Odpowiedź ABW na list w sprawie Autonomicznych narzędzi wspomagających zwalczanie cyberprzestępczości

avatar użytkownika Redakcja BM24

Publikujemy odpowiedź ABW na nasz wniosek o udzielenie informacji publicznej z dnia 31.08.2011 r.

List do MSWiA w sprawie Autonomicznych narzędzi wspomagających zwalczanie cyberprzestępczości

 

Warszawa, 13 września 2011 r.

Szanowna Pani Prezes,
w dniu 31 sierpnia 2011 r. do Agencji Bezpieczeństwa Wewnętrznego (ABW) w Warszawie wpłynął drogą elektroniczną wniosek Stowarzyszenia Blogmedia24.pl z Olsztyna o udostępnienie informacji publicznej w przedmiocie projektu naukowego prowadzonego pod zarządem Narodowego Centrum Badań i Rozwoju zatytułowanego „Autonomiczne narzędzia wspomagające zwalczanie cyberprzestępczości”.
W związku z powyższym ABW na wstępie pragnie zauważyć, iż wskazany projekt został zgłoszony przez Ministra Spraw Wewnętrznych i Administracji, zaś ABW zgłosiła wolę współuczestniczenia, celem zabezpieczenia dostępu do wyników prac. Działanie to wynika z roli, jaką pełni ABW, na podstawie art. 5 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (tj. Dz. U z 2010 r. Nr 29, poz. 154 z późn. zm.) w obszarze bezpieczeństwa państwa. Adresatem wniosku o udostępnienie informacji publicznej, w ocenie ABW, winien być Minister Spraw Wewnętrznych i Administracji, ewentualnie Dyrektor Narodowego Centrum Badań i Rozwoju.
Jednak pomimo wskazanej wątpliwości ABW, stosownie do przepisów ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2001 r. Nr 112, poz. 1198 z późn. zm.), uprzejmie informuję, co następuje.
Jako uwagę o charakterze ogólnym należy podnieść, że żaden z projektów nie może być interpretowany jako sprzeczny z prawem. Powszechnie obowiązujące źródła prawa – Konstytucja RP, ustawy, odpowiednio inkorporowane umowy międzynarodowe oraz akty wykonawcze obowiązują bowiem w sposób oczywisty ponad prowadzonymi projektami naukowymi, co oznacza, że ich zakres, efekty oraz sposób wykorzystania nie mogą być niezgodne z literą prawa. Jako tautologię należy w tej sytuacji przyjąć, że faktyczna realizacja projektu będzie odbywać się w zakresie obowiązujących przepisów prawa.
W ocenie ABW przez wymienione w projekcie „narzędzia umożliwiające niejawne i zdalne uzyskiwanie dostępu do zapisu na informatycznym nośniku danych, treści przekazów nadawanych
i odbieranych oraz ich utrwalanie” należy rozumieć narzędzia wykorzystywane do realizacji tzw. kontroli operacyjnej, o której mowa w art. 27 ustawy o ABW oraz AW oraz art. 179 ustawy – Prawo telekomunikacyjne (zwanej dalej w skrócie „Pt”). Z wymienionych przepisów wynika możliwość stosowania:
1. środków technicznych umożliwiających uzyskiwanie w sposób niejawny informacji
i dowodów oraz ich utrwalanie, a w szczególności treści rozmów telefonicznych i innych informacji przekazywanych za pomocą sieci telekomunikacyjnych (ustawa o ABW oraz AW) oraz prawo do uzyskiwania przez uprawnione podmioty dostępu do: przekazów telekomunikacyjnych nadawanych lub odbieranych przez użytkownika końcowego lub telekomunikacyjne urządzenia końcowe, posiadanych przez przedsiębiorcę danych związanych z przekazami telekomunikacyjnymi, o których mowa w ust. 9, art. 159 ust. 1 pkt 1 i pkt 3-5 Pt, uzyskiwanie przez uprawnione podmioty danych związanych ze świadczoną usługą telekomunikacyjną i danych, o których mowa w ar. 161 Pt oraz utrwalanie przez uprawnione podmioty przekazów telekomunikacyjnych i danych, o których mowa w lit. a i b art. 179 ust. 3 pkt 1 Pt. Wszelkie czynności podejmowane na podstawie wymienionych przepisów dokonywane są  zgodnie z zasadami określonymi w ustawach, w szczególności na podstawie zgody właściwego sądu według procedur przewidzianych w prawie. Z uwagi na przepisy ustawy o ochronie informacji niejawnych, stosowane w toku kontroli środki techniczne muszą gwarantować ochronę informacji niejawnych, zapobiegając ujawnieniu informacji prawnie chronionych. „Zdalność” należy zaś rozumieć jako możliwość podejmowania działań faktycznych za pośrednictwem interfejsów, co stanowi rozwiązanie powszechnie przyjęte na całym świecie. Podstawa prawna do utrwalania treści rozmów telefonicznych została zawarta także w przepisach Kodeksu postępowania karnego – art. 237.
2. wskazane w opisie projektu „narzędzia do dynamicznego blokowania treści niezgodnych
z obowiązującym prawem”  to w ocenie ABW środki ochrony systemów przed wszelkiego rodzaju cyberatakami. Są to środki o charakterze defensywnym, działające po stronie chronionych systemów, niezbędne do poprawnego zabezpieczenia m.in. elementów infrastruktury krytycznej. Nasilające się w dużym tempie zjawisko atakowania systemów teleinformatycznych – zarówno będących własnością podmiotów prywatnych, jak
i państwowych, uzasadnia wszechstronne badania metod przeciwdziałania incydentom tego typu, które przybierają coraz bardziej wyrafinowane formy, nie tylko techniczne, ale również społeczne. W określonym zakresie efekty tego projektu mogą zostać także wykorzystane do realizacji uprawnień, o których mowa w art. 180 Pt.: „Przedsiębiorca telekomunikacyjny jest obowiązany do niezwłocznego blokowania połączeń telekomunikacyjnych lub przekazów informacji, na żądanie uprawnionych podmiotów, jeżeli połączenia te mogą zagrażać obronności, bezpieczeństwu państwa oraz bezpieczeństwu i porządkowi publicznego, albo do umożliwienia dokonania takiej blokady przez te podmioty.”.
Powyższy projekt naukowy pozostaje zatem w zainteresowaniu ABW z uwagi na jego wartość dla utrzymywania oraz ciągłego podwyższania bezpieczeństwa systemów teleinformatycznych tworzących cyberprzestrzeń Rzeczypospolitej Polskiej.

