O tych hakerach ściganych z urzędu i o programie ochrony cyberprzestrzeni

W mediach pojawił się temat ścigania z urzędu tych, którzy atakują infrastrukturę teleinformatyczną państwa. Dokładniej zaś cytowany jest fragment rządowego programu ochrony cyberprzestrzeni na lata 2011 – 2016. Temat się pojawił, gdyż 10 września pojawiły się w BIP MSWiA nowe dokumenty na ten temat. W każdym razie w głównym dokumencie programu (noszącym datę "czerwiec 2010"), w części 3.3.1 pt. "Program w zakresie działań legislacyjnych", czytamy postulat: "wprowadzenia ścigania z urzędu naruszeń bezpieczeństwa w cyberprzestrzeni, które miały miejsce w odniesieniu do podmiotów administracji publicznej oraz infrastruktury krytycznej ujawnionej w wykazie. Wprowadzenie ścigania na wniosek pokrzywdzonego w przypadku wykrycia incydentu bezpieczeństwa w obszarze cyberprzestrzeni RP". Pomyślmy o konsekwencjach takiego rozwiązania legislacyjnego. Czy oznacza ono, że teraz z urzędu będzie się ścigać również posłów?

Ciekawie jest obserwować, jak przez media idzie fala jakiegoś tematu. Zaczyna się delikatnie. 7 września IDG pisze w tekście Ochrona polskiej cyberprzestrzeni - ambitne plany na lata 2011 - 2016 o opracowywanym właśnie w międzyresortowym zespole Rządowym Programie. Już na tym etapie można było się zaniepokoić, gdy światło dzienne ujrzała informacja: "Programem zostaną objęci przedsiębiorcy (np. działający w sektorze energetycznym, bankowym czy telekomunikacyjnym), instytucje o szczególnym znaczeniu dla obronności i bezpieczeństwa państwa oraz użytkownicy indywidualni". Ale dopiero kilka dni później media rzeczywiście zechciały przeczytać materiał opracowany w MSWiA przy współudziale resortu Obrony Narodowej, Agencji Bezpieczeństwa Wewnętrznego, Straży Granicznej oraz Naukowej i Akademickiej Sieci Komputerowej (NASK)... No bo też i pojawił się Projekt dokumentu kierowany do uzgodnień resortowych w BIP MSWiA.

We wstępie napisałem o posłach. Zrobiłem to w kontekście komentowanych kiedyś przeze mnie działań posła Tadeusza Jarmuziewicza (PO), którego - korzystając z okazji - serdecznie pozdrawiam. Niektórzy pamiętają jeszcze historyczny dyskurs na temat "VAT na usługi świadczenia dostępu do Internetu", kiedy to ówczesna opozycja (a dzisiejsze zaplecze rządowe) wzywała obywateli do „zalania” skrzynek poczty elektronicznej niektórych urzędników państwowych specjalnie przygotowanymi listami. Było tak, że na stronie posła Tadeusza Jarmuziewicza (dziś poseł Jarmuziewicz jest wiceministrem infrastruktury), pod nieaktywnym już dziś adresem www.jarmuziewicz.platforma.org/protest.php, wycelowano w urzędników państwowych cybernetyczne "działa", by w ten sposób wywrzeć presję na ówczesny rząd (który dziś jest opozycją). W artykule pt. Spam polityczny komentowałem to wówczas tak:

Na marginesie warto zauważyć, że „realizowanie prawa” do składania petycji w cudzym imieniu (za jej zgodą) z wykorzystaniem automatycznego przetwarzania danych i automatycznego wysyłania komunikatów elektronicznych na oficjalne skrzynki poczty elektronicznej urzędników administracji publicznej może doprowadzić do zablokowania tych skrzynek, co, w konsekwencji, przeszkadza innym podmiotom w realizacji prawa do składania petycji, skarg i wniosków w interesie publicznym, własnym lub innej osoby za jej zgodą. Zatem zastosowanie takich automatów stanowi, w moim odczuciu, naruszenie zasad przewidzianych w Konstytucji RP, w szczególności dotyczących równości dostępu obywateli do organów administracji publicznej. W moim odczuciu stanowi również wykroczenie przeciwko zasadom współżycia społecznego – nie przez przypadek mailbombing jest uznany za jedną z form przeprowadzenia ataków na systemy komputerowe.

