Moje wystąpienie przed Parlamentarnym Zespołem ds. Ochrony Praw Konsumentów i Przedsiębiorców: "Czy grozi nam wyłączenie internetu?"

Poniżej zapis ogólny wystąpienia (link ze strony sejmowej).

1. Dzień dobry, moje uszanowanie dla wszystkich. Bardzo dziękuję za zaproszenie i możliwość zabrania głosu na tak ważny temat. Poruszamy temat związków technologii i regulacji a także jednoznaczności i niejednoznaczności pewnych zapisów regulacji.
2. Pragnąłbym zacząć nieco ogólniej, zarysowując szeroką problematykę tematu byśmy mieli pewne podstawy teoretyczne i opis sytuacyjny. Wydaje mi się to pomocne by dostrzec co można rozumieć pod pojęciem “wyłączenia internetu”.
3. Najpierw odpowiedzmy sobie na pytanie czy w ogóle można technicznie wyłączyć internet. To rozważania wysoce hipotetyczne oraz czysto technologiczne. Odpowiedź jest twierdząca - technicznie można to zrobić. Teoretycznie internet można wyłączyć, oczywiście rozumiejąc to jako odcięcie kraju od światowej sieci i uniemożliwienie komunikacji wewnątrz kraju dla przeważającej większości ludności.
4. Taka definicja oczywiście oznacza, że nie musi to być odcięcie o 100% efektywności. Zwykle nie o to nawet chodzi. To też upraszcza wiele skomplikowanych problemów choćby wynikających z następstw takiej decyzji.
5. Najprostsze następstwo to wzrost nieufności społecznej na co są dowody naukowe. Choć praca do której się odnoszę jest jeszcze formalnie nieopublikowane to miałem możliwość zapoznania się z pierwszymi wnioskami z takich badań przeprowadzonych w jednym z krajów Azji gdzie sieć faktycznie odcięto.
6. Konsekwencje są też ekonomiczne. Odcięcie kraju od internetu to działanie kosztowne dla gospodarki każdego kraju. W  przypadku kraju takiego jak Polska, według znanych metod szacunkowych straty mogłyby wynieść kilkaset mln zł dziennie.
7. Internet to “sieć dużych sieci”, internet składa się z kilkudziesięciu tysięcy tzw. “systemów autonomicznych” zwykle pod kontrolą jakiegoś podmiotu. W Polsce systemów takich jest ponad 2,500. Przykładowo : NAUKOWA I AKADEMICKA SIEC KOMPUTEROWA INSTYTUT BADAWCZY ma przypisany numer  AS1887.
8. Jest to dużo połączeń wewnątrz kraju i wiele z zagranicą. Skoordynowane odcięcie takiej struktury  byłoby zadaniem technicznie złożonym. Przed prostym i łatwym szerokim odcięciu Polska jest więc zabezpieczona właśnie technicznie w pewien sposób naturalnie, z powodu tego zróżnicowania. Od początków lat 90 w Polsce nie budowano nigdy architektury internetu tak, aby możliwe było jej łatwe i szybkie odcięcie.
9. Być może łatwiej byłoby w 1995. Dziś mamy dużo bardziej złożoną sieć.
10. Jeśli mamy być w pełni uczciwi to trzeba też przyznać, że nawet dziś jednak pewne działania są możliwe.
11. Mianem wyłączenia internetu określa się twarde wyłączenie-odcięcie wszystkiego, ograniczenie prędkości transmisji (co spowoduje duże utrudnienia lub uniemożliwienie korzystania z niektórych serwisów lub aplikacji), lub selektywne blokady, jeśli zachodzą wobec istotnych stron lub serwisów, w odpowiednim czasie.
12. By działanie odniosło skutek wcale nie trzeba całkowitego odcięcia internetu każdemu. Wystarczy by ograniczyć użyteczność przeważającej większości, choćby na określonym obszarze. Tu w ogólności jest już dużo możliwości.
