MON chce nałożyć nowe obowiązki na dostawców poczty elektronicznej. Mieliby oni tworzyć dzienniki logowania, a w nich zbierać m.in. dokładną datę i godzinę oraz adres IP osoby, która wchodzi na skrzynkę. Rejestry, podobnie jak dziś billingi telefoniczne, miałyby pomóc w ściganiu przestępców.

Serwisy udostępniające pocztę elektroniczną powinny zbierać informacje dotyczące logowania do obsługiwanych przez siebie skrzynek poczty elektronicznej. Dziennik ma składać się z daty, godziny (co do jednej sekundy), adresu IP oraz portu przypisanego użytkownikowi w trakcie połączenia. Tak stworzoną bazę danych operator powinien przechowywać przez co najmniej 90 dni i udostępnić ją organom państwa na potrzeby prowadzonych przez nie postępowań. Takie zalecenia znalazły się w opinii, jaką MON przesłało do projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, którą szykuje KPRM.
Jak przekonuje Michał Wiśniewski, podsekretarz stanu w MON, który podpisał dokument, rejestr powinien ułatwić pracę organom ścigania. Przestępcy wykorzystują bowiem pocztę elektroniczną, a ponieważ jej dostawcy nie gromadzą danych na temat logowania, służbom trudniej jest się z nimi zmagać. Zdaniem resortu przechowywanie tych danych jest wręcz „niezbędne do sprawnego ścigania sprawców przestępstw”.

Gromadzenie danych przez służby: rozwiązanie niedoskonałe

Podobny obowiązek mają już teraz operatorzy telekomunikacyjni. W ramach retencji danych muszą zbierać i przechowywać przez rok billingi czy dane o lokalizacji użytkowników.
– Rozwiązania zaproponowane przez MON uzupełniałyby listę podmiotów, które obowiązkowo muszą gromadzić dane. W sytuacji, w której policja jest niedofinansowana i ma braki kadrowe, dostęp do danych od operatorów to często najszybszy i najskuteczniejszy sposób identyfikowania przestępców – ocenia Adam Haertle, ekspert w dziedzinie bezpieczeństwa IT i autor serwisu Zaufana Trzecia Strona. Jak dodaje, rozwiązanie zaproponowane przez MON ma jednak niedoskonałości. Służby nie będą bowiem miały możliwości ubiegania się o rejestr logowań na stronach zagranicznych dostawców poczty, takich jak np. Google. W propozycji nie ma też mowy o tym, kto i w jakim trybie sprawowałby nadzór nad takimi zestawieniami danych.
– Pomysł nałożenia obowiązku retencji na firmy świadczące usługi drogą elektroniczną, w tym dostawców poczty, wraca jak bumerang. Poprzednio wysunęło go Ministerstwo Sprawiedliwości w swojej ustawie o wolności słowa w mediach elektronicznych – przypomina Wojciech Klicki z zajmującej się kwestiami prywatności Fundacji Panoptykon.

