Czy powstaje „ustawa inwigilacyjna”? Spytaliśmy ekspertów zabezpieczeń

Nowy projekt Ustawy o Policji zakłada możliwość udostępniania „uprawnionym służbom … danych internetowych" na podobnej zasadzie, co wykazów rozmów telefonicznych. Zmiany (wypadkowa projektów PO i PiS) wzbudzają popłoch wśród internautów, a liczne organizacje pozarządowe, takie jak Panoptykon, ostrzegają przed inwigilacją. O to, czego i na ile powinniśmy się obawiać, zapytałem twórców serwisu Niebezpiecznik.pl – doradców i audytorów z zakresu bezpieczeństwa cyfrowych danych. Uważają oni, że „obecna ustawa niebezpiecznie poszerza możliwości służb" i przytaczają w mailu stanowiska Rzecznika Praw Obywatelskich, Helsińskiej Fundacji Praw Człowieka, Naczelnej Rady Adwokackiej oraz Biura Analiz Sejmowych.

VICE: Co może być tymi „danymi internetowymi", do których dostęp będą miały służby – albo inaczej, jakie informacje mają o nas dostawcy usług internetowych? Lista stron, z których korzystamy? Lista przelewów z banku? Treści rozmów na Facebooku?
Prawnicy toczą spór o to, co można nazwać danymi internetowymi, ale spróbujmy zastanowić się, jakie dane w ogóle można „zbierać" na temat internauty i – zakładając najgorszy możliwy scenariusz – przyjmijmy, że wszystkie te informacje wejdą w definicję „danych internetowych".

Operator sieci (dostawca łącza internetowego) ma nasze dane osobowe i teleadresowe, łącznie ze skanem dowodu – ale pozyskanie tych danych przez służby nie stanowi dziś żadnego problemu. Bardziej interesująca będzie więc wiedza na temat naszego ruchu internetowego. Operator ma tutaj dostęp do następujących danych:

Adres IP, z jakiego korzystaliśmy w danym czasie (najwięcej wniosków policji do operatorów dotyczy właśnie ustalenia kto był użytkownikiem danego adresu IP w konkretnej chwili).

Adres MAC naszego routera lub komputera. Ten unikatowy numer (o ile nie zostanie zmieniony) może posłużyć do identyfikacji urządzenia użytkownika w innych sieciach (np. hotspotach miejskich, sieciach w restauracjach lub komunikacji miejskiej). Istnieje wiec pewne ryzyko identyfikacji miejsc, w których przebywała dana osoba, nawet jeśli wyłączyła telefon komórkowy i uniemożliwiła namierzenie lokalizacji przez odczyt danych lokalizacyjnych z sieci operatora telefonii komórkowej – warunek: korzystała z tego samego urządzenia co w sieci domowej.

Zawartość ruchu internetowego (w tym treści e-maili, zawartość „prywatnych wiadomości" w serwisach internetowych, rodzaj odwiedzanych serwisów internetowych i przeglądane na nich treści, zapytania kierowane no wyszukiwarek internetowych) o ile ruch ten nie był szyfrowany. Taki ruch zdradza też z jakich narzędzi/programów korzystamy, dzięki czemu ktoś może dopasować ataki informatyczne, które odniosą sukces na naszej konfiguracji sprzętowej.

W przypadku użycia połączeń szyfrowanych (np. HTTPS) służby nie widzą tego co jest treścią komunikatu, ale wiedzą, z kim komunikat wymieniliśmy (czy był to serwer Facebooka, czy strona ISIS), i jak intensywna była wymiana danych (jak często wchodziliśmy w interakcję, jak dużo treści przesłaliśmy) oraz kiedy następowała. Te informacje to tzw. metadane. Mogą one nie wprost ujawnić, czym jesteśmy zainteresowani i z kim utrzymujemy kontakt. Nawet jeśli treść komunikatu nie jest widoczna, to metadane zdradzają wiele informacji na nasz temat. O czym może świadczyć fakt, że ktoś od niedawna zaczął częściej odwiedzać strony internetowych aptek i serwisy związane z chorobami wenerycznymi?

Czy istnieje niebezpieczeństwo, że dane zdobyte przez państwowe służby zostaną przechwycone? Zabezpieczenia publicznych instytucji na całym świecie (z elektrowniami atomowymi włącznie) nie cieszą się najlepszą sławą.
Zawsze należy zakładać, że jeśli jakaś wiadomość jest zapisana na dysku komputera podłączonego do internetu, to może ona „zmienić właściciela", często w niezauważalny sposób. Historia zna także przypadki kradzieży danych z odizolowanych od internetu sieci. W świeci w którym dominują smartfony łatwo jest też zrobić zdjęcie wydrukowi papierowemu i w ten sposób „ujawnić" dane, które powinny pozostać w zamkniętym kręgu odbiorców. Przykładem jest np. niedawny wyciek akt sprawy dotyczącej afery podsłuchowej. Nagle pojawiły się na „chińskich serwerach"…

Z jakich środków elektronicznych korzystały dotychczas polskie służby? Dużym echem odbiły się choćby negocjacje CBA w sprawie zakupu szpiegowskich wirusów.
Rok temu odkryliśmy przetarg na stworzenie wojskowego wirusa. Z podobnych rozwiązań korzystają służby innych krajów i tu akurat nie widzimy niczego zaskakującego, może poza tym, że niekoniecznie taki przetarg powinien być „publiczny". Należy zdać sobie sprawę, że wraz z rozwojem technologii i wykorzystywaniem jej do popełniania przestępstw, organa ścigania chcą mieć narzędzia, które pasują do „nowego środowiska walki". Nikt nie dziwi się, że policja korzysta z samochodów (a nie starych dobrych zaprzęgów konnych). Tak samo nie powinno dziwić, że służby chcą toczyć walkę w internecie. Problemem jest jednak to, czy ktoś będzie w stanie kontrolować działania służb w tym obszarze.

Czy policja i inne instytucje dysponują sprzętem i kadrami, aby masowo inwigilować społeczeństwo? A może będą to indywidualne przypadki?
To raczej pytanie do policji. Od strony obserwatora, na bazie ujawnianych dokumentów można pokusić się o postawienie tezy, że póki co policja nie jest przygotowana do masowej inwigilacji, zarówno kadrowo jak i technologicznie. Co innego dedykowane jednostki, CBSP, czy inne trzyliterowe służby – tu technika jest na najwyższym poziomie, ale przynajmniej w części instytucji brakuje rąk do pracy.

Czy da się te zapisy przeformułować w sposób, który rzeczywiście pozwoliłby łatwiej wykrywać akty terroru, korupcję i unikanie podatków – a jednocześnie zmniejszyć ryzyko nadużycia? A może inwigilacja elektroniczna wcale nie jest rozwiązaniem?
Zadanie na pewno nie jest łatwe, bo prawo nie nadąża za technologią. Pewne jest jednak to, że działania służb powinny być możliwe do kontrolowania.

Poradnik, jak zabezpieczyć się w wypadku zmian, znajdziesz na stronie Niebezpiecznika.