Dyskusja o bezpieczeństwie systemów... Policji

Odznaka Policji Śląskiej z serwisu internetowegoTak. Skoro zaczęła się już ta dyskusja, to wypada przynajmniej napisać tu o co właściwie chodzi. Dziennikarze programu Teraz MY zaprosili do studia Pawła "Goriona" Jabłońskiego, który miał w obecności przedstawicieli Policji odkryć treść listu wysłanego za pomocą "anonimowej skrzynki" do zgłaszania korupcji, która to skrzynka udostępniona jest poprzez strony internetowe Policji. Jestem daleki od tego, by podniecać się wyczynami hackierów. Nie jest w sumie nawet istotne, że Gorionowi (cokolwiek byśmy sobie myśleli o nim, jako o człowieku) nie udało się "na antenie" poznać treści wysłanego komunikatu. Ważniejsze jest coś innego - bezpieczeństwo IT to dla wielu tematyka z pogranicza magii.

Bezpieczeństwo serwerów rządowych jest bardzo słabe - twierdzi Gorion. OK. Nie będę się do tego odnosił, bo koń jaki jest - każdy widzi. Przedmiotem zainteresowania dziennikarzy było bezpieczeństwo Komendy Wojewódzkiej Policji w Katowicach. Goszczący w studio przedstawiciel Policji przyznał w programie Teraz My, że faktycznie wskazano dość istotny błąd. Rzecznik Policji w odniesieniu do systemów IT powiedział na antenie: „są wieloletnie zaniedbania (...) mamy świadomość, że nie jest dobrze (...) wieloletnich zaniedbań nie da się tak od razu wyrównać”. To mi wystarczy. Aby przypomnieć jedynie, że problem z bezpieczeństwem infrastruktury Policji nie dotyczy (nie dotyczył?) jedynie Katowic, warto przypomnieć zdarzenia z umieszczeniem zdjęcia na stronach suwalskiej Policji (por. Afera o zdjęcie na stronach suwalskiej policji oraz Zatrzymano chłopaka, który umieścił "złe psy" na stronie suwalskiej policji). Potem był Elbląg (tu również bawił się Fubu)... To nie tylko Policja. Tenże sam "harcownik" wykazał brak wystarczających zabezpieczeń Ministerstwa Gospodarki Wodnej czy BIPów (nie podnieca mnie to - to sucha relacja).

W swoim blogu Piotr Konieczny odniósł się do nieudanej próby poznania treści przesłanego w studio komunikatu, ale skomentował też coś innego: "...Wróćmy jednak do stanu bezpieczeństwa rządowych systemów informatycznych. W 100% zgadzam się z tezą Pawła, że problemem nie są ograniczone finanse Policji (ponoć komendy są w stanie znaleźć dobrego admina, który chciałby pracować za 3k PLN), a brak umiejętności..."

Tematem bezpieczeństwa systemów Policji zajmuje się też Gazeta.pl w tekście Nocne włamanie na internetową stronę śląskiej policji. W tekście czytamy m.in.: "Andrzej Morozowski i Tomasz Sekielski chcieli udowodnić w swoim programie, że można się włamać na każdą stronę internetową. Zaproszony przez nich haker w obecności rzecznika komendy głównej złamał zabezpieczenia i wszedł na stronę śląskiej policji. Gdyby chciał, mógłby tam umieścić list gończy za dowolną osobą, wpisać informacje o fikcyjnym zdarzeniu lub wstawić "rozebrane" zdjęcie".

