Polityka Ochrony Cyberprzestrzeni RP.

Transkrypt

1 Komentarz do projektu Polityka Ochrony Cyberprzestrzeni RP. Wspólne stanowisko: Stowarzyszenia Euro- Atlantyckiego Fundacji Bezpieczna Cyberprzestrzeń Fundacji Instytut Mikromakro 1

2 Uwagi ogólne. Przekazany do konsultacji dokument Polityka ochrony Cyberprzestrzeni RP jest kolejną w ostatnich latach próbą przedstawienia spójnego podejścia instytucji państwa do zagrożeń związanych z używaniem technologii informacyjnych. To bardzo dobrze, że taki dokument powstaje i że przygotowały go wspólnie dwa konstytucyjnie niezależne, ale kluczowe w sprawach bezpieczeństwa informacyjnego organy: Ministerstwo Administracji i Cyfryzacji oraz Agencja Bezpieczeństwa Wewnętrznego. Bardzo dobrze też, że zaistniała okazja do publicznych konsultacji, bowiem bezpieczeństwo jest ważne dla wszystkich. Powszechność zastosowań technologii informacyjnych, rozwój konkurencyjnego rynku usług i sieci telekomunikacyjnych oraz swoboda wprowadzania do Internetu nowych zastosowań spowodowały, że państwo straciło najprawdopodobniej na zawsze monopol na wiedzę o bezpieczeństwie i rozwoju metod przekazywania, przetwarzania i przechowywania informacji. Niestety, wprowadzany od jakiegoś czasu mechanizm poddawania publicznym konsultacjom istotnych rządowych dokumentów, najwyraźniej jeszcze nie wystarczy, by to zrozumieć. Projekt określa przede wszystkimi instytucjonalne ramy bezpieczeństwa informacyjnego państwa w zakresie, który nazwano bezpieczeństwem cyberprzestrzeni RP. Autorzy trzymają się wadliwej aksjologii wcześniejszych wersji strategii lub polityki, najwyraźniej ignorując dosyć oczywiste wydawałoby się uwarunkowanie, że bezpieczeństwo państwa zależy od wielu różnych systemów informacyjnych, a nie tylko tych, które są bezpośrednio we władaniu jednostek organizacyjnych administracji publicznej. W konsekwencji, popełniają błąd już w tytułowej kwestii określając przedmiot polityki Cyberprzestrzenią RP. Definiują to tytułowe pojęcie, poprzez wydzielenie przestrzeni przetwarzania informacji w systemach informatycznych w obrębie państwa polskiego, a przecież podstawową cechą Internetu, w tym również technik telekomunikacyjnych opartych o protokoły wykorzystywane w Internecie jest oderwanie od fizycznego terytorium. Takie podejście ogranicza pole ochrony i jest trudne do zrozumienia. Ogranicza także samo pojęcie bezpieczeństwa. Wtedy nie mamy szansy dostrzegać wielu istotnych zagrożeń i będziemy błądzić w staraniach o zastosowanie środków zaradczych. Tymczasem, należałoby by mówić o ochronie interesów państwa w związku z powszechnym zastosowaniem technologii informacyjnych i w ogóle zrezygnować z definiowania cyberprzestrzeni RP lub ograniczyć się do intuicyjnego opisu, jak rozumiemy pojęcie cyberprzestrzeni. Fundamentalnym brakiem dokumentu jest ograniczenie do organizacji działań w ramach administracji rządowej, ewentualnie zalecanie wymagań innym organom administracji publicznej. Kompetencje ABW w sprawie zagrożeń terrorystycznych są oczywiste, podobnie jak doświadczenie gromadzone w ramach CERT rządowego, czy RCB, ale wiedza na temat zagrożeń, środków zaradczych, nie mówiąc o technologiach sieciowych lub organizacji systemów informacyjnych jest w ogromnej części poza instytucjami administracji. Podobnie, istotne z punktu widzenia strategicznych 2

3 interesów państwa i obywateli współczesne zagrożenia z cyberprzestrzeni, dotyczą systemów zarządzanych bez udziału organów administracji, w dużej części będących własnością prywatną. Te zagrożenia warunkują funkcjonowanie gospodarki, systemu bankowego, transportu, energetyki. Pewna część tego rodzaju systemów jest kwalifikowana jako infrastruktura krytyczna w ramach zarządzania kryzysowego. Polityka państwa powinna się skupić na strategii komunikacji w sprawach zagrożeń z cyberprzestrzeni wszystkich interesariuszy, tworzeniu warunków dla wypracowywania standardów i procedur. Przykładem wzorcowych działań są ćwiczenia ochrony infrastruktury krytycznej Cyber- EXE Polska 2012, przeprowadzone we wrześniu we Wrocławiu, kiedy mieliśmy okazję przećwiczyć procedury współpracy różnych podmiotów podczas ataku cyberterrorystycznego, który zakłócił na dużym terytorium działanie wielu ważnych systemów, miedzy innymi sieci energetycznej i gazowej. Fundamentalną wadą przedstawionej do konsultacji Polityki jest również brak ogólnej systemowej analizy rodzaju i charakteru zagrożeń, które powinny angażować działania służb rządowych, w tym powodów dla których takie zagrożenia mogą wystąpić. Atakującymi przecież niekoniecznie kierują pobudki o podłożu kryminalnym lub terrorystycznym. Zagrożenia powinny być analizowane pod kątem znaczenia jakie mogą mieć dla gospodarki, bezpieczeństwa obywateli i stabilności państwa. Zdolność reagowania, oznacza nie tylko zastosowanie technicznych środków ochrony przed atakami, ale też umiejętność przeciwdziałania sytuacjom, które atak prowokują. W obecnej postaci dokument zatytułowany Polityka ochrony cyberprzestrzeni RP ma małe szanse, aby stanowić podstawę do osiągnięcia zakładanych w niej celów. Inną kwestią jest, czy cele zostały sformułowane w sposób właściwy. Stanowi raczej listę obszarów, których zagospodarowanie może podnieść poziom bezpieczeństwa. Przedstawiono w niej jedynie niektóre rozwiązania, mające przybliżyć do osiągnięcia celów. Niestety dotyczą one prawie wyłącznie sfery administracji rządowej (np. powołanie pełnomocnika ds. bezpieczeństwa cyberprzestrzeni, czy przeprowadzanie oceny ryzyka w oparciu o metodykę, która dopiero ma być opracowana). Polityka nie wskazuje jednoznacznie podmiotów odpowiedzialnych za realizację zadań w niej określonych, ani czasu ich choćby przybliżonej realizacji. W Polityce określone są ewentualnie podmioty odpowiedzialne za wykonanie jakiegoś zadania 1, brak jednak wskazania jakiegokolwiek czasu jego realizacji. Dodatkowo zadania nakładane są w formie zaleceń 2. Z niezbędne uważamy dołączenie do Polityki w formie załącznika planu działań 3 ze wskazaniem podmiotu odpowiedzialnego i czasu realizacji tego zadania. Bez tego Polityka nie będzie miała żadnej realnej mocy sprawczej, zwłaszcza w kontekście kolegialnej odpowiedzialności za bezpieczeństwo cyberprzestrzeni. 1 np. Minister właściwy ds. informatyzacji we współpracy z zaangażowanymi instytucjami określi, Rada Ministrów, rozumiejąc wysoki priorytet tych działań, widzi potrzebę ich zainicjowania przez ministra właściwego ds. informatyzacji, aby stworzyć regulacje prawne, dające podstawy do podejmowania dalszych działań w ramach wdrożenia zapisów Polityki. 2 np. Zalecane jest, aby Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL przedstawił. 3 opisanych w rozdz. od 3.1 do 3.6 oraz innych miejscach tekstu Polityki. 3