13. Wyłączenia internetu to w skali świata stosunkowo nowe zjawisko, rośnie jednak zainteresowanie takimi zdolnościami.
14. Mamy też coraz więcej przykładów: Indie (kilka razy; 2018, 2020), Iran, Białoruś, Mjanma, itd. Często chodzi o kontrolę społeczną z powodu np. rozruchów lub demonstracji czyli zdarzeń przez rządy tradycyjnie uznawanych za wyzwanie dla porządku publicznego i bezpieczeństwa państwa.
15. Zdolności do zaawansowanej filtracji mają Chiny. Tak budowano tam sieć od samego początku. Tak rozwijał ją też Iran. Obecnie prace nad przebudową własnej sieci prowadzone są w Rosji i publicznie mówi się, że w przypadku dużego zagrożenia cyberbezpieczeństwa można będzie odciąć od internetu cały kraj. To oczywiście kuriozalne bo takie drastyczne odcięcie niekoniecznie byłoby pomocne w kwestiach zapewnienia cyberbezpieczeństwa.
16. Na proces przygotowań do budowania zdolności wyłączania internetu składa się szereg nie zawsze łatwo dostrzegalnych kroków. To stopniowe uprawnienia ustawowe, decyzje, działania, wdrożenia, testy. To co najmniej kilka lat prac których na pewnym etapie w warunkach liberalnej demokracji dałoby się zauważyć - łącząc pewne decyzje i realizacje techniczne, nawet jeśli na pierwszy rzut nie muszą być one ze sobą powiązane. Liczy się suma drobnych elementów procesu.
17. Takie prace techniczne nad zdolnościami to jednak świadome i intencjonalne decyzje.
18. Z tych rozważań możemy wyciągnąć wniosek, że do wyłączenia internetu potrzeba przygotowań. Chodzi o zdolności techniczne, czasem poprzedzone testami.
19. Zwykle w ramach budowy takich zdolności państwom potrzeba też formalnie ścieżki prawnej. Czyli w ogólności trzeba mieć regulacje zezwalające na ograniczenie połączeń oraz możliwość wyegzekwowania zakazów.
20. Trzeba też przyznać, że wiele państw Zachodu pewne regulacje w tym temacie posiada. Przykładowo, w sytuacjach wyjątkowych regulator telekomunikacyjny w Wielkiej Brytanii ma dziś uprawnienia ingerowania w działania telekomów. To są jednak sytuacje wyjątkowe i zdaje się nigdy z tego nie korzystano
21. Także i w Polsce są już takie możliwości. Ustawa Prawo telekomunikacyjne w “sytuacji wystąpienia szczególnego zagrożenia” umożliwia nakazanie przez prezesa UKE operatorowi “ograniczenia niektórych usług telekomunikacyjnych” (art 178 ust. 2), gdzie nakaz można przekazać ustnie, wykonalność jest natychmiastowa, a ustawa nie przewiduje odwołania.
22. Ustawa ta przewiduje za to możliwość “niezwłocznego blokowania połączeń telekomunikacyjnych lub przekazów informacji” (Art. 180.1) w przypadku np. ryzyka dla porządku publicznego.
23. Podstawy prawne do odłączenia lub restrykcji połączeń zatem już istniały, z jasną ścieżką egzekucji. Decyzję podejmuje Prezes Urzędu Komunikacji Elektronicznej, być może też na prośbę premiera.
24. Tutaj zatem stronę techniczną rozwiązania nakazu całkowicie przerzuca się na operatorów telekomunikacyjnych, w tym sensie państwo przypisuje sobie rolę jedynie decyzyjną i ewentualnie egzekucję takiej decyzji.
25. Ustawa ta uwzględnia ważny zapis, otóż nakładane decyzje mają być “z zachowaniem zasady minimalizowania negatywnych skutków nałożonych obowiązków”.
26. Można więc argumentować, że miałyby to być zakłócenia minimalne, chyba że ktoś chciałby sobie wyobrazić taki nakaz wysyłany do np. wszystkich dużych operatorów z nakazem szerokiego filtrowania, ale to już jest kwestia hipotetyczna.
