Opinię publiczną w Polsce zelektryzował projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Zawiera on zapisy umożliwiające zobowiązanie (pod groźbą kar) dostawców internetu do nałożenia blokad na ruch sieciowych, a nawet dystrybucji oprogramowania. Bez uzasadnienia i w trybie natychmiastowym. Powstało więc wiele kontrowersji opartych na obawach… Czy może grozić to wyłączeniem internetu w Polsce?
Minister będzie mógł coś nakazać firmom, bez uzasadnienia ("może odstąpić od sporządzenia uzasadnienia"). Np. zablokować dostęp do jakichś stron internetowych, albo zablokować instalacji jakichś aplikacji? Wiecie co to oznacza? https://t.co/MRyUOkZ5xu pic.twitter.com/s6Ej7sNYaz
— Łukasz Olejnik (@prywatnik) January 25, 2021
Z internetu w Polsce wielu korzysta rutynowo, także bezwiednie. Dlatego każde pomysły na uprawnienia do przysłowiowego “wyłączenia internetu” mogą wzbudzić uzasadnione obawy. Taki odbiór jest dodatkowo wzmacniany wiedząc o tym co ostatnio dzieje się na świecie. Chodzi o coraz częstsze przykłady wyłączeń internetu i odcięcia dostępu do sieci w różnych krajach, np. w Iranie, Indiach, Białorusi [1, 2], Ugandzie, itd.. Z uczciwości odnotowuję, że formalne uprawnienia do odcięcia sieci występują też w krajach Zachodu, np. Wielkiej Brytanii (analogiczne do istniejących już zapisów w polskiej ustawie Prawo Telekomunikacyjne).
Polityki wyłączeń internetu analizowałem wielokrotnie, także w - hipotetycznym - kontekście Polski. Napisałem na ten temat kilka artykułów opinii (tytuły od redakcji):
- "Jak się odcina kraj od internetu"
- "Pyk i nie działa. Internet w Polsce można wyłączyć w jeden dzień, jedną ustną decyzją"
Czy tym razem jednak jest czym się martwić w Polsce? Wyjaśniam.
Mowa o ustawie o cyberbezpieczeństwie. Na konieczność przyglądania się rozwojowi tego projektu już wskazywałem (w “plany zmian w polskim cyberbezpieczeństwie - ustawie o krajowym systemie cyberbezpieczeństwa” oraz tutaj).
“Te kwestie prawdopodobnie będą uważnie obserwowane. Zwłaszcza, że propozycja zmian w ustawie przewiduje też “nakaz wprowadzenia reguły ruchu sieciowego zakazującego połączeń z określonymi adresami IP lub nazwami URL” w odniesieniu do pewnych incydentów (Art. 67b) . To kwestie filtracji lub blokady treści, a zatem konieczności zbudowania do tego odpowiedniej infrastruktury, także bieżące (lokalne) testowanie takich możliwości.”
“W przypadku stwierdzonego ryzyka cyberbezpieczeństwa ustawa udostępni też metody blokady dostępu do treści szkodliwych i ich filtrowania. Pełnomocnik ds. cyberbezpieczeństwa będzie mógł wydawać “nakazy wprowadzenia reguły ruchu sieciowego zakazującego połączeń z określonymi adresami IP lub nazwami URL”, czyli nakazać techniczny brak możliwości łączenia się z serwerami.”
Projekt po zmianach. Niejawne uzasadnienia decyzji?
Najnowszy projekt po zmianach jest tu. Te zmiany są ciekawe.
Zapisy ustawy pozwolą na nakładanie blokady na połączenia z adresami pod pewnymi URL (chodzi o nazwy strony internetowych typu PRYWATNIK.PL) lub adresami IP (adresy internetowe) serwerów.
“9. Przez wskazanie określonego zachowania, które zmniejszy skutki incydentu krytycznego lub zapobiegnie jego rozprzestrzenieniu, rozumie się:
…
7) nakaz wprowadzenia reguły ruchu sieciowego zakazującego połączeń z określonymi adresami IP lub nazwami URL
8) nakaz wstrzymania dystrybucji lub zakaz instalacji określonej wersji oprogramowania”
Względy cyberbezpieczeństwa mają podstawy!
