszło do niewłaściwego postępowania z informacjami niejawnymi.
Ponieważ niemalże całość aktywności służb skupia się na procesie wydawania poświadczeń bezpieczeństwa, służby te nie mają już sił ale i chęci, by wyjść poza schemat działania urzędu realizującego zadania w quasi-administracyjnej procedurze. Są niemalże całkowicie zdane na niezależne od siebie źródła, informujące je o incydentach. Same podejmują jedynie działania mające na celu zweryfikowanie prawdziwości i wagi przekazanych informacji. Ta bierność służb po wydaniu poświadczenia, wskazuje na ich ewidentną nieefektywność w zakresie dbałości o szczelność systemu.
Skoro zatem istniejący system ochrony informacji niejawnych nie opiera się na weryfikacji przez służby specjalne osób posiadających poświadczenia bezpieczeństwa, a jedynie na przeprowadzaniu przez nie postępowań quasi- administracyjnych, to można się zastanawiać, czy przeprowadzanie postępowań sprawdzających musi być powierzone organowi o charakterze służby specjalnej? Czy nie mógłby ich realizować organ administracji rządowej nie dysponującymi uprawnieniami o charakterze służby specjalnej? Może służby specjalne powinny zajmować się jedynie szczelnością systemu ochrony informacji niejawnych?
Ppłk rezerwy Czesław Rybak jest specjalistą w zakresie bezpieczeństwa narodowego, ze szczególnym uwzględnieniem bezpieczeństwa energetycznego.
W trakcie ponad dwudziestoletniej służby w UOP, SG i ABW (1993-2014) nabył wiele unikatowych kompetencji związanych z organizacją i funkcjonowaniem systemów bezpieczeństwa państwa. W jej trakcie kierował pracą dwóch delegatur ABW a także pełnił funkcję dyrektora Biura Kadr ABW. Jest ekspertem Fundacji Instytut Bezpieczeństwa i Strategii.