Minister cyfryzacji o programie Kaspersky Lab w polskiej administracji państwowej

20 listopada 2017, 17:27
Ministerstwo Cyfryzacji Logo achrom

Minister cyfryzacji Anna Streżyńska odpowiedziała na interpelację nr 16520, którą zgłosił Adam Andruszkiewicz z koła poselskiego Wolni i Solidarni. Związana była ona z wykorzystaniem programu antywirusowego Kaspersky Lab w polskiej administracji państwowej.

Adam Andruszkiewicz w piśmie z 25 października br. zadał minister dwa pytania: czy resort posiada informacje w jakich ważnych instytucjach państwowych jest używany program antywirusowy Kaspersky Lab oraz jakie działania podjął resort w celu eliminacji zagrożenia w polskiej administracji państwowej.

 

W odpowiedzi na pismo, minister Streżyńska stwierdza: „prawo polskie nie przewiduje żadnej formy rejestru na temat wykorzystywanego oprogramowania w instytucjach państwowych. Ministerstwo Cyfryzacji nie ma narzędzi prawnych pozwalających na sprawdzanie, jakie oprogramowanie jest stosowane w poszczególnych podmiotach publicznych”.

 

Dodała ona również, że zgodnie z obowiązującymi przepisami, tj. Ustawą z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570) „podmioty publiczne mają obowiązek zapewnienia m.in. sprawnej i bezpiecznej wymiany informacji w postaci elektronicznej między podmiotami publicznymi”. Konkretne wymogi zostały opisane w §20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2016 r. poz. 113).

 

Z Krajowych Ram Interoperacyjności wynika „wymóg zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami”. Innymi słowy, jak konkluduje minister: „odpowiedni dobór oprogramowania antywirusowego zależy zatem od decyzji poszczególnych podmiotów. Stosowanie środków zabezpieczeń w systemach teleinformatycznych związane jest z przeprowadzeniem dla takiego systemu szacowania ryzyka w zakresie bezpieczeństwa informacji. Zastosowanie środka zabezpieczenia (m.in. oprogramowania antywirusowego) wynika z przyjętego sposobu postępowania z ryzykiem, w tym z uwzględnienia ryzyka zastosowania samego środka zabezpieczającego”.

 

Streżyńska zwróciła również uwagę, iż kwestie zakupu danego oprogramowania przez podmioty administracji publicznej regulowane są Ustawą z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (Dz. U. z 2017 r. poz. 1579). Jak wynika z jej zapisów, istnieje możliwość odstąpienia od je stosowania m.in. w sytuacjach, związanym z zamówieniami:
„1) którym nadano klauzulę zgodnie z przepisami o ochronie informacji niejawnych lub
2) jeżeli wymaga tego istotny interes bezpieczeństwa państwa, lub
3) jeżeli wymaga tego ochrona bezpieczeństwa publicznego, lub
4) którym muszą towarzyszyć, na podstawie odrębnych przepisów, szczególne środki bezpieczeństwa.

 

Jak dodaje minister, chodzi o zakres, „w jakim ochrona istotnych interesów dotyczących bezpieczeństwa państwa określonych w w/w pkt. nie może zostać zagwarantowana w inny sposób niż udzielenie zamówienia bez zastosowania ustawy”. Zarówno decyzyjność oraz odpowiedzialność za konkretny przypadek ponosi kierownik zamawiający danego podmiotu administracji.

 

W odpowiedzi na interpelację Streżyńska wspomniała także oddany do konsultacji 31 października br. projekt ustawy o krajowym systemie bezpieczeństwa. Zakłada on zapewnienie „niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług. Efektem będzie podniesienie odporności kluczowych usług świadczonych z wykorzystaniem technologii informacyjnych na ataki pochodzące z cyberprzestrzeni. System będzie obejmować operatorów usług kluczowych – wśród których mogą się znaleźć również podmioty będące administracją publiczną – dostawców usług cyfrowych, zespoły CSIRT poziomu krajowego, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, organy właściwe do spraw cyberbezpieczeństwa, pojedynczy punkt kontaktowy do spraw cyberbezpieczeństwa”.

KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24