Powiedzmy wprost. Możliwość zablokowania połączeń (regułami filtrowania) z serwerami kontrolującymi złośliwe oprogramowanie (serwerami Command & Control) to jeden z podstawowych elementów koniecznych do zapewnienia cyberbezpieczeństwa. Serwery C&C umożliwiają kontrolę nad złośliwym oprogramowaniem. Mogą też pośredniczyć w wykradaniu danych (ogólniej - w procesie “cyberataku”). Już sam fakt połączeń z sieci do znanych serwerów C&C może budzić obawy co do przełamania zabezpieczeń gdzieś wewnątrz “naszej” sieci. Zablokowanie takiej komunikacji może więc pomóc w uniknięciu eskalacji.
Jeśli chodzi o nakaz wstrzymania dystrybucji oprogramowania lub zakaz instalacji, to prawdopodobnie chodzi o uniknięcie ryzyka cyberataków w warstwie łańcucha dostaw (np. niedawna sprawa SolarWinds, ale było dużo tego więcej…) gdy dystrybuowane są zainfekowane wersje oprogramowania i w taki sposób może dojść do złamania zabezpieczeń wielu systemów.
Formalnie rzecz ujmując, zapisy w projekcie tej ustawy jak najbardziej można i trzeba zrozumieć. Nawet jeśli założymy, że w praktyce działania takie dostawcy internetu powinni podjąć sami i z własnej inicjatywy - nie zawsze musi tak się stać. Powyższe zapisy dają więc władzę Ministrowi właściwemu ds. informatyzacji by polecenie wydać wprost.
Ma to być formalnie odpowiedź na ryzyko zajścia “incydentu krytycznego”. Definicję incydentu mamy w ustawie w art 1.2(d):
“incydent – zdarzenie, które ma lub może mieć niekorzystny wpływ nabezpieczeństwo systemów informacyjnych”
Nowe uprawnienia dla Ministra mamy tutaj:
Art. 67b. 1. Minister właściwy do spraw informatyzacji w przypadku wystąpienia incydentu krytycznego może wydać polecenie zabezpieczające
…
“Polecenie zabezpieczające wydaje się w drodze decyzji administracyjnej na czas koordynacji obsługi incydentu krytycznego, nie dłużej niż na dwa lata.
...
3. Polecenie zabezpieczające podlega natychmiastowej wykonalności.”
Można powątpiewać dlaczego polecenie zabezpieczające o blokadzie ruchu sieciowego miałoby obowiązywać aż dwa lata. Serwery C&C o których powszechnie wiadomo, raczej z trudem funkcjonowałyby tak długo. Dla odbiorcy takiego polecenia zabezpieczającego nie ma jednak wielkiego pola do manewru. Polecenia takie będą respektowane. Choćby z powodu możliwości nakładania kar.
Kary
Ustawa przewiduje kij na tych, którzy nie podporządkują się nakazom. Są to “administracyjne kary pieniężne w wysokości do 3% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego”. To dużo. Będzie to stanowiło silną motywację, by nakazy respektować.
Co to jest incydent?
O ile ustawa definiuje co jest “incydentem”, nie ma jasnej definicji gradacji. Co jest “krytyczne”? O tym traktuje uzasadnienie do ustawy:
“Incydent krytyczny jest najbardziej dotkliwym w skutkach typem incydentu cyberbezpieczeństwa, skutkującym znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi. Incydent krytyczny jest klasyfikowany przez zespoły CSIRT poziomu krajowego, a więc najpierw operator usługi kluczowej, dostawca usługi cyfrowej lub podmiot publiczny zgłaszają właściwy incydent, który następnie - po przeprowadzeniu należytej oceny - może być uznany przez CSIRT poziomu krajowego za incydent krytyczny.”
Gdyby w ustawie były zapisy wprost odzwierciedlające to uzasadnienie oznaczałoby to, że incydent krytyczny nie jest arbitralnie identyfikowany przez Ministra. W samym głównym tekście nowelizacji nie znajdziemy definicji incydentu krytycznego (jest we wcześniejszej wersji ustawy).