4 W całym cyklu wykrywania zagrożeń i reakcji na nie, brakuje pro- aktywnego podejścia do monitorowania infrastruktury i reakcji na wykryte zagrożenia. Występuje zarys zagadnień dotyczących zdefiniowania zagrożenia, okresowych analiz ryzyka, planów obsługi incydentów, ale nie ma nawet zarysu metodyki i technik wykrywania tych zagrożeń. Powinien istnieć cyklicznie uruchamiany proces obejmowania monitoringiem ryzyk, których nie udało się zminimalizować do poziomu akceptowalnego oraz tych, gdzie poziom jest niski, ale ewentualne skutki zmaterializowania się ryzyka znaczne. Mógłby być stosowany po każdej analizie ryzyka oraz po aktualizacji katalogu zagrożeń. Powinno to zminimalizować niechciany efekt braku możliwości wykrycia zagrożenia, które jeszcze nie zostało opisane w systemie detekcji/prewencji. Wskazanie w Polityce systemu wczesnego ostrzegania przed zagrożeniami z sieci Internet ARAKIS- GOV absolutnie nie wyczerpuje tego oczekiwania, a dodatkowo obarczone jest problemami wskazanymi w punkcie 17 niniejszego dokumentu. Uwagi szczegółowe. Poniżej przedstawiono uwagi do wybranych jednostek redakcyjnych Polityki. Uwagi mają zarówno charakter generalny, jak i dotyczącą konkretnych sformułowań czy rozwiązań. 1. Ad Główne przesłanki i założenia Polityki Ochrony Cyberprzestrzeni RP ( Polityka ). Polityka w pierwszym swoim akapicie wskazuje na uzależnienie bezpieczeństwa państwa demokratycznego od wypracowania mechanizmów pozwalających skutecznie zapobiegać i zwalczać zagrożenia bezpieczeństwa cyberprzestrzeni. W tym samym zdaniu mowa jest o swobodach przepływu osób, informacji i kapitału. Zestawienie wymienionych swobód z kwestią bezpieczeństwa państwa demokratycznego i zapobieganiem oraz zwalczaniem zagrożeń wydaje się błędne, bowiem może prowadzić do wniosku, iż to swobody powodują konieczność wypracowania mechanizmów, których zadaniem jest nic innego jak ograniczenie tych swobód. Dodatkowo trudno wskazać na jednoznaczny związek pomiędzy swobodą przepływu osób i kapitału a zagrożeniem dla bezpieczeństwa cyberprzestrzeni. W akapicie drugim Polityka odnosi się do braku możliwości separacji od systemów teleinformatycznych. Nie określa się jednak w stosunku do czego ma nastąpić separacja. Należy rozważyć czy istnieją systemy strategiczne z punktu widzenia bezpieczeństwa Państwa inne niż eksploatowane przez wymienione w trzecim akapicie instytucje i podmioty. Jeżeli nie ma takich, to akapit ten zawiera nadmiarowy fragment, wyżej zacytowany. Rządowy dokument rangi politycznej powinien określać, co jest interesem państwa, w tym jakiego typu systemy mają znaczenie strategiczne, a nie postulować rozważania. Dokument posługuje się zamiennie pojęciami, których zakres przedmiotowy nie jest jednolity. Np. w akapitach drugim i trzecim wstępu jest mowa o bezpieczeństwie systemów teleinformatycznych, a w akapicie czwartym pojawia się zapewnienie bezpieczeństwa zasobów informacyjnych. 4