27. To zagadnienie blokowania i filtracji jest dziś ponownie i bardziej widoczne za sprawą zainteresowania opinii publicznej projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.
28. W ustawie mowa o obsłudze incydentów i tu zacytuję definicję incydentu.
29. incydent – zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych
30. Projekt ustawy przewiduje, że można wydać polecenie zabezpieczające.
31. Pkt “9. … wskazanie określonego zachowania, które zmniejszy skutki incydentu krytycznego lub zapobiegnie jego rozprzestrzenieniu, rozumie się: 7) nakaz wprowadzenia reguły ruchu sieciowego zakazującego połączeń z określonymi adresami IP lub nazwami URL 8) nakaz wstrzymania dystrybucji lub zakaz instalacji określonej wersji oprogramowania”
32. Dla jasności powiedzmy sobie, że nazwy URL to adresy stron internetowych np. prywatnik.pl lub sejm.gov.pl, a adresy IP to adresy internetowe serwerów.
33. Powiedzmy sobie też jasno, że takie blokady ruchu istotnie są standardowo stosowane w celach zapewniania cyberbezpieczeństwa, przez wiele firm i podmiotów. Zasady filtracji uniemożliwiają komunikację np. ze znanymi serwerami kontrolującymi złośliwe oprogramowanie.
34. Jeśli takie złośliwe oprogramowanie znajdzie się gdzieś wewnątrz sieci to odcięcie komunikacji uniemożliwi np. proces wykradania danych lub otrzymywania rozkazów ze zdalnych serwerów. Czyli udaremni proces cyberataku.
35. W tym sensie ustawa po prostu kodyfikuje to, co dostawcy technologii już robią. Ja się całkowicie zgadzam z tym że to po prostu podstawowa praktyka cyberbezpieczeństwa i takie są fakty.
36. Często informacje o takich złych serwerach są wymieniane za pomocą kanałów komunikacyjnych z dystrybucją ograniczoną do punktów kontaktowych zajmujących się cyberbezpieczeństwo w jakiejś dużej firmie lub zespole CERT, np. W Polsce. To się dzieje standardowo i regularnie.
37. Podsumowując te rozważania, podstawy merytoryczne dla takiego filtrowania jak najbardziej istnieją.
38. Projekt ustawy realizuje kwestie filtrowania ruchu sieciowego w Art. 67b. 1. Minister właściwy do spraw informatyzacji w przypadku wystąpienia incydentu krytycznego może wydać polecenie zabezpieczające.
39. “Polecenie zabezpieczające wydaje się w drodze decyzji administracyjnej na czas koordynacji obsługi incydentu krytycznego, nie dłużej niż na dwa lata”
40. Przy czym Polecenie zabezpieczające podlega natychmiastowej wykonalności.
41. Myślę więc, że tu mamy jasność. Teoretycznie ustawa umożliwia blokadę strony internetowej z natychmiastową wykonalnością. To być może miałyby być serwery kontrolne złośliwego oprogramowania ale formalnie protokoły sieciowe są identyczne z tymi używanymi przy zwyczajnym przeglądaniu sieci przez obywateli.
42. Pozostaje też kwestia egzekucji takiego nakazu o natychmiastowej wykonalności. Tu są ryzyka wysokich kar pieniężnych
43. Do 3% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego”
44. Przy czym egzekucji poświęca miejsce także ustawa o egzekucji administracyjnej z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji. Temu co ona przewiduje nie poświęcę czasu.
45. Sam incydent krytyczny – incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;
46. Zatem incydent krytyczny będzie ustalany przez zespoły rządowe, wojskowe lub cywilne (NASK) i to zdaje się na tej podstawie informacji od zespołów wojskowych, rządowych lub cywilnego w ramach ścieżki standardowej Minister miałby wydawać polecenie zabezpieczające
47. Przed wydaniem ostrzeżenia lub polecenia zabezpieczającego niezbędne będzie przeprowadzenie analizy uzasadniającej wydanie tych środków nadzwyczajnych. Analiza będzie przeprowadzana wspólnie z Zespołem. Zespół ten jest organem pomocniczym w sprawach obsługi incydentów krytycznych. W jego skład wchodzą przedstawiciele CSIRT MON, CSIRT NASK, Szefa Agencji Bezpieczeństwa Wewnętrznego realizującego zadania w ramach CSIRT GOV oraz Rządowego Centrum Bezpieczeństwa
48. 39. Zbliżamy się do jednej z kwestii budzącej wątpliwości.
