Bezpieczeństwo informacji oraz funkcjonowanie w zgodzie z prawem autorskim to zagadnienia, z którymi coraz częściej musi się zmierzać administracja publiczna. W ostatnich czasach nastąpiło bowiem znaczne przyspieszenie informatyzacji, która z jednej strony ułatwia i przyspieszyła jej działania oraz czyni ją bardziej nowoczesną i bliższą obywatelowi, z drugiej jednak strony niesie ze sobą wiele zagrożeń. Audyty przeprowadzane przez wyspecjalizowane firmy pokazują, że wycieki informacji, cyberataki oraz ryzyko naruszenia praw autorskich to nie wszystko.
W funkcjonowaniu podmiotów publicznych pierwszorzędne znaczenie mają działania mające na celu czynić zadość wymaganiom wynikającym z ustawy o ochronie danych osobowych oraz ustawy o ochronie informacji niejawnych. Pierwsza z nich wskazuje np. w art. 36 ust. 1, że administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć je przed udostępnieniem i zabraniem przez osoby nieupoważnione.
 | Chcesz wiedzieć, które produkty bankowe są najlepsze dla przedsiębiorcy? Wejdź na zakładkę: Bank dla firmy |
Pomimo wielu niezbędnych działań znane są jednak przypadki, które w swojej prostocie całkowicie przekreśliły wysiłki osób dbających o bezpieczeństwo danych osobowych. Za przykład może posłużyć jeden z urzędów marszałkowskich, którego personel sprzątający przystępował do prac w sposób polegający na jednorazowym otwarciu wszystkich pomieszczeń na danym piętrze, co miało na celu ułatwić i przyspieszyć pracę.
Odbywało się to po godzinach pracy, ale nie na tyle późno, aby urząd został całkowicie zamknięty. Od razu pojawia się pytanie o zasadność środków ochrony danych osobowych oraz wszelkiego rodzaju informacji poufnych, jeżeli wstęp do pomieszczeń, w których się znajdują, jest praktycznie wolny dla osób postronnych.
Metoda czystego biurka
Podobnym w skutkach źródłem wycieku informacji i danych osobowych jest ich kradzież tzw. metodą czystego biurka. Polega ona na zabieraniu przez interesanta wraz ze swoimi dokumentami również tych, które znajdowały się bezpośrednio pod nimi, na biurku pracownika urzędu. Przykład równie prozaiczny jak poprzedni, ale nierzadko pojawiający się w praktyce, którego skutki mogą doprowadzić do szkód o znacznych rozmiarach.
W takich przypadkach ustawa o ochronie danych osobowych typizuje aż 6 czynów zabronionych pod groźbą kary, a np. art. 52 penalizuje choćby nieumyślne naruszenie obowiązku zabezpieczenia danych osobowych przed ich zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Nie oznacza to oczywiście, że brak jest cywilnoprawnych środków dochodzenia roszczeń. Przysługują one bowiem poszkodowanym na zasadach ogólnych przewidzianych w Kodeksie cywilnym.
Zbliżonych przykładów dostarcza w praktyce realizacja wymogów wynikających z ustawy o ochronie informacji niejawnych. Rozdział 10 dosyć obszernie omawia zagadnienia związane z bezpieczeństwem systemów i sieci teleinformatycznych. Jednym ze sposobów zabezpieczania ich przed nieautoryzowanym dostępem jest stosowanie zmieniających się w czasie haseł o odpowiedniej ilości i rodzaju znaków.
Z technicznego punktu widzenia wydaje się to działanie w pełni uzasadnione, któremu nie można nic zarzucić. Okazuje się jednak, że częsta zmiana haseł prowadzi do zapisywania ich na kartkach, w notesach czy też, co gorsza, w plikach znajdujących się na różnych nośnikach danych. Trudno zresztą się dziwić, że pracownicy urzędów nie są w stanie zapamiętać długich, skomplikowanych i często zmieniających się haseł.
