Rząd wycofuje się z "Inwigilacji+"? Ekspert: Te przepisy uderzyłyby w polskiego przedsiębiorcę

Media donoszą o nowych urządzeniach informatycznych, które trafiły w ręce naszych służb oraz organów ścigania i mogą posłużyć za narzędzie do inwigilacji oraz przeglądu naszych prywatnych treści. Co to za urządzenia? Jak działają?

Mówi się o różnych. Pegasus i inne tego rodzaju to narzędzia umożliwiające dostęp zdalny - przełamują zabezpieczenia urządzenia, np. smartfona. Wykorzystują luki cyberbezpieczeństwa urządzeń, hakują je i dają zdalny dostęp do wszelkich danych, a nawet umożliwiają wprowadzenie urządzenia w tryb aktywnego podsłuchu, np. włączając mikrofon. Pegasus to jednak usługa, którą udostępnia producent. To system dający użytkownikowi ułudę posiadania dużych zdolności. Jeśli producent zablokuje dostęp - to koniec.

Cellebrite działa inaczej, jedynie przy dostępie fizycznym. To jak z otwieraniem puszki ze śledziem w pomidorach. Cellebrite daje narzędzia do "otwarcia" puszki - np. smartfona - trzymanej w ręce. Nie działa zdalnie, na odległość. Nie działa też na wszystkie urządzenia, a raczej na starsze z Androidem i iOS (iPhone). Wystarczy więc, że ma się najnowszy model i już przestaje działać. Smartfona podłącza się do urządzenia z Cellebrite i ono ekstraktuje dane. Jakie? Wiadomości, e-maile, kontakty, zdjęcia itd. W sumie wszystko, choć to zależy od modelu smartfona. To rozwiązanie mogące wspierać kryminalistykę śledczą, a także inwigilację, ale niemasową a ukierunkowaną (trochę podobnie jak Pegasus). Wiele państw używa Cellebrite, np. Białoruś, Rosja, Wenezuela, USA i Chiny.

W Polsce bardzo często widzimy manierę by stosowanie tego rodzaju narzędzi trzymać "w sekrecie" - że to niby jakaś czarna magia, albo że nie należy o tym mówić. To niekoniecznie dobre podejście. Trzeba o tym mówić. Rok temu stosowanie Pegasusa potwierdził oficjalnie ówczesny wicepremier ds. bezpieczeństwa Jarosław Kaczyński. I to był bardzo dobry ruch. Potrzebujemy w Polsce dojrzałej debaty o cyberbezpieczeństwie i wymogach współczesnego państwa. O odpowiedzialności przy używaniu tego rodzaju narzędzi, o ryzykach, możliwościach itd. Widząc trwającą cyberwojnę na Ukrainie chyba nie można mieć wątpliwości, że pewne zdolności ofensywne państwo musi posiadać. Ale z głową, rozsądnie! Narzędzi tego typu jest zresztą więcej. O wielu jednak w ogóle nie mówi się publicznie. Inne budowane są w ramach struktur różnych państw. I to zdolności unikalne, to wyższa szkoła jazdy. To mogą być naprawdę potężne narzędzia, także cyberwojenne w ramach konfliktu zbrojnego.

Poza tymi aplikacjami, mamy też w Sejmie projekt rządowej ustawy, który opozycja okrzyknęła "totalną inwigilacją". Pojawiły się nieoficjalne informacje, że rząd wycofuje się z kontrowersyjnych pomysłów m. in. uzyskiwania informacji z maili i komunikatorów. Czy mamy się czego obawiać? Czy ten projekt daje pole do naruszania naszej prywatności i śledzenia każdego kroku w sieci?