Pomijam problem mówienia o sprawach bezpieczeństwa na łamach tytułów takich jak Gazeta.pl czy program Teraz MY. Te przekazy dziennikarskie są adresowane do innego targetu, wymagają innego języka (wystarczy przypomnieć: Ukradł 700 numerów IP? Zaczynam się bać). Prostszego języka. Tu działają proste formuły: da się zrobić? Da się. Proszę tak zrobić, żebyśmy to mogli pokazać na antenie. Ma pan 10 minut. I wszystko jasne. Nie ma znaczenia to, co to jest hosting, co to klasa adresowa, co to jest serwer, etc... Jak to podsumował dziennikarz: "ja nic nie rozumiem i myślę, że nasi widzowie też nic nie rozumieją". Tu chodzi o to, że nawet jeśli jest sobie sieć wydzielona, a uzyska się dostęp do sieci wewnętrznej i tam będzie się monitorowało poczynania funkcjonariuszy, to i tak - dla odpowiednio zdeterminowanego intruza nie będzie problemem uzyskanie (jakichś) danych wrażliwych. Na antenie padły takie słowa jak "niedopatrzenie komendy wojewódzkiej w Katowicach", zwrócono uwagę na to, że funkcjonariusze dysponują zdalnym dostępem do baz danych Interpolu, Europolu, FBI. Te sieci są wydzielone, ale dla chcącego... Wszak najsłabszym ogniwem jest człowiek. Przedstawiciel Policji wyraźnie powiedział w odniesieniu do pokazanego mu materiału: "zostały złamane podstawowe [zasady] polityki bezpieczeństwa" (zamiast zasady przedstawiciel Policji powiedział "aspekty", ale to było na żywo, wiec w cytacie poprawiłem). Jak wspomniałem - koń jaki jest...

Ten program Teraz MY zniknie pewnie z czasem z YouTube, wszak to naruszenie praw autorskich (sam się zastanawiam, czy umieszczenie jedynie linku, zagnieżdżonego odesłania do witryny, już samo w sobie takim naruszeniem przez przypadek nie jest). Tak czy inaczej - na razie program (fragment, chociaż pełne nagranie jest też w serwisie Wrzuta.pl) jest dostępny w Sieci a gościem programu - jak wspomniałem - był Paweł Jabłoński. Nie będę się odnosił teraz do uwag o lansie, o utarczkach słownych i przenoszeniu wpisów na wyższe poziomy w blogu mmazur@kernel.pl, albo dyskusji w Wikipedii, bo tu nie o to chodzi. W progamie pokazano listę kontaktową do dzielnicowych - jak podkreślają komentatorzy w Sieci: "Słusznie, że takie dane znajdują się na stronach internetowych - w jaki sposób społeczeństwo ma zgłaszać swoje problemy jak nie do dzielnicowych" - to z komentarzy pod notatką w blogu Jabłońskiego. Generalnie program uznany został za "kiepski", szukający skandalu. Ja zaś sobie myślę, że chociaż program był skandalizujący, a sam Jabłoński nie jest taki "powszechnie", to warto mówić o bezpieczeństwie systemów IT Policji.

Internetowe Forum Policji dyskutuje o programie w wątku Hakerzy w systemie informatycznym Policji?. Cytat z moderatora bobo1959: "No to sie na dobry początek w katowicach dym zrobi i to duży. Potem inne KWP. Oj!!!!!!!!! sie będzie działo". Kontrole podobno już były. Policjanci zwracają uwagę, że przypadek śląski to de facto wejście na sieć obsługiwaną przez zewnętrznego w stosunku do Policji partnera: "Serwer KWP w Katowicach nie jest zlokalizowany w KWP Katowice, ale obsługuje go zewnętrzna firma, która świadczy usługi hostingowe - PRO Futuro SA i to ona jest odpowiedzialna za jego zabezpieczenia". Nie zmienia to faktu, że jakiś problem jednak chyba istnieje? Przemawia jednak do mnie teza, że nie ma sensu włamywać się na serwery Policji: "łatwiej zapłacić za informacje policjantowi, czy informatykowi majacemu dostęp do baz danych". Dopowiem tylko, że czasem nie trzeba płacić, a wystarczy po prostu zapytać przez telefon (por. Spytaj policjanta, on ci prawdę powie)

9 grudnia na stronie Policja.pl ukazał się tekst: KGP: Jak chronić swój komputer. Przytoczę go w całości:

Czysto informacyjne i rozrywkowe wykorzystanie Internetu to już przeszłość. Dziś za pomocą sieci dokonuje się skomplikowanych transakcji finansowych, kupuje w wirtualnych sklepach i obsługuje konta bankowe. Niestety, zawsze tam, gdzie są pieniądze, są i oszuści. Dlatego policja radzi jak zabezpieczyć swój komputer, by korzystanie z Internetu było możliwie jak najbezpieczniejsze.

