W projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa są zapisy pozwalające na odłączenie serwisów online decyzją ministra.

Chodzi o tzw. polecenie zabezpieczające, jakie minister właściwy do spraw informatyzacji – te kompetencje są obecnie w gestii premiera – może wydać m.in. operatorom telekomunikacyjnym „w przypadku wystąpienia incydentu krytycznego”. Polecenie jest decyzją administracyjną i może obowiązywać dwa lata. Wymaga od firm podjęcia oczekiwanych przez ministra działań – w tym zakazania połączeń z określonymi adresami IP lub stronami internetowymi.
W stosunku do przepisów z ubiegłorocznego projektu nowelizacji KSC zasadnicza zmiana polega na tym, że zgodnie z wersją przedstawioną kilka dni temu przez resort cyfryzacji – funkcjonujący w ramach Kancelarii Prezesa Rady Ministrów – polecenie takie można wydać bez uzasadnienia, „jeżeli wymagają tego względy obronności lub bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego”.
– Natychmiastowa wykonalność nie pozostawia żadnego pola manewru – zwraca uwagę dr Łukasz Olejnik, niezależny badacz i konsultant ds. cyberbezpieczeństwa i prywatności. Dodaje, że względy obronności lub bezpieczeństwa to pojemne terminy. – O ile kwestie obronności można sobie jakoś uzmysłowić, to już „porządek publiczny” jest bardzo rozmytym i szerokim pojęciem, bez jasnych definicji – wskazuje.
Wydział Promocji Polityki Cyfrowej KPRM informuje nas, że celem tych przepisów „jest pilne podjęcie skutecznych działań w przypadku wystąpienia incydentu krytycznego”, czyli takiego, który skutkuje „znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi”. KPRM podkreśla, że proces reagowania na incydenty krytyczne „wymaga uzupełnienia o mocniejszy środek” i jest nim właśnie polecenie zabezpieczające.
– Blokowanie zasobów sieciowych uniemożliwia cyberprzestępcom kontrolę nad złośliwym oprogramowaniem lub wykradaniem danych – przyznaje Łukasz Olejnik. – To standardowe metody podejmowane w celu obsługi incydentów cyberbezpieczeństwa, gdzie ryzyka potrafią pojawić się nagle i być poważne. Problem pojawia się z decyzjami bez uzasadnienia, zwłaszcza gdy obszar do blokad miałby okazać się dysproporcjonalnie szeroki – zaznacza ekspert.
Jakie to rodzi ryzyko dla wolności internetu? – Natura takich decyzji może budzić uzasadnione wątpliwości, ale wszystko zależy od stosowania tego rozwiązania w praktyce. Czyli od intencji – odpowiada Olejnik. Jego zdaniem ta ustawowa furtka nie otwiera automatycznie możliwości całkowitej blokady internetu, jak to się stało latem ub.r. na Białorusi. – Ma to być jedynie zakaz dystrybucji określonych wersji oprogramowania – twiedzi. – Możemy spróbować wyobrazić sobie próbę kreatywnego podejścia, z teoretycznym wyszczególnieniem zakazu dystrybucji wszystkich wersji jakichś aplikacji, np. komunikatorów. Wtedy widać, że wykorzystanie tych narzędzi będzie w pełni zależało od celów i intencji osoby, której będzie dane być wtedy ministrem – wskazuje. Radzi, by w KSC napisać wprost, że nie chodzi o powszechne zakazy.
– Gdyby w polskim parlamencie zasiadali posłowie interesujący się kwestiami technologii, cyfryzacji czy internetu, to prace w Sejmie stanowiłyby doskonałą okazję do dyskusji. Byłoby niefortunne, gdyby szczegóły tego projektu przeoczono. Gdybyśmy mieli w Polsce organizacje zajmujące się wolnościami obywatelskimi i tymi w sieci, to te też z pewnością zauważyłyby problem – podkreśla Łukasz Olejnik.
Wojciech Dziomdziora, główny prawnik w firmie telekomunikacyjnej Nexera, nie kwestionuje racjonalności przepisów dotyczących polecenia zabezpieczającego wprowadzonych do KSC. – Przy dużej dozie złej woli ze strony rządu te przepisy mogłyby zostać wykorzystane do niecnych celów, jak blokowanie niektórych usług w internecie. Ale patrząc na to realistycznie, nie sądzę, by należało się obawiać ich nadużywania polecenia zabezpieczającego – mówi. – To jest tak jak z nożem kuchennym: można go użyć do zabójstwa, ale w 99 proc. przypadków służy jednak do krojenia chleba – porównuje Dziomdziora. – Takie decyzje są wydawane w przypadku incydentów krytycznych, gdy o bezpieczeństwie państwa decydują minuty, a nawet sekundy. Wyobraźmy sobie atak hakerski tysiąc razy gorszy od wirusa Pietia. Wtedy nie będzie czasu na pisanie uzasadnień. Dopiero po ugaszeniu pożaru można się zastanawiać, czy straż została wysłana do akcji prawidłowo – stwierdza Wojciech Dziomdziora.
Dodaje, że obecnie ten obszar regulują przepisy prawa telekomunikacyjnego. – Przewiduje ono, że w tzw. sytuacjach szczególnych zagrożeń prezes UKE może nakazać operatorom „odcięcie internetu” lub innych usług telekomunikacyjnych. Ale te sytuacje szczególnych zagrożeń to sytuacje skrajne – jakiegoś kataklizmu lub wojny – wskazuje Wojciech Dziomdziora. – I nawet w takich sytuacjach przepisy są raczej nastawione na utrzymanie ciągłości usług, a nie ich odcinanie. Prawo co do zasady nie daje też możliwości odcinania internautom dostępu do poszczególnych portali lub serwisów społecznościowych. Dziś są zasadniczo tylko dwie kategorie stron, które operatorzy muszą blokować – to serwisy hazardowe i zawierające dziecięcą pornografię – wylicza.
Czy nowe przepisy będą wykorzystywane do wyłączania serwisów społecznościowych, aplikacji i stron internetowych bez uzasadnienia?
KPRM odpiera, że zakres stosowania nowego narzędzia „nie uwzględnia wyłączania serwisów społecznościowych, publicznie dostępnych aplikacji czy stron internetowych”. Dodaje, że każda decyzja musi być poprzedzona analizą. „Możliwość odstąpienia od sporządzenia uzasadnienia – zastrzega KPRM – dotyczy jedynie tej części uzasadnienia faktycznego, w przypadku której wymagają tego względy obronności lub bezpieczeństwa państwa, lub bezpieczeństwa i porządku publicznego (np. w zakresie dotyczącym informacji niejawnych)”. Resort wskazuje też, że w przypadku polecenia zabezpieczającego będzie obowiązywała procedura odwoławcza wynikająca z k.p.a.

