Opinia - Cyberprzestrzen - Polska Izba informatyki i Telekomunikacji

Warszawa, dnia 4 listopada 2010
Opinia Polskiej Izby Informatyki i Telekomunikacji
do dokumentu pn.
„Rządowy Program Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej
na lata 2011 ― 2016”.
Dokument ― opracowany przez MSWiA Rządowy Program Ochrony Cyberprzestrzeni
Rzeczypospolitej Polskiej na lata 2011 – 2016, zwany dalej „Programem” ― wskazuje, iż w
obliczu globalizacji ochrona cyberprzestrzeni stała się jednym z podstawowych celów
strategicznych w obszarze bezpieczeństwa każdego państwa.
Rada Europejska w przyjętej w roku 2003 Europejskiej Strategii Bezpieczeństwa uznała
zjawisko terroryzmu za podstawowe zagrożenie dla interesów Unii Europejskiej.
Cyberprzestrzenią jest cyfrowa przestrzeń przetwarzania i wymiany informacji tworzona
przez systemy i sieci teleinformatyczne wraz z powiązaniami pomiędzy nimi oraz relacjami z
użytkownikami.
Przedmiotem Programu są propozycje działań o charakterze prawno-organizacyjnym,
technicznym i edukacyjnym.
Programem będą objęci także – obok administracji rządowej i samorządowej – strategiczni z
punktu widzenia bezpieczeństwa państwa przedsiębiorcy, m.in. podmioty działające w
obszarze
telekomunikacji,
jak
również
pozostali
przedsiębiorcy
oraz
indywidualni
użytkownicy.
Dokument wskazuje na operatorów infrastruktury krytycznej, których działalność jest zależna
i niezależna od prawidłowego funkcjonowania cyberprzestrzeni. Zgodnie z art. 3 pkt 2 ustawy
z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz.U. Nr 89, poz. 590 ze zm.)
infrastrukturą krytyczną są systemy oraz wchodzące w ich skład powiązane ze sobą
funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla
bezpieczeństwa
państwa
i
jego
obywateli
oraz
służące
zapewnieniu
sprawnego
funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców –
obejmującą m.in. systemy łączności i sieci teleinformatycznych.
Dokument wspomina, iż z uwagi na cel Programu realizacja zadań wymaga stworzenia
mechanizmów zaangażowania i współpracy podmiotów pozostających poza administracją
1
Warszawa, dnia 4 listopada 2010
publiczną, w szczególności przedsiębiorców. Za realizację programu odpowiadają m.in.
przedsiębiorcy
–
właściciele
zasobów
stanowiących
krytyczną
infrastrukturę
teleinformatyczną państwa.
Przedsiębiorcy
telekomunikacyjni
posiadający
własną
infrastrukturę
telekomunikacyjną są wymienieni, jako zaangażowani w działania na rzecz ochrony
Cyberprzestrzeni RP (CRP).
W pierwszej kolejności pragniemy podzielić stanowisko MSWiA, iż w obliczu narastających
potencjalnych zagrożeń występujących w sieciach telekomunikacyjnych niezbędne jest
prowadzenie działań przez administrację państwową, jak również podmioty gospodarcze,
które zwiększałyby bezpieczeństwo zasobów teleinformatycznych w Polsce.
Podstawowym celem Programu jest zapewnienie ciągłości stanu bezpieczeństwa
cyberprzestrzeni w Polsce. W związku z tym, oceniamy, iż Program ma na celu zbudowanie
w „przestrzenni społeczno-gospodarczej” cyklu działań strategicznych realizowanych przez
administrację państwową, w ramach, którego funkcjonowałby proces definiowania celów i
założeń, realizowacji działań, a następnie kontroli efektów tych działań i poprawy
skuteczności. Takie podejście ma pozwolić odpowiadać na występujące zagrożenia, które
mają charakter ciągły i dynamiczny.
Podstawą zbudowania dobrego cyklu działań strategicznych jest stworzenie efektywnej
struktury organizacyjnej, która w sposób skuteczny realizowałaby stawiany cel, przy
minimalizacji kosztów. Aspekt efektywności funkcjonowania cyklu strategicznego powinien
odnosić się do wszystkich zaangażowanych w proces podmiotów, w tym przedsiębiorców
telekomunikacyjnych.
Skuteczna organizacja cyklu działań strategicznych charakteryzuje się przede wszystkim:
a) precyzyjnie i wymiernie zdefiniowanymi założeniami i celami;
b) jasnym przypisaniem odpowiedzialności, w tym zadań, uprawnień i obowiązków, do
poszczególnych partnerów;
c) optymalnym poziomem i strukturą zasobów (zasoby materialne, zasoby finansowe,
zasoby wiedzy) podmiotów zaangażowanych podmiotów.
W szczególności mając na uwadze zdefiniowane powyżej kryteria, pragniemy zauważyć
między innymi, iż:
a) Cele szczegółowe Programu powinny być precyzyjniej zdefiniowane, w szczególności
poprzez uzyskanie jak najwięcej wymiernych wskaźników charakteryzujących osiągnięcie
stanu oczekiwanego. W ten sposób będzie możliwe przeprowadzanie bieżącej oceny
realizowanego Programu, jak również efektu końcowego i na tej podstawie wyciągnięcie
wniosków a tym samym osiągnięcie lepszej skuteczności.
b) Wydaje się, iż bezpośrednia odpowiedzialność za realizację programu powinna
spoczywać na konkretnej, jednej jednostce organizacyjnej/osobie (lub wąskiej grupie
osób), niż na Międzyresortowym Zespole ds. Koordynacji Ochrony Cyberprzestrzeni RP
(dalej „Zespole”), w którym odpowiedzialność poszczególnych osób może być rozmyta.
Precyzyjnie zdefiniowana i zorganizowana jednostka odpowiedzialna za realizację
Programu powinna być centralnym skupiskiem wiedzy, w ramach której kształtowane są
założenia i cele strategiczne oraz koordynowane dalsze działania. W ten sposób
odpowiedzialność za skuteczność realizacji tych działań przypisana zostanie do
konkretnych osób, nie zaś do grupy osób pochodzących z różnych jednostek
administracyjnych.
