O odróżnieniu ataku cyberterrorystycznego od tysięcy maili internautów

"W projekcie nie odróżniamy ataku w cyberprzestrzeni od ataku na instytucje publiczne, takie jak Sejm, polegającego na tym, że blogerzy albo internauci wysyłają maile w tysiącach egzemplarzy na poselską pocztę sejmową i blokują na kilka dni sprawność tej instytucji. Mamy z tym do czynienia. Czy stanowi to zagrożenie dla państwa, jeśli zablokowane są skrytki pocztowe czy serwery sejmowe? To jest bardzo aktualny temat. Chciałbym, żeby przedstawiciele rządu wypowiedzieli się w tej sprawie. Czy przed tym też powinniśmy się chronić, czy tylko przed świadomym manipulowaniem w cyberprzestrzeni z zagranicy?"

- Jan Rzymełka, poseł Platformy Obywatelskiej, w czasie obrad połączonych sejmowych komisji: Komisji Obrony Narodowej /nr 148/, Komisji Spraw Zagranicznych /nr 229/, Komisji Administracji i Spraw Wewnętrznych /nr 297/, które rozpatrywały w czasie pierwszego czytania przedstawiony przez Prezydenta Rzeczypospolitej Polskiej projekt ustawy o zmianie ustawy o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych innych ustaw (druk nr 4355). O tym projekcie pisałem w tekście Prezydencki projekt ustawy o zmianie ustawy o stanie cyber-wojennym, gdzie go znaleźć?

Głos zabrał kolega partyjny pytającego, poseł Maciej Orzechowski, który stwierdził i jednocześnie odpowiedział koledze:

Nie zgodziłbym się z jednym z przedmówców, który bagatelizował przesłankę polegającą na zakłócenie funkcjonowania instytucji czy urzędów. Jeśli doszłoby do zakłócenia działania instytucji odpowiedzialnej za bezpieczeństwo energetyczne państwa, miałoby to wpływ na bezpieczeństwo państwa jako całości.

Wprowadziliśmy już ustawę regulującą kwestię kar m.in. za nękanie osób wiadomościami SMS czy notorycznymi telefonami, czyli tzw. stalking. Zapewne dotyczy to również blokowania skrzynek mailowych.

Tu mowa o tej noweli Kodeksu karnego, o której pisałem w tekście: Stalking i phishing w Polsce zagrożone karą do trzech lat pozbawienia wolności.

Jacek Sierpiński w tekście Głos narodu skrzynkę blokujący skomentował to słowami:

Obywatele! Jeśli zamierzacie w jakiejś sprawie wysyłać maile do waszego przedstawiciela, posła Macieja Orzechowskiego, a zwłaszcza organizować akcje wysyłania takich maili – na przykład w proteście przeciwko kolejnemu głupiemu lub niebezpiecznemu projektowi ustawy – liczcie się z tym, że jeśli wskutek tego zostanie zablokowana jego sejmowa skrzynka pocztowa, to wasze działanie zostanie uznane przez niego za stalking, czyli uporczywe nękanie wyczerpujące znamiona czynu z art. 190a Kodeksu karnego.

Jeśli chodzi o wątpliwość zgłoszoną w zacytowanym wyżej pytaniu, to podobnej problematyki dotyczyły opublikowane tu teksty: Ewentualny atak serwerów Policji uważam za głupotę i nieodpowiedzialność, Każdy jest rewolucjonistą na własny rachunek, czyli WikiLeaks i jego zaplecze infrastrukturalne, a o działaniach posła Tadeusza Jarmuziewicza (PO), który jako ówczesny opozycjonista zachęcał do wysyłania masy maili bombardując nimi pocztę urzędów publicznych przypominałem w tekście O tych hakerach ściganych z urzędu i o programie ochrony cyberprzestrzeni. Nadal uważam, że tego typu zalewanie skrzynek pocztą elektroniczną, atakowanie DDoS teleinformatycznej infrastruktury publicznej jest działaniem, które ingeruje, a czasem wręcz niweczy moje prawo składania petycji (również elektronicznie) oraz dostępu do organów administracji publicznej. Jeśli ktoś postanowi zalać infrastrukturę elektronicznymi śmieciami, a może nawet doprowadzi do tego, że taka infrastruktura padnie - ja nie będę się mógł elektronicznie kontaktować się z administracją publiczną. Nie oznacza to jednak, że uważam takie działania za działania terrorystyczne (por. dział terroryzm).