Na świecie zakazują i blokują, wybiórczo i po całości

Utrudnianie lub wręcz uniemożliwianie dostępu do internetu lub części jego funkcjonalności od dawna jest stosowane przez różne rządy jako element walki z innymi państwami lub własnym społeczeństwem.
Celują w tym kraje autorytarne, ale nie tylko. Mieniące się największą demokracją świata Indie blokują np. dziesiątki chińskich aplikacji – w tym popularny serwis społecznościowy TikTok. Razem z 58 innymi aplikacjami z Państwa Środka został on przez rząd w Delhi zakazany w czerwcu ub.r. po granicznych starciach wojsk obu krajów. Uzasadniono to podejrzeniami, że mogą one szkodzić suwerenności i integralności Indii oraz być zagrożeniem dla bezpieczeństwa państwa i porządku publicznego.
Według źródeł Reutersa Indie zdecydowały w tym tygodniu, że zakaz dla chińskich aplikacji zostanie utrzymany. Stało się tak po analizie odpowiedzi, jakich te firmy udzieliły indyjskim władzom na pytania dotyczące m.in. cenzurowania treści i współpracy z obcymi rządami. Gazeta „The Times of India” poinformowała w poniedziałek, że zakaz wprowadzono już na stałe.
Nie wiadomo, czy podobny los nie spotka kolejnych 118 aplikacji mobilnych, których Indie zabroniły używać we wrześniu ub.r.
Na szerszą skalę mechanizmy kontrolowania i cenzurowania treści w internecie stosują Chiny, Iran i Rosja.
Kreml sukcesywnie wzmacnia państwowy nadzór nad siecią, od 2012 r. wprowadzając narzędzia ograniczające swobodę działalności w internecie – w tym tzw. czarną listę stron, do których dostęp z terytorium Rosji jest zablokowany. W 2017 r. prezydent Władimir Putin podpisał zakaz używania oprogramowania VPN (Virtual Private Network), które umożliwia ukrycie adresu IP komputera, a tym samym dostęp do zablokowanych witryn. Krym stara się stworzyć własny internet, z resztą światowej sieci łączący się jedynie za pośrednictwem serwerów kontrolowanych przez państwo.
Taktykę „państwowego internetu” od lat stosuje też Iran, gdzie również zakazane jest wykorzystywanie technologii VPN. Nie wolno tam także korzystać z innych niż państwowy serwisów poczty elektronicznej. W trakcie protestów w latach 2017–2018 rząd zablokował tam aplikacje społecznościowe i możliwość podłączenia się do sieci przez urządzenia mobilne, a niektóre rejony całkiem odciął od internetu. Najbardziej zaawansowane w ograniczaniu wolności w sieci są Chiny. Tam ruch w internecie nadzorują urząd ds. cenzury i służby specjalne. Wielki Firewall Chiński – Great Firewall of China – na wzór Wielkiego Muru Chińskiego blokuje dostęp do nieakceptowanych przez cenzurę zagranicznych stron internetowych i kontroluje połączenie z siecią globalną. W państwie środka nie działają Facebook, Google, Twitter ani Wikipedia.
Do tego grona w sierpniu ub.r. dołączyła Białoruś. Gdy w kraju rozpoczęły się masowe protesty osób zarzucających Alaksandrowi Łukaszence sfałszowanie wyborów prezydenckich i domagających się jego odejścia, władze przez pewien czas utrzymywały niemal zupełną blokadę sieci. W prawie całym kraju przestał działać internet mobilny, odcinano też dostęp do stron należących do mediów i środowisk krytycznych wobec oficjalnego przekazu. Przede wszystkim jednak utrudniano lub uniemożliwiano działanie komunikatorów internetowych, za pomocą których porozumiewali się protestujący.
Białorusini szybko jednak znaleźli sposoby obchodzenia przeszkód, a instrukcje, jak zmieniać ustawienia VPN, by móc korzystać z internetu, szybko zaczęły krążyć wśród protestujących, dziennikarzy i innych zainteresowanych. Niespełniające swojego zadania blokady zostały więc zdjęte.