2
Warszawa, dnia 4 listopada 2010
c) Oceniamy, iż przedstawiciele przedsiębiorstw telekomunikacyjnych powinni mieć stałe
miejsce w jednostce organizacyjnej odpowiedzialnej za realizację Programu (niezależnie
czy ostatecznie Program będzie realizowany przez Zespół, czy też przez dedykowaną do
tego inną jednostkę organizacyjną). W ocenie PIIT udział przedsiębiorców
telekomunikacyjnych w procesie projektowania, realizacji i oceny efektów działań
strategicznych jest niezbędny, ponieważ znaczny koszt realizacji przyszłych obowiązków
będą ponosić właśnie przedsiębiorcy telekomunikacyjni. W związku z tym, proponujemy,
aby przy jednostce organizacyjnej odpowiedzialnej za realizację Programu powołana
została
Rada
Telekomunikacyjna
złożona
z
przedstawicieli
największych
przedsiębiorców telekomunikacyjnych. Przedmiotem działania Rady Telekomunikacyjnej
byłaby stała współpraca z jednostką organizacyjną/Zespołem, która polegałaby na
proponowaniu/opiniowaniu poszczególnych działań w ramach Programu.
Zwracamy uwagę, iż proponowany w Programie model współpracy z przedsiębiorstwami
telekomunikacyjnymi zakłada współpracę operatorów z zespołem CERT Polska, który
prowadzony jest przez operatora NASK. Operator NASK dla wielu operatorów
telekomunikacyjnych stanowi realną konkurencję na rynku. Z tego powodu trudno jest
sobie wyobrazić, iż współpraca w zakresie realizacji tak szerokich działań w ramach
Programu, w tym przekazywanie szeregu „wrażliwych” informacji, byłaby możliwa za
pośrednictwem podmiotu, z którym jednocześnie operatorzy konkurują na rynku.
Oceniamy, iż tylko bezpośrednia interakcja przedsiębiorców telekomunikacyjnych z
jednostką organizacyjną/Zespołem pozwoli na skuteczną wymianę informacji i
współpracę w ramach Programu. Z kolei współpraca z CERT Polska powinna być
utrzymywana na obecnych zasadach, czyli dobrowolności i uzyskania wymiernych
korzyści dla obu stron (CERT Polska/Operatorzy telekomunikacyjni). Przy zachowaniu
dotychczasowego poziomu współpracy między operatorami, CERT Polska poprzez
posiadaną wiedzę i doświadczenie stanowi bardzo istotny podmiot w kształtowaniu
bezpieczeństwa funkcjonowania sieci w Polsce i nie ma potrzeby prawnie
sankcjonowania podmiotu CERT Polska, jako organizacji mającej status Sektorowego
Punktu Kontaktowego.
d) Oceniamy, iż podstawą regulacji proponowanych przez Zespół (lub inną jednostkę) w
zakresie ochrony cyberprzestrzeni może być regulacja oparta na zasadzie „selfregulation”, którą definiujemy, jako dobrowolne przyjęcie przez podmioty będące stroną
regulacji zobowiązań w postaci podjęcia konkretnych działań realizujących cele
publiczne. Model regulacji „self-regulation” najczęściej występuje w obszarze życia
społeczno-gospodarczego, które charakteryzują się dużą złożonością i dynamiką zmian,
czyli przykładowo do zagadnienia związanego z szeroko pojmowanym nadużyciami w
sieciach telekomunikacyjnych. Z tym zagadnieniem wiąże się powołanie instytucji
„Pełnomocnika ds. ochrony cyberprzestrzeni”, która ma funkcjonować w każdym
przedsiębiorstwie telekomunikacyjnym. Należy wskazać, iż MSWiA nie przedstawiło
uzasadnienia dla wprowadzenia instytucji „Pełnomocnika” w Programie.
W ocenie PIIT brak jest uzasadnienia do nakładania na operatorów telekomunikacyjnych
obowiązku związanego z zatrudnianiem osoby posiadającej status „Pełnomocnika”,
ponieważ:
§ Tworzy to barierę dla pracowników operatora w dostępie do zarządzania obszarem
działalności przedsiębiorstwa odpowiedzialnego za bezpieczeństwo sieci
telekomunikacyjnej.
§ Zwiększy koszty działalności przedsiębiorstw telekomunikacyjnych poprzez
ponoszenie kosztów związanych z pozyskaniem przez pracowników statusu
„Pełnomocnika”.
3
Warszawa, dnia 4 listopada 2010
§
§
§
Ogranicza
swobodę
gospodarczą
w
zakresie
zarządzania
zasobami
przedsiębiorstwa.
Nie zwiększa skuteczność realizacji zadań na rzecz bezpieczeństwa sieci przez
przedsiębiorstwa telekomunikacyjne. Obowiązki w tym zakresie są realizowane
poprzez decyzje zarządów przedsiębiorstw, nie zaś decyzje Pełnomocników.
Dotychczasowe doświadczenia pokazuje, iż operatorzy doskonale potrafią
zorganizować własną działalność w zakresie bezpieczeństwa świadczenia usług
telekomunikacyjnych. Wszystkie działania podejmowane były bez ingerencji organów
państwowych, czyli bez instytucji Pełnomocnika ds. ochrony cyberprzestrzeni, czy też
„sztywnych” regulacji prawnych. Jednocześnie pragniemy wskazać, że dla poprawy
skuteczności tych działań niezbędne wydaje się nadanie operatorom odpowiednich
uprawnień, o których PIIT informował we wcześniejszych stanowiskach.
Przykładowo, praktycznie każdy duży operator posiada w swojej strukturze komórkę
organizacyjną typu Abuse/CERT/CSIRT, która współpracuje skutecznie z innymi tego
typu zespołami w ramach tzw. Abuse Forum działającego przy CERT Polska.
Ponadto od kilku lat stosowany jest BGP blackholing (blokowane połączeń
przychodzących z i wychodzących do niebezpiecznych adresy IP, co chroni przed
zmasowanymi atakami typu DDoS jak również funkcjonowaniem tzw. botnetów).