To było w 2003 i 2004 roku, gdy stawka VAT była elementem mobilizowania internautów do politycznej dyskusji. Stowarzyszenie Internet Society Poland pochyliło się wówczas nad tą dyskusją (Stanowisko Stowarzyszenia Internet Society Poland w sprawie stawki VAT na dostęp do Internetu 8 października 2003 roku) i zważyło, że zwolnienie z VAT nie jest dobrym pomysłem. VAT to trudny temat i nie dla wszystkich prosty. Zwolnienie z VAT to nie to samo, co stawka zerowa. ISOC Polska wówczas postulował stawkę 0 VAT, a więc nie zwolnienie (por. VAT quo vadis?).

Dlaczego tego typu "działa", jakie w opozycyjny niegdyś poseł wycelował w ówczesny rząd, są zagrożeniem dla infrastruktury, dowiecie się Państwo z konferencji pasowej, która odbędzie się dziś zupełnie z innej okazji. Nie zdradzając zbytnio napiszę jedynie, że wczoraj policja zatrzymała 5 osób, które wysyłały masowo komunikaty do użytkowników jednego z dużych serwisów. Pojawiły się zarzuty... Być może to pierwszy przypadek, w którym realny scenariusz wydarzeń może przewidywać karę pozbawienia wolności w związku ze spamem (i to takim "webowym", nie koniecznie tylko "mailowym"), a przecież sprawa dotyczy infrastruktury prywatnego przedsiębiorstwa, nie zaś infrastruktury krytycznej państwa... W kolejnej notatce napiszę o tym więcej.

Dla tych wszystkich, którzy chcieliby mi zarzucić chęć obrony atakujących infrastrukturę informatyczną państwa przypominam tekst z 2007 roku, który nosi tytuł Ewentualny atak serwerów Policji uważam za głupotę i nieodpowiedzialność.

Niepochwalanie ataków na infrastrukturę mojego państwa (niezależnie od tego, kto jest aktualnie u władzy) to jedno, a drugie to chwila zastanowienia się nad konsekwencjami postulowanych w przywołanego już projektu Rządowego Programu Ochrony Cyberprzestrzeni RP na lata 2011-2016, który objawił się niedawno na stronach Biuletynu Informacji Publicznej. Tam jest zresztą wiele ciekawych tez. Warto zatem ten materiał przeczytać w całości.

Odnośnie ścigania z urzędu, to zastanawiam się...

Jeśli mamy kłopot z ustaleniem precyzyjnych przepisów na temat tego, co w sferze prawnokarnej i w odniesieniu do działań informatycznych jest przestępstwem, a co nie jest (por. "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection), to wprowadzenie ścigania z urzędu tam, gdzie przepisy karne są niejasne, może wprowadzać pewne ryzyko nadużywania takich przepisów. Posłowie mają poselski immunitet, więc mogą się nie obawiać (przynajmniej do końca kadencji, kiedy zaczniemy się zastanawiać publicznie, kiedy przedawniać się powinny przestępstwa przeciw infrastrukturze krytycznej państwa).

Mamy więc mało precyzyjne przepisy prawa karnego materialnego i postulujemy ściganie z urzędu tam, gdzie dziś przepisy przewidują ściganie na wniosek. Jednocześnie mamy w naszej procedurze karnej takie przepisy, jak art. 303 i 304 KPK:

Art. 303. Jeżeli zachodzi uzasadnione podejrzenie popełnienia przestępstwa, wydaje się z urzędu lub na skutek zawiadomienia o przestępstwie postanowienie o wszczęciu śledztwa lub dochodzenia, w którym określa się czyn będący przedmiotem postępowania oraz jego kwalifikację prawną.

Art. 304. § 1. Każdy dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję. Przepis Art. 191 § 3 stosuje się odpowiednio.
§ 2. Instytucje państwowe i samorządowe, które w związku ze swą działalnością dowiedziały się o popełnieniu przestępstwa ściganego z urzędu, są obowiązane niezwłocznie zawiadomić o tym prokuratora lub Policję oraz przedsięwziąć niezbędne czynności do czasu przybycia organu powołanego do ścigania przestępstw lub do czasu wydania przez ten organ stosownego zarządzenia, aby nie dopuścić do zatarcia śladów i dowodów przestępstwa.
§ 3. Zawiadomienie o przestępstwie, co do którego prowadzenie śledztwa jest obowiązkowe, lub własne dane świadczące o popełnieniu takiego przestępstwa Policja przekazuje wraz z zebranymi materiałami niezwłocznie prokuratorowi.