5 Wymienia się wyłącznie przedsiębiorców jako ewentualną stronę konsultacji rządowych dla wypełniania bardzo niejednoznacznych obowiązków konstytucyjnych realizowanych za pomocą cyberprzestrzeni. Pominięto tutaj zupełnie organizacje pozarządowe, takie jak nasze, specjalizujące się w sprawach ochrony cyberprzestrzeni. Pominięto organizacje użytkowników Internetu. Błędem jest wyłączenie sytemu prawa ochrony informacji niejawnych. Konieczna jest bowiem synergia ogólnej polityki z prawem ochrony informacji niejawnych. To jasne, że tworzą one specjalny system, ale nie ma powodu by zastrzegać, że miałby być sprzeczny z ogólną polityką. Ustawa o ochronie informacji niejawnych nie posługuje się pojęciem niejawnych systemów teleinformatycznych, jak ma to miejsce w akapicie ósmym, lecz informacji niejawnych w systemach teleinformatycznych. 2. Ad Terminy. Uwaga ogólna: Wprowadzenie sformalizowanych definicji odwołujących się do pojęć definiowanych w ustawach, normach jest błędem w dokumencie rangi politycznej opisującym działania w nowym obszarze, wymagającym dużej elastyczności. Tego typu uściślający zbiór definicji nie jest konieczny. Jeżeli natomiast miałby pozostać, to należy zastosować definicje opisowe, które pozwolą lepiej rozumieć Politykę. Wiele pojęć zdefiniowanych w Terminach nie jest stosowanych w dalszej treści Polityki, np. Sektorowy Punkt Kontaktowy bądź dla znaczenia odpowiadającego zdefiniowanemu pojęciu stosuje się inne pojęcie niż to zdefiniowane. Należy dokonać przeglądu Polityki pod względem ujednolicenia pojęć. Abuse dokument nie wyjaśnia dlaczego w ogóle wprowadza się to pojęcie neologizm pochodzenia anglojęzycznego. Z kontekstu dalszej części można się tylko dowiedzieć, że właściwym byłoby przyjęcie, iż chodzi o jednostkę organizacji dostawcy usług niż o dział, który oznacza większą jednostkę w organizacji. Dodatkowo pojawiają się w definicji Abuse inne pojęcia niezdefiniowane i niejednoznaczne, np. incydent komputerowy, podczas gdy Polityka zawiera definicję incydentu związanego z bezpieczeństwem informacji, czy nadużycia, które trudno jednoznacznie opisać. bezpieczeństwo cyberprzestrzeni definicja jest nieprawidłowa, bowiem bezpieczeństwo pojęciowo jest pewnym stanem a nie zespołem przedsięwzięć. Przykładowo lepiej byłoby użyć następującego opisu znaczeniowego: bezpieczeństwo cyberprzestrzeni stan niezakłóconego funkcjonowania cyberprzestrzeni zapewniony przez zespół przedsięwzięć organizacyjno- prawnych, fizycznych i edukacyjnych. CERT należy odnieść się do wcześniej zdefiniowanego bezpieczeństwa cyberprzestrzeni, aby zapewnić konsekwencję w treści dokumentu. Definicja powinna w tym przypadku określać skąd pochodzi ten termin, jakie standardy pozwalają organizację nazywać CERT. 5

6 Cyberprzestrzeń RP Określenie poprzez odwołanie do innych ustaw rozprasza i jest nieprawidłowe. Definiowanie cyberprzestrzeni przez systemy teleinformatyczne, w rozumieniu ustawy o informatyzacji jest niezręczne. Sugerujemy rezygnację z tego rodzaju definicji. Poza tym Główne przesłanki i założenia Polityki Ochrony Cyberprzestrzeni mówią o objęciu Polityką również przedsiębiorców i osób fizycznych, natomiast pojęcie cyberprzestrzeni RP pomija ich poza granicami RP. Należy wyjaśnić tę niekonsekwencję. Cyberprzestępstwo to przestępstwo. Określenie czyn zabroniony nie jest wystarczające do penalizacji. Potrzebny jest komentarz na temat trudności z kwalifikacją karną nowych rodzajów cyberprzestępstw. Cyberterroryzm zaproponowana definicja jest uproszczeniem. Cyberterroryzm podobnie jak zwykły terroryzm, niezależnie od kwalifikacji kodeksowej określamy poprzez cele i skutki działań terrorysty. Incydent związany z bezpieczeństwem informacji definicja posługuje się w swej treści pojęciem niezdefiniowanym bezpieczeństwo informacji, podczas gdy w pozostałych definicjach występuje z kolei bezpieczeństwo cyberprzestrzeni. Definicje powinny być spójne, bądź należy wyraźnie wskazać na różnice pomiędzy nimi. Dodatkowo definicja zawiera odniesienie do działań biznesowych, które nie do końca mieszczą się w zakresie przedmiotowym definicji cyberprzestrzeń RP. Jednostka organizacyjna odwołanie do Kodeksu cywilnego nie jest potrzebne. Poza tym Kodeks cywilny posługuje się dwoma rodzajami jednostek organizacyjnych: w art. 33 w odniesieniu do osób prawnych, a w art w odniesieniu do takich, które nie posiadają osobowości prawnej. Tymczasem zarówno z treści definicji w Polityce jak i w jej kolejnych postanowieniach pojęcie jednostki organizacyjnej stosowane jest w różnym znaczeniu, często niezgodnym z samą definicją, np. w definicji PBC. PBC W zestawieniu z treścią definicji jednostki organizacyjnej, definicja PBC jest błędna, jeżeli zastosować ścisłe rozumienie Kodeksu cywilnego wiele instytucji administracji publicznej, o których mowa w definicji PBC nie ma statusu jednostek organizacyjnych. Należałoby w tym miejscu wyjaśnić po co się takiego pełnomocnika powołuje, jakie jest jego znaczenie dla Polityki. Przedsiębiorca Definicja zbędna. Sposób zdefiniowania przedsiębiorcy w Polityce powoduje, iż pojęcie to może być w zasadzie stosowane zamiennie z pojęciem jednostki organizacyjnej, co wydaje się błędnym i nieprzemyślanym zabiegiem. Innym błędem w omawianej definicji jest zawarcie w niej dwukrotnie pojęcia jednostki organizacyjnej pierwszy raz w ramach definicji przedsiębiorcy w Ustawie o swobodzie działalności gospodarczej, drugi w samej definicji przedsiębiorcy w Polityce. Sektorowy Punkt Kontaktowy należałoby wyjaśnić po co jest to pojęcie w Polityce, tym bardziej, że nie występuje w dalszej części dokumentu. Należałoby wskazać zakres przedmiotowy słowa branża w występującego w definicji. Komentowane pojęcie nie występuje w treści Polityki. Dodatkowo nie ma konsekwencji w stosowaniu nazwy zespołu reagującego na incydenty, gdyż podaje się tylko nazwy 6

