W projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa znalazły się przepisy pozwalające blokować wybrane adresy IP lub strony internetowe. Tzw. polecenie zabezpieczające w tej sprawie może wydać minister właściwy ds. informatyzacji – czyli obecnie premier – „w przypadku wystąpienia incydentu krytycznego”. To groźne dla swobody wypowiedzi w sieci?
Każdy przepis tego rodzaju jest potencjalnie niebezpieczny, bo daje możliwość ograniczania lub odcinania ludziom dostępu od informacji. Ale też nie sposób dziś takich regulacji zupełnie uniknąć. Współczesny internet to także narzędzie zarządzania ważnymi obszarami gospodarki i państwa, choćby energetyką i służbą zdrowia. Stąd nazwa zagrożenia: incydent krytyczny. Państwo musi mieć narzędzia, by przeciwdziałać takim incydentom, np. atakom hakerskim przeprowadzanym na dużą skalę. Stanową one rzeczywisty problem. Mogą się zdarzać i zapewne zdarzą się w przyszłości. Cyberbezpieczeństwo jest dziś elementem gry wojennej. Musi więc istnieć mechanizm obrony.
Tylko czy mechanizm zastosowany w KSC jest optymalny?
Istnieje ryzyko, że ta ustawa będzie nadużywana. Ale też gdy czytam ją w całości, to nie podejrzewam, żeby miała zostać źle wykorzystana. Widać, że intencją jej twórców nie jest walka z użytkownikami internetu czy zamykanie stron. Choć rzeczywiście, powstaje ku temu furtka.
I to furtka szeroko otwarta, bo klauzula natychmiastowej wykonalności decyzji o odcięciu strony, serwera czy oprogramowania sprawia, że procedura odwoławcza staje się fikcją.
W przypadku incydentów krytycznych, które wymagają natychmiastowej reakcji, ta klauzula znajduje uzasadnienie. Jednak takie decyzje wymagają szybkiej kontroli przez sąd, czego w projekcie nie zapewniono. Słabością tego rozwiązania nie jest to, że w ogóle powstało, ale że kontrola sądowa jest iluzoryczna. Bo decydenci – nawet bez złej woli – mogą popełniać błędy. Wtedy sąd byłby miejscem ich naprawienia, ale tylko pod warunkiem szybkiej ścieżki. Sąd jest pierwszym miejscem, gdzie w tej sprawie może się wypowiedzieć właściciel zamkniętej strony. Prawa osób, których treści będą blokowane, zostały tu źle zabezpieczone. Niepokojące jest też to, że zakaz można założyć nawet na dwa lata. Dlaczego tak długo? Tu brakuje mi uzasadnienia.
Dlaczego w takim razie nikt nie protestuje, nie ma kolejnego ACTA?
Młodzież z pierwszego ACTA w dużej mierze popiera dziś pewnie Konfederację i PiS, więc nie ma motywacji, by protestować. Poza tym przyzwyczailiśmy się już do koncepcji regulowania internetu. W 2012 r. sytuacja była całkiem inna, nie mówiło się jeszcze o koniecznych ograniczeniach. Internet miał być wolny. Dziś już tak nie jest. Zmęczone mową nienawiści, fake newsami i profilowaniem społeczeństwo patrzy na sieć inaczej, godzi się z koniecznością regulacji. W ostatnich latach trochę ich wprowadzono. Powstała przecież ustawa antyterrorystyczna, pozwalająca Agencji Bezpieczeństwa Wewnętrznego na blokowanie stron internetowych. Próbowaliśmy się dowiedzieć, ile stron na jej podstawie zablokowano, ale nie otrzymaliśmy tej informacji. Próbowaliśmy protestować przeciw uderzającej w internet ustawie hazardowej. Ale ona istnieje. Do tego doszły wydarzenia polityczne i społeczne w innych dziedzinach. Mamy tyle problemów, że słabnie nawet dynamika protestów Strajku Kobiet. KSC to broń atomowa, ale broń atomowa ma to do siebie, że się ją posiada i nie używa.
Bo przycisk do niej jest w specjalnej walizce i kod zna tylko prezydent USA. A tu polecenie można wydać bez uzasadnienia, „jeżeli wymagają tego względy obronności lub bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego”. To nieostre i bardzo szerokie kryteria, pod które wiele da się podciągnąć. Choćby i Strajk Kobiet.
