bezpieczeństwo

Jeden z czytelników serwisu domaga się ochrony prawnej związanej z działaniem "Serwisu towarzyskiego", prowadzonego przez Polską Telefonię Cyfrową sp. z o.o. Temat jest interesujący z wielu powodów. Po pierwsze są w tej sprawie stanowiska zarówno Prezes Urzędu Komunikacji Elektronicznej jak również Krajowej Rady Radiofonii i Telewizji. Po wtóre - zagadnienie związane jest z możliwością publikowania treści w sposób anonimowy i z ponoszeniem odpowiedzialności za takie treści (por. m.in. Niemożność wskazania sprawcy przed Europejskim Trybunałem Praw Człowieka, ale też dział phishing). Wreszcie - chodzi o usługi o premium rate services (por. dział PRS).

W Wielkiej Brytanii "istnieje potrzeba" stworzenia centralnej bazy danych zawierającej informacje o wszystkich wysłanych listach elektronicznych, informacje o wszystkich odwiedzonych przez obywateli stronach internetowych, o każdym połączeniu telefonicznym... Władze pracują nad nowym projektem, który opinia publiczna zaczęła nazywać "Orwellian". Proponując nową ustawę władze twierdzą, że jest ona konieczna ze względu na implementacje przepisów dyrektywy 2006/24/WE, tj. Dyrektywy Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE.

Ministerstwa Spraw Wewnętrznych i Administracji - m.in. za pośrednictwem mediów - zapowiada, że przed zwiększeniem uprawnień Policji należy przeprowadzić wielką debatę na temat tych zagadnień. A chodzi o projekt nowelizacji ustawy o Policji (wraz z uzasadnieniem - 79 stron), który przewiduje szersze stosowanie technik operacyjnych (m.in. - kolokwialnie mówiąc - podsłuchów, ale też prowokacji w szerszym niż do tej pory zakresie). W samym uzasadnieniu napisano, że "projekt zostanie poddany dyskusji na forach internetowych". Zachęcam do takiej debaty i do komentarzy (oczywiście wcześniej należy przeczytać projekt; proponuję również sięgnięcie do materiałów zebranych w dziale retencja danych niniejszego serwisu).

DarkMarket.ws to serwis, który wykorzystywany był do kontaktów pomiędzy osobami sprzedającymi i kupującymi różne dane klientów banków, instytucji finansowych, firm telekomunikacyjnych. Hasła, kody dostępów, numery kart kredytowych, kompletne rekordy pozwalające na dokonywanie przeróżnych przesunięć finansowych "na cudzy rachunek". Na wielu konferencjach dot. bezpieczeństwa informacji serwis ten był pokazywany jako siedlisko wszelkiego zła i straszono nim bankowców, bezpieczników i polityków. No i cóż się okazuje? DarkMarket.ws był założony przez FBI. To nie powinno dziwić. Zastanawiam się jednak nad coraz wyraźniej widocznymi relacjami między "stróżami prawa" a pracownikami przedsiębiorstw o "specjalnym znaczeniu strategicznym".

10 wrzśnia 2008 roku Naczelny Sąd Administracyjny wydał postanowienie (sygn. akt I OZ 673/08), z którego wynika, że w postępowaniu przed sądami administracyjnymi nie dopuszcza się wykorzystania bezpiecznego podpisu elektronicznego weryfikowanego za pomocą ważnego kwalifikowanego certyfikatu. Pisma w takim postępowaniu trzeba podpisywać "ręcznie". Wydaje się, że przygotowywana właśnie nowlizacja "ustawy o informatyzacji" wiele tu nie pomoże. NSA oddalił zażalenie złożone przez stowarzyszenie, które to stowarzyszenie wniosło na postanowienie Wojewódzkiego Sądu Administracyjnego w Krakowie z dnia 27 maja 2008 r., sygn. akt II SA/Kr 153/07 o odrzuceniu sprzeciwu Stowarzyszenia od postanowienia referendarza Wojewódzkiego Sądu Administracyjnego w Krakowie z dnia 20 grudnia 2007 r., sygn. akt II SA/Kr 153/07 w przedmiocie umorzenia postępowania w sprawie zwolnienia skarżącego od kosztów sądowych oraz oddalenia wniosku o ustanowienie adwokata w sprawie ze skargi stowarzyszenia na postanowienie Samorządowego Kolegium Odwoławczego w przedmiocie niedopuszczalności zażalenia.