  • Zachowujmy daleko posuniętą czujność i ostrożność. Na niektórych stronach, zwłaszcza pornograficznych i hakerskich, bardzo często znajdują się złośliwe programy, które możemy nieświadomie zainstalować na komputerze. Mogą one sparaliżować jego pracę bądź wyciągając z niego poufne dane.
  • Korzystajmy z legalnego systemu operacyjnego. Pirackie oprogramowania są nie tylko nielegalne, ale mogą zawierać też programy szpiegujące, które bez naszej wiedzy zainstalują się w komputerze. Będą podglądały wszystko, co wpisujemy na klawiaturze i przekazywały tę wiedzę niepożądanym osobom. W ten sposób możemy utracić kody dostępu do naszych kont internetowych, poczty i autoryzowanych stron.
  • Zainstalujmy program antywirusowy i antyszpiegowski – ich darmowe wersje można znaleźć w Internecie i legalnie je ściągnąć. Programy te uchronią nasz komputer przed wirusami i programami hakerskimi.
  • Warto też zaopatrzyć się w tzw. firewall (dosł. ścianę ogniową), która zablokuje próby włamania się z sieci do naszego komputera. Z internetu możemy pobrać darmowe oprogramowanie tego typu.
  • Regularnie aktualizujmy: system operacyjny, oprogramowanie antywirusowe i antyszpiegowskie i inne programy, których używamy podczas łączenia się Internetem. Luki w oprogramowaniu mogą posłużyć do włamania się do komputera.
  • Dokładnie przyglądajmy się stronom banków, z których korzystamy za pośrednictwem Internetu. Oszuści często podszywają się pod pracowników banku i proszą nas o podawanie numerów kart płatniczych oraz kodów PIN. Nie odpowiadajmy na takie prośby, ale zgłośmy to obsłudze naszego banku. Można także zainstalować tzw. oprogramowanie antyphishingowe, które wychwytuje takie fałszywe strony.
  • Korzystając z konta internetowego wpisujmy sami adres strony, nie posiłkujmy się linkami rozsyłanymi przez kogokolwiek. Mogą one kierować do „nowej strony banku”, której autorami są oszuści.
  • Ściągając z Internetu muzykę i filmy łamiemy prawo i możemy przy okazji razem z nimi wprowadzić wirusy do naszego komputera.
  • Nie otwierajmy maili od nieznanych adresatów i nie używajmy linków rozsyłanych w niechcianej poczcie (tzw. spamie) oraz przez komunikatory. Mogą prowadzić do niebezpiecznych stron lub programów. Oprogramowanie antyspamowe znacznie ogranicza przychodzenie niechcianej poczty.
  • Komunikatory internetowe (np. Tlen, Gadu-Gadu) są bezpieczne pod warunkiem, że rozmawiamy tylko ze znanymi nam osobami i nie korzystamy z linków oraz plików przesyłanych przez niewiadomych nadawców.
  • W przeglądarkach internetowych można ustawić opcję filtru rodzinnego lub zainstalować na komputerze oprogramowanie, które uniemożliwi młodszym członkom rodziny korzystanie z niepożądanych stron.

Pomijając tu stwierdzenia takie, jak "ściągając z Internetu muzykę i filmy łamiemy prawo", które moim zdaniem nie mają uzasadnienia w obowiązującym stanie prawa, to jednak trzeba powiedzieć, że problem edukacji związanej z bezpieczeństwem systemów IT istnieje. Policja nie jest od tych problemów wolna. A ma to tym większe znaczenie, że Policja przetwarza dane istotne (żeby nie napisać - wrażliwe, bo wrażliwe też przetwarza; por. Organy ścigania winny pamiętać o prywatności).

Na zakończenie przywołam jeszcze tekst, który ukazał się dwa dni temu w olsztyńskim dodatku do Gazety: Internetowa kafejka u policjantów: "W holu komendy wojewódzkiej przy ul. Partyzantów od wczoraj stoi komputer podłączony na stałe do internetu. Jest jednak zabezpieczony przed tym, by wchodzić na internetowe strony inne niż urzędowe. Na biurku jest też drukarka i skaner". I dalej: "Podobne stanowiska z dostępem do Internetu od poniedziałku działają już także w każdej miejskiej i powiatowej komendzie naszego regionu. Inwestycja kosztowała 412 tys. zł, a w 75 proc. zrealizowana została ze środków Unii Europejskich, reszta - z budżetu komendy wojewódzkiej w Olsztynie".