Poniżej przedstawiamy kilka szczegółowych uwag do
projektu rządowego. W ramach
działań legislacyjnych istotne jest stworzenie infrastruktury prawnej dającej podstawy do
podejmowania działań w ramach Programu, w tym:
a) zdefiniowanie pojęć dotyczących cyberprzestrzeni (CRP), cyberprzestępczości i
cyberterroryzm,
b) ustalenie odpowiedzialności za ochronę CRP,
c) wprowadzenie ścigania z urzędu naruszeń bezpieczeństwa w cyberprzestrzeni, które
miały miejsca w odniesieniu do podmiotów administracji publicznej oraz infrastruktury
krytycznej ujawnionej w wykazie,
d) ustanowienie sektorowych punktów kontaktowych CERT,
e) zalecenie utworzenia u przedsiębiorców funkcji pełnomocnika ds. ochrony
cyberprzestrzeni (POC),
f) wprowadzenie zalecenia dla użytkowników cyberprzestrzeni innych niż podmioty
publiczne (dla podmiotów publicznych ustanowienie obowiązku) informowania nie dłużej
niż w ciągu 1 dnia do właściwego zespołu CERT o wykrytych incydentach
bezpieczeństwa.
Współpraca z przedsiębiorcami
Dokument zawiera zapisy mogące skutkować zmianami w ustawie Prawo telekomunikacyjne
(PT) odnośnie umów dostępowych czy umów z użytkownikami końcowymi.
Załącznik nr 22 „Współpraca z przedsiębiorcami telekomunikacyjnymi” określa, iż:
a) dla zachowania minimalnego poziomu bezpieczeństwa podłączonego sprzętu,
przygotowane zostaną propozycje zapisów do umów związanych z dostępem, do
cyberprzestrzeni, regulujące standard zachowania i reagowania w przypadku wystąpienia
zagrożenia, incydentu,
b) celem Projektu będzie także wypracowanie propozycji zapisów dotyczących
bezpieczeństwa cyberprzestrzeni do umów podpisywanych pomiędzy przedsiębiorcami
telekomunikacyjnymi a użytkownikiem końcowym cyberprzestrzeni,
4
Warszawa, dnia 4 listopada 2010
c) celem projektu będzie wypracowanie metod informowania użytkowników końcowych
cyberprzestrzeni przez przedsiębiorców telekomunikacyjnych o zagrożeniach i
występujących incydentach w cyberprzestrzeni.
Wnioski.
Generalność oraz abstrakcyjność Projektu w zasadzie uniemożliwia odniesienie się w
sposób
kompleksowy
do
zaprezentowanych
najistotniejszych
dla
środowiska
przedsiębiorców telekomunikacyjnych rozwiązań.
Brak wskazania przedmiotu „Programu” – jest mowa o „Celu strategicznym” czy „Celu
szczegółowym”.
W Projekcie założono podjęcie odpowiednich działań legislacyjnych, mających na celu
uregulowanie wszelkich aspektów związanych z zarządzaniem cyberprzestrzenią RP ( CRP)
oraz jej bezpieczeństwem, poprzez nowelizację obowiązujących aktów prawnych lub
przygotowanie nowej ustawy i rozporządzenia. W załączniku nr 2 zaprezentowany został
zakres przedmiotowy tych regulacji.
Zatem już na poziomie opiniowanego Programu można podnieść następujące wątpliwości.
1) Wątpliwości spowodowane (a) brakiem analizy obowiązującego stanu prawnego, w tym
wskazanych w rozdziale „Kontekst prawny” aktów prawnych, z uwzględnieniem aktów
międzynarodowych, którymi RP jest związana, prawodawstwem organizacji i organów
międzynarodowych, których RP jest członkiem, oraz prawem UE, obowiązującym w
omawianej
i
ewentualnie
regulowanej
dziedzinie;
(b)
brakiem
ustalenia
skutków
dotychczasowych uregulowań prawnych obowiązujących w tej dziedzinie; (c) brakiem
ustalenia alternatywnych rozwiązań prawnych, które mogą skutecznie służyć osiągnięciu
założonych celów; (d) brakiem sformułowania prognozy podstawowych i ubocznych skutków
rozważanych i alternatywnych rozwiązań prawnych, w tym ich wpływu na system prawa; (e)
brakiem określenia skutków finansowych poszczególnych alternatywnych rozwiązań
prawnych oraz brakiem ustalenia źródła ich pokrycia; (f) brakiem dokonania wyboru
optymalnego w danych warunkach rozwiązania prawnego.
Przyznać należy, iż określone zostały cele, jakie zamierza się osiągnąć przez
przeprowadzenie ewentualnej nowelizacji funkcjonujących już aktów bądź wprowadzenie
nowych aktów.
A. Brak wspomnianych analiz może spowodować „nakładanie się” a niekiedy wręcz kolizję
rozwiązań prawnych w zakresie regulacji obejmującej cyberprzestrzeń, która dotyczyć
będzie również Teleinformatycznej Infrastruktury Krytycznej (TIK), dla której zbiór
desygnatów stanowić będzie część wspólną zbioru desygnatów cyberprzestrzeni oraz
5
Warszawa, dnia 4 listopada 2010
infrastruktury krytycznej będącej przedmiot regulacji np. ustawy o zarządzaniu kryzysowym
(np. art. 2; 3 ust. 2; 4; 5; 5b; 6; 9; ze szczególnym uwzględnieniem przepisu art. 11a).
Możliwość wystąpienia kolizji jest tym bardziej prawdopodobna, iż w Programie przyjmuje się
np. zwiększenie poziomu bezpieczeństwa infrastruktury telekomunikacyjnej w tym krytycznej
infrastruktury państwa w sposób adekwatny do prawdopodobieństwa wystąpienia zagrożeń,
natomiast zagrożenia – katalog zawierający identyfikacje i specyfikację ma być opracowany
przez ABW oraz SKW.