Z poważaniem,
Biuro Prawne
Agencji Bezpieczeństwa Wewnętrznego
 

9 komentarzy

avatar użytkownika Unicorn

1. No no, ale zaszczyt nas

No no, ale zaszczyt nas kopnął, sama ABW nam odpowiedziało ;) Będziemy częściej czytani?
"W związku z powyższym ABW na wstępie pragnie zauważyć, iż wskazany projekt został zgłoszony przez Ministra Spraw Wewnętrznych i Administracji, zaś ABW zgłosiła wolę współuczestniczenia, celem zabezpieczenia dostępu do wyników prac."
Pokrętne. I nie wiadomo czy faktycznie inicjatorem było MSWiA czy ludzie z ABW.
Mówiąc inaczej, po co gawiedź ma wiedzieć, kto, co i w jakim zakresie.
Przywołanie art. 5 jest proste: robimy to, co zgodne z ustawą lub zbliżone ale jesteśmy łaskawi i odpowiemy.
"Z uwagi na przepisy ustawy o ochronie informacji niejawnych, stosowane w toku kontroli środki techniczne muszą gwarantować ochronę informacji niejawnych, zapobiegając ujawnieniu informacji prawnie chronionych."
Ale czy faktycznie tak będzie?
„Zdalność” należy zaś rozumieć jako możliwość podejmowania działań faktycznych za pośrednictwem interfejsów, co stanowi rozwiązanie powszechnie przyjęte na całym świecie."
Konkrety. Bardzo ogólne stwierdzenie nic nie mówiące o niczym :>
"wskazane w opisie projektu „narzędzia do dynamicznego blokowania treści niezgodnych
z obowiązującym prawem” to w ocenie ABW środki ochrony systemów przed wszelkiego rodzaju cyberatakami. "
Czyżby? Jedyne co mi przychodzi na myśl to honeypoty.
Środki defensywne ale czytajmy dalej:
"Nasilające się w dużym tempie zjawisko atakowania systemów teleinformatycznych – zarówno będących własnością podmiotów prywatnych, jak
i państwowych, uzasadnia wszechstronne badania metod przeciwdziałania incydentom tego typu, które przybierają coraz bardziej wyrafinowane formy, nie tylko techniczne, ale również społeczne."
I TU JEST CLOU.
Przeczytajcie raz jeszcze i od końca, ostatnie trzy słowa.
Między wierszami- buntownicy czyhają na nasze biedne państwo!
Nie popisali się.

