Prześwietlą pocztę e-mail? To zalecenia MON
Ministerstwo Obrony Narodowej chce nałożyć na dostawców poczty elektronicznej dodatkowy obowiązek. Chodzi o gromadzenie informacji dotyczących logowania do poczty i ich udostępnianie na życzenie służb.
Ministerstwo Obrony Narodowej chce danych dotyczących naszej poczty elektronicznej. Dziennik Gazeta Prawna informuje o zaleceniach, które znalazły się w opinii, którą MON przesłało do projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, przygotowywanej przez Kancelarię Prezesa Rady Ministrów.
Wśród gromadzonych danych powinny znajdować się data, godzina (z dokładnością co do sekundy), adres IP i port przypisany użytkownikowi w trakcie połączenia. Baza tych danych powinna być przechowywana przez co najmniej 90 dni i udostępniona organom państwowym na potrzeby prowadzonych przez nie postępowań.
Michał Wiśniewski, podsekretarz stanu w MON uważa, że rejestr taki ułatwi prace organom ścigania. Zgodnie z jego słowami, gromadzenie takich danych jest "niezbędne do sprawnego ścigania sprawców przestępstw".
Podobne zasady dotyczą operatorów telekomunikacyjnych, którzy są zobowiązani do gromadzenia i przechowywania billingów i danych na temat lokalizacji użytkowników. Ułatwia to namierzenie przestępców, choć w teorii mogłoby prowadzić do nadużyć.
Adam Haertle, autor serwisu Zaufana Trzecia Strona, uważa, że dostęp do danych operatorów to często najskuteczniejszy i najszybszy sposób identyfikowania przestępców. Twierdzi jednak, że propozycja MON nie jest doskonała. Policja nie będzie miała możliwości ubiegania się o rejestr logowań na stronach zagranicznych dostawców poczty. Tu można wymienić chociażby Google. Ponadto nie określono, kto i w jaki sposób miałby nadzorować takie zestawienia danych.
– Pomysł nałożenia obowiązku retencji na firmy świadczące usługi drogą elektroniczną, w tym dostawców poczty, wraca jak bumerang. Poprzednio wysunęło go Ministerstwo Sprawiedliwości w swojej ustawie o wolności słowa w mediach elektronicznych - komentuje Wojciech Klicki z zajmującej się kwestiami prywatności Fundacji Panoptykon.
Dodaje jednak, że obowiązek ten byłby kosztowny dla dostawców usług. Pozwoliłoby to na wyrównanie standardu dostępu policji i służb do danych telekomunikacyjnych z danymi komputerowymi. W rozmowie z DGP Klicki zauważa też, jakie niebezpieczeństwo stoi za tą propozycją.
- Problem w tym, że ten standard jest zarówno sprzeczny z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej, jak i przede wszystkim - szalenie niebezpieczny, bo służby mają dostęp do tych danych bez jakiejkolwiek kontroli, a mogą one służyć do tworzenia bardzo szczegółowych profili użytkowników internetu i usług telekomunikacyjnych - dodaje Wojciech Klicki.
Walka z phishingiem i spoofingiem
Ustawa budzi spore wątpliwości nawet bez uwzględniania zaleceń MON. Jej głównym celem jest walka z oszustami wykorzystującymi metody phishingu i spoofingu, czyli podszywania się pod banki lub inne instytucje w celu pozyskania wrażliwych danych od potencjalnych ofiar oszustw. Walka z oszustami miałaby odbywać się m.in. przez skanowanie wiadomości SMS i blokowanie tych, których treści są podejrzane.
System taki dałby niemal nieograniczone uprawnienia do wglądu do systemów informatycznych firm telekomunikacyjnych. Co więcej - wcale nie rozwiązałby problemów z oszustwami. Cyberprzestępcy korzystają nie tylko z połączeń telefonicznych i wiadomości SMS, ale także z komunikatorów internetowych, nad którymi trudno sprawować kontrolę w podobny sposób.
Karol Kołtowski, dziennikarz dobreprogramy.pl