W przypadku przestępstw takich, jak z art. 268 KK - ściganie następuje na wniosek pokrzywdzonego. Dodajmy dwa do dwóch i powinno wyjść cztery. Jeśli instytucje państwowe i samorządowe dowiedziały się o popełnieniu przestępstwa ściganego z urzędu, to mają obowiązek - wynikający z cytowanego wyżej przepisu art. 304 §2 KPK - do niezwłocznego zawiadomienia prokuratury lub Policji. Ale czy to znaczy, że jak się dowiedzą o tym, że ich infrastruktura została zaatakowana, jak się dowiedzą, że są pokrzywdzonym, to czy istnieje jakiś powód dla którego nie mogą złożyć wniosku o ściganie tam, gdzie przestępstwa dziś ścigane są właśnie na wniosek pokrzywdzonego?

Ja dziś nadal nie wiem, czy nasza interwencja w Wyższej Szkole Policji w Szczytnie, kiedy strona ta była kompletnie zawirusowana i siała infekcjami po komputerach ją odwiedzających (być może również najwyższych funkcjonariuszy policji - wykładowców), przyniosła efekt w postaci podjęcia jakichkolwiek czynności w celu wykrycia sprawców (por. Juwenalia w Wyższej Szkole Policji w Szczytnie). Wiemy, że Policja czasem potrafi potraktować sprawę ataku na jej infrastrukturę w sposób ambicjonalny. Tak przecież - jak się wydaje - było wówczas, gdy młody mężczyzna postanowił umieścić na jednej z policyjnych stron pewną grafikę (por. Afera o zdjęcie na stronach suwalskiej policji, Zatrzymano chłopaka, który umieścił "złe psy" na stronie suwalskiej policji)... Ale jeśli strona stoi na serwerze wpiętym w Neostradę TP, a zabezpieczenia są jedynie umowne, to kto powinien ponosić odpowiedzialność za ewentualną kompromitację infrastruktury teleinformatycznej tego typu? Czy tego typu problemy zostaną załatwione przez Pełnomocnika rządu ds. ochrony cyberprzestrzeni, którego ustanowienie postuluje się w rządowym programie? Zobaczymy.

W każdym razie temat ścigania z urzędu pojawił się w mediach:

PS
Tymczasem Polak zhackował amerykańską stronę wojskową. Chodzi o Defence Logisitc Agency i o "wstrzyknięcie" przyjaciołom Amerykanom do serwisu desc.dla.mil fragmentu filmu "Miś"... Skoro dało się wstrzyknąć, to czy doszło do ataku? Czy można przełamać coś, co nie istnieje?

Ten sam rządowy program (projekt), który przewiduje konieczność ścigania z urzędu naruszeń bezpieczeństwa w cyberprzestrzeni, przewiduje również - w zakresie przyszłych działań legislacyjnych - "zdefiniowania pojęć dotyczących cyberprzestrzeni – CRP, cyberprzestępczości i cyberterroryzmu". To dopiero może być bardzo interesująca dyskusja publiczna. O ile jakaś dyskusja publiczna na ten temat będzie w ogóle się toczyć. Być może będą jakieś inne, ważniejsze, bardziej emocjonujące tematy, którymi żyć będzie społeczeństwo...

Załącznik nr 2 do projektu rządowego programu nosi tytuł Zmiany legislacyjne w zakresie ochrony CRP (PDF). W "krótkim opisie" czytamy (wytłuszczenie moje, VaGla):

W ramach Programu zostaną podjęte następujące działania mające na celu uregulowanie wszelkich aspektów związanych z zarządzaniem i bezpieczeństwem CRP poprzez wprowadzenie odpowiednich zapisów do ustaw i rozporządzeń już obowiązujących lub w nowej ustawie i rozporządzeniu wykonawczym w zakresie:

1. zdefiniowania pojęć dotyczących cyberprzestrzeni – CRP, cyberprzestępczości i cyberterroryzmu;

2. wskazania, że CRP należy traktować, jako dobro ogólnego umożliwiające rozwój i niezakłócone funkcjonowanie społeczeństwa informacyjnego, komunikacje – wymianie informacji oraz repozytorium wiedzy i myśli obywateli;

3. ustalenia odpowiedzialności za ochronę CRP – opisanie zakresów zadań, odpowiedzialności i zmian w strukturach organizacyjnych polegających na powołaniu jednostek odpowiedzialnych za zarządzanie i bezpieczeństwo CRP (KPRM, MSWiA, MON, ABW i SKW);

4. wprowadzenia ścigania z urzędu naruszeń bezpieczeństwa w cyberprzestrzeni, które miały miejsce w odniesieniu do podmiotów administracji publicznej, infrastruktury krytycznej. Wprowadzenie ścigania na wniosek pokrzywdzonego w przypadku wykrycia incydentu bezpieczeństwa w obszarze CRP;