Nie powiedziałbym, że PKE to totalna inwigilacja na skalę masową. Choć ewidentnie w tej pierwotnej formie będzie niezgodna z uznanymi wyrokami ETS o retencji danych. Propozycja miałaby nakładać na przedsiębiorców obowiązek dawania możliwości wglądu w komunikację użytkowników. Czyli potencjalnie w to, skąd ktoś do kogoś coś wysyła lub odbiera. Ale także - co wysyła lub odbiera. W praktyce wątpię, by to zadziałało, bo dziś większość komunikacji jest silnie szyfrowana, a narzędzia udostępniają podmioty zagraniczne i one mogą nie chcieć współpracować, lub nie mieć możliwości ich odszyfrowana. Zatem to, co by osiągnięto, to drastyczne zaniżenie pozycji konkurencyjnej polskich firm, które musiałyby oferować produkty i usługi o zdegradowanych parametrach cyberbezpieczeństwa i prywatności. To zatem kukułcze jajo dla polskiego przedsiębiorcy. Zwraca uwagę artykuł 48., wedle którego w pewnych okolicznościach przedsiębiorca musiałby przekazać wszelkie metadane (czyli np. co ktoś do kogoś wysyłał, kiedy). Chyba zanieść je na nośnikach w kartonie lub przewieźć ciężarówką Urzędowi Komunikacji Elektronicznej, który z miejsca stałby się punktem przechowywania tych treści, integralnym elementem inwigilacji - już bardziej masowej. Bo chodziłoby o wszystkie dane. To oczywiście także niezgodne z prawem europejskim.

Z tego co słyszymy, faktycznie rozważa się usunięcie tych niezgodnych z prawem europejskim zapisów, choć obecnie nie wiadomo, o które dokładnie chodzi oraz co z tego wyniknie. Co ciekawe, PKE umożliwia ministrowi obrony narodowej wyłączenie dostępu do sieci (czyli internetu) i to bez żadnego udziału Prezesa Urzędu Komunikacji Elektronicznej, co dziś jest wymogiem. To bardzo duża władza.

Przed 2015 rokiem głośno było o tzw. Hacking Team - oprogramowaniu szpiegującym, które używane było przez rządy oraz grupy przestępcze. Wśród użytkowników były także polskie władze. Pozwalało ono operatorom tego oprogramowania m. in. na dostęp do maili i zaszyfrowanych plików, uruchamiać zdalnie kamery i mikrofony.
Stosowanie takich narzędzi to, jak widać, długa tradycja w Polsce. Nic dziwnego, że państwo zwraca uwagę na fakt, że służby chcą lub muszą mieć pewne rozwiązania. Mogę sobie wyobrazić sytuację, w której ich stosowanie będzie zasadne, a może nawet legalne - chociażby wtedy, gdy spełnia to wymogi ścieżki prawnej, praworządności. Tutaj niestety nie mamy specjalistycznych zapisów w polskim prawie, gdzie czynności operacyjne są bardzo ogólnikowe. Zdaje się, że w 2008 r. planowano uaktualnienie ustawy o czynnościach operacyjno-rozpoznawczych, ale tego nie zrobiono. Podobnie, nic nie zrobiły w tej kwestii kolejne składy parlamentu. To zatem osobliwy przypadek ponadpartyjnej zgody.

W jakim kierunku zmierzamy jako Polska i Europa, jeśli chodzi o "inwigilację" i ochronę danych? Idziemy w stronę wolnościową i lepiej chroniącą prywatność, czy zwiększamy kontrolę i możliwości władz/służb?

Doskonałe pytanie. Dekada lat 2010 to wzmacnianie prywatności. Mocno rozbudowywano zabezpieczenia użytkownika, w UE i w Polsce uchwalono RODO. Po 2018 r. w tym kontekście zaczęło się psuć. Organy UE wciąż nie mogą przepchnąć aktualizacji dyrektywy ePrivacy, w pandemii w ogóle uzyskiwano dostęp masowy i to wszystko za szybką zgodą europejskich organów ochrony danych... W komisji PE ds. Pegasusa zasiadają też osoby, na których ciążą podejrzenia albo nawet zarzuty o korupcję... Czy to jest poważne?

Z punktu widzenia technologii jednak, to niewątpliwie - jeśli ktoś chce, to może zadbać o prywatność, o kontrolę tego jakie informacje są udostępnione. Do momentu, gdy ta czy inna firma nie zaliczy wpadki, w wyniku której dane wyciekną na skalę masową. Jestem jednak optymistą.

Dr Łukasz Olejnik to niezależny badacz i konsultant cyberbezpieczeństwa, fellow Genewskiej Akademii Międzynarodowego Prawa Humanitarnego i Praw człowieka oraz autor książki "Filozofia Cyberbezpieczeństwa".

Czytaj więcej tutaj: Ekspert ds. cyberwojny i dezinformacji: Zapomnijmy o pojęciu "fake news"