Polski rząd szykuje nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. To implementacja dyrektywy unijnej, poszerzona o kilka dodatkowych działań. Między innymi daje ministrowi właściwemu do spraw informatyzacji możliwość zablokowania strony czy usługi sieciowej. Co myślą o tym specjaliści?
Zapisy umieszczone w nowelizacji wzbudziły sporo wątpliwości, nie tylko w naszej redakcji. Znalazły się tam zapisy o możliwości zablokowania nawet na dwa lata adresu IP, aplikacji albo domeny na wniosek odpowiedniego ministra. Korzystają z szerokich definicji, jak „porządek publiczny”, nie gwarantują transparentności i są sformułowane dość uznaniowo. Według Roberta Kośli z departamentu cyberbezpieczeństwa KPRM chodzi o cyberbezpieczeństwo i minimalizowanie strat. Z zewnątrz jednak wygląda to nieco inaczej, o czym rozmawiali 19 lutego uczestnicy posiedzenia „Czy grozi nam wyłączenie Internetu?”: przedstawiciele wnioskodawców projektu (Kancelarii Prezesa Rady Ministrów, Rządowego Centrum Legislacji, Ministerstwa Rozwoju, Ministerstwa Sprawiedliwości oraz Urzędu Ochrony Konkurencji i Konsumentów) oraz specjaliści z zewnątrz.
Tę kwestię poruszył Łukasz Olejnik, niezależny ekspert w dziedzinie cyberbezpieczeństwa i prywatności. Technicznie można odłączyć Polskę od światowej sieci i znacząco utrudnić komunikację w kraju, będzie to jednak wymagało tytanicznego wysiłku. Sieć w Polsce jest ponadprzeciętnie „posiekana” – mamy około 2,5 tysiąca podsystemów i mnóstwo połączeń wewnątrz kraju i z naszymi sąsiadami. Może w latach dziewięćdziesiątych byłoby to możliwe, ale dziś na pewno nie da się tego zrobić ot tak na życzenie ministra.
Oczywiście można to zrobić i z siecią z 2021 roku, wymagałoby to jednak kilku lat przygotowań i testów, a te na pewno nie umkną uwadze opinii publicznej. Jeśli rząd będzie coś w tym kierunku robić, na pewno się zorientujemy. Niemniej „odłączenie” musi być skuteczne, a nie brakuje obywateli, którzy sobie z takimi blokadami poradzą. Efektem ubocznym będzie rozwarstwienie społeczeństwa na tych, którzy mają dostęp do jakichś informacji i na tych, którzy dostępu nie mają.
Zupełnie innym problemem jest utrudnianie komunikacji w kraju. Można to robić na wiele sposobów, czy to sztucznie zmniejszając przepustowość łączy, czy przez blokowanie tylko niektórych zasobów. To drugie już się dzieje, ale nie na poziomie rządowym. Operatorzy telekomunikacyjni blokują tysiące szkodliwych adresów IP, by uchronić klientów przed phishingiem i odciąć serwery sterujące szkodliwymi programami. Robią to jednak bardzo ostrożnie i nigdy nie działają na własną rękę. Polskie prawo telekomunikacyjne daje też możliwość ograniczenia ruchu na polecenie prezesa UKE w stanie zagrożenia. Mówimy tu jednak o przypadkach ekstremalnych, zagrażających bezpieczeństwu i życiu obywateli.
Wspomniany zapis z prawa telekomunikacyjnego zawiera jednak bezpiecznik, na którego brak zwrócił uwagę pan Olejnik, po nim prof. dr hab. Marek Chmaj i reprezentanci Biura Rzecznika MŚP. W prawie telekomunikacyjnym jest bowiem wymóg minimalizowania negatywnych skutków tej blokady. Nowelizacja ustawy podobnego zapisu nie zawiera. Dlaczego więc go nie dodać? Robert Kośla uważa, że to się rozumie samo przez się. Ja jednak czułabym się bezpieczniej wiedząc, że chroni mnie nie tylko dobra wola przyszłych ministrów, ale też ustawa. Konstytucja RP gwarantuje mi, że w moim kraju nie będzie stosowana cenzura prewencyjna.
Eksperci zwrócili również uwagę na brak zapisów o transparentności i jawności decyzji o nałożeniu ograniczeń. Nie jest to dobrze widziane w państwie demokratycznym, by uzasadnienie decyzji nie było podawane do wiadomości publicznej. Od decyzji będzie można się odwołać, ale posiedzenie sądu nie będzie jawne. W zasadzie strona zablokowana nie będzie brała w nim udziału, co jest nieco dziwne. Oczywiście nikt nie będzie wysyłał wezwań do organizacji cyberprzestępczych, ale warto zostawić otwarte drzwi dla przedsiębiorców. Nie zaszkodzi też, jeśli CERT-y będą publikować więcej statystyk. To powinno potwierdzić, że nowelizacja prawa o cyberbezpieczeństwie rzeczywiście jest potrzebna.
