Czas na polskiego Pegasusa? Powstaje Centralne Biuro Zwalczania Cyberprzestępczości

Rząd chce, by Policja zyskała nowe uprawnienia, które pomogą jej w walce z internetowymi przestępcami. W tym celu planuje powołać Centralne Biuro Zwalczania Cyberprzestępczości – poinformowali o tym na wtorkowej konferencji premier Mateusz Morawiecki i minister Mariusz Kamiński. Ponownie musimy zaufać rządzącym na słowo, że inwigilować będą tylko tych, którzy mają swoje za uszami.

[aktualizacja 16.11.2021] Do Sejmu trafił projekt ustawy zakładający powołanie Centralnego Biura Zwalczania Cyberprzestępczości. Projekt nie zawiera jednak krytykowanego przez nas i opisanego niżej przepisu umożliwiającego CBZC tworzenie urządzeń i programów służących do przełamywania zabezpieczeń.

Co będzie robić CBZC?

W świecie, w którym codziennie pojawiają się informacje o coraz bardziej wyrafinowanych sposobach oszukiwania w sieci, stworzenie specjalnej jednostki przeznaczonej do przeciwdziałania tej formie przestępstw nie budzi kontrowersji. Struktury zajmujące się tematem cyberprzestępczości istniały zresztą już wcześniej, jednak były one poważnie niedofinansowane. Kompetencje nowej jednostki mają być bardzo szerokie. W projekcie ustawy opublikowanym przez MSWiA znalazło się specjalne uprawnienie dla nowego Biura – ma ono tworzyć oprogramowania służące przełamywaniu różnego rodzaju zabezpieczeń, m.in. haseł czy szyfrowanej komunikacji. Pegasus po polsku czy cyberpolicja?

Nie opadły jeszcze emocje po informacji o tym, że wykorzystanie oprogramowania Pegasus wymykało się wszelkiej kontroli, a Polacy i Polki muszą przygotować się na kolejną propozycję. Tym razem pomysł rządu będzie wymagać wiary, że ofensywnie zdobyte informacje nie będą wykorzystywane przeciwko obywatelom.

Do czego, według projektu ustawy, może być uprawnione Centralne Biuro Zwalczania Cyberprzestępczości?

• „[Biuro] może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe (…) oraz ich używać w celu rozpoznawania, zapobiegania i zwalczania przestępstw, (…), popełnianych przy użyciu nowoczesnych technologii teleinformatycznych (…)”.

Oznacza to, że nowa jednostka Policji będzie mieć możliwość, by złamać, także zdalnie, dowolne zabezpieczenie, np. do dysku w chmurze. Może to być oczywiście nieocenione choćby w walce z przestępczością o charakterze pedofilnym, ale może też posłużyć do sprawdzania niepokornych obywateli i obywatelek.

• „Używając urządzeń lub programów komputerowych (…), [Biuro] może uzyskać dostęp (…) do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego”.

Informacje przejęte przez Biuro mogą dotyczyć przestępstwa, które ściga Policja, ale także być zupełnie niezwiązane z przedmiotem kontroli, np. podczas szukania dowodów na przestępstwa fiskalne na dyskach zarządu firmy – Biuro może natknąć się na informacje o jej strategii procesowej przeciwko spółce skarbu państwa.

W bardziej radykalnym i pesymistycznym scenariuszu narzędzia stworzone przez Biuro mogą posłużyć np. do przeczesywania systemów informatycznych redakcji, które nieprzychylnie wypowiadają się o władzy czy nawet o działaniach Policji. Zdobyte wiadomości, np. o informatorach albo dziennikarskich śledztwach, mogą być wykorzystane w sposób, który zagrażałby dostępowi do rzetelnego źródła informacji.

Czy jest się czego bać?

Skuteczne działanie Policji, także w Internecie, leży w interesie społecznym. Jednak im bardziej zaawansowane będą metody, którymi będzie się mogła ona posługiwać, tym większa potrzeba nadzorowania jej działań.

Przewidziana w projekcie kontrola nad stosowaniem tworzonych narzędzi do przełamywania zabezpieczeń jest analogiczna do tej stosowanej przy zakładaniu podsłuchów. Teoretycznie zgodę na dostęp do „informacji nieprzeznaczonych dla Biura” będzie wydawał sąd. Jednak już dziś wiemy, że sądy nie są w stanie – choćby ze względu na obciążenie i brak specjalistycznej wiedzy – realnie sprawdzić, czy służby nie nadużywają swoich uprawnień. Skoro dzieje się tak przy stosowaniu klasycznych podsłuchów, tym bardziej będzie tak w przypadku najnowocześniejszych narzędzi tworzonych przez Biuro. Dlatego jego działania – podobnie jak i inne działania inwigilacyjne prowadzone przez Policję i służby specjalne – powinny podlegać specjalistycznej kontroli niezależnej instytucji.

Fundacja Panoptykon od wielu lat zwraca uwagę na to, że działania inwigilacyjne nie podlegają realnej kontroli. Walczymy o dostęp do wiedzy – chcemy, by inwigilowani, po zakończonych działaniach operacyjnych, byli informowani o prowadzonych w przeszłości działaniach. Chcemy, by Policja i służby specjalne podlegały niezależnej kontroli.

Tylko w ten sposób możemy mieć pewność, że kiedy kolejny raz dojdzie do wycieku listy osób inwigilowanych (niezależnie od stosowanego narzędzia), zobaczymy wyłącznie nazwiska przestępców.

Dominika Chachuła, Wojciech Klicki, współpraca Maria Wróblewska

Co zrobiliśmy w tej sprawie?

• Zobacz materiały z kampanii „Podsłuch jak się patrzy”
• Kontrola nad inwigilacją – stanowiska partii politycznych
• Tekst petycji wysłanej do Prezydenta RP, Prezesa Rady Ministrów, Sejmu i Senatu (wysłana 7 czerwca 2021 r.)

Pomóż nam kontrolować kontrolujących. Wpłać darowiznę na konto Fundacji Panoptykon

Projekt „Wszystko pod kontrolą” realizowany jest z dotacji programu Aktywni Obywatele – Fundusz Krajowy finansowanego przez Islandię, Liechtenstein i Norwegię w ramach Funduszy EOG.