MON: Onet, Wp, Interia przekażą policji dane o korzystaniu z emaili przez internautów? Czy dotyczy to poczty od Google?

MON chce nałożyć nowe obowiązki na dostawców poczty elektronicznej. Mieliby oni tworzyć dzienniki logowania, a w nich zbierać m.in. dokładną datę i godzinę oraz adres IP osoby, która wchodzi na skrzynkę. Rejestry, podobnie jak dziś billingi telefoniczne, miałyby pomóc w ściganiu przestępców.

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej

Serwisy udostępniające pocztę elektroniczną powinny zbierać informacje dotyczące logowania do obsługiwanych przez siebie skrzynek poczty elektronicznej. Dziennik ma składać się z daty, godziny (co do jednej sekundy), adresu IP oraz portu przypisanego użytkownikowi w trakcie połączenia. Tak stworzoną bazę danych operator powinien przechowywać przez co najmniej 90 dni i udostępnić ją organom państwa na potrzeby prowadzonych przez nie postępowań. Takie zalecenia znalazły się w opinii, jaką MON przesłało do projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, którą szykuje KPRM.

Jak przekonuje Michał Wiśniewski, podsekretarz stanu w MON, który podpisał dokument, rejestr powinien ułatwić pracę organom ścigania. Przestępcy wykorzystują bowiem pocztę elektroniczną, a ponieważ jej dostawcy nie gromadzą danych na temat logowania, służbom trudniej jest się z nimi zmagać. Zdaniem resortu przechowywanie tych danych jest wręcz „niezbędne do sprawnego ścigania sprawców przestępstw”.

Cyberbezpieczeństwo - czy policja będzie miała dostęp do danych Google?

Podobny obowiązek mają już teraz operatorzy telekomunikacyjni. W ramach retencji danych muszą zbierać i przechowywać przez rok billingi czy dane o lokalizacji użytkowników.

– Rozwiązania zaproponowane przez MON uzupełniałyby listę podmiotów, które obowiązkowo muszą gromadzić dane. W sytuacji, w której policja jest niedofinansowana i ma braki kadrowe, dostęp do danych od operatorów to często najszybszy i najskuteczniejszy sposób identyfikowania przestępców – ocenia Adam Haertle, ekspert w dziedzinie bezpieczeństwa IT i autor serwisu Zaufana Trzecia Strona. Jak dodaje, rozwiązanie zaproponowane przez MON ma jednak niedoskonałości. Służby nie będą bowiem miały możliwości ubiegania się o rejestr logowań na stronach zagranicznych dostawców poczty, takich jak np. Google. W propozycji nie ma też mowy o tym, kto i w jakim trybie sprawowałby nadzór nad takimi zestawieniami danych.

– Pomysł nałożenia obowiązku retencji na firmy świadczące usługi drogą elektroniczną, w tym dostawców poczty, wraca jak bumerang. Poprzednio wysunęło go Ministerstwo Sprawiedliwości w swojej ustawie o wolności słowa w mediach elektronicznych – przypomina Wojciech Klicki z zajmującej się kwestiami prywatności Fundacji Panoptykon.

– Moim zdaniem ten obowiązek jest możliwy do realizacji, aczkolwiek koszty tej operacji ponieśliby dostawcy usług. Stanowiłoby to wyrównanie standardu dostępu policji i służb do danych telekomunikacyjnych z danymi internetowymi. Problem w tym, że ten standard jest zarówno sprzeczny z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej, jak i przede wszystkim – szalenie niebezpieczny, bo służby mają dostęp do tych danych bez jakiejkolwiek kontroli, a mogą one służyć do tworzenia bardzo szczegółowych profili użytkowników internetu i usług telekomunikacyjnych – dodaje.

Jak często policja sprawdza billingi?

Jak wyliczyła Helsińska Fundacja Praw Człowieka, służby chętnie sięgają po nasze dane. Liczba podsłuchów wzrosła w ostatnich pięciu latach o jedną czwartą, a pobranych billingów i lokalizacji aż o 60 proc. (do 1,85 mln w 2021 r.). Do sięgania po nasze dane uprawnionych jest łącznie 12 różnych służb.

Jak wynika z dokumentów przygotowanych w procesie konsultacji, KPRM nie zgadza się z uwagami resortu obrony. Jak argumentują urzędnicy, sugestie MON wykraczają poza kwestie walki z nadużyciami w komunikacji elektronicznej.

Podwójne logowanie na emaila

W projektowanej ustawie ma za to się znaleźć rozwiązanie zwiększające bezpieczeństwo użytkowników poczty. Jeśli regulacje wejdą w życie, brokerzy dostarczający pocztę dla podmiotów obsługujących powyżej pół miliona aktywnych kont będą musieli uruchomić dodatkowe mechanizmy uwierzytelniania dla logujących się na e-mail.

Co to jest spoofing?

Opublikowany w czerwcu projekt, i bez uwag MON, budzi jednak wątpliwości. Ma dać organom ścigania narzędzia do zwalczania oszustw dokonywanych za pośrednictwem sieci komórkowych. Pierwsze z nich – spoofing – to rodzaj ataku, w którym przestępcy dzwonią do użytkownika, podszywając się pod banki, gazownie czy instytucje i urzędy państwowe. Używając socjotechniki, próbują nakłonić rozmówcę do przekazania poufnych danych dotyczących konta lub wręcz przelania na ich rachunek pieniędzy.

Co to jest smishing?

Drugie – smishing – to próby wyłudzenia tych poufnych danych za pomocą SMS-ów upozorowanych np. na firmę kurierską.

Więcej:

DGP: MON chce wiedzieć, kto korzystał z e-maila. Rejestry mają pomóc w ściganiu przestępców

Anna Wittenberg