Cyberbezpieczeństwo w roku Świni. Ciemna i jasna strona mocy
Patrząc na sprawę (prawie) aresztowania Philipa Zimmermanna, twórcy Pretty Good Privacy (PGP) w latach 90., czy też późniejszego ujawnienia przez Edwarda Snowdena informacji na temat praktyk inwigilacyjnych NSA, trudno oprzeć się wrażeniu, że doświadczamy déjà-vu — pisze Aleksandra SOWA i Natalia MARSZAŁEK
„Dwadzieścia lat temu…” – takimi słowami rozpoczyna się publikacja Keys under Doormats[1], w której w 2015 roku znani kryptolodzy i eksperci ds. bezpieczeństwa IT rzucili światło na niebezpieczeństwa i zagrożenia związane z planami rządów dotyczącymi instalowania backdoorów w oprogramowaniu i sprzęcie. Wśród autorów nazwiska, które od razu kojarzą się z nazwami legendarnych algorytmów szyfrowania, takie jak: Bruce Schneier, Ross Anderson, Whitfield Diffie czy Ronald Rivest. Pierwsze trzy słowa powyższej publikacji odnoszą się do wcześniejszych badań, przeprowadzonych przez prawie tę samą grupę autorów, The risks of key recovery, key escrow, and trusted third-party encryption[2], w których w 1997 r. szczegółowo omówiono ryzyka związane ze złagodzeniem szyfrowania.
Debata na temat kryptologii toczy się w Niemczech już od co najmniej trzydziestu lat, jak zauważyli uczestnicy dyskusji Mehr Sicherheit durch weniger Kryptographie? 24 listopada 2019 r. w German Chapter Internet Society e. V. (ISOC.de) w Berlinie[3]. Ciągle wymieniane są argumenty i kontrargumenty, wypowiadają się eksperci, proponuje się nowe rozwiązania. Czy to w Virtueller Ortsverein (VOV), zgrupowaniu, które już w latach 90. zaczęło testować możliwości zastosowania internetu w działaniach państwa, czy w Komisji Enquete Bundestagu, która w 1998 r. w swoim raporcie końcowym stwierdziła, że przestępstw w sieciach komputerowych można uniknąć, o ile poufność komunikacji jest zagwarantowana za pomocą bezpiecznego szyfrowania[4], czy też w Komitecie Spraw Wewnętrznych (Innenausschuss) Bundestagu, w którym w kwietniu 2019 r. w sprawie bezpieczeństwa IT konsultowano się z ekspertami z organizacji naukowych, społeczeństwa obywatelskiego, urzędów i korporacji[5].
Hasła są bezpieczne. Ale…
Debata na temat kryptografii ponownie rozgorzała w Niemczech po tym, jak rząd federalny (ponownie) postanowił wprowadzić obowiązek instalowania backdoorów, a w końcu i frontdoorów w oprogramowaniu i urządzeniach sieciowych. Do tego doszły nowy projekt ustawy o bezpieczeństwie IT (ITSiG 2.0) oraz nowelizacja ustawy o egzekwowaniu prawa w sieci (NetzDG). Celem nowych przepisów było przyznanie władzom, wojsku, policji oraz tajnym służbom nowych uprawnień i kompetencji, nałożenie kolejnych obowiązków na przedsiębiorstwa prywatne, a tym samym przyznanie im dodatkowych praw w stosunku do obywateli. Krytycy tych nowelizacji prawnych ostrzegają przed coraz większymi ograniczeniami wolności i praw demokratycznych zwykłych obywateli.
„Nowe prawo nie wprowadza nowych uprawnień. Zapewniamy jedynie przejrzyste i zgodne z prawem procedury oraz aby wnioski o udzielenie informacji były zatwierdzane przez sędziów ” – broniła federalna minister sprawiedliwości, Christiane Lambrecht, nowego prawa, które m.in. miałoby nałożyć na sieci społecznościowe (social media) obowiązek zgłaszania „gróźb karalnych oraz prób podżegania” bezpośrednio do BKA (Federalnego Urzędu Policji Kryminalnej). „W przyszłości hasła będą musiały być przechowywane w formie zaszyfrowanej – i tak powinno być”– pisała na Twitterze minister, próbując uspokoić społeczność internetową. I to – nie tylko od strony technicznej – wątpliwe oświadczenie wywołało w sieci prawdziwy shitstorm. O tym nie było mowy w projekcie ustawy – ripostowano w komentarzach na Twitterze.