Wątpliwości, co do możliwości wystąpienia dualizmu regulacji w zakresie funkcjonowania
Narodowego Programu Ochrony Infrastruktury Krytycznej a Programem omawianym;
dualizmu funkcjonowania Rządowego Zespołu Zarządzania Kryzysowego, Rządowego
Centrum Bezpieczeństwa a Międzyresortowym Zespołem Koordynującym ds. Ochrony
Cyberprzestrzeni RP, czy Rządowego Zespołu Reagowania na Incydenty Komputerowe, czy
Międzyresortowego Zespołu Koordynującego ds. Ochrony Cyberprzestrzeni RP ― również
pozostają otwarte. Niepokój środowiska przedsiębiorców telekomunikacyjnych wzbudza też
fakt nieokreślenia granic kontekstu przedmiotu stanowiącego istotę Programu do obszaru
obejmującego
sprawy
„społeczeństwa
informacyjnego”
―
kontekst
ten
wyraźnie
eksponowany jest w Programie (więcej będzie w części omawiającej „spam”, w związku z
potrzebą wyraźnego rozdzielenia regulacji dotyczących treści od regulacji dotyczących
transmisji) ― co może spowodować wystąpienie dualizmu
regulacji
w zakresie
funkcjonowania niektórych organów administracji państwowej.
B. Bardzo istotne jest, zatem zdefiniowanie nadużyć/ zagrożeń występujących w sieci
telekomunikacyjnej – co, jak się wydaje, nastąpiło w zasadzie w pierwszym Programie.
Obecnie w literaturze wyróżnia się następujące nadużycia:
1. spam – czyli przesyłanie niezamówionych przez użytkownika komunikatów, które
mają na celu uzyskanie korzyści ekonomicznej przez podmiot wysyłający (choć nie
zawsze korzyść ekonomiczna jest identyfikowana) – zagrożenie to zostało
wymienione, jako pierwsze z uwagi na to iż stanowi przedmiot projektowanej w
Ministerstwie Infrastruktury regulacji nowelizujących ustawę Prawo telekomunikacyjne
w związku z przyjęciem w 2009r. pakietu dyrektyw zmieniających tzw. dyrektywy z
zakresu telekomunikacji;
2. wysyłanie przez zainfekowany komputer użytkownika wiadomości/ komunikatów w
celu uniemożliwienia poprawnego funkcjonowania sieci telekomunikacyjnej – bonet;
6
Warszawa, dnia 4 listopada 2010
3. pozostałe nadużycia1, to m.in.:
o
obraźliwa i nielegalna treść;
o
złośliwe oprogramowanie (wirusy, robaki sieciowe, konie trojańskie, dialery
itp.);
o
gromadzenie informacji (skanowanie, podsłuchy, inżyniera społeczna);
o
próby włamania (wykorzystanie luk systemowych, próby nieuprawnionego
logowania);
o
włamania (włamania na konto, do aplikacji);
o
atak na dostępność zasobów (atak blokujący serwis (Dos), rozproszony atak
blokujący serwis (DDoS), sabotaż komputerowy);
o
atak na bezpieczeństwo informacji (nieuprawniony dostęp do informacji,
nieuprawniona zmiana informacji);
o
oszustwa komputerowe (nieuprawnione wykorzystanie zasobów, naruszenie
praw autorskich, kradzież tożsamości, podszycie się).
Wszystkie wyżej zdefiniowane nadużycia wpływają w sposób niekorzystny na:
§
sieć telekomunikacyjną (w rozumieniu PT) ― poprzez obniżenie parametrów
jakościowych i uniemożliwienie świadczenia usług telekomunikacyjnych, w tym
ponoszenie strat finansowych;
§
użytkowników końcowych (w rozumieniu PT) ― brak możliwości korzystania z usług
telekomunikacyjnych, w tym ponoszenie strat finansowych.
Opiniując już latem 2010r. projekty Ministerstwa Infrastruktury, regulacji dotyczących spamu
w ustawie PT, środowisko przedsiębiorców telekomunikacyjnych podnosiło, iż ograniczanie
zjawisk nadużyć w sieci telekomunikacyjnej sprowadzać powinno się do:
§
niezwłocznego blokowania przez operatora ruchu sterującego sieciami komputerów
w sieci botnet (wysyłające nieświadomie spam lub uczestniczące w innych
nadużyciach);
§
analizowania ruchu przychodzącego i wychodzącego do i od klienta na poziomie
szczegółowości umożliwiającym prawidłowe sklasyfikowanie wiadomości spam / niespam
(tym
samym
zezwalające
na
częściowe
odczytywanie
przesyłanych
komunikatów, dokonywane przez autonomiczne urządzenia przeciwspamowe);
§
analizowania ruchu przychodzącego do klienta, pozwalającego wykryć i reagować na
nadużycia bez konieczności uzyskania zgody klienta;
1
Szerzej: Raport CERT Polska http://www.cert.pl/PDF/Raport_CP_2009.pdf
oraz Raport CERT.GOV.PL http://www.cert.gov.pl/download.php?s=3&id=105
7
Warszawa, dnia 4 listopada 2010
§
usuwania wiadomości z poczty elektronicznej użytkowników, zaklasyfikowanych jako
stwarzające zagrożenie dla funkcjonowania sieci, bez konieczności uzyskania zgody
klienta, a w wypadkach uciążliwego przesyłania spamu nawet wbrew woli klienta;
§
uświadamiania użytkownika końcowego o istniejącym zagrożeniu;
§
dbania przez użytkownika końcowego o stan ochrony własnego komputera poprzez
używanie programów antywirusowych;
§
współpracy
między
operatorami
w
zakresie
wykrywania
nadużyć
w
sieci
telekomunikacyjnej – przykładowo wykorzystując kontakty pomiędzy zespołami
CERT;
§
edukacji użytkowników końcowych w zakresie występujących w sieci nadużyć –
zadanie skierowane do organów administracji państwowej.
Przykład „spamu” powinien pokazać złożoność materii.