A zatem jesteśmy już w środku...

Przeczytaj felietony:

A już zupełnie na zakończenie warto odnotować, że dziś w IDG przedstawiciel Allegro odniósł się do wczorajszych rewelacji o złym zabezpieczeniu tego serwisu (pisałem o tym przy tekście Złote blachy - czy wszystko jest w porządku?). Patryk Tryzubiak, PR Manager Allegro.pl: "Rzeczywiście sytuacja opisywana przes serwis hacking.pl miała miejsce. Jednakże, twierdzenie że poziom zabezpieczeń naszego serwisu jest zerowy jest conajmniej nadużyciem. (...) Problem opisywany przez Pana Łukasza nie jest tak trywialny jak starają się go pokazać niektórzy internauci (...) Nie jest jednak tak, że dowlona osoba może przejąć dowolne konto Użytkownika. Błąd wykazany przez Pana Łukasza wymaga pewnej aktywności ze strony atakowanego Użytkownika, nie związanej z systemem Allegro.pl...". Są też inne stwierdzenia. Powyżej zacytowane wybrałem tendencyjnie. Jest też i oddźwięk ze strony internautów. Antoni Jakubiak publikuje w swoim blogu tekst Kłamliwe sprostowania Allegro, a w nim: "Po wczorajszej publikacji Allego załatało znane błędy. Dziękuję! Allegro umieściło jednak kłamliwe sprostowanie. Czytamy w nim: Z naszego serwisu nie wypłynęły żadne dane. To, czego dokonał pan Lukasz Lach było możliwe, ale nie jest możliwe hurtowe wyprowadzenie danych - NIE! hurtowe wyprowadzanie danych było możliwe. Napisano też: Znaleziony błąd wymagał zaś dodatkowej aktywności użytkownika - poza serwisem Allegro - NIE! wystarczyła aktywność w systemie Allegro". I tak dalej. Jest też drugi tekst Dlaczego ataki XSS są badzo groźne? Warto przeczytać.

Bezpieczeństwo IT to prawie magia.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Bezpieczeństwo...

Z bezpieczeństwem przestrzeni internetowej jest jak z bezpieczeństwem zamku... Nawet najlepsze mury nie pomogą, gdy mieszkańcy zamku nie dbają o sprawdzanie kto chodzi wewnątrz murów... Brak dbałości o straże również kończy się przejęciem zamku przez wroga...

W sumie to trochę mnie dziwi, że z jednej strony mówi się o bezpieczeństwie, a z drugiej wystawia się komputery sieci wewnętrznej na dostęp z sieci internetowej... To trochę jak budowanie murów, ale bez bram i fosy... A może by tak ciut elektroniki, a raczej schematów elektronicznych pooglądać ?? Pomysleć czym jest np. dioda... I jak to można przenieść na grunt logiki rozumowania... Ale pewnie za bardzo uciekam w abstrakcję myślową...

No cóż... Ale takie sieci jacy ich twórcy... I nie ma się co dziwić, że zaniedbania kuszą różnych złośliwych... Zwłaszcza gdy są to serwisy takich firm...

Pozdrawiam...

z małej chmury wielki deszcz...

Jak dla mnie dziennikarze w tym programie polegli, pokazali jakieś włamanie i kradzież ogólno dostępnych danych. Dziwi mnie tylko fakt, że nie zwraca się uwagi na ostatni "włam" hakera - NFZ. To wyglądało znacznie poważniej.

A jeżeli chodzi o informatyków w Policji, to kwota jaką rzucono w programie, jest dużo, za dużo. Rzesza "informatyków" w Policji pracuje za około 1000zł. Bez komentarza...

Kwoty wynagrodzeń....