5. ustawienia głównych sektorowych punktów kontaktowych CERT.GOV.PL dla obszaru administracji publicznej, CERT Polska dla obszaru cywilnego, MIL CERT dla obszaru wojskowego oraz sektorowych punktów kontaktowych w ministerstwach właściwych sektorów gospodarki RP;

6. wprowadzenia funkcji Pełnomocnika Rządu ds. Ochrony Cyberprzestrzeni RP (PROC) odpowiedzialności i zadań oraz ustalenie sposobów i form współpracy;

7. wprowadzenia funkcji pełnomocnika kierownika jednostki organizacyjnej ds. ochrony cyberprzestrzeni (PKOC) w podmiotach administracji publicznej i zalecenie utworzenia takiej funkcji w podmiotach gospodarczych;

8. umocowania prawnego Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL;

9. wprowadzenia obowiązku dla podmiotów publicznych i zalecenia dla pozostałych użytkowników cyberprzestrzeni informowania (nie dłużej niż w ciągu jednego dnia od wykrycia zdarzenia przez personel) do właściwego zespołu CERT o wykrytych incydentach bezpieczeństwa związanych z CRP.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Nie wiem dlaczego

Nie wiem dlaczego porównujesz np. wysyłanie petycji via email do mailbombingu. Jeśli na stronie zamieszczę tekst petycji i user podpisze się, po czym wyśle tekst na skrzynkę adresata to w czym zachowanie takie będzie się różniło od tego, że ten sam user wysłałby list papierowy?
Mniejsze koszty oraz ekologia są po stronie kontaktu e-mailowego.
Rozumiem, że można zorganizować tak wysyłkę, żeby wysłać dopiero podpisany przez X userów list wraz z podpisami, ale wówczas stawiam dolary przeciwko kasztanom, że większość takich przesyłek lądowała by "przypadkiem" w katalogu SPAM, lub adresat tłumaczyłby się, że przesyłka gdzieś mu się zagubiła pośród innych :)

W tym konkretnym przypadku

VaGla's picture

W tym konkretnym przypadku dość dokładnie pamiętam, w jakich okolicznościach przeprowadzano akcję "protestu" i w mojej ocenie niczym to się nie różniło od celowego działania zmierzającego do zablokowania skrzynek poczty elektronicznej urzędników (i serwerów poczty obsługujących te skrzynki).
--
[VaGla] Vigilant Android Generated for Logical Assassination

Nie chodziło mi o

Nie chodziło mi o konkretnie ten jeden przykład tylko o zamieszczony cytat, ale być może źle zrozumiałem jego przesłanie :)
Wydawało mi sie, że jesteś przeciwko umożliwianiu internautom wysyłania petycji do urzędników poprzez podpisanie petycji na danej stronie internetowej.
Faktycznie otrzymanie np. 2000 e-maili z petycją może być stresujące dla urzeędnika, ale chyba lepsze to niż 2000 petycji papierowych. Inna sprawa czy udałoby się namówić 2000 osób do wysłania jakiegoś pisma, które sami musieliby napisać, kupić kopertę i znaczek i wysłać do adresata :>

e-petycje "wodą po kaczorze"

potraktowanie, pewnej "krzesełkowej żółto-niebieskiej" petycji podpisanej w e-świecie przez ponad 5tys ludzi, świadczy raczej o tym, że na urzędnikach liczba sygnatariuszy nie robi większego wrażenia

od programu ochrony cyberprzestrzeni do ścigania masowych protestów i innych sposobów wyrażania opinii w sprawach publicznych (e-petycje, e-listy) może być bliżej niż sądzimy

Pieniadze. Wyciaga sie

Pieniadze.
Wyciaga sie kolejnego diabelka z pudla i sieje panike. Trzeba bedzie wzmacnic infrastrukture, zatrudnic ludzi (w ramach oszczednosci budzetowych oczywiscie) itp.
Cyber bezpieczenstwo narodu to podstawa.
Proponowalbym najpierw moze to CYBER cokolwiek stworzyc, to bedzie czego bronic.

Mysle ze to cale larum przyszlo z USA. Ostatnio tam sporo halasu jest wokol cyber wojny. Oczywiscie na alarm bija ci ktorzy beda mieli najwieksze potencjalne zyski z cyber zbrojen.

Wszystko wyciąć i zaorać

Jeśli okaże się, że jeden z drugim resort nie musi nic robić, bo nawet obejście nieistniejących zabezpieczeń jest przestępstwem i to z urzędu ściganym, to wydatki na zabezpieczanie czegokolwiek spadną do zera. A jak ktoś się "włamie" i sąd przyśle jego dane, to jeszcze resort zarobi dochodząc odszkodowań.

