Polityka i prawo
Zapowiedź stworzenia Centralnego Biura Zwalczania Cyberprzestępczości. „Ważny nadzór etyczno-prawny”
Zapowiedź stworzenia Centralnego Biura Zwalczania Cyberprzestępczości (CBZC) sprawiła, że branży cyberbezpieczeństwa pojawiło się wiele pytań i wątpliwości. „Oceniam to pozytywnie. Ważne są szczegóły, czyli chociażby to, kto tam trafi w pierwszej kolejności. Ale także nadzór etyczno-prawny nad takimi uprawnieniami” – komentuje dr Łukasz Olejnik, badacz i konsultant cyberbezpieczeństwa dla CyberDefence24.pl
Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) będzie jednostką policji do zwalczania cyberprzestępczości w zakresie rozpoznawania, zapobiegania i zwalczania przestępstw popełnionych przy użyciu nowoczesnych technologii teleinformatycznych oraz wspierania innych jednostek policyjnych.
Powstanie nowej cybersłużby zapowiedziano w ubiegłym tygodniu podczas konferencji prasowej. Minister spraw wewnętrznych i administracji Mariusz Kamiński oświadczył, że będzie to służba „przede wszystkim dla wsparcia obywateli”.
Komendant Centralnego Biura Zwalczania Cyberprzestępczości, kierujący CBZC, będzie podlegał Komendantowi Głównemu Policji, a siedziba nowej jednostki ma znajdować się na warszawskich Szczęśliwicach. Powoływać go będzie minister na wniosek Komendata Głównego Policji.
Największe kontrowersje wzbudził zapis, wskazujący, że służba ta będzie mogła „używając urządzeń lub programów komputerowych (...) uzyskać dostęp do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego” (więcej na ten temat piszemy TUTAJ).
MSWiA: bez testu wiedzy i sprawności fizycznej, jak w policji
W związku z zapowiedzią utworzenia nowej służby, zadaliśmy kilka pytań MSWiA, m.in. o rekrutację i wymagania, jakie będą musieli spełnić nowi kandydaci.
Postępowanie kwalifikacyjne ma prowadzić Komendant CBZC po wcześniejszym uzyskaniu zgody Komendanta Głównego Policji. Jednym z elementów postępowania rekrutacyjnego ma być sprawdzenie wiedzy i umiejętności z zakresu informatyki i nowoczesnych technologii teleinformatycznych oraz znajomości języka obcego z tego obszaru.
„Osoba taka natomiast nie będzie przechodziła testu wiedzy i testu sprawności fizycznej, do jakich przystępują pozostali kandydaci do służby w policji. Po pozytywnym zakończeniu rekrutacji, osoba przyjęta do służby w CBZC nie będzie przechodziła procesu adaptacji służbowej w oddziale prewencji policji albo samodzielnym pododdziale prewencji” – dowiedziała się redakcja CyberDefence24.pl.
Podstawą CBZC funkcjonariusze z biura ds. walki z cyberprzestępczością
W początkowej fazie tworzenia CBZC jego podstawę będą tworzyli funkcjonariusze obecnie służący w Biurze do Walki z Cyberprzestępczością Komendy Głównej Policji oraz w komórkach komend wojewódzkich, bądź Komendy Stołecznej Policji, którzy zajmują się zwalczaniem cyberprzestępczości.
„Zostanie także powołany pełnomocnik Komendanta Głównego Policji do spraw utworzenia służby zwalczania cyberprzestępczości. W 6-miesięcznym okresie przejściowym – do czasu powołania Komendanta CBZC – będzie miał przedstawić Komendantowi Głównemu Policji propozycję obecnie służących policjantów do przeniesienia do dalszego pełnienia służby w CBZC. Pod uwagę będzie brana wiedza i umiejętności oraz znajomość języka obcego w zakresie informatyki i nowoczesnych technologii informatycznych” – poinformował nas Wydział Prasowy MSWiA.
Obecnie – w ramach Komendy Głównej Policji – funkcjonuje Biuro do Walki z Cyberprzestępczością. W komendach wojewódzkich Policji/Komendzie Stołecznej Policji istnieją również komórki organizacyjne, podległe właściwemu miejscowo komendantowi wojewódzkiemu Policji/Komendantowi Stołecznemu Policji. I to właśnie te struktury mają być podstawą do stworzenia CBZC.
„W związku z czym nastąpi płynne przejście od obecnie obowiązującego modelu zwalczania cyberprzestępczości do rozwiązań zaproponowanych w projekcie ustawy o zmianie ustawy o Policji oraz niektórych innych ustaw w związku z powołaniem Centralnego Biura Zwalczania Cyberprzestępczości. Likwidacja Biura do Walki z Cyberprzestępczością i powołanie CBZC nie przerwie ciągłości działań podejmowanych przez Policję w obszarze zwalczania cyberprzestępczości” – zaznacza resort.
Ważny nadzór etyczno-prawny
Dr Łukasz Olejnik, badacz i konsultant cyberbezpieczeństwa, pytany przez CyberDefence24.pl o pomysł powołania Centralnego Biura Zwalczania Cyberprzestępczości uważa, że to konieczne, by policja była w stanie zwalczać cyberprzestępczość. „Stąd oceniam to pozytywnie. Ważne są szczegóły, czyli chociażby to, kto tam trafi w pierwszej kolejności. Ale także nadzór etyczno-prawny nad takimi uprawnieniami”.