Jednostki budżetowe mają takie coś co nazywa się taryfikator płac :)

Informatyk, to takie sobie stanowisko... Jak wiele innych...
I nie tytuł stanowiska stanowi o tym ile zarabia ale tzw. grupa zaszeregowania, a ta związana jest z wykształceniem oraz stażem pracy.
Ogólnie w budżetówce, informatycy mają kiepskie zarobki, dlatego zdolniejszych i ambitniejszych wysysają prywatne firmy oferując sensowne warunki płacowe i wiele profitów.

Powoli zaczyna się obserwować zjawisko już funkcjonujące w innych sferach budżetowych... Na stanowiskach informatycznych pojawiać zaczynają się czasem nawet przypadkowi ludzie... Ich informatyczna wiedza sprowadza się do tego, że wkłada się CD lu DVD do napędu, klika setup... Albo zasysa z internetu coś tam i tylko klika ok gdy komputer rzuca komunikatami na ekran... Problemy natury hardware'owej lub soft'owej, rozwiązują metodą zakupu wypaśniejszego sprzętu :)... Szkoda tylko, że za kasę podatnika...

Obecnie w firmach pojawia się trend korzystania z OutSourcingu... Skutkiem tego jest likwidacja własnych pionów lub stanowisk informatycznych... Tyle tylko, że problem może pojawić się w momencie realizacji ustaw związanych z bezpieczeństwem danych w sieciach komputerowych...

Pozdrawiam.

Program farsa.....

Drodzy koledzy hackerzy. Ten chłoptaś plótł bzdety, a panowie z TV wyglądali na ciężko przestraszonych. Pan Matwiej z KGP mówił, zaś o karaniu winnych. To przejaw niekompetencji. Jednym słowem setnie się ubawiłem oglądając ten program.
Sieć wydzielona - oznacza, że jest ona wydzielona fizycznie w stosunku do sieci internetowej. Dla fachowców - wydzielona w drugiej warstwie OSI/ISO. Nie mniej, oznacza to tylko tyle, że nie jest możliwe pokonanie zqabezpieczeń logicznych (bo ich nie ma) w warstwie IP sieci internetowej i dostanie się w ten sposób do prawdziwych zasobów informatycznych Policji (wydzielonych). Ten chłopiec jeżeli cokolwiek ujawnił, to tylko żle zabezpieczony serwer internetowy - czyli taki za pomocą którego policja przekazuje informacje dla społeczeństwa. Jest on małoistotny lub wręcz nieistotny z punktu widzenia funkcjonaowania systemów teleinformatycznych policji.
Innymi słowy - ten chłopczyk może sobie podłubac w nosie, nie w systemach policyjnych. To by było na tyle.

Hackerzy nie są targetem tego serwisu

VaGla's picture

Tu raczej nie ma hackerów :) To serwis o prawnych aspektach społeczeństwa informacyjnego. Temat ochrony serwisów/serverów policyjnych jest tu istotny o ile dotyczy prawnych aspektów ochrony informacji przechowywanych przez tę formację.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Ok. Zgadzam się, że ochrona informacji jest b. ważna

Trudno mi jednak oprzeć się wrażeniu, że ten uczeń ma jakieś porachunki z tzw. administracją rządową i za wszelką cenę usiłuje coś udowodnić.
Jeśli mówimy o prawnych aspektach ochrony informacji przechowywanych w tym serwisie (serwerze) internetowym, mówimy defacto o informacjach udostępnianych przez policję w internecie. Zagrożenia z tym związane są ogólnie znane i wydaje się mi, że nie ma sensu o tym dyskutować. Metody i sposoby ochrony tych danych również są znane, ale jeśli permanentnie ogranicza się ilość obsługi technicznej w tej formacji mogą pojawiać się tego rodzaju "dziury" - to oczywiste. To ograniczanie widoczne jest zwłaszcza w ostatnim okresie - gdzie przeniesiono etaty na tzw. ulicę osiągając zamieżony efekt medialny (obrzydliwe sformułowanie). Namnożono przy tym sporo tego typu serwisów - policja frontem do obywatela - dobierając do ich ochrony przypadkowe osoby.
Jedno jest pewne - tego rodzaju wpadka nie powinna mieć miejsca, zaś informacje udostępniane na tych serwerach nie powinny mieć charakteru informacji niejawnych.