Wczoraj, o godzinie 21:10, odbyło się drugie czytanie ustawy o zmianie ustawy o świadczeniu usług drogą elektroniczną (ten punkt miał się odbyć o godzinie 23:00, ale Sejm idzie jak burza). Nic nadzwyczajnego się nie działo. Jest nagranie, na którym można zobaczyć jak poseł sprawozdawca przedstawia prace nad ustawą prawie pustej sali, były też pytania do posła sprawozdawcy i do podsekretarza stanu w MSWiA p. Witolda Drożdża, były oklaski dla słuchaczy Polskiego Radia. Niektóre pytania świadczą o tym, że pytający nie przeczytali nawet projektu, albo mieli za mało czasu, by ten materiał zrozumieć. Trzecie czytanie odbędzie się w bloku głosowań.

"e-Urząd umożliwia załatwianie spraw urzędowych bez wychodzenia z domu. Możesz przez internet złożyć dokumenty i sprawdzić, na jakim etapie realizacji jest Twoja sprawa. Osobiste konto zapewnia bezpieczną komunikację z urzędem" - napisano na stronie rozwijanej przez kilka ostatnich miesięcy na Dolnym Śląsku. Gazeta Wyborcza (Wrocław) dodaje dziś: od czerwca z usług e-Urzędu próbowało skorzystać zaledwie 25 osób.

W 2002 roku Norweskie Centrum Języka i Kultury im. Ivara Aasena (The Ivar Aasen Centre of Language and Culture in Norway) zaoferowało nagrodę: pokrycie kosztów udziału w festiwalu muzyki i literatury "New Norwegian", dla tej osoby, która odzyska hasło dostępu do archiwów Centrum. Problem z hasłem pojawił się wówczas, gdy w 2000 roku zmarł ich archiwista. Archiwista zabrał hasło do grobu i nikt nie mógł dostać się do zasobów instytutu. Hakerzy pomogli się tam dostać. Jednak problem, który chciałem zasygnalizować w tym tekście jest nieco inny: coraz więcej osób prowadzi blogi, coraz więcej ma "prywatne zasoby informatyczne"... Czy macie kogoś, kto po waszej śmierci opublikuje w waszym blogu stosowną notatkę? Co z dziedziczeniem, co z ochroną dóbr osobistych - ochroną pamięci osoby zmarłej?

Gdy już nowelizacja Kodeksu karnego, nad którą teraz pracuje Senat, zostanie przyjęta i przesłana do Prezydenta, to wówczas Prezydent RP ma możliwość przesłania takiej ustawy do Trybunału Konstytucyjnego. Mam na myśli te, nowelizowane właśnie przepisy, które dotyczą tzw. "hackingu", ale nie tylko tego (por. Tak, tak, nowelizują kodeks karny... wizerunki małoletnich, hacking, 269b...). Warto może uruchomić burzę mózgów na temat argumentów, które przekonywałyby Pana Prezydenta do przesłania takiego projektu do oceny z wzorcami konstytucyjnymi przyjętych przez Parlament przepisów.

Przypuszczam, że również w kontekście ostatniego tekstu, tj. "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection, można analizować doniesienie o "wycieku" danych około 17 milionów klientów Deutsche Telekom. Cały czas aktualne jest pytanie o odpowiedzialność twórcy informatycznego systemu za bezpieczeństwo przechowywanych danych. Podobno operator miał poinformować, że "od czasu wykrycia kradzieży znacznie wzmocnił ochronę danych" (więc być może właśnie wcześniejsza słabość systemu była powodem, dla którego dane trafiły do "domeny publicznej"?). Zwracam uwagę, że komunikaty posługują się określeniem "kradzież", chociaż nie wiemy jak dane klientów wydostały się spod "opieki" przedsiębiorstwa...