:::Najdłuższa droga zaczyna się od pierwszego kroku::: 'ANGELE Dei, qui custos es mei, Me tibi commissum pietate superna'

avatar użytkownika Maryla

2. Unicorn

ABW cos tam odpowiedziało, natomiast MSWiA nie odpowiada na pisma.

Najlepsza jest Julia Pitera - odpowie nam po 1 listopada. Tyż piknie.

Maryla

------------------------------------------------------

Stowarzyszenie Blogmedia24.pl

 

avatar użytkownika Selka

3. @Marylko

Julcia od dorsza "odpowie nam po 1. listopada" ?? :))

Jako kto? (he, he...)

Selka

avatar użytkownika Maryla

4. @Selka

:) przynajmniej zna przepisy KPA, w przeciwieństwie do MSWiA i KRRiT. Dostalismy odpowiedź:

Szanowni Państwo! Zgodnie z Art. 13 ust. 2 udip uprzejmie informuję, że w związku z koniecznością uzyskania dodatkowych wyjaśnień dot. przedmiotowej sprawy ustawowy termin udostępnienia informacji może ulec wydłużeniu. Odpowiedź zostanie przekazana najpóźniej do 1 listopada br.

Z poważaniem –

....................................................

MAŁGORZATA JURAS

główny specjalista

Centrum Informacyjne Rządu

Kancelaria Prezesa Rady Ministrów

Maryla

------------------------------------------------------

Stowarzyszenie Blogmedia24.pl

 

avatar użytkownika sierp

5. Jeśli ABW uważa, że art. 27

Jeśli ABW uważa, że art. 27 ustawy o ABW i AW (dokładnie ust. 6 pkt. 3, identyczny z art. 19 ust. 6 pkt. 3 ustawy o Policji) daje prawo do stosowania "narzędzi umożliwiających niejawne i zdalne uzyskiwanie dostępu do zapisu na informatycznym nośniku danych, treści przekazów nadawanych i odbieranych oraz ich utrwalanie", to robi się niebezpiecznie.
Przypomnę, że w zeszłym roku został przygotowany projekt zmiany ustawy o Policji, który przewidywał dodanie do art. 19 ust. 6 punktu 4, przewidującego wprost możliwość stosowania dokładnie "środków elektronicznych umożliwiających niejawne i zdalne uzyskanie dostępu do zapisu na informatycznym nośniku danych, treści przekazów nadawanych i odbieranych oraz ich utrwalanie". Potrzebę dodania tego punktu uzasadniano w sposób następujący:

