Po pierwsze intencją tego artykułu nie jest jakakolwiek polityczna wypowiedź. Intencją jest wkład do merytorycznej dyskusji na temat roli Państwa w obronie cyberprzestrzeni, a właściwie odpowiedź na kilka zasadniczych pytań: Czy potrzebujemy służby takiej jak CBZC? Co w ogóle ta służba będzie robić? I jak będzie to robić? I czy można to zrobić lepiej? Oczywiście, impulsem do tego artykułu była wtorkowa konferencja premiera Mateusza Morawieckiego i ministra Mariusza Kamińskigo. Padło na niej wiele konkretów. Być może nawet trochę za dużo…
Ale po kolei! Po co nam nowa służba?
Właściwie dla nas pytanie powinno brzmieć: Dlaczego tak późno? Odpowiedzią na pytanie po co jest między innymi ten serwis, który z taką czułością redagujemy. Radykalnie zmieniła się rzeczywistość. Cyberprzestępczość jest zagrożeniem. Realnym, coraz lepiej zorganizowanym i przynoszącym coraz większe i bardziej wymierne szkody.
Co nowa służba będzie robić?
W opublikowanym na prywatnik.pl 28 lipca artykule pod tytułem „Centralne Biuro Zwalczania Cyberprzestępczości co może nowy element w krajowym systemie cyberbezpieczństwa. Po co ma być?” Łukasz Olejnik przynosi ciekawą analizę ustawy i tego jaka będzie rola nowych służb. Polecam! A w skrócie:
Nowa służba będzie wytwarzać lub pozyskiwać urządzenia lub programy komputerowe oraz będzie je używać w celu rozpoznawania, zapobiegania i zwalczania przestępstw, popełnianych przy użyciu nowoczesnych technologii teleinformatycznych.
Ciekawe są nowe kompetencje Biura: „Używając urządzeń lub programów komputerowych (…), [Biuro] może uzyskać dostęp (…) do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego”.
Czyli nowa służba to będzie taki Kormak z „Chyłki” Policja będzie zwracać się do Biura, żeby Ci włamali się na dowolne urządzenie, serwer, w tym ten w chmurze. W pełni legalnie będą mogli pozyskać dowolną informacje elektroniczną. Rodzi to pytania o prywatność, kontrolę, zakres dostępu do informacji. Wątpliwości te podnosi między innymi Fundacja Panoptykon, kreśląc porównania do wycieku danych z Pegazusa. W poście opublikowanym na stronie fundacji autorzy: Dominika Chachuła, Wojciech Klicki oraz współpracująca Maria Wróblewska tak piszą o systemie kontroli nad działaniami nowej służby:
„Przewidziana w projekcie kontrola nad stosowaniem tworzonych narzędzi do przełamywania zabezpieczeń jest analogiczna do tej stosowanej przy zakładaniu podsłuchów. Teoretycznie zgodę na dostęp do „informacji nieprzeznaczonych dla Biura” będzie wydawał sąd. Jednak już dziś wiemy, że sądy nie są w stanie – choćby ze względu na obciążenie i brak specjalistycznej wiedzy – realnie sprawdzić, czy służby nie nadużywają swoich uprawnień. Skoro dzieje się tak przy stosowaniu klasycznych podsłuchów, tym bardziej będzie tak w przypadku najnowocześniejszych narzędzi tworzonych przez Biuro. Dlatego jego działania – podobnie jak i inne działania inwigilacyjne prowadzone przez Policję i służby specjalne – powinny podlegać specjalistycznej kontroli niezależnej instytucji.”
Obok wielu merytorycznych wypowiedzi zauważalny w dyskusjach zakulisowych jest fakt powtarzania wysokości wynagrodzenia potencjalnych pracowników nowo powstającej struktury. Dżentelmeni podobno nie dyskutują o pieniądzach, ale również podobno zawsze wyjmują naczynia przed wysikaniem się do zlewu… 15 kilo. Nie wiadomo czy brutto, czy netto. Ale nie to jest w tym istotne. Konsultanta z doświadczeniem pracujących w prywatnych firmach konsultingowych, czy CISO z Korpo albo nawet doświadczonego PM-a raczej ta informacja nie zmroziła. Dużo, ale czy na tyle by przenieść się do budżetówki, zmienić standard pracy na, z całym szacunkiem, policyjny? Niemniej pewnie jest to suma, która wydrenuje pierwszą linię SOC-a-w starostwie powiatowym na ścianie wschodniej.
Inną sprawą jest jak na tą sumę zareagują „normalni” policjanci. Tacy którzy w interwencjach ryzykują życie, a nie poparzenie kawą. Absolutnie nie wartościujemy, kompetencje kosztują, ale jak bym wrócił właśnie z szarpaniny z rodziną bejów mieszkająca w krzakach w Parku Skaryszewskim straszących mnie strzykawkami z HIV i dowiedział się, że kolega siedzący przy kompie zarabia 3 do 5 razy więcej, poczułbym się odrobinę niedowartościowany (po wpisaniu w google: „średnie zarobki w policji” pojawia się taka informacja: „Po ukończeniu szkolenia, policjant może liczyć na zarobki w wysokości 3,858 zł netto. Jeśli zostanie referentem, jego wypłata wzrośnie do 4 253 zł. Dzielnicowi i kontrolerzy ruchu drogowego zarabiali w minionym roku średnio 4 508 zł miesięcznie na rękę – wynika z danych policji”). Postawie steka przeciwko sałatce z jarmużem i założę się, że nowi koledzy nie będą najbardziej lubianą jednostką na Komendzie.
Powyższe dwa akapity mają unaocznić fakt, że HR-owo jest to raczej trudne przedsięwzięcie. Sytuacja na rynku pracy jest jaka jest i nie zmieni jej zaklinanie rzeczywistości.
Reasumując. Inicjatywa na pewno potrzebna, wątpliwości budzi umiejscowienie jej w strukturach Policji, Brak kontroli, zbyt szerokie i niedopracowane kompetencje. Wydaje się, że gdyby był to niezależny podmiot (nawet w strukturach MSWiA) przede wszystkim posiadający własną akademię, szkolący kadry, zapewniający zrozumiałą wewnętrzną ścieżkę awansu mielibyśmy organizacje w której służba byłaby przywilejem, a po skończeniu, której otwierałaby się droga do pracy w najlepszych firmach w Polsce. Nie chce być złym prorokiem, ale teraz chyba chodzi o to, żeby zalegalizować kilku nerdów, którzy będą potrafili przetrzepać telefon jakiemuś Panu X.