Nie będzie jednak tak, że Minister sam z siebie coś wydaje. Zaangażowane są też inne osoby:
“Przed wydaniem ostrzeżenia lub polecenia zabezpieczającego niezbędne będzie przeprowadzenie analizy uzasadniającej wydanie tych środków nadzwyczajnych. Analiza będzie przeprowadzana wspólnie z Zespołem. Zespół ten jest organem pomocniczym w sprawach obsługi incydentów krytycznych. W jego skład wchodzą przedstawiciele CSIRT MON, CSIRT NASK, Szefa Agencji Bezpieczeństwa Wewnętrznego realizującego zadania w ramach CSIRT GOV oraz Rządowego Centrum Bezpieczeństwa.”
Blokady można uzasadnić. Co z trybem decyzji?
Dotychczas skupiliśmy się na formalnej kwestii uprawnień i ich zasadności. Jak wyjaśniłem, ogólnie rzecz biorąc, że blokady połączeń z serwerami lub stronami internetowymi (URL i IP) można uzasadnić względami cyberbezpieczeństwa. Faktycznie cyberprzestępcy wykorzystują dokładnie te same protokoły sieciowe, z których korzystamy przy przeglądaniu stron internetowych. Dlatego choć brzmi to poważnie, odwołując się stricte do spraw technicznych, nie ma tu niczego kontrowersyjnego. Jak jest z trybem?
Pewne wątpliwości mogą budzić zapisy innej natury. W wybranych sytuacjach “polecenie zabezpieczające” można wydać bez uzasadnienia (“w części uzasadnienia faktycznego”, zapis który nie ma swej definicji w tej ustawie):
“Minister właściwy do spraw informatyzacji może odstąpić od sporządzenia uzasadnienia polecenia zabezpieczającego w części dotyczącej uzasadnienia faktycznego, jeżeli wymagają tego względy obronności lub bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego”.
Czym może być uzasadnienie faktyczne? Może pewnym stopniu podobne do tego:
§ 3. Uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
Czy to powinno uspokoić opinię publiczną? To tłumaczy, że decyzja byłaby bez uzasadnienia w miejscu najbardziej istotnym. Można sobie wyobrazić, że to informacje o naturze problemu oraz “skąd o tym wiadomo” (np. od sojuszników, w trybie niejawnym, ale szerokie wykorzystanie takich informacji może i tak doprowadzić do ich wyjawienia…). To jednak tłumaczy jedynie, że nie musi być uzasadnienia w stosunku do najistotniejszych przesłanek.
Abrakadabra obronności i porządku publicznego
Nakaz blokady bez uzasadnienia dotyczy sytuacji wybranych i ograniczonych “względami obronności lub bezpieczeństwa państwa” lub “bezpieczeństwa i porządku publicznego”. Brzmi to niezwykle zrozumiale. Nawet szczytnie. Każdemu przecież powinno zależeć na obronności i bezpieczeństwie państwa. Zrozumiałe jest jednak do momentu gdy zaczniemy zastanawiać się nad tym co faktycznie oznacza “bezpieczeństwo i porządek publiczny” (bo oczywiście nie mówimy o stanie wojny w sytuacji z 1919 r., w kwestie poruszone przez policję w Kozach też nie wnikajmy).
Otóż nie wiadomo co to oznacza.
Dla uczciwości dodajmy, że sformułowanie to jest stosowane też w wielu innych ustawach, również bez definicji. Nie ma żadnej obowiązującej definicji takiej sytuacji.
“Bezpieczeństwo i porządek publiczny” ze swej natury jest to pojęcie rozmyte, szerokie, ogólne i pojemne. Takie ma być. W końcu chodzi o “bezpieczeństwo i porządek publiczny”. Co to może jednak oznaczać? Rozruchy? Demonstracje? Wydarzenia grożące stabilności systemu polityczno-prawnego? Możemy sobie gdybać, bo tematu i tak nie wyczerpiemy. Ze swej natury ma być on elastyczny i podlegać interpretacjom “dynamicznie”. Wyobrażam więc sobie, że jeśli sprawę sformułujemy tak:
“Minister może nakazać blokadę połączeń z dowolnymi stronami i serwerami, bez uzasadnienia i z natychmiastową wykonalnością”
...to problem interpretacyjny pojawia się właśnie w związku z decyzjami bez uzasadnienia, zwłaszcza gdyby obszar do blokad sieciowych miałby okazać się dysproporcjonalnie szeroki.