Pytany o to, czy – w kontekście istnienia już innych służb oraz instytucji odpowiedzialnych w Polsce za cyberbezpieczeństwo – konieczna jest kolejna jednostka – odpowiada, że CBZC może integrować siły w ramach policji i jako takie nie powinno stać „obok” innych struktur.
„Przykładowo, CSIRT-y to zdecydowanie zupełnie inna materia, zarówno na szczeblu polityczno-organizacyjnym, np. brak uprawnień śledczych i operacyjnych, jak i technicznym. NCBC jest natomiast strukturą wojskową i ma inne przeznaczenie, ale jako takie siłą rzeczy też nie może działać tak, jak policja. Stąd nie uważam, by porównania CBZC do istniejących struktur były uzasadnione. To są inne elementy szerszego systemu” – podkreśla dr Łukasz Olejnik.
Jego zdaniem tworzenie CBZC powinno odbywać się w oparciu o zastane struktury, ponieważ liczba dostępnej kadry jest ograniczona. „Nie jesteśmy dziś w stanie ocenić czy może dojść do ryzyka kanibalizacji innych jednostek przez CBZC, ale jeśli taki problem by zaistniał, to byłoby to wysoce niefortunne. One zajmują się trochę innymi obszarami, ale oczywiście finanse są ważne. Trzeba by pomyśleć o zapewnieniu dobrych warunków finansowych szerzej, wszystkim” – zaznacza ekspert w komentarzu dla CyberDefence24.pl.
Nowa jednostka ma powstać w oparciu o 350 wykwalifikowanych funkcjonariuszy, którzy do tej pory zajmowali się już zwalczaniem cyberprzestępczości. Docelowo – do 2025 roku ma być ich 1800, zarabiać będą między 10 a 15 tys. złotych netto – w zależności od doświadczenia (ustawowo funkcjonariuszom mają przysługiwać stałe dodatki w wysokości 70-130 proc. przeciętnego uposażenia w policji). Czy to stawki konkurencyjne w porównaniu do rynku komercyjnego?
„Nie porównywałbym tego wprost z rynkiem komercyjnym, bo istotne jest też to, na ile ciekawe są zadania w pracy, a to mogłoby przyciągać specyficzny rodzaj ludzi. Wydaje mi się, że to może być ciekawa oferta dla niektórych osób zainteresowanych tym obszarem cyberbezpieczeństwa. Bardzo dużo będzie też zależało od kierownictwa i dowództwa tej struktury. Jeśli ich praktyki byłyby zbyt >>sztywne<< i niezbyt >>życiowe<<, to może to zniechęcić ludzi do pracy. Nie chodzi tu wcale o to, by struktury te były zwolnione z >>testów fizycznych<< przy naborze, choć to pewnie nie zaszkodzi” – uważa dr Łukasz Olejnik. „Jeśli chodzi wyłącznie o kwestie finansowe, to oczywiście nie można konkurować bezpośrednio na tym polu z rynkiem komercyjnym. Ale to niekoniecznie musi być problem. Trzeba by jednak pomyśleć nad zagwarantowaniem, że nie dojdzie do finansowej konkurencji z innymi strukturami państwowymi, bo mogłoby dojść wtedy do czasowego ryzyka destabilizacji” – stwierdza.
Potrzeba czasu na rekrutację
MSWiA na nasze pytanie, dlaczego nowa cybersłużba ma osiągnąć zdolność operacyjną dopiero w 2025 roku w kontekście rosnących wyzwań związanych z cyberzagrożeniami, które mają miejsce każdego dnia – odpowiada: „Proces rekrutacji nowych pracowników i funkcjonariuszy będzie wymagał odpowiedniego czasu do przeprowadzenia postępowań kwalifikacyjnych dla kandydatów spoza Policji oraz realizacji działań inwestycyjnych, w tym budowy siedziby i jej wyposażenia w nowoczesny sprzęt teleinformatyczny”.
Co sądzi na ten temat Olejnik? „Nie możemy dziś ocenić czy osiągnięcie pełnej zdolności operacyjnej w 2025 jest możliwe. To odległy termin, a nie przedstawiono nam nawet zarysu planów. Teoretycznie jest to możliwe, nawet jeśli nie udałoby się osiągnąć pełnego planowanego poziomu zatrudnienia. Sama koncepcja jest słuszna o tyle, że problem cyberprzestępczości narasta i taka trajektoria przez jakiś czas z nami pozostanie. Nie zaszkodziłoby, gdyby nam ujawniono więcej informacji o planach. Być może z powodów politycznych – pośpiech – te nie są jeszcze gotowe” – podsumował ekspert dla CyberDefence24.pl.
Maksymalny limit wydatków z budżetu państwa – jak wskazano w projekcie ustawy – ma wynieść do 4,43 mln zł. W 2022 roku na nową służbę ma zostać przeznaczona suma 117 tys. zł; w 2023 roku – 264 tys. zł; 2024 roku – 527 tys. zł; w 2025 roku – 765 tys. zł. Do 2031 roku co roku będzie to kwota ok. pół miliona złotych. Ustawa miałaby wejść w życie 1 stycznia 2022 roku.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.