7 CERT i Abuse, natomiast w dalszej treści dokumentu stosuje się również nazwę CSIRT. Proponuje się zastosowanie tu bardziej ogólnego terminu, np.: wspomniany zespół reagujący na incydenty naruszające bezpieczeństwo cyberprzestrzeni RP. Użytkownik cyberprzestrzeni Określenie zbędne w dokumencie rangi politycznej. Biorąc pod uwagę definicję jednostki organizacyjnej sięgającą do Kodeksu cywilnego i brak konsekwencji w treści Polityki w posługiwaniu się tą definicją propozycja wyniesienia przedsiębiorcy (należy przy tym zauważyć, iż definicja przedsiębiorcy zawiera w sobie jednostkę organizacyjną) poza zakres pojęcia jednostki organizacyjnej jest błędna. 3. Ad Cel strategiczny Posłużenie się w pierwszym akapicie słowem akceptowalnego bez bliższego określenia podmiotu akceptacji i warunków czyni cel Polityki niemożliwym do spełnienia. Brak dodatkowo definicji cyberprzestrzeni Państwa W akapicie drugim wprowadza się nowe pojęcie użytkowników CRP, które nie zostało zdefiniowane w Polityce. W przypadku, gdyby ograniczono się jednak do CRP, wyłączeniu ulegają wszelkie instytucje spoza szeroko pojętej administracji publicznej, np. przedsiębiorcy, organizacje pozarządowe. Polityka powołuje się na dokumenty strategiczne, które są przytoczone w sposób nieuporządkowany. Np. Agenda Cyfrowa, która jako jedyny dokument ma dodany symbol publikacyjny, jest dokumentem wydanym w ramach strategii Europa W tej części nie wystarczy deklaracja zgodności. Niezbędne jest przywołanie celów zawartych w cytowanych dokumentach i wskazanych tam działań. Nieuporządkowanie każe sądzić, że lista może być niekompletna. 4. Ad Cele szczegółowe ad 1 wprowadza się niezdefiniowane pojęcie bezpieczeństwa infrastruktury teleinformatycznej Państwa, pomijając kwestię cyberprzestrzeni RP, dla której wcześniej przygotowano definicję. ad 2 nie wskazano dla kogo lub dla czego te zagrożenia mają pojawić się. Dodatkowo sama cyberprzestrzeń nie może być podmiotem powodującym zagrożenia, co sugeruje zapis zagrożeń ze strony cyberprzestrzeni. Należy założyć, że zagrożenia są wywołane przez konkretne działania w określonym celu. ad 3 wcześniej wprowadzono definicję incydentów, która tutaj została pominięta, podobnie jak w wielu innych miejscach Polityki na rzecz sformułowań pozornie zbliżonych. ad 4 Polityka zdawała odnosić się w szczególności do bezpieczeństwa cyberprzestrzeni RP, tymczasem jej celem szczegółowym jest bezpieczeństwo całej cyberprzestrzeni. ad 5 pominięto sferę administracji samorządowej, a także posłużono się niedookreślonym sformułowaniem podmiotów niepublicznych. 7

8 W akapicie dotyczącym realizacji celów Polityki pojawiają się pojęcia niezdefiniowane, np. ataki na cyberprzestrzeń. Ponownie pominięto sferę administracji samorządowej. Edukacja społeczna, jako środek realizacji celów nie bardzo pasuje powinna raczej dotyczyć cyberprzestrzeni niż tylko CRP. 5. Ad Adresaci i zakres oddziaływania. W akapicie pierwszym ponownie, nadmiarowo, opisuje się zakres objęty definicją CRP. Teoretycznie Polityka adresowana jest do wszystkich użytkowników CRP, jednak administrację rządową ona obowiązuje, dla administracji samorządowej i innych urzędów jest rekomendowana, a dla pozostałych użytkowników CRP jest jedynie wskazówką. Ten dysonans odczuwalny jest w całym tekście Polityki, której najwięcej rozwiązań opisanych bardziej szczegółowo odnosi się tylko do administracji np. pełnomocnik ds. bezpieczeństwa cyberprzestrzeni, czy przeprowadzanie oceny ryzyka. Wydaje się, że tak skonstruowana Polityka nie będzie skuteczna dla ochrony CRP, gdyż zastosowanie niższych standardów dla wprowadzania Polityki, tzn. tylko rekomendacji a nie obowiązku, dla tak istotnych podmiotów jak Kancelarii Prezydenta Rzeczypospolitej Polskiej, Kancelarii Sejmu Rzeczypospolitej Polskiej, czy Kancelarii Senatu Rzeczypospolitej Polskiej, może mieć bardzo istotny wpływ na poziom bezpieczeństwa CRP. Nie jest jasne również do której grupy podmiotów zalicza się Biuro Bezpieczeństwa Narodowego. Polityka ochrony cyberprzestrzeni to typowe zadanie horyzontalne. Jeżeli mówić o zakresie obowiązywania Polityki w systemach informacyjnych administracji, to musi obejmować wszystkie podmioty i jednostki organizacyjne administracji, bez względu na ich organizację i charakter przyporządkowania. Powinna tu obowiązywać podobna logika, jak w sprawach obronności, ochrony informacji niejawnych itp. 6. Ad Ustanowienie odpowiedzialności za bezpieczeństwo CRP Nie wiadomo jakie skutki prawne, miałyby wynikać z odpowiedzialności Rady Ministrów. Przed kim odpowiada? W tym konkretnym przypadku, że przyznanie odpowiedzialności całą Radę Ministrów może wpłynąć na mniejszą skuteczność podejmowanych działań w przypadku wystąpienia incydentu lub zagrożenia bezpieczeństwa państwa z cyberprzestrzeni. Lepsze byłoby przyznanie odpowiedzialności za bezpieczeństwo cyberprzestrzeni Prezesowi Rady Ministrów, co znajduje uzasadnienie w dalszej części Polityki, gdzie wskazano, iż do Prezesa Rady Ministrów należy powoływanie zespołów oraz Prezes Rady Ministrów jest bezpośrednio odbiorcą sprawozdań. Innym rozwiązaniem mogłoby być przekazanie odpowiedzialności za bezpieczeństwo CRP ministrowi właściwemu ds. informatyzacji, co również znajduje uzasadnienie w dalszej części Polityki, gdyż jest on wskazywany np. jako koordynator Krajowego Systemu Reagowania na Incydenty Komputerowe w CRP oraz organ będący odbiorcą sprawozdań podsumowujących ocenę ryzyka każdej jednostki administracji rządowej, o której mowa w pkt 1.4 (punkty 1-4). 8