Zgadzam się, że to zbyt generalne przesłanki i wszystko można pod nie podpiąć. To byłby jednak duży skandal, gdyby do takiej blokady doszło. W kwestii internetu mam więcej zaufania do resortu cyfryzacji niż do Ministerstwa Sprawiedliwości. Myślę, że szykowana tam ustawa może być większym zagrożeniem. Miałem okazję spojrzeć na projekt zapowiadany przez ministra Zbigniewa Ziobrę. Jest w nim np. zapis uprawniający prokuratora do zablokowania treści, które mają charakter przestępczy i jego zdaniem dostęp do nich stwarza niebezpieczeństwo wyrządzenia znacznej szkody lub spowodowania trudnych do odwrócenia skutków.
Prokurator sam ma o tym decydować?
Tak, wydaje postanowienie i zwraca się do dostawcy usług internetowych o odcięcie dostępu do danej strony. Tam też jest klauzula natychmiastowej wykonalności.
A to miała być „ustawa wolnościowa”, a nie cenzurująca.
O wolności też jest trochę, głównie w kontekście Rady Wolności Słowa. Co ciekawe, wprawdzie będzie ona wybierana większością 3/5 głosów, ale jak tej większości w Sejmie nie będzie, to zwykłą.
Polecenie ministra, postanowienie prokuratora… Państwo rzeczywiście potrzebuje tak ostrych narzędzi? Lepiej z tą brzytwą ostrożnie.
Zgadza się. Zrobiliśmy z partnerami z Białorusi raport o wykorzystaniu internetu i mediów społecznościowych podczas protestów. Teza jest taka, że regulacje są w porządku, gdy mamy demokratyczne państwo i takie decyzje podlegają kontroli społecznej. Inaczej jest w państwie autorytarnym, gdzie internet stanowi jedyną sferę swobody wypowiedzi. Wolę, aby wolności było więcej, nawet kosztem fake newsów. Co innego mowa nienawiści, działania przestępcze – to trzeba ścigać. Ale wprowadzanie zbyt ostrych przepisów rodzi niebezpieczeństwo ich nadużycia. I to jest problem.
A rozwiązanie?
Powinniśmy znaleźć sposób na rozbicie monopolu, jaki dziś ma kilka serwisów społecznościowych. Żeby w razie cenzury w jednym można było korzystać z drugiego. Krok w tym kierunku robi Komisja Europejska w projekcie Digital Markets Act (akt o rynkach cyfrowych) ograniczającym największe platformy. Trzeba też zwiększyć przejrzystość ich działania i tu dobrym rozwiązaniem będzie Digital Services Act (akt o usługach cyfrowych). Warto byłoby rozpocząć w Polsce debatę na ten temat.
Rozmawiała Elżbieta Rutkowska

opinia

Bardziej dziwi, niż przeraża
Marcin Maj Niebezpiecznik.pl
Przepisy, które znalazły się w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, bardziej mnie dziwią, niż przerażają. Mam wrażenie, że ustawodawca nie wytłumaczył dobrze, jaki jest cel i sens ich wprowadzenia.
Eliminowanie zagrożeń przez blokowanie dostępu do wybranych serwerów (adresy IP) czy domen (adresy URL) może być w niektórych przypadkach nieskuteczne albo może sprawiać tylko pozory skuteczności. Takie działanie może na krótko pomóc w razie ataku, ale na dłuższą metę nie chroni, gdyż atakujący są w stanie szybko zmienić adresy. Jako środek bezpieczeństwa takie przepisy nie będą więc efektywne.
Z tego samego powodu nie widzę w nich totalnego zagrożenia dla internetu. Pozwolą na punktowe wyłączanie stron internetowych, usług czy niektórych źródeł ataku, ale internauci mogą to obejść przez VPN (Virtual Private Network), które umożliwia ukrycie adresu IP komputera. Tak sobie radzono z blokadą serwisów internetowych na Białorusi.
Teoretycznie rząd mógłby na podstawie tych przepisów bez uzasadnienia odciąć np. dostęp do strony Facebook.com czy innej. Ale trudno mi to sobie wyobrazić, bo po pierwsze byłoby to jawne okazanie strachu przed jakimś źródłem informacji, po drugie wywołałoby efekt Streisand, czyli zwiększenie zainteresowania zablokowanymi treściami, a po trzecie ‒ byłoby łatwe do obejścia. Chyba żeby w Polsce chciano korzystać ze wzorów rosyjskich i np. zabraniać używania VPN-ów.
Mam wrażenie, że albo ktoś nie przemyślał, co w tym projekcie napisał, albo stworzył przepisy, które w przyszłości zostaną rozszerzone – w czym może się kryć jakieś potencjalne niebezpieczeństwo.