Rządzie, nie zepsuj Listy Ostrzeżeń CERT Polska [OPINIA]

Poniższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji.

Prace legislacyjne nad wdrożeniem Aktu o usługach cyfrowych (DSA) są w toku. Projekt ustawy ma zmieniać podstawy funkcjonowania Listy Ostrzeżeń CERT Polska, która działa od 2020 roku.

„Skandal z wrzutką lobbystów na listę ostrzeżeń CERT Polska” – takiego mocnego tytułu użyła Zaufana Trzecia Strona do opisu planowanych zmian. W artykule stwierdzono, że zapisy w projekcie „pozwolą, by decyzją administracyjną dodawać do listy CERT-u strony… naruszające prawa autorskie. Zamiast więc ratować polskich użytkowników sieci przed oszustami, nowe przepisy sprawią, że lista będzie ich „ratować” przed nielegalnymi transmisjami meczów w Internecie”.

Lista Ostrzeżeń CERT Polska

Lista Ostrzeżeń CERT Polska jest wykorzystywana przez największych polskich operatorów telekomunikacyjnych do blokowania domen, które CERT Polska uznał za wyłudzające dane osobowe lub uwierzytelniające (loginy i hasła). Sam CERT opisuje to zjawisko w następujący sposób:

Strony te są rejestrowane w dużych ilościach i wykorzystywane w dość krótkim czasie od rejestracji, po czym są porzucane na rzecz nowych adresów. Z tego powodu bardzo ważne jest szybkie rozpoznawanie zagrożeń i dzielenie się informacjami z dotkniętymi organizacjami i administratorami sieci
CERT Polska

Czy istnienie takiej listy jest potrzebne? Chyba każdy (poza cyberprzestępcami) jest w stanie się zgodzić z tym, że powinniśmy blokować dostęp do złośliwych witryn na poziomie operatora telekomunikacyjnego lub DNS-ów.

W Raporcie Rocznym CERT Polska za 2024 rok możemy dowiedzieć się, że w ubiegłym roku na liście znalazło się 92,6 tys. szkodliwych domen. „Lista Ostrzeżeń spełnia swoją funkcję. Obserwujemy to także dzięki statystykom zbieranym przez niektóre podmioty, w tym przez jednego z największych operatorów telekomunikacyjnych w Polsce, jasno wykazujące, jak wiele prób oszustw udało nam się zablokować i dzięki temu ochronić użytkowników przed szkodliwymi treściami. Na podstawie danych własnych oraz przekazanych przez naszych partnerów możemy oszacować liczbę zablokowanych przez Listę Ostrzeżeń wejść na niepożądane strony w 2024 roku na 71,8 mln” – stwierdzono w opracowaniu.

To gdzie jest problem?

Zaufana Trzecia Strona przeanalizowała prace nad projektem w BIP-ie Rządowego Centrum Legislacji. W projekcie ustawy z 18 września br. znajduje się poniższy zapis:

„3. Na listę ostrzeżeń wpisuje się domeny internetowe:

1) których podstawowym celem jest wprowadzenie w błąd użytkowników internetu i doprowadzenie do wyłudzenia ich danych lub niekorzystnego rozporządzenia ich mieniem oraz

2) wymienione w decyzji, o której mowa w art. 11l ust. 1 pkt 1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2024 r. poz. 1513 oraz z 2025 r. poz. …).”

Tutaj pojawia się niebezpieczny precedens – Lista Ostrzeżeń CERT Polska, która pierwotnie miała służyć do ochrony użytkowników przed wyłudzeniami danych logowania, znacznie zmieni swoje działanie – wpisanie na taką listę będzie obejmować również domeny „wymienione w decyzji, o której mowa w art. 11l ust. 1 pkt 1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną”.

Pozostaje więc sprawdzić, co zawiera ten artykuł. W tym samym projekcie ustawy znajduje się zapis o postępowaniu prowadzonym przez „organ właściwy do rozpatrzenia wniosku”, czyli Prezesa Urzędu Komunikacji Elektronicznej.