9 W akapicie piątym pojawia się pojęcie niezdefiniowanej społeczności teleinformatycznej, które należy wyjaśnić. Jednocześnie nie wskazano w jaki sposób przewiduje się udział społeczeństwa i społeczności teleinformatycznej. Wydaje się, iż w wyniku posłużenia się niezdefiniowanym pojęciem mogło dojść w akapicie szóstym do nieporozumienia. Trudno bowiem oczekiwać, aby użytkownicy CRP, którymi według definicji w Polityce będą instytucje państwowe, mieli nie akceptować działań podejmowanych przez Rząd RP. Można przypuszczać, iż celem autorów Polityki było stworzenie mechanizmu pozwalającego na uzyskanie akceptacji użytkowników cyberprzestrzeni, nie tylko RP. Warto dodatkowo zauważyć, iż samo stosowanie rozwiązań zawartych w Polityce, gdy będą one narzucone bądź jedyne możliwe do stosowania z punktu widzenia technologii, nie oznacza jeszcze akceptacji dla Polityki w całości. Wniosek zawarty w akapicie szóstym wydaje się zbyt daleko idący. Polityka nie wskazuje na sankcje, które mogą być zastosowane w razie braku jej realizacji przez instytucje odpowiedzialne. 7. Ad. Zgodność Polityki z aktami prawnymi Napisanie, że Polityka jest zgodna z prawem to niepotrzebna oczywistość. Zamiast tego, konieczna jest analiza zgodności z ustawami wraz ze stosownym komentarzem. W innej części Polityki pisze się przecież o zmianach legislacyjnych. 8. Ad Uwarunkowania i problemy cyberprzestrzeni Przywołanie zależności funkcjonowania państwa od społeczeństwa informacyjnego tu nie pasuje. Państwo nie jest uzależnione w większym stopniu od społeczeństwa informacyjnego, o ile rozumiemy co to pojęcie w ogóle znaczy. Polityka nie jest konsekwentna jeżeli chodzi o odnoszenie się do obszarów, których dotyczy. W akapicie szóstym nacisk położono na gospodarkę RP, podczas gdy wcześniej koncentrowano się na zadaniach administracji publicznej. Celowym wydaje się jednoznaczne określenie obszarów, których dotyczy Polityka. Nie wiadomo na jakiej zasadzie zalecenia Polityki mają być rekomendowane również przedsiębiorcom i co z tego wynika. Kwestia partnerstwa publiczno- prywatnego w budowaniu systemu bezpieczeństwa informacyjnego państwa nie powinna być kwitowana tak lakonicznymi stwierdzeniami. Nie powinno się deklarować, że Polityka nie narusza postanowień zawartych w Narodowym Programie Ochrony Infrastruktury Krytycznej. To dokumenty różnej rangi, ale powinny być zachować zgodność. Określenie, że Infrastruktura teleinformatyczna CRP musi być chroniona przed atakami z cyberprzestrzeni, zniszczeniem, uszkodzeniem i dostępem osób nieuprawnionych nie odwołuje się 9

10 do podstawowych cech zapewnienia bezpieczeństwa, czyli poufności, integralności i dostępności, a zatem jest błędnym wskazaniem priorytetów ochrony. Czym miałyby być szablony sprawozdań dotyczące rodzajów ryzyka, do kogo i na jakich zasadach przekazywane? Czym mają być minimalne standardy bezpieczeństwa, biorąc pod uwagę dynamikę zmienności zagrożeń w cyberprzestrzeni? Wszystkie te lakoniczne propozycje niewiele wyjaśniają, a oznaczają organizację nowych struktur administracji, która miałby kontrolować nowe obowiązki sprawozdawcze. 9. Ad Główne kierunki działań. Ocena ryzyka. Dokonaniem oceny ryzyka zostanie obarczona jedynie administracja rządowa. Nie kwestionując konieczności przeprowadzania oceny ryzyka i oczywistych korzyści wynikających z tego faktu, należy podkreślić, że administracja rządowa to jedynie wąski wycinek użytkowników CRP. Większość obserwowanych zagrożeń CRP płynęło ze sfery spoza administracji. Warto byłoby zatem wskazać w Polityce również na konieczność przeprowadzania oceny ryzyka przez innych użytkowników CRP, w szczególności dotyczy to dostawców usług internetowych czy przedsiębiorców telekomunikacyjnych. Wymagałoby to podjęcia działań legislacyjnych w ramach działań przewidzianych w rozdz. 3.3 albo upowszechnienia praktyki dokonywania oceny ryzyka w ramach działań regulatora rynku telekomunikacyjnego np. wykorzystując miękkie regulacje, o których mowa w rozdz Komunikacja w sprawie oceny ryzyk w systemie ochrony powinna być zadaniem ciągłym. Sprawozdawczość nie może być działaniem samym w sobie, sprowadzającym się do sporządzenia rocznych sprawozdań, które każda jednostka administracji przekaże Ministrowi Administracji i Cyfryzacji. Zadaniem ministra właściwego ds. informatyzacji ma być przekazanie Prezesowi Rady Ministrów sprawozdania dotyczącego zagrożeń i słabych punktów cyberprzestrzeni RP. Podstawą do przygotowania sprawozdania powinny być z kolei sprawozdania przekazywane przez jednostki administracji rządowej, co Polityka pomija w akapicie trzecim. Warto aby przedstawienie katalogów zawierających specyfikację zagrożeń oraz możliwych podatności godzących w bezpieczeństwo cyberprzestrzeni, Rządowy Zespół Reagowania na Incydenty przedstawiał nie rzadziej niż raz na rok, z rekomendacją wykonywania tego zadania raz na pół roku. 10. Ad Główne kierunki działań. Bezpieczeństwo portali administracji rządowej. Wartość informacyjna tego punktu jest niewielka. Nie zawiera on żadnych konkretnych rozstrzygnięć o charakterze strategicznym. To podejście konserwatywne, portale (strony internetowe) to tylko rodzaj interfejsu komunikacyjnego. Coraz więcej informacji bywa przekazywanych w sposób zautomatyzowany. Będzie też rosnąć rola najróżniejszych serwisów społecznościowych, aplikacji w serwisach mobilnych. 10