Co prawda możemy wyobrazić sobie, że otrzymano niejawne ostrzeżenie od np. sojuszników w NATO. Jak często się to zdarza? Dziś dane potrzebne do zabezpieczenia systemów i sieci często są jawne. Czasem z wiedzą ograniczoną do dużych dostawców usług, np. chmurowych i np. tylko te niektóre duże podmioty pewne informacje dostają przed innymi. Żeby wcześniej zabezpieczyć swe usługi krytyczne. To często dzieje się ponadgranicznie, pomiędzy wieloma jurysdykcjami i nie potrzeba do tego ustaw.
Niejasność budzi wątpliwości
Być może właśnie ta niejasność uprawnień może rodzić i wzbudzać wątpliwości, a nawet obawy. Pamiętajmy jednak, że chodzi tu o konkretny cel - cyberbezpieczeństwo państwa. Ten cel miałby być być związany z uniknięciem negatywnych następstw “incydentu krytycznego”. Mimo to, zawsze ważne mogą okazać się intencje osoby Ministra, oraz sama osoba Ministra. Jako przykładni obywatele oczywiście ufamy w profesjonalizm i rzetelność!
Można jednak rozważyć sporządzenie bardziej rozwiniętego uzasadnienia dla tego niejawnego trybu uzasadnień.
Bo natura takich decyzji może budzić wątpliwości (u niektórych też niepokój). Wszystko zależy od stosowania tego rozwiązania w praktyce. Czyli również od intencji osoby Ministra. Minister otrzyma część prerogatyw wcześniej w dyspozycji jedynie Prezesa Urzędu Komunikacji Elektronicznej. Ścieżka do blokowania treści ulega skróceniu.
Skoro jednak już powiedzieliśmy sobie, że jesteśmy przykładnymi obywatelami i ufamy demokratycznie wyłonionej władzy, to bez prób rzucania podejrzeń na projekt warto zastanowić się, czy nie wmontować w ustawę jakichś bezpieczników. Te ewentualnie mogłyby opinię publiczną uspokoić, skoro już powstały wątpliwości.
Jak można wyobrazić sobie takie konstrukcje? Wyjaśniam poniżej.
Bezpieczniki dla praw podstawowych i wolności obywatelskich
Jak już zaznaczyliśmy, oczywiście ufamy w profesjonalizm Ministra, Zespołu i innych zaangażowanych stron. Wiemy już jednak, że problem tej władzy do wydania poleceń zabezpieczających bez uzasadnienia wzbudza obawy i to nawet dość szeroko.
Jeśli mielibyśmy potraktować obawy poważnie, to pamiętając, że ma iść tu o cyberbezpieczeństwo państwa. Wtedy niewątpliwie można wyobrazić sobie szereg zapisów, które być może mogłyby pomóc w zmniejszeniu potencjału do takich obaw wśród zaniepokojonych obywateli.
Co można zrobić? Bezpieczniki do ustawy
Pomyśleć w jaki sposób w projekt ten wbudować zabezpieczenia które dawałyby możliwość jedynie działań selektywnych. Przykładowo, wpisać wprost, że nie chodzi o zakazy powszechne i dużej skali (te ‘dwa lata’ robią wrażenie!). To także analogiczne zapisy do ograniczeń już istniejących w ustawie Prawo Telekomunikacyjne. Czyli możnaby dodać ustęp, że blokady dostępu do treści mają być
“z zachowaniem zasady minimalizowania negatywnych skutków nałożonych obowiązków”
(hipotetyczne blokady całego internetu lub kluczowych serwisów komunikacyjnych raczej nie minimalizowałyby negatywnych skutków…).
Zawsze coś. Za wpisaniem takich zabezpieczeń przemawiałby choćby i ten fakt, że już one są w odniesieniu do blokowania połączeń - w innej ustawie. Kierując się rozumowaniem merytorycznym, to dlaczego by takiego zabiegu nie powtórzyć…?
