W Wielkiej Brytanii toczy się dyskusja, dotycząca uchwalenia Investigatory Powers Bill, ustawy zwiększającej uprawnienia służb specjalnych w cyberprzestrzeni. O pierwszych symptomach coraz bardziej zażartej walki, prowadzonej niejako w tle przygotowań do debat w Izbie Gmin i później w Izbie Lordów, pisaliśmy już na Defence24 w kontekście wystąpienia szefa MI5 Andrew Parkera. Jednak sytuacja Wielkiej Brytanii wbrew pozorom nie jest pod tym względem wyjątkowa, dlatego warto zwrócić uwagę na brytyjski projekt ustawy, mający m.in. usprawnić działanie służb specjalnych w obliczu zmieniającej się płaszczyzny działania, jaką jest cyberprzestrzeń. Pamiętać bowiem trzeba, że zapewne prędzej czy później i nasze służby specjalne, społeczeństwo oraz władze będą musiały zadać sobie pytanie analogiczne do tego, które nurtuje już teraz Brytyjczyków.
Kolejne podejście do zmiany prawa
Gabinet Davida Camerona wskazał, że projekt ustawy dotyczącej nowych kompetencji dla służb specjalnych w zakresie sieci pojawi się w ramach obrad Parlamentu już w trakcie ostatniej mowy tronowej. Miało to być kolejne podejście do całej sprawy, gdyż w 2012 r. podobne rozwiązania zostały skutecznie zablokowane przez ówczesnych koalicjantów Partii Konserwatywnej, czyli Liberalnych Demokratów Nicka Clegga.
Uzyskali oni wówczas przy tym szerokie poparcie ze strony grup aktywistów różnego rodzaju, walczących o prawa obywatelskie. Stąd też premier ostatecznie musiał uznać swoją porażkę i projekt Communications Data Bill nie wszedł w życie. Jednak widać dziś ewidentnie, że druga strona sporu o kształt obecnej ustawy Investigatory Powers Bill nie zamierzała nigdy uznać przegranej. Wraz z nowymi wyborami i zdobyciem już samodzielnej władzy w Izbie Gmin, gabinet Camerona stara się raz jeszcze spróbować przeprowadzić kontrowersyjne zapisy przez Parlament Zjednoczonego Królestwa.
Jeszcze na etapie mowy tronowej wiadomo było, że przyszły projekt miał na celu zwiększenie zdolności służb specjalnych oraz innych służb porządkowych do namierzania komunikacji online, wykorzystywanej przez terrorystów, siatki pedofilskie czy też przestępczość zorganizowaną. Podkreślano już wówczas, nawet przy tak szczątkowych informacjach i braku jakichkolwiek szczegółów co do samych rozwiązań zawartych w projektowanej ustawie, że tak czy inaczej Wielka Brytania będzie dążyć, aby wymagać od dostarczycieli usług sieciowych oraz firm obsługujących sieci teleinformatyczne znacznie większej współpracy ze służbami i policją.
Zakładano, że będzie trzeba gromadzić informacje o użytkownikach nie tylko telefonii i internetu mobilnego. Wskazywano również na potrzebę pozyskania danych dotyczących chociażby tweetów z Twittera, działań podejmowanych w ramach innych mediów społecznościowych, czy też nawet gier umożliwiających rozbudowany zakres interakcji, w ramach trybów multiplayer. Kluczowym słowem stało się na nowo również określenie „metadane”.
Zagrożenie ze strony tzw. Państwa Islamskiego atutem dla zwolenników nowych przepisów
Trzeba przyznać, że po nadal trwającej i ciągnącej się do granic możliwości „aferze” lub wręcz sadze z Edwardem Snowdenem (począwszy od 2013 r.) oraz kolejnej, której bohaterami byli Juliane Assange i jego WikiLeaks (szczyt popularności od ok. 2010 r.), wydawało się, że brytyjskie służby oraz część konserwatywnych polityków nie znajdą zbyt wielu sojuszników chcących poprzeć nowe uprawnienia dla służb. To właśnie GCHQ, tuż obok amerykańskiej NSA, stała się wręcz synonimem „wielkiego brata”, nieustannie "czyhającego" na dane płynące od bezbronnych oraz niewinnych obywateli posługujących się siecią. Oczywiście, w żadnym wypadku nie pomogły również ujawnione sprawy w stylu podejrzeń cyberszpiegostwa względem Belgacom. Impuls ożywiający projekt przyszedł ze strony islamistów budujących w rejonie Syrii oraz Iraku nową organizację, która przybrała ostatecznie obraz tzw. Państwa Islamskiego (Da`ish).