11 Polityka komunikacji musi być uzależniona od rodzaju stron internetowych: Publicznie dostępne strony jednostek administracji (BIP, strony typu portalowego). Kategoria takich witryn internetowych nadaje się do ustandaryzowania zasad bezpieczeństwa, bowiem większość tych stron charakteryzuje się podatnością na podobne ryzyka. Obecna propozycja, aby każdy urząd sam określał ryzyko i wdrażał "odpowiednie" zabezpieczenia niewiele wnosi. Dla portali rządowych tego typu należy określić przynajmniej minimalny poziom weryfikacji zabezpieczeń - na przykład automatyczny skan bezpieczeństwa wykonywany minimum raz w roku. Właściwy do koordynacji organ powinien przedstawić inicjatywę, oferując pewną, prostą i tanią (lub bezpłatną) usługę skanowania jako wariant minimum. Pozwoli to na wykorzystanie efektu skali i zamówienie usługi przez Centrum Usług Wspólnych KPRM albo w ogóle zakup skanera o odpowiedniej wydajności. Strony typu transakcyjnego (jak epuap, PUE ZUS itd). Dla urzędów posiadających takie serwisy powinny z komentowanego punktu wynikać co najmniej przybliżone minimalne wymagania dotyczące badania skuteczności zabezpieczeń - na przykład test penetracyjny i skan kodu źródłowego. Kluczową wartością dodaną Polityki będą w takim przypadku na przykład zalecenia dotyczące poprawnego zamawiania tego typu usług, co znowu pozwoli uniknąć błędów popełnianych podczas zamówień indywidualnych, dokonywanych przez osoby bez odpowiedniego przygotowania. Tytuł komentowanego punktu odbiega od treści zawartej w tym punkcie, bowiem mówi się tam o stronach internetowych jednostek organizacyjnych, nie tylko o portalach administracji rządowej, jak zdaje się sugerować tytuł. Polityka w akapicie drugim całkowicie pomija możliwość udziału instytucji pozarządowych w tworzeniu zaleceń oraz dobrych praktyk z zakresu bezpieczeństwa. Biorąc pod uwagę, iż strony internetowe stanowią według Polityki główne miejsce wymiany informacji pomiędzy jednostkami administracji a obywatelem, w e- społeczeństwie, pominięcie czynnika obywatelskiego oraz profesjonalnego nie znajduje uzasadnienia. Zalecania ma przygotować Zespół zadaniowy do spraw ochrony portali rządowych. Konieczny jest tu komentarz. Zespół został powołany ad- hoc w styczniu, by doraźnie rozstrzygnąć problemy z zarządzaniem bezpieczeństwem rządowych stron internetowych. Jaki ma być status tego zespołu, jeżeli ma wypełniać zadania o charakterze ciągłym. W tym miejscu stosowne byłyby wnioski z prawie rocznej pracy. Sprecyzowanie statusu i potrzeba przedstawienia wniosków dotyczy również Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL. Uwaga ogólna: W tej i dalszej części polityki pojawia się bezosobowy styl proponuje się. Kto proponuje i w jakim trybie? 11. Ad Główne kierunki działań. Założenia działań legislacyjnych. Regulacje prawne nie mają mieć na celu zwiększenie poczucia bezpieczeństwa, lecz po prostu zwiększenie bezpieczeństwa. O jakiego rodzaju regulacje prawne chodzi. To na użytek 11

12 przygotowania Polityki powinno się dokonać przynajmniej wstępnej analizy obowiązującego prawa, a także ewentualnego zapotrzebowania na nowe uregulowania. 12. Ad Główne kierunki działań. Założenia działań proceduralno organizacyjnych. Nie wyjaśniono co to są działania proceduralno- organizacyjne. Mechanizmy wprowadzania miękkich regulacji dotyczą głównie podmiotów poza administracją. Chodzi np. o kodeksy dobrych praktyk, standardy, wymagania techniczne, które trudno skutecznie i na czas skodyfikować. Złożoność tych kwestii nie powinna być skwitowana jednym zdaniem polityki. Czy zachęta państwa do stosowania miękkich regulacji zostanie obwarowana jakąś sankcją za ich unikanie? Można ewentualnie rozważyć sposoby premiowania za wprowadzanie takich mechanizmów. Nie wskazano przy tym kto będzie odpowiadać za uruchomienie projektów w zakresie miękkich mechanizmów regulacji. Zwykle są to organizacje przedsiębiorców. W ostatnim akapicie, podobnie jak w innych miejscach Polityki mówi się o projektach szczegółowych bez wskazania podmiotów odpowiedzialnych za ich realizację, czasu ich powstania i dokładniejszego zakresu. Polityka nie zawiera nawet listy tych projektów. Przedstawione tym samym dalej, na stronach Polityki, kryteria oceny oraz mierniki oceny skuteczności projektów szczegółowych są mało zrozumiałe, gdyż nie można odnieść ich do konkretnych projektów szczegółowych. Wydaje się, że bez szkody dla dokumentu można te kryteria i mierniki pominąć. 13. Ad Główne kierunki działań. Założenia działań proceduralno organizacyjnych. Zarządzanie bezpieczeństwem cyberprzestrzeni RP. Brakuje w tym miejscu analizy umocowania prawnego postulowanego zespołu odpowiedzialnego za przygotowywanie rekomendacji dla właściwego ministra z zakresu wykonania czy koordynacji wszelkich działań związanych z bezpieczeństwem CRP, a także właściwości ministra. Według Polityki odpowiedzialnym za bezpieczeństwo CRP jest Rada Ministrów. Trudno zrozumieć rozdzielenie funkcji odpowiedzialnego za od funkcji koordynacji wszelkich działań związanych z jej bezpieczeństwem (dotyczy CRP), a takie rozdzielenie następuje w przypadku powołania przez Prezesa Rady Ministrów specjalnego zespołu. Zamieszanie w kwestii odpowiedzialności za koordynację potęguje fakt, iż Polityka wskazuje ministra właściwego ds. informatyzacji jako koordynatora Krajowego Systemu Reagowania na Incydenty Komputerowe w CRP. Kontrowersyjne wydaje się nadto przypisanie roli narodowego CERT zespołowi CERT.GOV.PL. Obszarem działania CERT.GOV.PL jest domena gov.pl. Rozszerzenie tego obszaru na domenę.pl zespołowi umiejscowionemu w Agencji Bezpieczeństwa Wewnętrznego w praktyce znacznie utrudni współpracę z jednostkami organizacyjnymi spoza obszaru administracji publicznej, podczas gdy jak wskazuje Polityka współpraca taka jest podstawą do podniesienia poziomu bezpieczeństwa CRP. Mowa jest o tym, że zespół, który jeszcze nie jest powołany przygotuje rekomendacje dla ministra w ciągu 30 dni. W dokumencie rangi Polityka taka deklaracja gotowości nie wydaje się potrzebna, ale 12

