Nie zamykajcie stron rządowych dla anonimowego ruchu! To ograniczy nasze prawa

Artykuł

Po głośnych atakach na strony rządowe w ramach akcji przeciwko ACTA Ministerstwo Administracji i Cyfryzacji opublikowało ciekawy dokument: Wytyczne w zakresie ochrony portali informacyjnych administracji publicznej. Cel jest jasny: zabezpieczyć strony rządowe przed atakami takimi jak DDoS czy włamania do paneli administracyjnych. Z nim nie polemizujemy. Zaniepokoił nas za to środek, jaki ma doprowadzić do tego celu. „Wytyczne” przewidują blokowanie dostępu do portali rządowych osobom, które korzystają z rozwiązań anonimizujących, oraz filtrowanie ruchu przychodzącego według bliżej nieokreślonych kryteriów.

Trudno definitywnie stwierdzić, jak takie blokowanie i filtrowanie ruchu miałoby się odbywać - "Wytyczne" w tych fragmentach nie są precyzyjne, co może dawać dużą swobodę na etapie ich stosowania. Dokument nie przewiduje też konkretnych mechanizmów kontroli, które chroniłyby przed nadużyciami. Naszym zdaniem takie środki są nieproporcjonalne do celu i mogą realnie ograniczyć konsytytucyjne prawo obywateli do informacji, w tym wypadku do korzystania z portali informacyjnych administracji publicznej.

Zwróciliśmy Ministerstwu uwagę, że pozostawienie użytkownikom możliwości anonimowego odwiedzania stron rządowych to sprawa fundamentalna, ściśle związana z konstytucyjnym prawem do informacji. Jak wiadomo, każde połączenie z serwerem WWW ujawnia adres IP tzw. "klienta", dzięki czemu administrator serwera uzyskuje możliwość dość dokładnego śledzenia zainteresowań i aktywności poszczególnych użytkowników. To może stanowić zagrożenie dla ich anonimowości, a pośrednio także ich prywatności. Staje się to szczególnie prawdopodobne w przypadku korzystania z portali rządowych – administracja publiczna dysponuje przecież techniczną możliwością powiązania numerów IP z konkretnymi obywatelami.

Pełna treść naszych uwag przesłanych Ministerstwu Administracji i Cyfryzacji:

Fundacja Panoptykon z zainteresowaniem obserwuje działania zmierzające do poprawienia dostępności portali informacyjnych administracji publicznej. Dostęp do informacji dotyczących spraw publicznych uważamy za kwestię fundamentalną dla rozwoju obywatelskiego społeczeństwa
 informacyjnego. Nie bez przyczyny jest on wartością chronioną konstytucyjnie. Dlatego też szczegółowo zapoznaliśmy się z wydanymi przez Ministra Administracji i Cyfryzacji "Wytycznymi w zakresie ochrony portali informacyjnych administracji publicznej". Lektura ta skłoniła nas do zwrócenia uwagi MAiC na zagrożenia dla konstytucyjnego prawa do informacji, jakie niosą ze sobą te Wytyczne.

W naszej opinii takie zagrożenia występują pomimo oczywiście słusznego celu, jakim jest utrzymanie dostępności portali rządowych.

Wydarzenia ostatnich tygodni pokazały, że portale rządowe podatne są na rozmaite ataki, takie jak DoS lub włamania do paneli administracyjnych. Ciekawym paradoksem jest fakt, że ataki te były 
efektem ubocznym społecznego niezadowolenia ze sposobu postępowania polskich władz w sprawie ACTA. A przecież źródłem tego niezadowolenia był w dużej mierze brak pełnej informacji na temat tej umowy oraz ściśle z tym związane nieprawidłowości publicznej debaty i konsultacji
 na ten temat. Nie zmienia to oczywiście faktu, że prawidłowa ochrona portali rządowych przed atakami jest konieczna (nawet w sytuacji prawidłowo działających mechanizmów udostępniania informacji publicznej). Dlatego zasadniczo zgadzamy się z celami Wytycznych.

Nasze wątpliwości budzą jednak te postanowienia Wytycznych, które mogą ograniczać chronione Konstytucją RP prawo do informacji. Mianowicie, Wytyczne obligują do blokowania dostępu do portali rządowych osobom korzystającym z rozwiązań anonimizujących, a także do filtrowania 
ruchu przychodzącego według bliżej nieokreślonych kryteriów ("określonych typów pakietów lub całych protokołów"). Co istotne, te postanowienia Wytycznych są nie do końca precyzyjne, dając dużą swobodę osobom odpowiedzialnym za ich wdrożenie. Nie przewidują również konkretnych mechanizmów kontroli ich decyzji.

W rezultacie stosowania Wytycznych informacje umieszczane w portalach rządowych nie będą dostępne dla osób chcących zachować anonimowość lub osób, które nie spełnią dość arbitralnie określonych kryteriów. Takie ograniczenie w dostępie do informacji publicznej może stanowić
naruszenie Konstytucji RP. Ustawa zasadnicza gwarantuje bowiem każdemu prawo do pozyskiwania informacji (art. 54), a obywatelom prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne (art. 61). Art. 31 ust. 3
 Konstytucji RP zezwala oczywiście na ograniczenie tych praw, jednakże mogą być one "ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i 
moralności publicznej, albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw".