Regulacja antyspamowa
Problematyka prawna zwalczania tzw. niezamówionych komunikatów (wiadomości)
uregulowana jest w dwóch unijnych aktach prawnych:
§
dyrektywie 2000/31/WE o niektórych prawnych aspektach usług społeczeństwa
informacyjnego (art.7) oraz
§
dyrektywie 2002/58/WE zmienionej dyrektywą 2009/136/WE (art.13) w sprawie
przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji
elektronicznej.
W art. 7 ust. 1 dyrektywy 2000/31/WE ustanowiono zakaz przesyłania niezamówionej
informacji handlowych za pomocą poczty elektronicznej, a w art.13 dyrektywy 2002/58/WE –
zakaz wykorzystywania automatycznych systemów wywołujących, faksów lub poczty
elektronicznej dla celów marketingu bezpośredniego, bez uprzedniej zgody abonentów.
Dotychczasowa implementacja zapisów prawa Unii Europejskiej w ustawodawstwie polskim
w zakresie regulacji spamu została wdrożona do Ustawy o świadczeniu usług drogą
elektroniczną oraz Ustawy Prawo telekomunikacyjne.
W dyrektywach rozróżnia się wyraźnie regulację dotyczącą treści i regulację dotyczącą
transmisji. Projekt regulacji antyspamowych przygotowany przez Ministerstwo - szczególnie
w zakresie kompetencji Prezesa UKE - jako wyraźnie dotyczący kwestii treściowych, jest
niezgodny z dyrektywą 2002/21/WE. Wskazać należy, iż intencją regulacji antyspamowych
jest ochrona prywatności, a kompetencje w zakresie ochrony praw konsumentów
8
Warszawa, dnia 4 listopada 2010
związanych z zagadnieniami związanymi z przesyłaną treścią oraz reklamą posiada Prezes
UOKiK.
Już na tym etapie prac dotyczących zmiany PT w zakresie spamu, należało negatywnie
ocenić niekonsekwencję
polegającą
na
„przeniesieniu” części regulacji
z ustawy
o świadczeniu usług drogą elektroniczną (u.ś.u.d.e.), a pozostawieniu części przepisów w
PT. Nie ma, bowiem żadnego racjonalnego uzasadnienia dla dualizmu uregulowań tej samej
kwestii w dwóch różnych ustawach (tu trzeba wskazać np. na fakt, iż definicja oraz wymogi
związane z przesłaniem informacji handlowej miałyby pozostać uregulowane w u.ś.u.d.e.,
zaś konsekwencje naruszenia wymogów w tym zakresie byłyby określone w PT; ponadto
część niezbędnych informacji, które miałyby być obligatoryjnie przesyłane wraz z informacją
handlową określoną w u.ś.u.d.e., byłaby wymieniona w PT). Postulować, zatem należy
uregulowanie kwestii związanych z treścią niezamówionych komunikatów (tj. spamu) w
ustawie, która wydaje się bardziej właściwą, tj. w u.ś.u.d.e.
****
W dniu 21 maja 2010r. odbyło się w Ministerstwie Infrastruktury spotkanie poświęcone
omówieniu wybranych zagadnień dotyczących implementacji znowelizowanego pakietu
dyrektyw łączności elektronicznej – w zakresie regulacji antyspamowych [art. 13 dyrektywy
2002/58/WE (o prywatności i łączności elektronicznej) zmienianej dyrektywą 2009/136/WE].
Regulacje antyspamowe
Przepisy Dyrektywy o prywatności w zakresie ochrony przed spamem nie uległy zasadniczo
zmianom w stosunku do wersji roboczej KE, która stanowiła podstawę przygotowywanego
brzmienia projektu ustawy zmieniającej Prawo telekomunikacyjne (PT, zwanej roboczo
„nieunijnej”. Nie zmieniło się podstawowe – według przedstawicieli Ministerstwa – podejście
do wielu kwestii.
Regulacje unijne nadal odwołują się do instytucji „marketingu bezpośredniego”, co powoduje
konieczność badania, w jakim celu dany komunikat został wysłany, jak również zawężają
pojęcie spamu.
Obecnie przygotowywane przez Ministerstwo Infrastruktury przepisy antyspamowe idą o krok
dalej.
Z jednej strony proponuje się rozszerzyć zakres definicji spamu, z drugiej - umożliwia się
walkę z tym zjawiskiem bez konieczności badania kontekstu, treści, czy przeznaczenia danej
wiadomości, kierując się wyłącznie obiektywnymi przesłankami.
9
Warszawa, dnia 4 listopada 2010
Powyższe założenia zbieżne są z rekomendacjami m.in. OPTA, ITU oraz wielu innych
organizacji walczących ze zjawiskiem spamu.
W Polsce (podobnie jak w pozostałych krajach UE) funkcjonuje model „opt-in”, tzn.
informacja nie może być przesłana bez uprzedniej zgody odbiorcy.
Według MI w Polsce nie zastosowano rozróżnienia abonentów będących osobami fizycznymi
oraz niebędącyh osobami fizycznymi – jest generalny zakaz (zarówno dla osób fizycznych
jak i prawnych) [chociaż w PT przy ostatniej nowelizacji z uwagi na zmianę definicji
„Abonenta”].
Mogą wystąpić – według MI – problemy natury konstytucyjnej w przypadku implementowania
przepisu art. 1 ust. 3a Dyrektywy ramowej, nakładającego na państwa członkowskie
obowiązek respektowania podstawowych praw i wolności osób fizycznych, gwarantowanych
w Europejskiej konwencji o ochronie praw człowieka i podstawowych wolności oraz w
ogólnych zasadach prawa wspólnotowego.
Jeżeli jakikolwiek ze środków związanych z dostępem użytkowników końcowych – za
pomocą sieci łączności elektronicznej – do usług i aplikacji lub z korzystaniem taką drogą z
usług lub aplikacji mógłby ograniczyć wspomniane podstawowe prawa lub wolności, można
go nałożyć wyłącznie wtedy, gdy jest odpowiedni, proporcjonalny i konieczny w
demokratycznym społeczeństwie, a jego wdrożenie podlega odpowiednim gwarancjom
proceduralnym zgodnym z Europejską konwencją (…) oraz z ogólnymi zasadami prawa
wspólnotowego, w tym z zasadą skutecznej ochrony sądowej i zasadą rzetelnego procesu.