"W toku działań operacyjnych zauważono rosnące zainteresowanie grup przestępczych lub terrorystycznych ogólnie dostępnymi technologiami informatycznymi umożliwiającymi szyfrowanie kanałów łączności pomiędzy komputerami lub przestrzeni dyskowej tych komputerów. Szyfrowanie takie praktycznie uniemożliwia służbom dostęp do informacji oraz treści rozmów w ten sposób zabezpieczonych. Złamanie tak zabezpieczonych rozmów lub danych wymaga bowiem najnowocześniejszego sprzętu i oprogramowania i może zająć wiele czasu (dni lub miesięcy, w zależności od długości zastosowanego klucza), co
w praktyce niweczy sens stosowania kontroli operacyjnej wobec osób stosujących tego rodzaju zabezpieczenia. Jedyną skuteczną metodą przełamania tego typu barier jest uzyskanie przez Policję i inne służby niejawnego dostępu do treści rozmów i danych będących w zainteresowaniu tych organów przez ich zaszyfrowaniem, co jest możliwe tylko na komputerze, którym posługuje się ewentualny przestępca. Dostęp taki można uzyskać dzięki instalacji na komputerze osoby będącej w zainteresowaniu służb, specjalnego oprogramowania, które w sposób niejawny będzie monitorowało wszelkie czynności wykonywane na nim,
a rezultat tego monitoringu będzie przekazywany poprzez sieć Internet do zainteresowanych służb. Niestety, w chwili obecnej stosowanie tego rodzaju narzędzi w Polsce nie jest prawnie usankcjonowane, z czego świat przestępczy doskonale zdaje sobie sprawę.
Narzędzie to byłoby kolejnym sposobem prowadzenia kontroli operacyjnej
i podlegałoby tym samym rygorom prawnym, jak klasyczne jej rodzaje. Wprowadzenie powyższego rozwiązania oraz planowane zmiany w ustawie
o świadczeniu usług drogą elektroniczną, pozwoliłyby polskiej Policji skutecznie zapobiegać, wykrywać i ścigać sprawców najcięższych przestępstw wykorzystujących w swej przestępczej działalności najnowsze technologie informatyczne.
Tytułem porównania, z dniem 1 stycznia 2009 r. wprowadzono do ustawodawstwa niemieckiego instytucję zdalnego przeszukania. Celem zdalnego przeszukania jest dotarcie do informacji zgromadzonych na komputerze podejrzanego oraz uzyskanie tych danych przed ich zaszyfrowaniem. Dotyczy to zarówno plików zapisywanych na dysku komputera, jak i np. głosu i wizji transmitowanego za pośrednictwem komunikatorów używających szyfrowania"
.
Czyli widać, co autorzy projektu ustawy zmiany o Policji mieli na myśli pisząc o "środkach elektronicznych umożliwiających niejawne i zdalne uzyskanie
dostępu do zapisu na informatycznym nośniku danych, treści przekazów
nadawanych i odbieranych oraz ich utrwalanie"
. Widać też, że ich zdaniem art. 19 ust. 6 pkt. 3 ustawy o Policji (identyczny z art. 27 ust. 6 pkt. 3 ustawy o ABW i AW) nie stanowił wystarczającej podstawy prawnej do takich działań.
Najwyraźniej ABW uważa jednak inaczej - że jest to już obecnie legalne. Tyle, że być może nie dysponuje jeszcze dobrymi narzędziami (niewykrywalnym oprogramowaniem szpiegowskim?) i ma nadzieję skorzystać z tych opracowanych w ramach konkursu.
Albo - alternatywna możliwość - ABW wie, że jest to nielegalne, ale spodziewa się, że wkrótce będzie legalne, bo ustawy zostaną odpowiednio zmienione.
Natomiast art. 179 Prawa telekomunikacyjnego nie mówi nic o stosowaniu narzędzi umożliwiających niejawne stosowanie dostępu. Dostęp "uprawnionych podmiotów" do posiadanych przez przedsiębiorcę telekomunikacyjnego danych związanych z przekazami telekomunikacyjnymi oraz treści tych przekazów jest tu jak najbardziej jawny, tj. odbywa się za wiedzą owego przedsiębiorcy, który ma obowiązek taki dostęp umożliwić na własny koszt - albo za pośrednictwem bezpośrednich interfejsów (wtedy ewentualnie może zawrzeć z "uprawnionym podmiotem" umowę o dzieleniu się kosztami), albo na miejscu. Powoływanie się na ten artykuł jest więc wykrętem albo świadczy o nieznajomości prawa.
Jeśli zaś chodzi o stwierdzenie, że ""narzędzia do dynamicznego blokowania treści niezgodnych z obowiązującym prawem"  to w ocenie ABW środki ochrony systemów przed wszelkiego rodzaju cyberatakami", to jest to już ewidentny wykręt. Przypomnę, że pełne określenie tych narzędzi w regulaminie konkursu brzmi "narzędzia do dynamicznego blokowania treści niezgodnych z obowiązujących prawem, publikowanych w sieciach teleinformatycznych". Publikowanych. Nie "przesyłanych" czy "transmitowanych". Cyberataki nie polegają na publikowaniu jakichkolwiek treści - co najwyżej opublikowanie jakiejś treści może nastąpić w ich następstwie (np. podmiana zawartości strony internetowej) lub też opublikowanie jakiejś treści może pomóc w przeprowadzeniu następnie cyberataku (phishing - np. fałszywa strona banku). Ale blokowanie przez organy ścigania czy na ich polecenie zarówno stron służących do phishingu (co m. in przewidywał pomysł Rejestru Stron i Usług Niedozwolonych) jak i stron podmienionych wskutek ataku jest jak na razie nielegalne. Co więcej, narzędzi do zapobiegania cyberatakom jest dużo - to potężna gałąź przemysłu IT. Systemy IPS/IDS, oprogramowanie antywirusowe i antyspyware, firewalle, honeypoty, systemy UTM... jaki jest sens tworzenia nowych? A jeśli nawet, to dlaczego nie nazwać ich wprost "narzędziami do ochrony przed cyberatakami"?