Cytowane przepisy naszym zdaniem nie pozwalają wprowadzać w Wytycznych regulacji, które ograniczałyby możliwość anonimowego pozyskiwania informacji zawartej w portalach rządowych lub wymagałyby spełnienia przez użytkowników tych portali dodatkowych kryteriów. Przede
 wszystkim, Wytyczne nie mają rangi ustawowej (kryterium formalne). Jednak nawet przepisy rangi ustawowej musiałyby sprostać wysokiemu standardowi wynikającemu z pozostałej części art. 31 ust. 3 Konstytucji RP (kryterium materialne). Omawiane ograniczenia nie spełniają tego standardu, przede wszystkim dlatego, że uniemożliwienie anonimowych połączeń nie jest konieczne dla ochrony portali rządowych. Dostęp do portali rządowych nie może być też uzależniony od bliżej 
nieokreślonych kryteriów. Wszelkie takie kryteria powinny być jasno i precyzyjnie określone w ustawie, w sposób proporcjonalny do celów, jakim mają służyć i zagrożeń, jakim mają przeciwdziałać.

Na zakończenie zwracamy uwagę, że zapewnienie możliwości anonimowej realizacji prawa do informacji w środowisku cyfrowym wymaga szczególnej uwagi. Jak wiadomo, każde połączenie z serwerem WWW ujawnia adres IP tzw. "klienta", dzięki czemu administrator serwera uzyskuje możliwość dość dokładnego śledzenia zainteresowań i aktywności poszczególnych użytkowników. Stanowi to zagrożenie anonimowości, a pośrednio również prywatności, zwłaszcza w kontekście
korzystania z portali rządowych - z uwagi na fakt dysponowania przez administrację publiczną techniczną możliwością powiązania numerów IP z konkretnymi obywatelami. Uzasadnia to wprowadzanie nie tylko prawnych, ale i technicznych gwarancji anonimowości. Powyższe prowadzi do wniosku, że administratorzy portali rządowych powinni nie tylko nie utrudniać anonimizacji, lecz wręcz to wyraźnie umożliwiać. W zakresie, w jakim korzystanie to stanowi realizację prawa dostępu do informacji publicznych można wręcz postawić tezę o istnieniu prawnego obowiązku umożliwienia skorzystania z tych rozwiązań.

Powyższe uwagi zostały opracowane przez dr. Krzysztofa Siewicza, eksperta współpracującego z Fundacją Panoptykon

Komentarze

Mogę wejść anonimowo do urzędu i czytać to, co wywieszono na tablicy, a nie będę miał prawa anonimowo przeczytać tablicy internetowej tego urzędu? To jakaś paranoja! Czyw domu wariatów mieszkam?

Zakaz dostępu z annonimizerów, to chyba nie jest żadna zła wola, tylko niekompetencja. Rząd (a może po prostu informatycy pracujący tam) nie rozumieją, jak to działa, nie rozumieją, jak się zabezpieczyć.Sklepom nie wolno wystawiać tabliczek "cyganom wstęp wzbroniony", zamiast tego muszą stosować jakąś rzeczywistą obronę przed kradzieża. Tak samo rząd musi zapewnić bezpieczeństwo swoim serwerom, a nie zabraniać dostępu jakimś kategoriom użytkowników. 

Czy w cudzysłowiu nie można zastosować innego słowa, które uszanowałoby inne grupy etniczne?

... wiele na to wskazuje. Dlatego nie wysłaliśmy do MAiC "oburzonego manifestu", ale spokojny list, pokazujący potencjalne zagrożenia. Wierzymy, że nie całkiem o ten efekt im chodziło - ale na pewno nie wiemy, bo wciąż czekamy na odpowiedź... Tymczasem temat podjęła też Ewa Siedlecka z GW, dla której bardzo kompetentnie wypowiedział się nasz znajomy Paweł Krawczyk: "Paweł Krawczyk, specjalista od bezpieczeństwa informacji w sieci, uważa, że blokowanie anonimów nie zabezpiecza ani przed atakami DDoS, ani hakerskimi. - Atak DDoS przez sieć ukrywającą numer IP nie miałby sensu, bo jego istotą jest wysyłanie w krótkim odstępie czasu wielu sygnałów, a przechodzenie przez system szyfrujący spowalnia sygnał. A hakerzy mogą atakować, przejmując komputer w dowolnym miejscu świata. Jeśli ktoś umie się włamać na stronę rządową, to tym bardziej włamie się zdalnie do źle zabezpieczonego prywatnego komputera.Krawczyk podkreśla, że najlepszym zabezpieczeniem jest fachowo zbudowana strona, profesjonalny serwis zabezpieczający, częsta aktualizacja oprogramowania, zwiększenie przepustowości serwera czy zamontowanie systemu alarmowego. - Taki system może np. alarmować administratora, gdy na serwer wchodzi osoba anonimowa mówi." Polecamy całość

Skrzyżowania posiadają systemy które potrafią "wyczytać" tablice rejestracyjne, a z tego już prosta droga do ustalenia kto to jest. Czy to oznacza że powinniśmy zrezygnować z tablic rejestracyjnych w samochodach bo narusza to naszą anonimowość na drodze? Sądzę że tak samo jest w przypadku internetu i adresu ip jego użytkowników.Pomijając fakt że są bardzo proste metody "podłożenia" się pod inny numer (nawet z innego kraju), ale tak samo w "realnym" świecie możemy odkręcić tablicę rejestracyną naszego sąsiada i zamontować do własnego auta;)

Dodaj komentarz