„Chińskie Mury”

Data: 2010-04-01
Autor: Sebastian Konkol

W czasie niedawnej konferencji prasowej Prezes UKE, pani Anna Streżyńska, siedząc obok Prezesa TP, pana Macieja Wituckiego, powiedziała, że stan wdrażania Chińskich Murów może zagrozić powodzeniu realizacji porozumienia między UKE a TP. Cóż to jednak oznacza?

Z lektury wspomnianego porozumienia wynika, że celem wdrożenia Chińskich Murów w TP jest zapewnienie niedyskryminacji w dostępie do informacji. Gdyby przyjrzeć się wcześniejszym materiałom „w sprawie” (szczególnie dokumentowi konsultacyjnemu rozdziału funkcjonalnego TP), widać wyraźnie jak dalece „uczciwa inaczej” potrafi być organizacja TP, jeśli będzie mieć choć odrobinę możliwości. Krótko mówiąc, sprawa jest poważna, a na wprowadzeniu skutecznych zabezpieczeń TP może „stracić” (czyt. przestać nieuczciwie uzyskiwać) wiele dziesiątków milionów złotych rocznie (oszacowanie baaardzo ostrożne :-) ).

W podstawowym założeniu (D.F.C. Brewer, M.J. Nash (1989), “The Chinese wall security policy”, in Proc. IEEE Symposium on Security and Privacy, pp. 206-214) Chińskie Mury są metodą kontroli dostępu do informacji, która zapewnia brak możliwości sięgania do informacji, które mogłyby postawić agenta (np. pracownika lub współpracownika TP, grupy TP lub ich podwykonawców) w sytuacji konfliktu interesów. Typową sytuacją konfliktu interesów (opisywaną w dokumencie konsultacyjnym rozdziału funkcjonalnego TP) jest możliwość przekazania „cynku” przedstawicielowi sprzedaży detalicznej TP o tym, że któremuś z operatorów alternatywnych (np. Netia) niemal udało się przekonać aktualnego klienta TP do zmiany operatora. W takiej sytuacji stawiany jest każda osoba, która miałaby dostęp do szczegółowych informacji o takich działaniach Netii i detalu TP. Jak temu przeciwdziałać? Według poprawnie rozumianej metodyki Chińskich Murów, każdy kontakt każdego agenta z informacjami „wrażliwymi” (czyli takimi, które mogą wywoływać konflikt interesów) musi być uzależniony od zgodności interesu reprezentowanego przez agenta i informacje. W takim ujęciu, każdej porcji informacji „wrażliwych” oraz każdemu agentowi nadaje się etykietę identyfikującą reprezentowany interes. W uproszczeniu, dany agent ma dostęp jedynie do tych porcji informacji „wrażliwych”, które są opatrzone taką samą etykietą, jak jego własna, do innych nie. Metoda ta zakłada aktywne ograniczenie dostępu (brak dostępu) i odnosi się do osób (nie loginów do systemów informatycznych). Nie ogranicza się ona także do IT, ale obejmuje inne źródła informacji (np. dokumenty papierowe).

Ciekawe cóż tak mocno wzburzyło panią Prezes Stróżyńską, że tak mocno postawiła całą sprawę. Znając jednak jej zdecydowanie, prędzej czy później się o tym raczej dowiemy.

Jak donosi biuro prasowe TP, metodykę takiego wdrożenia przygotowała „szanowana” firma Accenture. Czyżby więc Accenture (kiedyś Andersen Consulting, wyrosłe z firmy Arthur Andersen) czerpie z Enronowych doświadczeń Arhtura Andersena? Pozostaje mieć nadzieję, że UKE utrzyma jakość kontroli i będzie w stanie wymusić działania rzeczywiście rozwiązujące poważne problemy konkurencyjności rynku telekomunikacyjnego w Polsce.

Pozostaw komentarz