13 jeżeli jest to założenie ekspresowej skutecznej pracy wymagałoby wyjaśnienia. Jeżeli zaryzykować stwierdzenie, że być może projekt tego rodzaju rekomendacji już wstępnie przygotowano, to dlaczego nie zawarto ich w Polityce? Tytuł podpunktu wskazuje, iż podpunkt będzie dotyczył zarządzania bezpieczeństwem, tymczasem z jego treści wynika, iż odnosi się wyłącznie do rekomendowania określonych działań, nie zarządzania. 14. Ad Główne kierunki działań. Założenia działań proceduralno organizacyjnych. System zarządzania bezpieczeństwem w jednostce organizacyjnej. Ponownie tytuł podpunktu nie znajduje odzwierciedlenia w treści podpunktu. W tytule mowa jest o jednostkach organizacyjnych, a w treści podpunktu już tylko o administracji rządowej. Warto również zauważyć, iż zgodnie z akapitem pierwszym kierownik jednostki nie może opierać się o najlepsze praktyki, skoro nie zostały one jeszcze wskazane. W akapicie drugim zostało użyte słowo Polityka pisane z wielkiej litery w kontekście polityki danej jednostki. Biorąc pod uwagę zdefiniowanie tego pojęcia w komentowanym dokumencie, jego użycie w kontekście polityki bezpieczeństwa danej jednostki jest nieprawidłowe. Polityka w akapicie trzecim posługuje się niezdefiniowanym pojęciem systemów zarządzania bezpieczeństwem informacji. Biorąc pod uwagę, iż minister właściwy ds. informatyzacji wraz z Ministrem Obrony Narodowej i Szefem ABW mają ustalić wytyczne dla wymienionych systemów, to warto określić w treści Polityki o jakie dokładnie systemy chodzi. 15. Ad Główne kierunki działań. Założenia dotyczące kształcenia, szkoleń i uświadamiania w dziedzinie bezpieczeństwa We wstępie do rozdziału użyto określenia, że zakłada się, że działania z tego zakresu będą prowadzone wśród obecnych oraz przyszłych użytkowników CRP. Wydaje się to oczywistością, która nie wprowadza istotnej treści w warstwie merytorycznej. 16. Ad Główne kierunki działań. Kampania społeczna o charakterze edukacyjno prewencyjnym W akapicie pierwszym wśród zagrożeń czekających na dzieci w sieci wskazano uzależnienie od Internetu. Wydaje się, że tego typu zagrożenie nie powinno być obiektem zainteresowania w ramach ustalania zasad ochrony CRP, gdyż stanowi nie tyle zagrożenie techniczne co zagrożenie o charakterze psychofizycznym. To ważny, ale zupełnie odrębny obszar tematyczny. W Polityce wygląda dezorientująco, podobnie jak banalnie brzmią deklaracje typu zakłada się, że kampania edukacyjno- prewencyjna skierowana będzie do ogółu społeczeństwa. 17. Ad Główne kierunki działań. Rozbudowa zespołów reagowania na incydenty bezpieczeństwa teleinformatycznego w administracji rządowej. 13

14 Termin w języku angielskim constituency nie oznacza obszaru zadaniowego, a raczej obszar działania dla danego zespołu reagującego, dlatego jego użycie jest błędne. Obszar zadaniowy mówi raczej o zestawie usług świadczonych przez zespół reagujący dla podmiotów będących częścią jego obszaru działania. Jeśli jednak termin constituency został użyty w jego prawidłowym znaczeniu, a tylko termin obszar zadaniowy jest jego nieprawidłowym tłumaczeniem, to pozostaje niejasne czy intencją było formalne podzielenie całego obszaru działania na mniejsze obszary działania poszczególnych zespołów reagujących w administracji rządowej. Należałoby jasno zapisać intencję, jeśli takowa istnieje, że w administracji rządowej powstaje wiele zespołów reagujących ze wskazanymi dla nich obszarami działania. Intencja komentowanego postanowienia jest całkowicie niejasna. Dalej rozumując jeśli intencją było stworzenie wielu zespołów reagowania (tak zdaje się sugerować tytuł rozdziału), to nawet po ich powstaniu nie będzie mowy o tworzeniu przez nie krajowego systemu reagowania na incydenty. Mogą one jedynie stanowić jego część, gdyż do takiego systemu powinny należeć również podmioty spoza administracji rządowej. Należy przy okazji jasno zdefiniować termin krajowy system reagowania na incydenty. 18. Ad Główne kierunki działań. Założenia działań technicznych. Rozbudowa systemu wczesnego ostrzegania oraz wdrażanie i utrzymanie rozwiązań prewencyjnych. Polityka stanowi dokument rządowy, stąd wskazywanie w akapicie pierwszym na projekt prowadzony na zasadach komercyjnych wspólnie z przedsiębiorcą, tj. Naukową i Akademicką Siecią Komputerową, wydaje się nieuzasadnionym preferowaniem przez polski rząd tego przedsiębiorcy. Dodatkowo projekt ma charakter szczegółowy i brak podstaw, aby tylko ten projekt oraz zapowiedź jego rozbudowy były wskazywane w treści dokumentu rządowego o charakterze ogólnym, z pominięciem innych projektów, które są lub mogą być realizowane przez instytucje rządowe we współpracy z przedsiębiorcami. Celowość kontynuowania tego projektu powinna zostać nadto zweryfikowana przy pomocy zewnętrznych podmiotów wobec stron tego projektu. 19 Ad Główne kierunki działań. Testowanie poziomu zabezpieczeń i ciągłości działania W punkcie tym w sposób zamienny wykorzystuje się terminy test i ćwiczenia. Terminy te w języku polskim mają odmienne znaczenia i należy je w opisie użyć zgodnie z intencją. Z treści wynika, że raczej chodzi o test. Dodatkowo w opisie mowa jest o tym, że PBC powinien testować (ćwiczyć?) współpracę międzyresortową. Wydaje się, że tego typu zadanie powinno zostać wyznaczone w ramach zapisów dotyczących współpracy podmiotów z różnych sektorów. 20. Ad Główne kierunki działań. Założenia działań technicznych. Rozwój zespołów bezpieczeństwa. 14