To, aby różne fachowe opinie, w tym również krytyczne, mogły być wyrażane w mediach społecznościowych, jest bardzo ważne – ale nie zawsze pożądane. Co prawda „(częściową) debatę publiczną oraz możliwość dyskusji z osobami odpowiedzialnymi” pochwalił dr Sven Herpig, ekspert z Stiftung Neue Verantwortung (SNV), w swoim pisemnym oświadczeniu przygotowanym na przesłuchanie w sprawie bezpieczeństwa IT w Komisji Spraw Wewnętrznych Bundestagu i ocenił ją jako „pozytywną na tle międzynarodowym”[6]. Jednak jak później powiedział już na posiedzeniu Komisji Spraw Wewnętrznych, wiedza i możliwości udziału społeczeństwa obywatelskiego w dyskusji o bezpieczeństwie IT są w ogromnym stopniu zależne od tego, czy projekty ustaw wyciekną do internetu[7]. Była to aluzja do kolejnej inicjatywy ustawodawczej rządu federalnego dotyczącej bezpieczeństwa IT, tzw. ustawy ITSiG 2.0, której wstępna wersja została ujawniona online na kilka dni przed samym posiedzeniem.
Ustawa czy nie ustawa?
Gdyby zależało to od Ministerstwa Spraw Wewnętrznych, opinia publiczna poznałaby treść projektu ustawy – zwanej przez ministra spraw wewnętrznych „ustawą o bezpieczeństwie internetowym” (a nie jak mówi jej tytuł, o bezpieczeństwie IT) – najwcześniej latem 2019 r., przed uchwaleniem jej tegoż samego lata przez Bundestag. Wyciek projektu przyciągnął uwagę nie tylko organizacji społeczeństwa obywatelskiego i mediów, ale także polityków opozycji. Termin uchwalenia ustawy w Bundestagu został w międzyczasie przesunięty z końca 2019 r. na pierwszą połowę 2020 r.
Ustawa o bezpieczeństwie IT zawiera regulacje dotyczące tego, jakie zadania i jakie obowiązki mają prywatne firmy wobec państwa – ale niewiele mówi o tym, jakie obowiązki państwo i rząd mają w stosunku do obywateli czy przedsiębiorstw prywatnych, twierdzą krytycy. Fakt, że władzom, w tym policji, Federalnemu Urzędowi Policji Kryminalnej (BKA) czy Federalnemu Urzędowi Ochrony Konstytucji, z każdą poprawką przyznaje się rozszerzone, a w niektórych przypadkach nowe kompetencje i dodatkowe fundusze, powoduje jednocześnie, że rozszerza się kontrola państwowa, a anonimowość i wolności obywatelskie są coraz bardziej podważane. Dlatego też Klaus Landefeld ze związku eco-Verband der Internetwirtschaft uważa, że lepiej byłoby wykorzystać już istniejące możliwości i prawa zamiast stale dodawać nowe.
Bezpieczeństwo – sprzeczność
Nowe inicjatywy legislacyjne rządu federalnego są postrzegane krytycznie nie tylko przez fachowców – również opozycja jest zaniepokojona: „Rząd bardzo dobrze wie, jak nas zdezorientować” – powiedział poseł FDP Manuel Höferlin podczas dyskusji w ISOC.de, podsumowując w ten sposób reakcje rządu na zapytania jego partii dotyczące cyberbezpieczeństwa i szyfrowania. Partia FDP dzięki wnioskowi Digitalisierung ernst nehmen – IT-Sicherheit stärken (BT Drs. 19/7698)[8] wystąpiła przeciwko ograniczeniom prawnym i zakazom kryptografii oraz szyfrowania. „Niemcy powinny stać się mistrzem świata w szyfrowaniu”, „Dane są odszyfrowywane tylko na ułamek sekundy” – brzmiały „częściowo absurdalne” odpowiedzi rządu federalnego na zapytania poselskie dotyczące ingerencji państwa i jego instytucji w prywatną komunikację obywateli.