Na nowelizację trzeba spojrzeć także z perspektywy telekomów, o czym mówił poseł Jakub Kulesza. Zapisy kodyfikują w zasadzie to, co już i tak robi cała branża. Blokowanie serwerów C&C (command and control, wydających polecenia do malware) to praktyka powszechna. Nasuwa się więc pytanie, czy minister rzeczywiście potrzebuje takich kompetencji? Czas ewentualnej blokady również niepokoił osoby biorące udział w debacie. Dwa lata to bardzo dugo. Nie sądzę, by istniał serwer C&C, który został wykryty, zablokowany na poziomie telekomów i działał aż dwa lata. Po co więc taka nowelizacja ustawy? Czy rząd przewiduje scenariusz, w którym trzeba będzie zablokować coś wbrew woli operatorów? A może właśnie go nie przewiduje?
Krzysztof Izdebski, dyrektor programowy Fundacji ePaństwo i członek jej zarządu, postawił nowelizację w kontekście historycznym. Pamiętacie rejestr stron niedozwolonych? Rejestr miał zawierać strony z nielegalnymi w Polsce grami hazadrowymi. Opór był tak duży, że ówczesny premier Donald Tusk odpuścił najbardziej kontrowersyjne zapisy projektu w lutym 2010 roku. W 2016 roku nowelizacja ustawy hazardowej przeszła bez większych problemów, mimo że narzuciła operatorom nieodpłatne blokowanie pewnych stron. Zostało to uzasadnione porządkiem publicznym i ochroną konsumenta, choć konsument nie został poinformowany, co właściwie jest nielegalne.
Podobne blokowanie usług ma miejsce w ustawach o przeciwdziałaniu narkomanii, terroryzmowi czy tzw. lex uber. Pan Izdebski jest zdania, że takie regulacje przyzwyczajają obywateli, że blokowanie dostępu do usługi to jedyne i najlepsze rozwiązanie problemu. Do wiadomości publicznej nie trafiają informacje o tym, czy prawodawcy rozważali inne rozwiązania i dlaczego ich nie wybrali. Czy chodzi o to, że blokowanie stron jest najłatwiejsze? To my musimy się tego domyślać.
Następstwa takich działań są trudne do przewidzenia, ale na pewno poważne. Badania w innych krajach wykazały, że po zablokowaniu jakiejś części internetu znacząco spada zaufanie obywateli do władz państwa, ale to nie koniec. Odcięcie Polski od światowej sieci wygenerowałoby straty rzędu nawet kilkuset milionów złotych dziennie dla polskiej gospodarki. Przypomnę, że już 46% gospodarki Polski bazuje na przepływie danych. Niemniej pan Chmaj wprost twierdzi, że rząd toruje sobie drogę do usuwania niewygodnych podmiotów. Jego zdaniem decyzja o ograniczeniach powinna być podejmowana przez podmiot niezależny, najlepiej sąd, na podstawie skargi.
W skrajnych przypadkach utrudnienie dostępu do usług jest sposobem na pomoc rodzimym rozwiązaniom. To jednak scenariusz bardzo drastyczny i nie sądzę, by zaistniał w Polsce. Niemniej biznes działający w internecie można wykończyć nawet kilkugodzinną blokadą strony. Co z odwołaniem? Odszkodowaniem? Nie wiadomo i znów wracamy do braku „bezpiecznika” w nowelizacji ustawy. Jeśli go nie będzie, w powietrzu wisi powtórka z historii firmy Optimus, ale w internecie.
Wszystko wygląda pięknie, gdy pan Kośla mówi o modelowych przypadkach i definicjach ogólnie przyjętych w branży cyberbezpieczeństwa, ale powinny nas interesować także przypadki graniczne. Może nawet przede wszystkim one.
W wątku o sprawiedliwej konkurencji na rynku poruszona została oczywiście kwestia, o której informowaliśmy na początku prac nad nowelizacją. Chodzi o zabezpieczenie sieci telekomunikacyjnych i gwarancję, że używane w nich urządzenia na pewno nie stanowią zagrożenia, a producent ma pełną kontrolę nad łańcuchem dostaw. Oczywiście pierwszy na myśl przychodzi Huawei i USA, ale w Europie również borykamy się z tym problemem.
Zapewnienie bezpieczeństwa to według organizacji pozarządowych dodatkowe opóźnienia przy rozbudowie infrastruktury i wdrożeniu sieci 5G stand alone w Polsce. Być może my również pożegnamy sprzęt sieciowy Huawei. Według organizacji dbających o prawa konsumenta może to zaowocować wzrostem cen i zaburzeniem naturalnej konkurencji na rynku telekomunikacyjnym. Usługi nie będą tak dobre i tak tanie, jak mogłyby być, gdyby operatorzy mieli wolną rękę w wyborze sprzętu i oprogramowania. Jeśli dojdzie to tego, że operator będzie musiał wymienić znaczną część sprzętu, może wpaść w kłopoty finansowe. Może nawet zakończyć działalność.
Źródło tekstu: wł.