Akcję wysyłania maili do posłów zorganizowali niedawno koledzy ze Stowarzyszenia Liderów Lokalnych Grup Obywatelskich oraz Stowarzyszenia Blogmedia24.pl w kontekście prac nad ustawą o dostępie do informacji publicznej (por. Apel SLLGO o publiczne wysłuchanie w sprawie noweli ustawy o dostępie do informacji publicznej). Oczywiście ważne jest to, w jaki sposób realizowane jest prawo do składania petycji i wniosków. W tym przypadku apelowano do wysyłania listów i podpisywania się pod nimi, nie zaś do ataku na infrastrukturę za pomocą Low Orbit Ion Cannon, czym zasłynęła już społeczność Anonymous (ktokolwiek czuje się jej członkiem).

Wracając do projektu ustawy - w imieniu projektodawcy wypowiadał się Szef Biura Bezpieczeństwa Narodowego, sekretarz stanu (w kancelarii Prezydenta RP) Stanisław Koziej, który jednak nie odniósł się do zadanego wyżej pytania. Powiedział on m.in.:

Dlaczego dopiero teraz? Cóż, dopiero zapoznajemy się z tą problematyką i ją zgłębiamy. Działanie w cyberprzestrzeni jest czymś nowym. Inicjatywa nie mogła pojawić się 2-3 lata temu, bo nie było pełnej świadomości potrzeby takiej regulacji. Dlaczego tak późno? Mogę wziąć winę na siebie. Rok zajęło mi przygotowanie projektu i przeprowadzenie konsultacji.

Dlaczego zależy nam na w miarę szybkim przyjęciu ustawy? Każdy miesiąc zwłoki we wprowadzeniu podstaw prawnych dla praktycznych działań w zakresie bezpieczeństwa w cyberprzestrzeni jest czasem straconym. Im wcześniej to zrobimy, tym dla państwa polskiego lepiej. Nie widzę powodu, aby zwlekać, tylko dlatego, że ktoś z niezrozumiałych powodów insynuuje, iż prezydent chciałby wykorzystać nowe regulacje dla łatwiejszego wprowadzenia stanu wojennego, bo ktoś w Internecie na niego czyha. Takie rozumowanie nie zasługuje na szerszy komentarz.

W dyskusji pojawiło się kilka głosów poruszających problem, że inicjatywa prezydenta wkracza w materię konstytucyjną. Istotnie, ustawa dotyka materii konstytucyjnej, ale przecież nic nie zmienia, tylko doprecyzowuje, uzupełnia zgodnie z konstytucją. Możemy dyskutować o ewentualnych sprzecznościach projektowanej regulacji z konstytucją. Rozumiem państwa posłów, którzy formułują tego typu wątpliwości. Są one uzasadnione. Ja nie mam tego typu wątpliwości. Projekt był konsultowany z konstytucjonalistą i mamy opinię konstytucjonalisty.

Po tym, gdy ustalono, że "jednego konstytucjonalisty", ale można zgłaszać kolejne opinie, minister mówił dalej:

Pan poseł Iwiński stwierdził, że atak terrorystyczny nie jest tożsamy z atakiem cybernetycznym. To jest oczywiste. Regulacje wprowadzane w przedkładanej ustawie nie są regulacjami przesądzającymi. Mowa jest o przesłankach, natomiast decyzję każdorazowo podejmuje decydent. Jest wniosek Rady Ministrów i decyzja prezydenta. W zależności od skali danego zjawiska państwo może różnie reagować na zagrożenia cybernetyczne. Można podjąć pewne działania w ramach zarządzania kryzysowego, ale mogą zaistnieć okoliczności upoważniające do wprowadzenia jednego ze stanów nadzwyczajnych, w zależności od skali zagrożenia.

Chciałbym nawiązać do wypowiedzi pana posła Borowskiego, który zgłaszał wątpliwość co do jednego z zapisów. Przychylam się do sugestii pana posła i jestem gotów zgłosić poprawkę. Jeszcze raz podkreślam, że chodzi o podmioty zewnętrzne. Pan poseł wyraził krytyczną opinię wobec sformułowania mówiącego o zakłóceniu wykonywania przez organy państwowe ich funkcji. Sugestia dopisania sformułowania „poważne zakłócenia” jest warta rozważenia. Byłoby to potrzebne doprecyzowanie. Oczywiście nie ma obawy, że każdy internauta, który zakłóci działanie instytucji, spowoduje decyzję prezydenta o wprowadzeniu stanu wyjątkowego.