15 Na podstawie treści omawianego punktu trudno jednoznacznie wskazać czy dotyczy on instytucji rządowych czy też ogółu jednostek organizacyjnych w rozumieniu Terminów. Dodatkowo zakłada się dowolność tworzenia CERT- ów w ramach jednostek organizacyjnych (?), z drugiej jednak strony wskazuje się na ich powinności w zakresie tworzenia witryn internetowych dotyczących bezpieczeństwa. Opis zawartości witryn nie jest spójny. Zawiera on zarówno rodzaje dokumentów, na przykład różnego rodzaju poradniki, dobre praktyki, jak i charakter merytoryczny treści, na przykład aktualności związane z bezpieczeństwem teleinformatycznym, a także formę techniczną ich udostępniania, na przykład ftp. Należy zaprezentować te informacje w uporządkowanej formie. Dodatkowo, wskazując te witryny, określa się je jako wewnętrzne. Z drugiej strony jest mowa o tym, że witryny będą pełnić rolę punktów zgłaszania incydentów bezpieczeństwa teleinformatycznego. Wydaje się, że zapisy te leżą w sprzeczności ze sobą, ponieważ możliwość zgłaszania incydentów zazwyczaj wiąże się z dostępnością z zewnątrz serwisu przyjmującego tego typu zgłoszenia. 21. Ad Wdrożenie i mechanizmy realizacji zapisów dokumentu. Krajowy System Reagowania na Incydenty Komputerowe w CRP. Poziom II (reagowania na incydenty komputerowe) powinien odnosić się do wszystkich funkcjonujących w kraju zespołów CERT, podobnie jak poziom III odnosi się do wszystkich administratorów systemów teleinformatycznych. W praktyce reakcją na incydent komputerowy będzie zajmował się pierwszy powiadomiony zespół CERT, co niekoniecznie oznaczać musi zespół CERT.GOV.PL lub RCZBSiUT. Podobnie koordynacyjną rolę w praktyce pełni zespół CERT posiadający największe zasoby (tak ludzkie, jak i techniczne) lub najlepiej przygotowany do prowadzenia współpracy (poprzez utrzymanie największej liczby aktywnych kontaktów z innymi zespołami CERT). W obydwu przypadkach wskazanie zespołu CERT.GOV.PL budzi wątpliwości. Wskazywanie konkretnych CERT- ów, np. TP CERT w treści dokumentu rządowego powoduje nieuzasadnione preferowanie danego przedsiębiorcy i nie znajduje podstawy w przepisach prawa, szczególnie, iż dalej mowa już o pozostałych przedsiębiorcach telekomunikacyjnych i usługodawcach świadczących usługi drogą elektroniczną. Wyróżnienie tylko niektórych przedsiębiorców z pominięciem pozostałych wydaje się niedopuszczalne. Ponadto lista istniejących CERT- ów, w tym ich nazewnictwa, jest listą dynamiczną. Dlatego podawanie konkretnych nazw zespołów jest niepotrzebne. Już obecnie lista ta jest nieaktualna. 22. Ad Wdrożenie i mechanizmy realizacji zapisów dokumentu. Mechanizmy wymiany informacji. Polityka nie wyjaśnia na czym polegać ma mechanizm wymiany informacji. Opis w komentowanym punkcie sugeruje, że oparty ma on być na systemie koordynacji, ale system ten nie jest nigdzie opisany. Można rozważać czy należy utożsamiać go z poziomem koordynacji, opisanym w pkt

16 Interpretacja taka nie wydaje się trafna, gdyż wymiana informacji ma dotyczyć zespołów CERT, a chodzi przecież poziom reagowania (choć zespoły cywilne nie są w niego włączone). Ponadto nie jest jasne dlaczego Polityka odwołuje się do wymiany informacji niejawnych skoro wcześniej w dokumencie znajduje się zastrzeżenie, że Polityka nie obejmuje strategii ochrony takich informacji (patrz uwaga z punktu 1). 23. Ad Wdrożenie i mechanizmy realizacji zapisów dokumentu. Sposoby i formy współpracy. Zapis tego punktu jest niestety niejasny. Trudno uzasadnić dlaczego postawiono w sprzeczności organy odpowiedzialne za bezpieczeństwo cyberprzestrzeni oraz odpowiedzialnych za zwalczanie przestępczości komputerowej o charakterze kryminalnym, zakładając konieczność ich współpracy. W rzeczywistości wspomniane obszary odpowiedzialności w dużym stopniu pokrywają się. Z nieznanych powodów wymieniono dwa szczególne zagadnienia: minimalizacja opóźnień reakcji na incydenty komputerowe oraz eliminacja problemów kompetencyjnych. Nie wiadomo również dlaczego pierwszy z nich stanowi podstawę do współpracy w postaci roboczej, a drugi w postaci sformalizowanej (co swoją drogą nie jest zachowaniem przeciwstawnym). 24. Ad Wdrożenie i mechanizmy realizacji zapisów dokumentu. Współpraca z przedsiębiorcami. W wyliczeniu sektorów, których ochrona przed zagrożeniami z cyberprzestrzeni jest istotna z punktu widzenia prawidłowego funkcjonowania Państwa pominięto tak istotne składniki jak transport, szczególnie transport lotniczy i kolejowy. Ostatni akapit odnosi się zbyt ogólnikowo, podobnie jak cała Polityka, do uczestnictwa przedsiębiorców, ich organizacji, a także obywateli i ich organizacji we współpracy zmierzającej do podniesienia bezpieczeństwa CRP. Pominięcie tak istotnej kwestii powoduje, iż Polityka stanowi dokument o znikomym znaczeniu społecznym. Uwaga podobna jak powyżej odnosi się również do podpunktów Współpraca z przedsiębiorcami telekomunikacyjnymi oraz Współpraca z producentami urządzeń i systemów teleinformatycznych. Zaznaczenie tylko tematu bez wskazania propozycji czyni możliwość jego realizacji mało prawdopodobną. 25. Ad Wdrożenie i mechanizmy realizacji zapisów dokumentu. Współpraca z przedsiębiorcami. Współpraca z przedsiębiorcami telekomunikacyjnymi. Nie wskazano kto ma współpracować z Urzędem Komunikacji Elektronicznej (UKE), przedsiębiorcami telekomunikacyjnymi i użytkownikami CRP. Jeżeli autorzy Polityki mieli na myśli ścisłą i skoordynowaną współpracę pomiędzy wymienionymi wyżej grupami, to wydaje się, że np. współpraca pomiędzy UKE i (wszystkimi) użytkownikami CRP nie jest możliwa. 16

17 26. Ad Ocena skuteczności Polityki. Konsekwencje naruszenia zapisów Polityki. Konsekwencja sprowadzająca się do wykluczenia się podmiotu ze społeczności informacyjnej i powstania utrudnień w dostępie do informacji publicznej nie ma zastosowania do administracji publicznej, która jest głównym adresatem Polityki. Innymi słowy Polityka nie określa jakichkolwiek konsekwencji za jej nierealizowanie. 17