avatar użytkownika Maryla

6. @sierp

nawet Julia Pitera, która do tej pory starała się udzielać rzetelnych informacji, a przynajmniej przekazywać to, co dostała od służb, tym razem zrejterowała.

A do tego :

Polskie tajne służby przeszły właśnie rewolucję organizacyjną, dowiedział się "Dziennik Gazeta Prawna". Zmiany w funkcjonowaniu ABW związane są z nowym statutem, podpisanym przez premiera.

Wśród najważniejszych zagadnień, na których skoncentruje się praca agentów, jest zapewnienie bezpieczeństwa energetycznego państwa. Do zajmującej się tym zagadnieniem komórki w ABW będą trafiały meldunki od oficerów pracujących pod przykryciem w sektorze energetycznym, a także od informatorów i na tej podstawie tworzone będą analizy.

Dziś energetyka to kluczowe wyzwanie dla Polski; chodzi także o zapewnienie bezpieczeństwa realizacji polskich elektrowni atomowych, komentuje jeden z posłów rządzącej koalicji z komisji ds. służb specjalnych.

Inną kluczową zmianą jest utworzenie delegatury warszawskiej ABW. Trafiło tam kilkuset funkcjonariuszy pracujących dotychczas w centrali, a z nimi - wszystkie śledztwa. Odciąży to centralę, która zajmie się teraz działalnością analityczną.

Krytyk tych zmian, były szef ABW Bogdan Święczkowski uważa, że cofają one ABW o kilkanaście lat, a jedyny ich sens to odsunięcie od siebie odpowiedzialności przez obecne kierownictwo Agencji, które skupi się tylko na wygodnej funkcji recenzenta.

Maryla

------------------------------------------------------

Stowarzyszenie Blogmedia24.pl

 

avatar użytkownika Unicorn

7. autentycznie się boję, jak

Autentycznie się boję, jak tego typu służby pod takim nadzorem w danej sytuacji geopolitycznej biorą się za zabezpieczenie energetyczne państwa to znak, że...
- blisko do uniezależnienia się od Rosji,
- zwęszyli szansę na zarobek i podreperowanie funduszy, które przecież oficjalnie nie istnieją albo są schowane w udziałach spółek krzaków.

:::Najdłuższa droga zaczyna się od pierwszego kroku::: 'ANGELE Dei, qui custos es mei, Me tibi commissum pietate superna'

avatar użytkownika sierp

8. informacja na blogu Vagli:

avatar użytkownika Maryla

9. @sierp

może ktoś wreszcie sie zainteresuje tym tematem, poza nami.

Im więcej ludzi widzi problem, tym szersze pole oddziaływania.

Jedno jest pewne - jak PO znów będzie rządzić, bedzie tylko gorzej, a zastosowanie nowych narzędzi odczujemy wszyscy.

Maryla

------------------------------------------------------

Stowarzyszenie Blogmedia24.pl