Prowadzi to do wniosku, że o wiele bardziej pożądane byłyby szkolenia mające na celu nauczyć tworzenia haseł kryptograficznych, które byłyby dla poszczególnych użytkowników przyjazne w zapamiętywaniu, ale jednocześnie spełniałyby wszelkie normy bezpieczeństwa. Na przeszkodzie stoi niestety dosyć powszechne przekonanie osób na stanowiskach kierowniczych, że bezpieczeństwo informacji i danych osobowych to jedynie zagadnienia związane z informatyką. Tymczasem tym, co łączy wszystkie, nawet najlepsze, systemy informatyczne jest ich najsłabsze ogniwo – człowiek, który z nich korzysta.
Nielegalne dane
Ponadto okazuje się, że problemy pojawiają się nie tylko przy konieczności zapewnienia właściwego poziomu bezpieczeństwa informacji. W przypadku danych osobowych nie wszystkie jednostki administracji publicznej stosują się np. do przepisów określających, jakiego rodzaju dane mogą być przetwarzane. W jednym z urzędów pracy po działaniach audytowych wyszło na jaw, że wśród informacji o pracownikach znajdowało się oświadczenie o niepaleniu.
Nie zachodziły przy tym okoliczności z art. 27 ust. 2 ustawy o ochronie danych osobowych, które dopuszczałyby ich zbieranie, a więc działanie takie było niezgodne z art. 27 ust. 1, który zabrania przetwarzania m.in. danych o stanie zdrowia, nałogach lub życiu seksualnym.
Wydawać by się mogło, że nawet przeszkolenie wszystkich pracowników określonej jednostki administracji publicznej doprowadzi do znacznego podniesienia bezpieczeństwa informacji i obniżenia ryzyka naruszenia praw autorskich. Powszechnie jednak podmioty takie przyjmują praktykantów i stażystów, którzy pracując przejściowo, np. w recepcji, mają tak naprawdę dostęp do wielu informacji. Często również prowadzą rozmowy telefoniczne z osobami z zewnątrz, a stąd już niedaleka droga do wycieku informacji czy też naruszenia danych osobowych. Przykładów w tym zakresie również nie brakuje.
O tym, że pomysłowość pracowników właściwie nie zna granic, przekonał się jeden z administratorów w dziale IT urzędu miasta. Nie przewidział bowiem, że właściwe zabezpieczenie sieci komputerowej nie uchroni jej przed zagrożeniami, które mogą pojawić się wewnątrz organizacji. Jeden z urzędników, aby ułatwić sobie pracę na komputerze przenośnym, stworzył za pomocą routera własną sieć bezprzewodową w pomieszczeniu służbowym. Oczywiście sieć nie była w żaden sposób zabezpieczona, przez co wiele zasobów zostało praktycznie udostępnionych każdemu, kto zacząłby z niej korzystać.
Sztab informatyków to za mało
Powyższe przykłady zdają się potwierdzać tezę, że informatyka jest obecnie dziedziną tak rozległą, że do pełnej obsługi procesów z nią związanych nie wystarczy już osoba czy nawet sztab osób z wykształceniem informatycznym. W świetle tego twierdzenia od razu nasuwa się analogia do medycyny czy też prawa. Obecnie nikt nie neguje faktu, że nie ma lekarza od wszelkich dolegliwości, a także prawnika od wszystkich dziedzin prawa.
Postępująca specjalizacja wymaga zatem, aby w przypadkach, gdzie krzyżują się ze sobą różne nauki, korzystać z usług osób, które na dany temat posiadają odpowiednią wiedzę. Outsourcing usług wymagających szczególnej wiedzy i doświadczenia pozwala również na częściową realizację planów ciągłości działania. Warto więc wcześniej pomyśleć o możliwych konsekwencjach bardzo powszechnego zjawiska w postaci odejścia z pracy kluczowej osoby, np. informatyka, który w dodatku jako jedyny zarządzał licencjami i wszelkimi hasłami.
Działy IT, a także inni pracownicy mogą doskonale rozumieć potrzeby infrastrukturalne danej jednostki organizacyjnej, ale często nie mają świadomości, że nie wszystkie działania są zgodne z prawem. Warto więc zastanowić się nad zagrożeniami, jakie niesie ze sobą naruszanie przepisów prawa autorskiego (czy też szerzej – prawa własności intelektualnej). Bardzo często spotykaną praktyką jest tworzenie kopii zapasowych programów komputerowych, które mają na celu ułatwić ich przeinstalowywanie bądź aktualizowanie.