Okazało się, że terroryści jeszcze sprawniej niż Al-Kaida radzą sobie w sieci, a do ich skutecznego zwalczania należy dysponować nie tylko samymi nowymi rozwiązaniami technologicznymi, które zapewne i tak znajdowały się w arsenale brytyjskich służb, ale również sankcjonującymi ich użycie przepisami prawnymi. Islamiści rozbudowali swój aparat propagandowy, system informacji o swoich sukcesach, a przede wszystkim rekrutację właśnie dzięki najnowszym komunikatorom oraz profilom na portalach społecznościowych. Najgłośniej o tego rodzaju zagrożeniach mówił szef MI5 i wzywał w swoich rzadkich wystąpieniach publicznych do zmian pozwalających funkcjonariuszom na skuteczne działanie.
Odpowiedział na nie właśnie premier David Cameron. Nie związany żadnymi relacjami koalicyjnymi w Parlamencie, miał wręcz stwierdzić, że nowe rozwiązania w zakresie normowanym przez projekt Investigatory Powers Bill są jednymi z najbardziej istotnych części prac legislatywy na okres najbliższych pięciu lat. Oczywiście podkreślając, że jego gabinet jest jednocześnie zdeterminowany w działaniach, mających na celu zapewnienie bezpieczeństwa obywatelom poprzez dostarczenie uprawnień do szerszej inwigilacji sieci przez służby. W tym celu, w określonych wypadkach, funkcjonariusze mają uzyskać przede wszystkim dostęp do danych dotyczących łączenia się z Internetem za pomocą konkretnych urządzeń.
Jednak od razu pojawia się zastrzeżenie, przekazane otwarcie przez minister spraw wewnętrznych Theresę May, że nie będzie to oznaczało automatycznego wglądu do historii przeglądania każdego z brytyjskich użytkowników sieci. Przy czym możliwość szerszego wglądu w aktywność sieciową ma hipotetycznie pojawić się również na obszarze mediów społecznościowych. W obu przypadkach oczywiście jeśli służby uzyskałby w konkretnym kazusie obwiednią zgodę ze strony organów je nadzorujących. Stworzony miałby zostać w tym celu specjalna instancja, w postaci Investigatory Powers Commissioner, obsadzana przez doświadczonego sędziego i wydająca każdorazowo zgodę na takie działania inwigilacyjne.
Nie będzie odgórnego zakazu używania najnowszych systemów do kodowania
Projekt ma także zakładać narzucenie na firmy funkcjonujące w sferze usług internetowych obowiązek przechowywania danych dotyczących e-maili oraz aktywności w mediach społecznościowych przez 12 miesięcy. Jednak władze zdystansowały się od dotychczasowych informacji twierdzących, że nowe przepisy mogą ograniczyć w przyszłości możliwość używania systemów do kodowania danych. Dotychczas zarzucano, szczególnie premierowi Cameronowi, że stoi na stanowisku, iż kodowanie może tworzyć bezpieczną przystań dla aktywności terrorystów, czy też przestępczości zorganizowanej. Cała sprawa nabrała swego tempa począwszy od styczniowego wystąpienia premiera, gdy zapytał się retorycznie o akceptację „czarnych dziur” w sieci, pozbawionych kontroli ze strony państwa.
Wtórowali mu wówczas przedstawiciele brytyjskiej wspólnoty wywiadowczej, obawiający się niemożności kontrolowania działań oraz sieci komunikacji chociażby terrorystów. Nie od dziś wiadomo, że różne organizacje terrorystyczne wręcz zalecają swoim członkom oraz zwolennikom komunikowanie się z wykorzystaniem programów do szyfrowania wiadomości w stylu np. Sekrety Mudżahedina. Jednak Theresa May zaznaczyła, że w dobie cyberprzestępczości nie można ograniczać zdolności obywateli oraz firm do przeciwdziałania różnego rodzaju cyberzagrożeniom.
Trudno byłoby jednak przypuszczać, że w swoistej formie nakazowej udałoby się zatrzymać używanie najnowszego oprogramowania w zakresie kodowania danych czy też narzucono wymóg wbudowywania we wszelkich programach tego typu rządowych backdoorów – czyli specjalnych wejść, przez które służby mogłyby infiltrować zakodowane zbiory danych lub systemy komunikacji. Przy czym należy domniemywać, że nawet bez szczegółowych zapisów w projekcie Investigatory Powers Bill, władze w Londynie będą cały czas zmierzać do wypracowania „przyjaznych” relacji z największymi koncernami, działającymi w sferze telekomunikacji.