Środki takie można, więc zastosować wyłącznie z należytym poszanowaniem zasady
domniemania niewinności i prawa do prywatności. Gwarantuje się uprzednią rzetelną i
bezstronną procedurę, uwzględniającą prawo zainteresowanej osoby lub zainteresowanych
osób do bycia wysłuchanymi, z zastrzeżeniem potrzeby ustanowienia dla należycie
ustalonych pilnych przypadków odpowiednich warunków oraz zabezpieczeń proceduralnych
zgodnych z Europejską konwencją (…). Gwarantuje się prawo do skutecznej kontroli
sądowej w rozsądnym terminie.
Ze strony przedstawicieli środowiska telekomunikacyjnego podniesiono następujące kwestie:
- dotychczas projektowane przepisy obejmowały regulacje dyrektywy 2000/31/WE oraz
2002/58/WE, których zakres regulacji (treść, transmisja), adresaci i podmioty objęte ochroną są
odmienne, czego w świetle celów wskazanych dyrektyw nie należy łączyć,
- negatywnie należy ocenić częściowe zmiany u.o.ś.u.d.e., których celem jest „przeniesienie”
części zapisów do PT,
- z problematyką spamu związane są kwestie własności intelektualnej, przy czym nie należy
rozszerzać zakresu ustawy PT o ten obszar, tym bardziej, że nie pozostaje on w gestii MI.
10
Warszawa, dnia 4 listopada 2010
Należy zwrócić uwagę na jeszcze inny aspekt związany z walką ze spamem. Procedowany
do listopada 2009 r. projekt zmian w PT przewidywał sankcję dla osób rozsyłających spam ograniczenia funkcjonalności łącza (dodanie art. 175g w PT). Wydaje się, że takie
rozwiązanie wbrew pozorom nie narusza art. 1 ust. 3a Dyrektywy ramowej (uprzednia
kontrola instytucjonalna, sądowa w przypadku odcięcia dostępu do Internetu) mimo braku
mechanizmu kontroli decyzji operatora. Istnieją, bowiem zasadnicze różnice między sytuacją
opisaną w art. 1 ust. 3a Dyrektywy ramowej, a przypadkiem wskazanym w projektowanym
przepisie w nowelizacji PT:
- użytkownik nie zostaje całkowicie pozbawiony dostępu do Internetu,
- ograniczenie dostępu ma na celu ochronę sieci i innych użytkowników przed zagrożeniami
nieodwracalnymi konsekwencjami (przeładowanie sieci, ataki DDoS, rozsyłanie wirusów i
trojanów),
- działanie ze strony operatora lub dostawcy usług musi być podjęte natychmiast, ale
możliwe jest przywrócenie pełnej funkcjonalności łącza po usunięciu przez abonenta
nieprawidłowości,
- art. 1 ust 3a Dyrektywy ramowej dotyczy przede wszystkim kwestii związanych z prawem
autorskim, a ściślej przepis ten w swym zamierzeniu ma nie dopuścić, aby karą np. za
piractwo stało się odcięcie od Internetu i wykluczenie cyfrowe.
Odnośnie informacji handlowej – za zamówioną uważa się informację, jeżeli została
wyrażona zgoda na otrzymywanie jej - w Polsce (podobnie jak w pozostałych krajach UE)
funkcjonuje model „opt-in”, tzn. informacja nie może być przesłana bez uprzedniej zgody
odbiorcy. Analogicznie w przypadku komunikatów do celów marketingu bezpośredniego.
Nowością jest przepis art. 13 ust. 6 Dyrektywy, stanowiący o możliwości położenia kresu
naruszeniom przepisów dotyczących ochrony danych osobowych lub ich zakazać; w tym
także dostawca usług łączności elektronicznej chroniący własne uzasadnione interesy
gospodarcze, mogliby podjąć działania prawne przeciwko takim naruszeniom. Państwa
członkowskie mogą także ustalić szczególne zasady dotyczące sankcji mających
zastosowanie do dostawców usług łączności elektronicznej, którzy przez zaniedbanie
przyczyniają się do naruszeń przepisów krajowych przyjętych na podstawie tego artykułu.
W ocenie PIIT wyróżnić należy trzy modele regulacji:
a. Self-regulation – jest to regulacja oparta na dobrowolnym przyjęciu, przez podmioty
będące adresatami regulacji, zobowiązań w postaci realizacji konkretnych działań.
Działania te wpisują się w realizację celów publicznych. Model „self-regulation”
najczęściej występuje w obszarach życia społeczno-gospodarczego, które charakteryzują
się dużą złożonością i dynamiką zmian;
11
Warszawa, dnia 4 listopada 2010
b. Co- regulation – jest to regulacja, w której realizację określonych celów publicznych
powierza się podmiotowi (np. organizacji społecznej, przedsiębiorstwu prywatnemu),
który z racji posiadanych zasobów (wiedzy/kapitału/aktywów materialnych) jest
uznawany/szanowany w danej dziedzinie. Ten model regulacji wymaga wdrożenia
odpowiednich reguł prawnych;
c. Regulation – jest to model regulacji oparty na tworzeniu ściśle określonych reguł
działania instytucji państwowych w celu wywarcia wpływ na pozostałe podmioty.
Instytucje państwowe realizując powierzone zadania mogą stosować system kar
wymuszając w ten sposób określone działanie po stronie innych podmiotów.2
Poniższy schemat przedstawia różne modele regulacji zagadnienia „Nadużyć w Internecie” z
punktu widzenia zaangażowania dwóch poziomów: CERT oraz UKE.
obszar działania
CERT
Poziom CERT
(stan obecny w
Polsce)
Self-regulation
•Funkcjonowanie wielu Punktów Zgłoszeń
•Porozumienia międzyoperatorskie
Poziom
CERT/UKE
Co-regulation
•Dedykowanie jednego podmiotu do
współpracy z operatorami;
•Edukacja użytkowników końcowych
Poziom UKE
•Sztywna regulacja: - relacji użytkownik operator
• - Punktu Zgłoszeń UKE
• - Postępowania: administracyjnego /
Kontrolnego / Kary finansowej/sankcji
(propozycja MI)
Regulation
•Brak kar finansowych
obszar działania
UKE
W innym stanowisku PIIT przedstawione zostały krytyczne uwagi do koncepcji przyjęcia
modelu „Regulation”, który odpowiadał propozycji przepisów przygotowanych przez
Ministerstwo Infrastruktury3.