Na pierwszy rzut oka jest to działanie nieszkodliwe i prawnie irrelewantne. Jednakże art. 75 ust. 2 pkt 1 ustawy o prawie autorskim i prawach pokrewnych stanowi, że można co prawda sporządzić kopię zapasową, ale tylko jeżeli jest to niezbędne do korzystania z programu komputerowego. Ponadto, jeżeli umowa nie stanowi inaczej, kopia ta nie może być używana równocześnie z programem komputerowym. Jeżeli więc kopia została sporządzona jedynie w celu ułatwienia sobie życia (czego licencja wyraźnie nie dopuszcza), a nie z konieczności, można się spotkać z zarzutem naruszenia autorskich praw majątkowych do programu komputerowego.
Dobry prawnik to podstawa
Uniknąć podobnych sytuacji można jedynie korzystając z doświadczenia specjalistów (najczęściej prawników), którzy posiadają odpowiednią wiedzę z zakresu prawa autorskiego, gdyż dziedzina ta wiąże się nie tylko z przepisami powszechnie obowiązującego prawa, ale także licencjami, które dodatkowo tworzone są często jedynie w obcych językach.
Bardzo znany i rozpowszechniony przez media jest przykład urzędu z wielkopolski, który po działaniach audytowych okazał się nie tylko nie spełniać wymogów legalności, ale również ujawnione zostały filmy zawierające treści erotyczne. Są to więc sytuacje o wiele bardziej rażących naruszeń niż jedynie sporządzenie kopii zapasowej wbrew warunkom licencji i przepisom ustawy. Również i w tych przypadkach brakuje przede wszystkim świadomości użytkowników odnośnie tego, na co prawo zezwala, a czego zabrania.
Ryzyku naruszenia praw autorskich sprzyja przy tym niewątpliwie dostęp do szerokopasmowych łącz, z których korzysta obecnie administracja publiczna. Niestety, bardzo często można usłyszeć, że w danym urzędzie wprowadzono blokowanie z poziomu administratora samowolnej instalacji np. programów do wymiany plików. Zapomina się przy tym, że obecnie o wiele łatwiej i szybciej można ściągać utwory z serwisów hostingowych, jak chociażby rapidshare.com czy też hotfile.com. Ze względu na ich mnogość oraz niemalże nieograniczone zasoby niezwykle trudno jest kontrolować, czy, kiedy i kto z nich korzysta.
Najciemniej pod latarnią
Należy również pamiętać, że problem naruszeń praw autorskich dotyczy nie tylko pracowników, którzy nie mają na ten temat praktycznie żadnej wiedzy. Sprawdza się w tym miejscu przysłowie, że „najciemniej jest pod latarnią”. Po działaniach audytowych bardzo często okazuje się, że to właśnie w dziale IT znajduje się najwięcej nielegalnych utworów. Ponadto zapomina się, że problemy mogą pojawić się np. podczas aktualizacji i modernizacji stron internetowych, na których często wykorzystuje się utwory, będąc w błędnym przekonaniu, że nie podlegają ochronie (dotyczy to w szczególności różnego rodzaju fotografii, motywów graficznych, muzycznych, map dojazdowych itp.).
Pomimo wielu przykładów obrazujących negatywne aspekty bezpieczeństwa informacji, danych osobowych oraz naruszeń praw autorskich trzeba mieć również na uwadze wiele wysiłków, które administracja publiczna podejmuje, aby przeciwdziałać potencjalnym zagrożeniom. Coraz więcej jednostek publicznych korzysta z usług kwalifikowanych firm audytowych, a także działa w celu podnoszenia poziomu bezpieczeństwa i wiedzy pracowników.
Zamówienia publiczne na tego typu usługi sprowadzają się już nie tylko do jednorazowych działań, ale również określają ramy długoterminowej współpracy. To właśnie dzięki niej możliwy jest bieżący nadzór nad bezpieczeństwem informacji i ochroną własności intelektualnej, który odciąża działy IT od nadmiaru pracy, a kierownictwu pozwala skupić się na bieżących sprawach bez obaw o finansowo-prawne skutki zaniechań.
Jakub Szynkarek
» Kredyty dla firm
» Pogotowie księgowe - kiedy pracownik urlopuje
» Singapur czy Białoruś - gdzie najlepiej założyć firmę?