49. W wybranych sytuacjach “polecenie zabezpieczające” można wydać bez uzasadnienia (“w części uzasadnienia faktycznego”, zapis który nie ma swej definicji w tej ustawie)
50. Uzasadnienie faktyczne to po prostu szczegóły decyzji, czyli jej powody
51. § 3. Uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
52. Nakaz nałożenia reguły filtracji lub blokady w trybie bez uzasadnienia dotyczy sytuacji wybranych i ograniczonych
53. “względami obronności lub bezpieczeństwa państwa” lub
54. “bezpieczeństwa i porządku publicznego”.
55. Brzmi to niezwykle zrozumiale. Chyba wszystkim nam przecież zależy na obronności państwa oraz bezpieczeństwa porządku publicznego. Problem polega na tym, że nie wiadomo dokładnie co te terminy oznaczają
56. 43. “Bezpieczeństwo i porządek publiczny” ze swej natury jest to pojęcie rozmyte, szerokie, ogólne i pojemne.
57. Nie wiadomo co one oznaczają. Wiadomo jednak, że ustawa wprowadza nowy tryb blokady pewnych treści. Co do zasady względy cyberbezpieczeństwa to uzasadniają. Problem pojawia się w trybie niejawnym
58. Jeśli bowiem “Minister może nakazać blokadę połączeń z dowolnymi stronami i serwerami, bez uzasadnienia i z natychmiastową wykonalnością” (np. operatorowi telekomunikacyjnemu) to być może warto uzasadnić racjonalność takich uprawnień.
59. Chodzi przecież o to, że po przyjęciu tego projektu takie uprawnienia istniałyby nie tylko wkrótce, ale też w przyszłości. I tylko od osoby aktualnego Ministra zależałoby jak zostałyby używane.
60. Jako uczciwi obywatele oczywiście ufamy w profesjonalizm i rzetelność Ministra, zarówno obecnego jak i tych przyszłych, nawet jeśli nie wiemy kim oni faktycznie będą.
61. Jeśli jednak firmy takie merytoryczne decyzje o filtracji zwykle lub często podejmują same, warto zastanowić się czy Minister w ogóle potrzebuje takich uprawnień.
62. Ustawa ta daje więc wiele uprawnień i wprowadza nową ścieżkę blokowania stron, z pominięciem UKE. Teraz to Minister będzie mógł bezpośrednio nakazać dokonanie pewnych decyzji
63. Powstają więc dwa pytania. Pierwsze, czy taka ścieżka jest właściwa. Oraz drugie, czy nie warto wprowadzić do ustawy jakichś ograniczników, powiedzmy bezpieczników, które jasno wskazywałyby na konieczność minimalizacji efektów takich decyzji, oraz ewentualnie nakazu publikacji wydanych decyzji, powiedzmy raz do roku.
64. Trzeba przyznać, że nie ma przeciwwskazań dla implementacji takich środków na gruncie merytorycznym. Ale może być trudne do zrozumienia dlaczego np. Nakaz wprowadzenia filtracji bez uzasadnienia może obowiązywać dwa lata.

• Czy ktoś widział serwery kontrolujące złośliwe oprogramowanie które działało tak długo bez wykrycia?
• Jeśli tak i nic z tym nie zrobiono tylko utrzymano w sekrecie, to dla mnie sama taka decyzja stanowi ryzyko cyberbezpieczeństwa. Nie widzę więc powodu dla obowiązywania tej decyzji dwa lata. Na pewno nie jest ten tryb uzasadniony.