Jednocześnie model „Co-regulation”, w ocenie PIIT, nie przyniesie zmiany warunków
rynkowych, które w sposób istotny przyniosłyby korzyść wszystkich podmiotom działającym
na rynku. Obecny stan rozwoju rynku, na którym funkcjonuje wiele podmiotów typu CERT,
2
European Parliament/Council/Commission „Interinstitutional Agreement on Better Law-Making” (2003/C 321/01); “Regulation,
Co-regulation, or Self regulation What is the best approach?” Dr. Elizabeth Nielsen – Copolco Workshop Prague, Czech
Republic May 2004
3
http://www.piit.org.pl/piit2/index.jsp?place=Lead07&news_cat_id=104&news_id=5144&layout=2&page=text
12
Warszawa, dnia 4 listopada 2010
pozwala na to, aby instytucje/podmioty te uzupełniały się uzyskując w ten sposób optymalny
efekt rynkowy obecnej regulacji.
Przykładowo, dzięki funkcjonującym instytucjom typu CERT udało się w Polsce ograniczyć w
sieci telekomunikacyjnej występowanie zjawiska spamu - spadek pozycji sieci TP w rankingu
sieci generujących spam z 1 - 3 miejsca na miejsce poza pierwszą dziesiątkę według
http://www.senderbase.org/senderbase_queries/main
Ponadto od kilku lat stosowany jest BGP blackholing (blokowane są niebezpieczne adresy
IP, co chroni przed zmasowanymi atakami typu DDoS).
Mając powyższe na uwadze, jak również:
a. zróżnicowany poziom zagrożenia występującego w sieci telekomunikacyjnej;
b. zróżnicowane metody walki z występującymi zagrożeniami;
c. dynamikę zmian zachodzących w sieci telekomunikacyjnej/Internet;
d. istniejące instytucje rynkowe zajmujące się nadużyciem w Internecie: CERT Polska,
CERT TP itp. uzupełniające się nawzajem
― w ocenie PIIT optymalnym w Polsce modelem regulacji zagrożeń występujących w sieci
telekomunikacyjnej jest model „Self – regulation” . który to model częściowo w zasadzie jest
już realizowany.
Część powyższego materiału pochodzi z korespondencji do MI przygotowanej w PIIT (opinie
zamieszczone są na stronie internetowej Izby).
C. Regulacja nadużyć w sieci telekomunikacyjnej, wpływających na integralność sieci.
W przypadku nadużyć w sieci telekomunikacyjnych (w rozumieniu PT) wpływających na stan
bezpieczeństwa i integralności sieci przepisy PT jedynie identyfikują zagadnienie bez
ustalenia jakichkolwiek regulacji określających relacje podmiotów funkcjonujących na rynku
telekomunikacyjnym – art. 175 (stanowiący o bezpieczeństwie przekazu komunikatów) a
także art. 178 (stanowiący o decyzjach w sytuacji szczególnego zagrożenia) ―
przedsiębiorcy telekomunikacyjni, użytkownicy końcowi, organy administracji państwowej.
W tym kontekście zwrócić należy uwagę na przepis art. 11a ustawy o zarządzaniu
kryzysowym, stanowiący o obowiązku informowania Komisji Europejskiej przez Centrum o
środkach zastosowanych w sytuacji kryzysowej w celu zabezpieczenia prawidłowego
działania publicznej sieci telekomunikacyjnej oraz stacji nadawczych i odbiorczych
używanych do zapewnienia bezpieczeństwa, w zakresie dotyczącym systemu łączności i
13
Warszawa, dnia 4 listopada 2010
sieci teleinformatycznych, (przy czym ustawa nie określa środków ani trybu ich stosowania,
ani przesłanek stanowiących o prawidłowym działaniu (…), ani czym są systemy łączności i
sieci teleinformatyczne).
D. W Programie występuje przede wszystkim pojęcie sieci teleinformatycznych a w zasadzie
wyrażenie „system łączności i sieci teleinformatyczne” ewentualnie „system i sieci
teleinformatyczne” – pojęcia te nie zostały zdefiniowane……podobnie w przypadku
wyrażenia „szybki Internet” (pkt 1.7 Programu), czy „globalna sieć” (pkt. 3.3.3.4.)
Podobnie jest w przypadku stosowania wyrażeń: ochrona cyberprzestrzeni a z drugiej strony
„bezpieczeństwo cyberprzestrzeni”; „incydent komputerowy” czy „incydent bezpieczeństwa”
czy „rodzaj ryzyka”, czy „zagrożenia”, „cyberzagrożenia” (pkt 3.3.3.4.); „istniejąca
infrastruktura cyberprzestrzeni”(pkt 3.2.2.)
E. Zwrócić należy również uwagę na zakres podmiotowy wskazywany w Programie, a w
szczególności na jego różnorodność bez podania na ogół definicji czy wyjaśnień.
Jako podmiot zaangażowany w działania na rzecz ochrony CRP wymienia się
„przedsiębiorcę
telekomunikacyjnego,
posiadającego
własną
infrastrukturę
telekomunikacyjną”.
Operator TIK ― został w Programie zdefiniowany w pkt 1.1. (definicja 9).