Lista bezpieczników do ustawy
Czy możemy zrobić coś więcej? Można rozważyć umieszczenie:
- zapisu o minimalizowaniu skutków i skali
- zapisu o selektywności zakazów (czyli wprost, że nie może chodzić o zakazy nieproporcjonalnie szerokie)
- zapisu, który wskazywałby na bezpośrednie powiązanie ze szkodliwą “cyber-kampanią” w odniesieniu do incydentów mających negatywny wpływ na dostępność, integralność lub poufność systemów
- wyjaśnić jednoznacznie w ustawie jak wygląda gradacja incydentów, częściowo ją zdefiniować
- Dodać do “7) nakaz wprowadzenia reguły ruchu sieciowego zakazującego połączeń z określonymi adresami IP lub nazwami URL” słowo “filtrowania” tak by ten punkt wyglądał tak: “7) nakaz wprowadzenia reguły filtrowania ruchu sieciowego zakazującego połączeń z określonymi adresami IP lub nazwami URL”
- Jeśli na względzie ma być utajniona decyzja w związku z "obronnością" lub "bezpieczeństwem porządku publicznego", to może warto by odpowiedzialność wzięły też dodatkowe osoby. Ewentualnie dodać wymóg, by poważne decyzje wymagały zgody innych osób, np. Ministra Obrony, Ministra Spraw Wewnętrznych, itd.
Skupić się na regulacji w odniesieniu do skutków i skali podejmowanych działań. Nie na motywacji dla nich.
Nie widzę merytorycznych przeciwwskazań, które sprawiałyby, że takie “dodatkowe zapisy” miałyby ograniczyć zakres oferowanych zabezpieczeń natury cyberbezpieczeństwa. Wprowadzając je na nikogo nie wskazujemy też palcem.
Co więcej, zakładając zaniepokojenie opinii publicznej, być może warto w jakiejś formie takie “bezpieczniki” wbudować.
Wiedząc, jak wiele zależy tu od intencji, przyjęcie dodatkowych “zapisów-bezpieczników” mogłoby nawet pomóc do zbudowania zaufania do tego rozwiązania w tej ustawie. Zademonstrowało by to istnienie zrozumienia dla kontrowersji wśród opinii publicznej.
Dzięki temu możemy też uzyskać “test na intencje”. W końcu jeśli te powyższe zapisy precyzujące niczemu nie wadzą, to dlaczego by nie zgodzić się by takie precyzujące frazy zapisać w ustawie? Formalnie w kwestii cyberbezpieczeństwa nic to nie zmieni. Lecz w przypadku braku zgody na takie zapisy precyzujące byłby to potencjalnie sygnał o ewentualnych intencjach (lub ich braku) Ustawodawcy (lub parlamentarzystów, jakkolwiek na to patrzeć). Jak już wyżej wyjaśniłem, wiele tu zależy od intencji.
Darmowy konsulting dla posła?!
Pewne zapisy tej ustawy są dość ogólnikowe i/lub niejasne. Do tego dotyczą one części podstawowego obszaru życia społecznego - dostępu do internetu. Sprawa ta najwyraźniej wciąż bulwersuje opinię publiczną. Na różne sposoby. Wygląda więc na to, że trzeba lub warto coś zrobić. Lub chociaż spróbować. Teraz jest to w gestii parlamentarzystów (projekt jest w Sejmie). Rozumiem jednak, że sprawa w tym obszarze ze swej natury może być złożona i skomplikowana. Taka tematyka.
Dlatego po przemyśleniu sprawy oferuję każdemu parlamentarzyście możliwość omówienia/skonsultowania problematyki i ewentualnych modyfikacji, w przypadku jeśli modyfikacje takie są rozważane.
Wyrażam chęć by świadczyć tę usługę po okazyjnej cenie. Darmowej (podobnie proponowałem kiedyś zrobić z DPIA jednej z usług publicznych).
W przypadku zainteresowania, zapraszam do kontaktu: me@lukaszolejnik.com
Comments is loading...