W swoim wniosku partia FDP wezwała rząd niemiecki do „wypowiedzenia się przeciwko ograniczeniom prawnym lub zakazom stosowania kryptograficznych systemów bezpieczeństwa, stosowaniu tak zwanych backdoorów i udziałowi państwa w czarnych rynkach handlujących lukami bezpieczeństwa”[9]. Żądanie grupy parlamentarnej DIE LINKE we wniosku Umsetzung effektiver Maßnahmen für digitale Sicherheit statt Backdoors[10] (19/7705) było jeszcze bardziej zdecydowane i wymagało od rządu, „[…] aby zapobiec wykorzystaniu trojanów państwowych i uniemożliwić wykorzystywanie czy kupowanie luk bezpieczeństwa, takich jak backdoory lub zero-day exploity”[11]. Wezwano również do „wykluczenia i potępienia przeprowadzania przez instytucje państwowe tak zwanych hackbacków”.
Zarówno grupa parlamentarna DIE LINKE, jak i eksperci Komisji Spraw Wewnętrznych skrytykowali brak rozpoznawalnej strategii bezpieczeństwa rządu federalnego – we wnioskach domagano się „spójnej koncepcji i jednolitej strategii na rzecz większego bezpieczeństwa cyfrowego”[12]. Dr Sven Herpig ocenił dzisiejsze Niemcy krytycznie jako „niezdolne do budowania strategii” bezpieczeństwa IT. „Przepisy, projekty i środki podejmowane w celu zarządzania bezpieczeństwem często podważają same siebie”, stwierdziła frakcja DIE LINKE. „Dopóki będzie sprzeczność między pozorną przydatnością luk bezpieczeństwa z jednej strony a potrzebą wzmacniania systemów informatycznych z drugiej, nasze wysiłki o lepsze bezpieczeństwo będą się nadal nawzajem udaremniać”.
Pod znakiem Świni – polityka kontra haktywiści
„Najszczęśliwszy […] w tym roku będzie ten, który pracuje dla instytucji społecznych lub społeczeństwa”[13], prognozowano w chińskim horoskopie na rok Świni. Jeszcze ważniejsze miały być w roku Świni spójność społeczeństwa, duch zespołu i szczęśliwej wspólnoty. Wydaje się, że to dobry czas na powstanie nowych inicjatyw czy działań obywatelskich – a także na ożywienie swego czasu legendarnych organizacji, takich jak Chaos Computer Club (CCC) czy Gesellschaft für Informatik (GI), które w ciągu ostatnich 20 lat powoli traciły na znaczeniu, lub Internet Society (ISOC), które znów przeżywa renesans, wzrost liczby nowych członków i „nerdów”, którzy chcą angażować się w pracę nad skuteczniejszym szyfrowaniem, prawem do anonimowości i wolności w internecie – ale także w działalność związaną z takimi zagadnieniami jak „Green IT” – lub też walczyć przeciwko inwigilacji i kontroli.
Na tradycyjnym corocznym spotkaniu Chaos Communication Congress w grudniu zeszłego roku w Lipsku zgromadziło się 17 000 hakerów, którzy według CCC – uwzględniając surowe i częściowo samym sobie narzucone wymagania klimatyczne – wyprodukowali jedenaście ton CO2[14], ponownie przeliczyli i skorygowali statystyki opóźnień niemieckiej kolei Deutsche Bahn AG oraz dyskutowali o etyce i sensowności dobrowolnych zobowiązań producentów AI – dobrze przy tym się bawiąc. Każdy, kto znalazł się na kongresie, powinien był nie tylko wyłączyć Bluetooth i WLAN, ale najlepiej zostawić wszystkie urządzenia z dostępem do internetu w domu, aby przypadkiem nie zostały zhakowane.
Kongres CCC jest dowodem na to, że politycy znów walczą o uwagę i uznanie fachowców. Po tym, jak rząd federalny próbował kryminalizować działalność haktywistów za pomocą tak zwanego „paragrafu hakerskiego” w kodeksie karnym, między politykami i aktywistami panowała długi czas cisza. W zeszłym roku gośćmi Kongresu CCC byli niedawno wybrana przewodnicząca SPD, Saskia Esken, a także Federalny Inspektor Ochrony Danych, Ulrich Kelber (również SPD), którego wykład o zaufaniu w sieci został przez kolektyw hakerski pozytywnie przyjęty[15]. „Dyskusja z nim ma sens, bo ten człowiek też jest informatykiem” – powiedział dziennikarzowi jeden z uczestników[16]. „Całkiem fajnie jest po jasnej stronie mocy” – przekonywał Kelber swoich słuchaczy, w których widział potencjalnych kandydatów na pracowników swego urzędu. Najwyraźniej zakładając, że uczestnicy kongresu stoją po ciemnej stronie mocy.