Coś mi się zdaje, że lepiej byłoby zabronić urzędom prowadzenia własnych serwisów i zamiast tego stworzyć zunifikowaną "państwową cyberprzestrzeń", gdzie każdy minister i każda służba dostanie swój kawałek. Wszystko w jednym, czytelnym układzie graficznym. Za ułamek ceny. Zintegrowane ze wszystkimi potrzebnymi skrzynkami podawczymi i BIPami. Bezpieczne, bo nadzorowane przez jeden - za to kompetentny - zespół.

Rządowy Program Ochrony Cyberprzestrzeni - szanse powodzenia

kravietz's picture

No i dochodzimy do podstawowego problemu jakim jest brak spójnej kontroli nad poszczególnymi jednostkami administracji publicznej. To nie jest tylko problem niejednolitego poziomu zabezpieczeń, ale przede wszystkim niejednolitego poziomu efektywności i jakości świadczonych usług. Zanim jakikolwiek "program ochrony cyberprzestrzeni" odniesie skutek inny niż dalsza poprawa poziomu urzędów wybitnych i fasadowe działania w urzędach przeciętnych, potrzebny jest ogólnokrajowy program ujednolicenia standardów pracy administracji publicznej i odzyskanie przez rząd kontroli nad nią.

Rządowy Program Ochrony Cyberprzestrzeni - szanse powodzenia

A pomysł stworzenia ujednoliconego portalu dla całej administracji publicznej ma głęboki sens - tyle, że na przeszkodzie stoi właśnie resortowość i kultura udzielnych księstw dzielnicowych, gdzie każdy książe ma "swój" budżet i swoją wizję działań na pograniczy pomocy społecznej (polityka kadrowa) czy wspierania lokalnej przedsiębiorczości (dostawcy). Patrz klapa instytucji centralnego zamawiającego.

--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT

Są jeszcze bardziej podstawowe

VaGla's picture

Bardziej podstawowy problem jawi się mgliści gdy przyglądać się kosztom tworzenia i utrzymania infrastruktury służącej do realizacji zadań publicznych (czyli nie tylko administracji publicznej), wobec tego, że nie ma budżetu zadaniowego, chociaż ponoć w tym co będzie budżecie będzie tego budżetowania zadaniowego więcej, niż wcześniej) i wobec tego, że nie za bardzo wiadomo, ile ta cała cyberprzestrzeń publiczna kosztuje.

Na razie mogę powiedzieć tylko tyle, że w części środowiska biznesowo-internetowego jest już ferment w związku z próbami przerzucania kosztów działania państwa na przedsiębiorców. I to takich kosztów, które są związane z tym bezpieczeństwem cyberprzestrzeni...
--
[VaGla] Vigilant Android Generated for Logical Assassination

Budżet zadaniowy

kravietz's picture

Budżet zadaniowy formalnie mamy, choć jego sens i jakość pozostawia sporo do życzenia - na przykład cel: "racjonalne wykorzystanie budżetu Kancelarii", miara wykonania: "stopień wykonania budżetu w stosunku do planu (w %)". Cudowne - to problem z gatunku jak oceniać by nie ocenić.

A co do kosztów infrastruktury dla realizacji zadań publicznych to nadal jest problem resortowości. Jeśli ustawodawca wymyśla sobie nowy obowiązek sprawozdawczy na centralnym ePUAP, to łatwo oszacuje jego koszt (np. rozbudowa serwerowni) i sam go pokryje. Wykonawcom zostaną koszty zewnętrzne - np. koszt czasu pracowników.

W obecnym modelu ustawodawca coś sobie wymyśla, a następnie jednostki nowym obowiązkiem obdarzone muszą alokować środki w budżecie na przyszły rok. I albo je dostaną albo nie, pomijając rzetelność wyliczeń i marnotrawstwo wynikające z braku centralizacji wydatków. Klasyczny przykład - elektroniczne skrzynki podawcze. Nie mówiąc o prezentach sprawianych w postaci nowych obowiązków np. w połowie roku budżetowego.

A obciążanie przedsiębiorców kosztami? Klasyczny przykład mieliśmy w ustawie hazardowej, gdzie autor uzasadnienia radośnie zaliczył do zysków Skarbu Państwa "zniknięcie" (czytaj: przeniesienie na przedsiębiorców) ok. 3 mln kosztów z budżetów sądów.

Ale kto by się przejmował przedsiębiorcami, przecież to źli ludzie są. Powinno im starczyć i na podatki celowe dla spółek skarbu państwa i na innowacyjność i na nowe miejsca pracy...

--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>