Służby chętnie sięgają po nasze dane. Także z SMS

– Moim zdaniem ten obowiązek jest możliwy do realizacji, aczkolwiek koszty tej operacji ponieśliby dostawcy usług. Stanowiłoby to wyrównanie standardu dostępu policji i służb do danych telekomunikacyjnych z danymi internetowymi. Problem w tym, że ten standard jest zarówno sprzeczny z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej, jak i przede wszystkim – szalenie niebezpieczny, bo służby mają dostęp do tych danych bez jakiejkolwiek kontroli, a mogą one służyć do tworzenia bardzo szczegółowych profili użytkowników internetu i usług telekomunikacyjnych – dodaje.
Jak wyliczyła Helsińska Fundacja Praw Człowieka, służby chętnie sięgają po nasze dane. Liczba podsłuchów wzrosła w ostatnich pięciu latach o jedną czwartą, a pobranych billingów i lokalizacji aż o 60 proc. (do 1,85 mln w 2021 r.). Do sięgania po nasze dane uprawnionych jest łącznie 12 różnych służb.
Jak wynika z dokumentów przygotowanych w procesie konsultacji, KPRM nie zgadza się z uwagami resortu obrony. Jak argumentują urzędnicy, sugestie MON wykraczają poza kwestie walki z nadużyciami w komunikacji elektronicznej.
W projektowanej ustawie ma za to się znaleźć rozwiązanie zwiększające bezpieczeństwo użytkowników poczty. Jeśli regulacje wejdą w życie, brokerzy dostarczający pocztę dla podmiotów obsługujących powyżej pół miliona aktywnych kont będą musieli uruchomić dodatkowe mechanizmy uwierzytelniania dla logujących się na e-mail.
Opublikowany w czerwcu projekt, i bez uwag MON, budzi jednak wątpliwości. Ma dać organom ścigania narzędzia do zwalczania oszustw dokonywanych za pośrednictwem sieci komórkowych. Pierwsze z nich – spoofing – to rodzaj ataku, w którym przestępcy dzwonią do użytkownika, podszywając się pod banki, gazownie czy instytucje i urzędy państwowe. Używając socjotechniki, próbują nakłonić rozmówcę do przekazania poufnych danych dotyczących konta lub wręcz przelania na ich rachunek pieniędzy. Drugie – smishing – to próby wyłudzenia tych poufnych danych za pomocą SMS-ów upozorowanych np. na firmę kurierską.
Choć cel regulacji jest szczytny, ustawa zaproponowana przez KPRM proponuje budzące obawy metody. Chodzi głównie o system skanowania SMS-ów, który miałby wyłapywać i blokować podejrzane treści. Obowiązkowo musieliby wdrożyć go operatorzy telefonii komórkowej. Kiedy w obiegu pojawiłby się niebezpieczny SMS, informację o nim dostawaliby od Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego, prowadzonego przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy (CSIRT NASK). Instytucja informowałaby również o tym, kiedy zagrożenie minie, a wówczas sieci przestawałyby skanować SMS-y.

System monitoringu e-maili za bardzo uznaniowy

Wobec proponowanych w ustawie rozwiązań wątpliwości mają przedstawiciele innych rządowych agend. Michał Woś, sekretarz stanu w Ministerstwie Sprawiedliwości, w przesłanej do KPRM opinii zwraca uwagę, że tak skonstruowany system monitoringu daje CSIRT NASK praktycznie nieograniczone uprawnienia do wglądu do systemów informatycznych firm telekomunikacyjnych. „Może się to wiązać z naruszeniem interesów tajemnicy przedsiębiorstwa, jego interesów gospodarczych, czy też wolności komunikowania się” – ostrzega w dokumencie Woś. W dodatku tak skonstruowany system monitoringu jest jego zdaniem za wąski, bo reguluje tylko część oszukańczych praktyk. Fałszywe wiadomości przychodzą bowiem do użytkowników także przez e-mail, portale społecznościowe, komunikatory, a nawet platformy sprzedażowe takie jak Vinted czy OLX.
Uwagi do projektu ma również Urząd Ochrony Konkurencji i Konsumentów. – CSIRT NASK będzie posiadać bardzo dużą uznaniowość odnośnie do tworzenia wzorca wiadomości wyczerpującej znamiona smishingu – zauważają jego urzędnicy i dodają, że przedsiębiorca telekomunikacyjny może blokować krótkie wiadomości tekstowe zawierające treści wyczerpujące znamiona smishingu, inne niż zawarte we wzorcu wiadomości CSIRT NASK. – Istnieje zatem ryzyko stosowania przez nich arbitralnych kryteriów oceny danej wiadomości, stanowiących podstawę podjęcia decyzji o blokowaniu krótkiej wiadomości tekstowej – można przeczytać w piśmie UOKiK.
Według urzędników użytkownicy sieci powinni także dostawać informacje o tym, że operator zablokował wiadomość i dlaczego tak się stało. Jeśli ustawa weszłaby w życie tak, jak zapisało ją KPRM, użytkownicy telefonów nigdy nie musieliby się dowiedzieć, że jakiś komunikat do nich nie dotarł. Obawy prezesa Urzędu Ochrony Danych Osobowych budzi z kolei czas, przez jaki operatorzy mieliby przechowywać informacje o zablokowanych SMS-ach – przepisy mówią o co najmniej 12 miesiącach. Takie rozwiązania kolidują z unijnym prawem.
Urzędnicy UOKiK zwracają też uwagę, że mechanizm wykrywania oszustw przez SMS będzie wadliwy z uwagi na czas, jaki CSIRT NASK będzie miało na uzupełnienie wzorców niebezpiecznych wiadomości. W zamyśle MC może to trwać nawet trzy tygodnie. Organizacje branżowe zwracają uwagę, że powinno to zajmować pół godziny.©℗