Bez względu na to, czy gwiazdy przyniosą bezpieczeństwu i prawom obywatelskim dobry, czy kiepski rok Szczura (bo ten zaczyna się w 2020) – na razie i tak wygląda na to, że do dobrych układów i wzajemnego zaufania między polityką a hakerami jeszcze długa droga.
Aleksandra Sowa, Natalia Marszałek
[1] https://www.schneier.com/academic/paperfiles/paper-keys-under-doormats-CSAIL.pdf (dostęp 7.7.2015).
[2] H. Abelson, R.N. Anderson, S.M. Bellovin, J. Benaloh, M. Blaze, W. Diffie, J. Gilmore, P.G. Neumann, R.L. Rivest, J.I. Schiller, and others, „The risksof key recovery, key escrow, and trusted third-party encryption”, 1997. http://academiccommons.columbia.edu/catalog/ac:127127 (dostęp: 27.11.2019).
[3] https://www.isoc.de/2019-11/ (dostęp: 4.12.2019).
[4] BT Drs. 13/1104. 1998. Schlussbericht der Enquete-Kommission Zukunft der Medien in Wirtschaft und Gesellschaft ‒ Deutschlands Weg in die Informationsgesellschaft*) zum Thema Deutschlands Weg in die Informationsgesellschaft, http://dip21.bundestag.de/dip21/btd/13/110/1311004.pdf, S. 16 (172) (dostęp: 1.1.2020).
[5] https://www.bundestag.de/dokumente/textarchiv/2019/kw15-pa-inneres-630106 (dostęp: 1.1.2020).
[6] Stellungnahme – dr. Sven Herpig, Stiftung Neue Verantwortung – „IT-Sicherheit” – BT-Drucksachen 19/19/7698, 19/7705, 19/1328 – Ausschussdrucksache 19(4)255 A, https://www.bundestag.de/resource/blob/633906/fb324d240672537e93d53c50171a2388/A-Drs–19-4-255-A-data.pdf, s. 7.
[7] Link do nagrania: https://dbtg.tv/cvid/7340552 (dostęp: 26.4.2019).
[8] „Poważne podejście do digitalizacji – wzmocnienie bezpieczeństwa IT” (tłum. autorów). BT Drs. 19/7698 – Antrag: Digitalisierung ernst nehmen – IT- stärken – 13.02. Sicherheit 2019, http://dip21.bundestag.de/dip21/btd/19/076/1907698.pdf (dostęp: 1.1.2020).
[9] BT Drs. 19/5764.
[10] „Wdrażanie skutecznych środków bezpieczeństwa cyfrowego zamiast backdoorów” (tłum. autorów). BT drs. 19/7705 – Antrag: Umsetzung effektiver Maßnahmen für digitale Sicherheit statt Backdoors – 13.02.2019, http://dip21.bundestag.de/dip21/btd/19/077/1907705.pdf (dostęp: 1.1.2020).
[11] BT Drs. 19/7705.
[12] BT Drs. 19/7705.
[13] https://www.schicksal.com/Astrologie/Chinesisches-Horoskop/Jahr-des-Schweins (dostęp: 1.1.2020).
[14] https://www.heise.de/newsticker/meldung/36C3-Hackerkongress-produziert-mehr-als-11-Tonnen-CO2-4625063.html (dostęp: 1.1.2020).
[15] https://www.heise.de/newsticker/meldung/36C3-Nicht-Daten-sind-der-Rohstoff-des-21-Jahrhunderts-sondern-Vertrauen-4624834.html (dostęp: 1.1.2020).
[16] Welchering, P. 2019. „Wie enttäuschte Hacker die neue SPD-Chefin empfangen”, in ZDFheute, 29.12.2019, https://amp.zdf.de/nachrichten/heute/digital-dialog-politiker-auf-dem-hacker-kongress-100.html (dostęp: 1.1.2020).