Były zgłaszane wątpliwości, czy istnieje potrzeba wprowadzania kategorii cyberprzestrzeni do obiegu prawnego. Wszyscy, którzy dyskutowali nad projektem przed przesłaniem go do Sejmu, uważają, że jest taka potrzeba. Sądzę, że te wątpliwości mają związek z kwestią, czy wszystko powinniśmy regulować w ustawach. Jak państwo doskonale wiecie, wszystko zależy od systemu. Są państwa, w których regulacje są bardzo ogólne i są one wystarczające. W innych państwach wszystko musi być uregulowane w ustawie. Polska chyba zalicza się do tej grupy państw. Jeśli przeanalizujemy ustawę o zarządzaniu kryzysowym, to okaże się, że zostały w niej uregulowane nie tylko ogólne zasady reagowania kryzysowego, ale nawet tytuły dokumentów i rozdziałów tych dokumentów. Są to niezmiernie szczegółowe rozstrzygnięcia.

Sądzę, że ta regulacja nie jest ani zbyt ogólna, ani nazbyt szczegółowa. Rozstrzygnięcia są na koniecznym poziomie, aby kategoria cyberprzestrzeni znalazła się w obiegu prawnym. Dlaczego to jest konieczne? Z praktyki wiem, że żaden organ administracji państwowej nie podejmie konkretnych działań, nie przygotuje planu reagowania, zarządzania, jeśli nie ma podstawy prawnej. Wprowadzenie kategorii cyberprzestrzeni da podstawę prawną do praktycznych działań. Tak jest skonstruowany nasz system państwowy.

Jedno z pytań pana posła Dorna dotyczyło kwestii, jak ta materia jest uregulowana w innych państwach. Czy mają już wprowadzone tego typu regulacje? Przyznam, że szczegółowej analizy porównawczej nie przeprowadziłem, ale możemy to nadrobić, jeśli taka jest potrzeba. Mogę z całą pewnością stwierdzić, że jeśli chodzi o praktyczne działania w tym zakresie – doktryny, programy, budowanie instytucji, projekty gremiów międzynarodowych dotyczących wprowadzania regulacji w tym zakresie do zasad działania Rady Bezpieczeństwa ONZ, zostały one już podjęte. Toczy się dyskusja w ramach NATO dotycząca uwzględnienia tej problematyki, włącznie z rozważaniem możliwości nowelizacji Traktatu waszyngtońskiego.

Tą problematyką, w sensie praktycznym, żyją wszystkie państwa, struktury zajmujące się organizowaniem bezpieczeństwa w swoich państwach. Jeśli podejmujemy to zagadnienie, możemy być pewni, że dzięki temu nie zostaniemy w tyle, choć na pewno nie uda nam się być prymusem.

Pojawił się problem, czy zagrożenia wychodzące z cyberprzestrzeni mogą być traktowane na równi z zagrożeniami militarnymi, czy mogą mieć tak poważne konsekwencje dla funkcjonowania państwa, że najwyższe władze państwa będą rozważać wprowadzenie stanów nadzwyczajnych. Otóż, zagrożeń zewnętrznych nie możemy już dziś ograniczać wyłącznie do zagrożeń związanych z opanowaniem terytorium państwa. Pan poseł Górski pyta, czy, jeśli nie ma zagrożenia dla terytorium państwa, może pojawić się zasadność wprowadzenia stanu wojennego. To jest problem. Zależy, jak będzie skala zagrożenia. Również nie każde zagrożenie militarne stanowi podstawę do wprowadzenia stanu wojennego. Jeśli jeden żołnierz nieprzyjacielski pojawi się na naszym terytorium, nikt nie będzie wprowadzał stanu wojennego. Nawet jeśli pojawi się 100 takich żołnierzy, również nie będzie wprowadzony stan wojenny. Wszystko zależy od skali.