Występuje również pojęcie „przedsiębiorcy, w których gestii znajduje się TIK” – załącznik 18
pkt 4 b!!!!;
adresaci : „(…) inne instytucje (…)„ ?; „przedsiębiorca, który jest właścicielem zasobów
stanowiących infrastrukturę państwa …[str. 8]” – jest niezrozumiałe…;
str. 9 – odpowiedzialnymi za realizację Programu będą przedsiębiorcy – właściciele zasobów
stanowiących krytyczną infrastrukturę teleinformatyczną państwa ― wątpliwości jak wyżej
― powinny zatem nastąpić odpowiednie regulacje na poziomie ustaw → rozporządzeń →
akty prawa miejscowego
F. Wątpliwości, co do podjętych już prób definiowania niektórych pojęć: „cyberprzestrzeń” w
tym „cyberprzestrzeń RP”, „cyberprzestępstwo”, „cyberterroryzm” ― a Kodeks karny;
„incydent” ?? – przy czym w tekście występują takie określenia jak „incydent komputerowy”;
„incydent bezpieczeństwa związany z CRP” itd., w których w zasadzie definiensis niewiele
tłumaczy, a zatem już na wstępie obarczone są wadliwością natury chociażby legislacyjnej.
14
Warszawa, dnia 4 listopada 2010
G. Wątpliwości, co do załącznika 22 – zbytnia lakoniczność uniemożliwia rzetelne
odniesienie
się
do
wskazanych
rozwiązań;
chociażby
w
przypadku
podmiotu
odpowiedzialnego za monitoring – patrz uwagi do spamu.
Inną kwestią jest pominięcie postrzegania potrzeby komunikowania się pomiędzy
przedsiębiorcami na okoliczność zagrożeń, co powinno nastąpić niezwłoczne po
stwierdzeniu wystąpienia zagrożenia
H. Nie określono sposobu finansowania obowiązków.
We wszystkich załącznikach stanowiących założenia do projektu szczegółowego, jako
finansowanie wskazano „źródła” oraz „budżet” nie podając, o jakie „źródła” czy „budżet”
chodzi. Jeżeli przyjmuje się, że koszty realizacji zadań określonych w programach
szczegółowych przypisane poszczególnym jednostkom, ponoszone będą w ramach ich
budżetów oraz projektów UE, to jak się wydaje, powinno nastąpić dokładne opisanie modelu
owego finansowania.
W przypadku przedsiębiorców brak jakichkolwiek informacji o kosztach. Koszty będą
generowane zapewne poprzez:
- ustalenie odpowiedzialności za ochronę CRP,
- ustanowienie sektorowych punktów kontaktowych CERT,
-
zalecenie
utworzenia
u
przedsiębiorców
funkcji
pełnomocnika
ds.
ochrony
cyberprzestrzeni (POC),
- utworzenie i utrzymanie informacyjnej witryny internetowej.
Załącznik nr 22 „Współpraca z przedsiębiorcami telekomunikacyjnymi” określa, iż:
- dla zachowania minimalnego poziomu bezpieczeństwa podłączonego sprzętu,
przygotowane zostaną propozycje zapisów do umów związanych z dostępem, do
cyberprzestrzeni, regulujące standard zachowania i reagowania w przypadku wystąpienia
zagrożenia, incydentu,
- celem Projektu będzie także wypracowanie propozycji zapisów dotyczących
bezpieczeństwa cyberprzestrzeni do umów podpisywanych pomiędzy przedsiębiorcami
telekomunikacyjnymi a użytkownikiem końcowym cyberprzestrzeni,
- celem projektu będzie wypracowanie metod informowania użytkowników końcowych
cyberprzestrzeni
przez
przedsiębiorców
telekomunikacyjnych
o
zagrożeniach
i
występujących incydentach w cyberprzestrzeni
― wszystkie wskazane powyżej czynności związane czy to z dostosowaniem umów czy
obowiązkiem informowania będą generowały po stronie adresata koszty.
15
Warszawa, dnia 4 listopada 2010
I. Dokument ma charakter ramowy stąd brak jest propozycji brzmienia norm prawnych.
Należy przyjąć, że zostaną nałożone nowe obowiązki prawne na przedsiębiorstwa
telekomunikacyjne, co powinno nastąpić w drodze ustawy.
Z zaniepokojeniem należy przyjąć wypowiedzi: „Należy w związku z tym dopracować
mechanizmy komunikacji w obszarze cywilnym, uregulować prawnie, wprowadzając dotkliwe
sankcje karne za ich łamanie.” czy dalej wypowiedź o „(…) fakcie rozproszenia
odpowiedzialności za bezpieczeństwo teleinformatyczne (…)”.
Uwagi odnośnie sankcji były przedmiotem opinii dotyczących „spamu” (patrz uwagi wyżej
odnośnie koncepcji przyjęcia modelu „Regulation” czy modelu „Co-regulation”, wydaje się
że przyjęcie tego modelu również nie przyniesie zmiany warunków rynkowych, które w
sposób istotny przyniosłyby korzyść wszystkich podmiotom działającym na rynku. Obecny
stan rozwoju rynku, na którym funkcjonuje wiele podmiotów typu CERT, pozwala na to, aby
instytucje/podmioty te uzupełniały się uzyskując w ten sposób optymalny efekt rynkowy
obecnej regulacji; w przeciwnym razie sankcjami powinny być objęte wszystkie podmioty
typu CERT).
Szczególnej uwagi, zatem wymagać będą próby wprowadzenia „dotkliwych sankcji karnych”
dla
naruszających
bezpieczeństwo
teleinformatyczne,
w
tym
przedsiębiorców
telekomunikacyjnych.
Mając na uwadze fakt, iż opiniowany Program jest drugim dokumentem rządowym w tym
zakresie [pierwszy obejmował lata 2009 - 211] można było spodziewać się dokumentu
bardziej konkretnego. Ta konkretyzacja powinna była przejawiać się np. w załączonych do
Programu konkretnych rozwiązań legislacyjnych.
Wobec
powyższego
środowisko
przedsiębiorców
telekomunikacyjnych
apeluje
o
zagwarantowanie możliwości uczestniczenia zarówno w opracowywaniu analizy i przeglądu
Programu, co powinno następować nie rzadziej niż raz do roku, poprzez - na przykład –
możliwość zgłaszania uwag.
Jednak istotniejszą kwestią jest nieuwzględnienie obecności przedstawicieli środowiska
telekomunikacyjnego – posiadających już bogate doświadczenie w omawianych kwestiach –
w pracach instytucji powoływanych do realizacji założonych w Programie zadań i celów.
16