Jak udostępniono hasło do servera policji

VaGla's picture

Pomyślałem, że warto tu odnotować sposób wyjęcia hasła na server policji w Katowicach. Wyjaśniony jest na obrazku w notatce Jak Policja w Katowicach przyczyniła się do “włamania” na ich serwer. W tej notatce wyjaśnienie skąd wzięło się hasło do servera policyjnego: "...ftp://10841:30Nber2L@smurf.policja.katowice.pl..."
--
[VaGla] Vigilant Android Generated for Logical Assassination

Nieporozumienie

Ja tu czegoś nie rozumiem.
Czy fakt że dość dobrze znam zabezpieczenia samochodów upoważnia mnie do ich nieuprawnionego pokonywania a tym samym zaboru samochodu? To jakiś absurd!

Zamiast potępiać włamywaczy Oni robią z tego spektakl tym samym zachęcając innych do doskonalenia sztuki włamań do sieci. Facet z łysiną czołową skoro posiadł tyle niezbędnej wiedzy powinien pisać nowe programy, udoskonalać istniejące a nie udowadniać, że potrafi się włamać.

Natomiast Panowie redaktorzy pewnie będą podżegać innych do wykazania się swoimi umiejętnościami w celach innych niż prawem dopuszczone. Dla mnie jest to żenujący spektakl próżności.

Wybaczcie mnie mój jad, ale od zawsze, czyli od 40 lat jestem legalistą. Jeśli jest napisane "Nie deptać zieleni" to tam nie wchodzę. Nie ważne czy ktoś to widzi czy nie. Po prostu nie wchodzę.

Wg mnie to nie ma nic wspólnego z wykazaniem braków w zabezpieczeniach. Napiętnowany powinien być sam fakt dotarcia do danych do których dana osoba nie jest upoważniona.

Posłużę sie kolejnym prostym przykładem.
Czy jeśli moja działka nie jest ogrodzona to można z niej zabrać wszystko co tam sie znajduje?
NIE. Dlaczego? Bo to będzie kradzież.

Oczywiście jest różnica między zaborem rzeczy ruchowej a tajemnicą korespondencji, ale Ci faceci robią sobie piknik na mojej działce tylko dlatego, że jest pozbawiona ogrodzenia. Jeszcze sie tym chwalą, zarabiają grubą kasę ... to jakieś nieporozumienie - szczyt bezczelności.

Jak dla mnie - BRAK słów.

PS. Nie wiem czy ten komentarz przejdzie bo poza krytyką nic więcej nie wnoszę ale co tu można więcej napisać.
Obecny świat nie zna żadnych wartości, zasad .... :(

Przepuściłem, ale

VaGla's picture

Przepuściłem ten komentarz, ale tylko po to, by po raz kolejny wskazać na różnicę między światem fizycznym (gdzie włamują się do samochodu, albo wchodzą do ogrodu) a sferą informacji. Informacja jak woda - spływa w najniższe dostępne miejsce, tylko nawet bardziej, gdyż informacja nie jest ograniczona fizycznością wody.

Warto też zwrócić uwagę na to, że jeśli dyskusja odbywa się na poziomie "włamanie do sieci", to do żadnych konstruktywnych wniosków nie doprowadzi. Nie na próżno ustawodawca wskazuje na szereg różnych sytuacji, w tym na uzyskanie informacji nieprzeznaczonej dla danej osoby po przełamaniu pewnych zabezpieczeń. I chociaż regulacja karna jest krytykowana w literaturze, to coś co na pewnym poziomie abstrakcji nazwiemy "włamaniem" - nie musi być czymś, co z punktu widzenia prawa powinno być np. penalizowane. Nie musi być tez włamaniem z perspektywy wiedzy technicznej na temat obiegu informacji i sposobu jej zabezpieczania przed "nieautoryzowanym" dostępem.

Na marginesie - ja również jestem obdarzony "czołową łysiną" i mam nadzieję, że to - samo w sobie - nie dyskwalifikuje głoszonych przeze mnie tez. Odwoływanie się do argumentów ad personam nie wnosi nic do tematu. Dlatego właśnie "wymoderowuje" z reguły takie komentarze w tym serwisie.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>