Zaś potencjalne backdoory mogą być owocem nie tyle prawnego wymuszenia, co właśnie obustronnego konsensusu, którego istnieniu można zawsze zaprzeczyć. Byłoby to szczególnie istotne w relacjach z firmami, których aktywność nie leży przecież w gestii brytyjskiego prawodawstwa. Zwraca się w tym przypadku szczególną uwagę chociażby na Facebook czy też Google, jako kluczowych dysponentów potencjalnej wiedzy, jakże pomocnej w działaniach wymierzonych przeciwko terrorystom czy też zwykłym przestępcom.
Projekt, który podzieli brytyjski Parlament
Trudno przywiązywać się jeszcze do szczegółów poddanych spekulacjom medialnym, mając na uwadze dopiero początek ścieżki legislacyjnej. A będzie to zapewne jedna z ciekawszych batalii tego Parlamentu, spoglądając nie tylko przez pryzmat wagi samych rozwiązań prawnych, ale również arytmetyki, którą rządzi się obecna Izba Gmin i Izba Lordów. Wśród samych Konserwatystów wyczuwalny jest bowiem swego rodzaju wewnętrzny spór co do granic państwowej kontroli nad aktywnością użytkowników w sieci. Jednocześnie Partia Pracy może również podzielić się na zwolenników nowych uprawień dla służb i policji oraz ich zajadłych przeciwników.
Minister spraw wewnętrznych w gabinecie cieni Andy Burnham stwierdził niedawno, że tego rodzaju rozwiązania prawne są potrzebne i że nie zamierza przekładać dyskusji na ten temat na zwykłe podziały polityczne. Przede wszystkim dlatego, że rozwój świata online stworzył nowe warunki dla działania państwa, które trzeba jak najszybciej objąć unormowaniami prawnymi. Jednak zdaniem prominentnego labourzysty należy zadbać, aby przy tego rodzaju działaniach służb zawsze pojawiała się kontrola ze strony sędziów. Interesujące będzie jednak stanowisko, jakie ostatecznie zabierze sam lider opozycji Jej Królewskiej Mości, Jeremy Corbyn. Lord Ashdown, reprezentujący de facto Liberalnych Demokratów, stwierdził, że należy wykluczyć w projekcie zmian w materii cyberbezpieczeństwa możliwość jakichkolwiek działania ukierunkowanych odgórnie wobec całych grup osób. Służby, nadzorowane przez sędziów, winny jedynie skupić się na konkretnych podejrzanych i ich obserwacji. Sam zaznaczył, że w przypadku mankamentów projektu rządowego będzie starał się go poprawić na etapie pracy w Izbie Lordów.
W Wielkiej Brytanii już nie tylko GCHQ dysponuje potencjałem w zakresie działań mających na celu przeciwdziałanie cyberzagrożeniom. Swoje komórki do działań w sieci powołała chociażby MI5, a zapewne także MI6 dysponuje możliwościami własnego SIGINT`u (signals intelligence), w tym ELINT`u. Do tego dochodzi brytyjski CERT, stworzony w oparciu o zapisy tamtejszej The National Cyber Security Strategy, a także oddziały służb porządkowych w stylu zespołu ds. cyberprzestępczości Policji Metropolitalnej, centrum ds. cyberprzestępczości Służby Policji Północnej Irlandii czy też struktur zajmujących się cyberzagrożeniami w ramach National Crime Agency. Dlatego należy zauważyć, że służby oraz policja dostosowują się do nowych wymagań, czego nie można jeszcze powiedzieć o rozwiązaniach prawnych.
Dlatego walka o kształt czy wręcz uchwalenie Investigatory Powers Bill będzie próbą wyprowadzenia dynamicznie rozwijającej się sfery aktywności współczesnego wywiadu, kontrwywiadu, a także służb porządkowych ze "sfery cienia". Szczególnie, że jak wspomniała minister Theresa May, co roku pojawia się ponad 1,5 tys. próśb o autoryzację bardziej pogłębionych działań operacyjnych, obejmujących aktywność w sieci. Zdaniem władz Wielkiej Brytanii czas najwyższy wprowadzenie bardziej przejrzystych i kontrolowanych przez niezależnych sędziów zasad gry. Lecz droga do uchwalenia Investigatory Powers Bill będzie bardzo wyboista i pełna sporów ideologicznych, odnoszących się do płynnej granicy pomiędzy takimi kategoriami jaki "bezpieczeństwo" i "wolność". Jednak z perspektywy polskiej tym bardziej trzeba dokładnie przyglądać się brytyjskim pracom nad nową ustawą.