Czy Polakom grozi wyłączenie Internetu?

19 lutego 2021, 16:54
EDAR12
Fot. Edar/Pixabay

Nowelizacja ustawy o KSC nie jest próbą wprowadzenia środków cenzury w internecie w Polsce, tylko ważnym narzędziem umożliwiającym poprawę cyberbezpieczeństwa – wynika z dyskusji zorganizowanej przez zespół parlamentarny na temat „Czy grozi nam wyłączenie internetu?”.

Parlamentarny Zespoł ds. Ochrony Praw Konsumentów i Przedsiębiorców zorganizował debatę na temat Czy grozi nam wyłączenie internetu?”, w której wzięli udział eksperci, posłowie oraz przedstawiciele instytucji rządowych.

Polska jest zabezpieczona technicznie od odcięcia Internetu, ponieważ nie budowano architektury w taki sposób, żeby możliwe byłoby jego łatwe odcięcie. Jednak poza wyłączeniem możemy też mówić o selektywnych blokadach sieci czy ograniczeniu transmisji – zauważył Łukasz Olejnik, niezależny ekspert ds. bezpieczeństwa i prywatności.

Ekspert podkreślił, że są coraz częstsze przykłady wyłączeń internetu i odcięcia dostępu do sieci w różnych krajach, jak np. Iranie, Indiach czy na Białorusi. Jednak formalne uprawnienia do jej odcięcia występują też w krajach Zachodu, np. Wielkiej Brytanii.

Olejnik przypomniał, że również w Polsce istnieje odpowiedzialna legislacja w postaci Prawa Telekomunikacyjnego, która daje taką możliwość Prezesowi Urzędu Komunikacji Elektronicznej. Taka decyzja prezesa UKE posiada rygor natychmiastowej wykonalności i „może być ogłoszona ustnie przedsiębiorcy telekomunikacyjnemu, bez uzasadnienia”.

Podobne zapisy umożliwiające blokadę danego URL znalazły się w nowelizacji projektu ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Olejnik wyjaśnił, że chodzi tutaj o wydanie polecenia zabezpieczającego, które umożliwia „nakaz wprowadzenia reguły ruchu sieciowego zakazującego połączeń z określonymi adresami IP lub nazwami URL. Ekspert zauważył, że to jeden z podstawowych elementów koniecznych do zapewnienia cyberbezpieczeństwa. Jednocześnie podkreślił, że można  mieć wątpliwości dlaczego polecenie zabezpieczające o blokadzie ruchu sieciowego miałoby obowiązywać aż dwa lata, skoro serwery C&C raczej z trudem funkcjonowałby tak długo. Olejnik wskazał również, że zgodnie z ustawą o KSC polecenie zabezpieczające można wydać bez uzasadnienia, co wzbudza pewne kontrowersje.

Drugim ekspertem, który zaprezentował swoje stanowisko był Krzysztof Izdebski z Fundacji ePaństwo. Podczas przemówienia podkreślił, że prawa offline powinny być identyczne jak te online. Dodał również, że blokowanie wolności słowa w Internecie to nie jest problem typowo Polski.

Ekspert wskazał także, że już w przyszłości były podejmowane próby blokowania niektórych stron internetowych naszym kraju. Miało to miejsce przy nowelizacji ustawy hazardowej. Wtedy Fundacja ePaństwo podkreślała, że ten precedens jest niebezpieczny, a w podobnym tonie wypowiadał się Rzecznik Praw Obywatelskiej o tej ustawie. Jego zdaniem ukształtowany wtedy mechanizm blokowania stron stwarza zagrożenie dla wolności słowa.

Izdebski zwrócił również uwagę, że w nowelizacji ustawy o KSC nie ma informacji, na ile ustawodawca uznaje, iż jest to rozwiązanie optymalne. Przypomniał on, że akt prawny musi być zrozumiały, tak aby obywatel wiedział, co jest prawidłowe, a co nie. Ekspert zauważył także, że nałożone środki cenzury łatwo jest uniknąć poprzez zastosowanie różnych mechanizmów. Pogłębi to jednak jeszcze bardziej nierówności pomiędzy użytkownikami Internetu.

Profesor Marek Chmaj zwrócił uwagę z kolei na regulacje rynku dostawców, który proponuje nowy projekt. Jego zdaniem nowelizacja ustawy daje resortowi cyfryzacji instrument pozwalający na uznaniową eliminację podmiotów, nie przypadających resortowi  do gustów. Jego zdaniem regulator musi stworzyć jasną, klarowną podstawę, na której wyklucza się danego producenta.  W opinii profesora tego nie ma i Kolegium podejmuje decyzje na podstawie sobie wiadomych kryteriów oraz na tej bazie uznaje dany podmiot za dostawce wysokiego ryzyka. Przypomniał on również, że zarówno w polskim jak i europejskim prawie bardzo ważnym elementem jest równość szans.  

Kontrowersje, które narosły wokół ustawy próbował rozwiązać dyrektor Departamentu Cyberbezpieczeństwa w KPRM Robert Kośla. Zaczął swoją wypowiedź od odpowiedzi na pytania posła Jakuba Kuleszy, który zapytał czy odnotowano już krytyczny incydent bezpieczeństwa w Polsce, jaki uzasadniałby zastosowanie porozumienia zabezpieczającego. Kośla stwierdził, że nie było takiego incydentu, a ustawa o KSC nie mówi o blokowaniu Internetu, ale o ograniczeniu negatywnych skutków dla podmiotów KSC, czyli instytucji z 6 obszarów kluczowych.  

Mechanizm polecenia zabezpieczającego odpowiada temu, co obserwujemy ostatnio. Jest to w szczególności istotne jak popatrzymy na kampanię SolarWinds, która dotknęła praktycznie wszystkie sektory gospodarki, również w Polsce.

Pomimo iż nie było incydentu krytycznego, to Kośla potwierdził, że doszło do zwykłych incydentów oraz incydentów poważnych (w sektorze energii i finansów). Przypominał również, że incydent krytyczny jest klasyfikowany przez CSIRT, a kryteria jego oceny zostały zawarte w dyrektywie NIS.   

Dyrektor Departamentu przypomniał, że przed podjęciem decyzji o poleceniu zabezpieczającym przeprowadzana jest analiza, która obejmuje między innymi istotność zagrożeń, przewidywalne skutki oraz rodzaj występujących ryzyk. Kwestia blokowania przez  polecenie zabezpieczające będzie tylko wtedy, kiedy mamy już do czynienia z incydentem krytycznym – podkreślił dyrektor. CSIRT dokonuje analizę wydania polecenia zabezpieczającego i dopiero minister właściwy ds. informatyzacji podejmuje decyzje.  Kośla podkreślił, że nie chodzi o wyłączenie Internetu, ale o to, żeby podmioty objęte KSC nie mogły połączyć się z np. serwem rozsyłającym złośliwe oprogramowanie. Chodzi o zamknięci drzwi.

Kośla odniósł się również do zarzutów profesora podkreślając, że w procedurze określenia danego dostawcy za dostawcę wysokiego ryzyka mamy do czynienia z postępowaniem administracyjnym tak, żeby podmiot będzie mógł wnieść skargę. Dyrektor Departamentu Cyberbezpieczeństwa powiedział także, że  uzasadnienie musi być dołączane i dostępny w ewentualnym procesie.

KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24