Do tej pory, regulacja ustawowa, która upoważnia do wprowadzenia stanu wojennego, wskazuje tylko przesłankę. Ocena sytuacji zależy od decydenta. Podobnie rzecz ma się z zagrożeniami w cyberprzestrzeni. Jeśli będą one niewielkie, nikt nie będzie się zastanawiał nad wprowadzeniem stanu wojennego. Jeśli jednak będą masowe, poważne dla funkcjonowania państwa, będą stanowić podstawę wprowadzenia stanu nadzwyczajnego. W tym kontekście można podać przykład Estonii. Łatwo wyobrazić sobie, że te zagrożenia będą jeszcze poważniejsze. Poprzez zakłócenia w cyberprzestrzeni można spowodować wielką katastrofę, np. zapory wodnej. Wtedy trzeba będzie wprowadzić stan klęski żywiołowej.

Jakie następne kroki będą podjęte? Jeśli ustawa weszłaby w życie, daje podstawę do nowelizacji aktów wykonawczych, planów reagowania kryzysowego, planów operacyjnych na wypadek zagrożenia i wojny. Ustawa uruchomi praktyczne działania w zakresie systemu bezpieczeństwa narodowego. Oczywiście, przewidywany jest szerszy pakiet propozycji, włącznie z nowelizacjami kolejnych ustaw. Może to nastąpić po przeprowadzeniu strategicznego przeglądu bezpieczeństwa narodowego, który trwa i ma być zakończony na początku przyszłego roku. Wszystkie te wątki są poddawane szczegółowej analizie. Wnioski będą dotyczyły także regulacji prawnych.

Podsumowując, dziękuję za głosy w dyskusji. Będziemy korzystali z państwa opinii w prowadzonym przez nas strategicznym przeglądzie bezpieczeństwa narodowego, w ramach którego szczegółowo rozpatrzymy państwa wątpliwości.

Podobne materiały gromadzę w dziale cytaty niniejszego serwisu.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Heh tzn. że jak poproszę

Heh tzn. że jak poproszę internautów o przesłanie petycji do urzędu w jakiejś sprawie i mojego apelu posłucha kilkaset osób to automatycznie staniemy się terrorystami. Nieźle. Myślałem, że PO mnie już niczym nie zadziwi - pomyliłem się.

Taka sprawa

VaGla's picture

Taka ciekawostka: Court Says Sending Too Many Emails To Someone Is Computer Hacking. Ponoć na podstawie the Computer Fraud and Abuse Act (CFAA), a wyrok miał wydać Sixth Circuit appeals court w sprawie Pulte Homes, Inc v. Laborers’ International Union of North America, 2011 WL 3274014 (6th Cir. Aug 2, 2011): Can a Labor Union Be Sued Under the Computer Fraud and Abuse Act for Spamming an Employer’s Voice and Email Systems?

--
[VaGla] Vigilant Android Generated for Logical Assassination

Poinformuj swojego reprezentanta... tylko nie za bardzo

To trochę zakrawa na absurd. Skąd parlamentarzysta ma wiedzieć, że wyborcy w jego okręgu są mocno zainteresowani uchwaleniem lub odrzuceniem jakiegoś projektu, skoro masowe poinformowanie go o tym może ich narazić na zarzuty karne?
Czy teraz każdy poseł ma chodzić do wróżki żeby mu z fusów powróżyła, czy mamy jako obywatele wynajmować lobbystów żeby w naszym imieniu reprezentowały nas przed naszymi reprezentantami?

To po prostu musi kosztować

Jeśli chcemy mieć e-administrację, to po prostu musimy za nią (w podatkach idących na koszty np. Kancelarii Prezydenta) zapłacić.

Gdyby skrzyknąć się i wysłać tradycyjnymi listami 100000 listów z jakimś apelem do Prezydenta, czy któregoś z posłów, to co by się stało? Odpowiednie komórki (kancelaria, biura poselskie) też zostałyby zatkane. Musiałyby zatrudnić więcej ludzi do otwierania kopert i sortowania korespondencji. W przypadku e-administracji - potrzebna po prostu większa infrastruktura. Fakt, że ją łatwiej zatkać niż "realną", bo koszt po stronie "atakującego" jest jednostkowo o rzędy wielkości mniejszy. Cóż - takie życie. Sejm, Kancelaria Prezydenta, ministerstwa itd. muszą po prostu zainwestować w infrastrukturę, której kilkadziesiąt milionów maili nie zaszkodzi. A więcej to już (cyber)zbrojna napaść lub (cyber)terroryzm.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>