Polska od dłuższego czasu rozwija cyberbezpieczeństwo (zdolności do obrony, a być może i do ataku), zarówno cywilne jak i wojskowe, oraz inwestuje też w temat badawczo. To bardzo dobrze, bo to zwyczajnie potrzeba czasów. Teraz ogłoszono też powołanie Centralnego Biura Zwalczania Cyberprzestępczości.

Samą informację ogłoszono tutaj, a projekt ustawy jest tu. Nie znamy wszystkich szczegółów, zwłaszcza technicznych. Wiele jednak wiemy: to ma być wydzielona komórka w ramach policji (a zatem to nie cyberwywiad ani nie cyberarmia), co jest właściwym rozwiązaniem (dziwne, gdyby nie było jakiegoś rodzaju działu zajmującego się tym tematem) bo problem cyberprzestępczości narasta, a państwa muszą sobie z nim radzić. To ma być zatem takie integrowanie tego, co już jest+rozbudowa?

Jaki jest plan?

Ustawa zawiera zarys planu:

11) po art. 19b dodaje się art. 19c w brzmieniu: „Art. 19c.

1. Służba zwalczania cyberprzestępczości może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu rozpoznawania, zapobiegania i zwalczania przestępstw, o których mowa w art. 19 ust. 1, popełnianych przy użyciu nowoczesnych technologii teleinformatycznych oraz wspierania w niezbędnym zakresie pozostałych jednostek Policji w rozpoznawaniu, zapobieganiu i zwalczaniu tych przestępstw.

2. Używając urządzeń lub programów komputerowych, o których mowa w ust. 1, służba zwalczania cyberprzestępczości może uzyskać dostęp, na zasadach o których mowa w art. 19, do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego.

Tu są dwie istotne rzeczy - wytwarzanie lub pozyskiwanie narzędzi (urządzeń lub programów), oraz ich stosowanie.

Wytwarzanie i pozyskiwanie narzędzi

Struktura tego artykułu “odwraca” art. 269b Kodeksu Karnego. Jego brzmienie jest następujące:

Art. 269b. KK

Bezprawne wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie programów komputerowych

§ 1.

Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 sprowadzenie niebezpieczeństwa powszechnego § 1 pkt 4, art. 267 bezprawne uzyskanie informacji § 3, art. 268a niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych § 1 albo § 2 w związku z § 1, art. 269 niszczenie, uszkadzanie, usuwanie lub zmienianie danych informatycznych o szczególnym znaczeniu § 1 lub 2 albo art. 269a zakłócanie pracy systemu informatycznego, teleinformatycznego lub sieci teleinformatycznej, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Oznacza to więc, że powyższy zakaz zostaje “odwrócony”, a zdefiniowane w jego ramach narzędzia mogą być stosowane przez Centralne Biuro Zwalczania Cyberprzestępczości. Nie robię tu analizy prawnej, ale wygląda to na skonstruowanie uprawnień poprzez zaprzeczenie (negację) rzeczy, które są definiowane jako nielegalne - i uczynienie ich legalnymi. Ten ewentualnie ciekawy szczegół konstrukcji odłóżmy na bok i przyznajmy, że  każda taka jednostka musiałaby mieć dostęp do odpowiednich kadr (z umiejętnościami) oraz narzędzi, także takich do przełamywania zabezpieczeń. Narzędzia takie to szeroki problem i tutaj nie wiadomo co będzie przewidywane w programie, ani nie ma sensu ich wymieniać. To mogą być jednak np.:

• łamacze haseł, np. archiwów/plików .rar. lub .zip :-)
• Skanery sieci, bugów, itd.
• Frameworki do eksploitacji
• Eksploity i narzędzia do przełamywania zabezpieczeń (czyli np. Frameworki typu Pegasus od NSO, bo dlaczego nie)
  

I tu po rozważeniu narzędzi dochodzimy do “metod”

Metody

Tu sprawa jest jasna: “służba zwalczania cyberprzestępczości może uzyskać dostęp, na zasadach o których mowa w art. 19, do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego”. Chodzi więc o uprawnienia do przełamywania zabezpieczeń - smartfonów, komputerów, serwerów, kont itd. To może być np. odblokowanie komputera zabezpieczonego hasłem, ale teoretycznie też np. dostęp (np. zdalny?) do serwera w celu zrobienia “czegoś”. To więc stosowanie umiejętności/narzędzi do zrobienia tego "czegoś" - osiągnięcia "celu".

To oczywiście także prowadzi do następstwa innego rodzaju: będą rozwijane zdolności, w kolejnym miejscu. Więc naturalnie, będą one dostępne do wykorzystania.

Nadzór

To nie analiza prawna i zakładam, że nadzór jest typowy w przypadku pracy “operacyjnej”, czyli sąd i tak dalej. Zastanawia mnie jednak, jak należałoby wbudować ew. nadzór etyczny chociażby w obliczu tego, że ludzie “przechowują” w swoich urządzeniach elektronicznych coraz więcej części ich życia (o ile w 2021 już nie “całości”).

Kadry

Czy powołanie takiej dużej jednostki jest realne w kwestii kadrowej? Nie chodzi nawet o wysokość płac (być może praca byłaby ciekawa?), ale o istnienie wystarczającej liczby ludzi, które chciałyby taką pracę podjąć. Wiadomo, że taka jednostka będzie konkurowała (bo będzie?) z rynkiem prywatnym (oraz dawała doświadczenie ludziom na niego wchodzącym?), ale także z “innymi jednostkami”. Czy zatem wystarczy ludzi? To już kwestia zarządzania zasobami ludzkimi i niech to będzie w gestii planistów. Jeśli uważają, że taka rozbudowa jest OK no to proszę bardzo…

Podsumowanie

Kraje rozwijają zdolności cyber i to jest dzisiaj oczywiste. Cyberprzestępczość to rosnący problem i to też jest jasne. To, że do zwalczania pewnych nadużyć potrzebne są zdolności, narzędzia, kadry (czyli nawet i “budynek”) rozumie się samo przez się. Gorzej ze stwierdzeniem, czy będzie zapewniona odpowiednia podaż chętnych - biorąc pod uwagę wolny rynek oraz inne jednostki tego typu. Gdyby bowiem jednostki państwowe musiały konkurować między sobą, podbierając sobie ludzi - czy to byłoby optymalne? Zakładam, że temu problemowi poświęcono naprawdę wiele czasu i go dogłębnie przemyślano. Co najmniej od ok. 2016-2017 r. (Jeśli czytają raporty/zalecenia/itp które do nich spływają) decydenci powinni zdawać sobie sprawę z istnienia takiego ewentualnego problemu.