Usuwanie nielegalnych treści

Temat usuwania „nielegalnych treści” w ramach DSA jest zbyt obszerny, aby zawrzeć go w tym artykule.

Zaufana Trzecia Strona podkreśla jednak, że oprócz „litanii paragrafów definiujących nielegalne treści, głównie na podstawie Kodeksu karnego”, wymieniono również art. 116 ustawy o prawie autorskim i prawach pokrewnych. Brzmi on następująco:

„1. Kto bez uprawnienia albo wbrew jego warunkom rozpowszechnia cudzy utwór w wersji oryginalnej albo w postaci opracowania, artystyczne wykonanie, fonogram, wideogram lub nadanie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.”

Tutaj pojawia się pewien nietypowy aspekt – Lista Ostrzeżeń CERT Polska, która jest zaufana przez praktycznie każdy podmiot, nagle staje się… pomocą do blokowania treści łamiących prawa autorskie?

„Innymi słowy, narzędzie służące do blokowania stron phishingowych – po wdrożeniu DSA – ma wspomóc środowiska prawno-autorskie w walce z piractem i nielegalnym streamowaniem meczy polskiej ekstraklasy. Czy aby na pewno o to chodzi?” – stwierdziła Zaufana Trzecia Strona.

Zadajmy sobie pytanie

Hipotetycznie przenieśmy się do roku 2031. Wybory wygrywa partia [tutaj wstaw swoich przeciwników politycznych] i nagle uznaje, że ten katalog trzeba rozszerzyć o dezinformację czy treści „szkodliwe dla państwa”. Może to zostać poparte np. troską o dobro obywateli.

Takie „uwalnianie” zaufanego podmiotu  (jakim niewątpliwie jest Lista) do ingerencji innej niż treści wprost szkodliwe dla obywateli (pod kątem cyberzagrożeń) może rodzić nadużycia w przyszłości. A jak pokazuje historia – państwo nie zrzeka się raz nadanych sobie uprawnień. Zmiany tego rodzaju mogą prowadzić do przyszłych prób uciszania [tutaj wstaw organizację, z którą sympatyzujesz].

Nie chcę poruszać tematów politycznych, więc powiem ogólnie – zdarzały się w naszej niedawnej historii przypadki, gdzie wersja wydarzeń urzędników państwowych była inna niż ta prawdziwa – co pokazali niektórzy dziennikarze (i chwała im za to). Czy taka treść również będzie mogła zostać zablokowana?

Komu służy wrzutka?

„Skandal z wrzutką lobbystów na listę ostrzeżeń CERT Polska” – brzmi tytuł artykułu Zaufanej Trzeciej Strony. Można podnieść argument, że działanie wynika wprost z unijnych przepisów, lecz tak nie jest. W artykule Z3S wykazano, że:

„Przy art. 11 i kilkunastu innych umieszczono informację, że wskazana zmiana nie wynika bezpośrednio z obowiązku implementacji unijnych przepisów. Celem jest „umożliwienie sprawnego blokowania dostępu do nielegalnych treści”. Gdyby komuś było tego mało, może jeszcze zajrzeć do plikuRM_opinia o zgodności UE zm usude DSA 18092025.pdf, w którym znajdzie opinię Radosława Sikorskiego, Ministra Spraw Zagranicznych i jednocześnie Wiceprezesa Rady Ministrów. Potwierdza ona zgodność projektu ustawy z prawem Unii, ale zastrzega, że „projekt zawiera przepisy, których przyjęcie nie jest niezbędne do wdrożenia prawa UE, szczegółowo opisane w dołączonej do niego odwróconej tabeli zbieżności”.”

Kwestia blokowania treści łamiących prawa autorskie została podkreślona w raporcie z konsultacji publicznych. Pojawiły się tam stanowiska podmiotów związanych z publikowaniem utworów.

Ponownie zacytuję Zaufaną: „(…) polska Rada Ministrów zadecydowała, że spełni zachciankę środowisk prawno-autorskich. Nie byłoby to może tak bulwersujące, gdyby stworzyła odrębny mechanizm wspomagający ochronę praw autorskich w sieci (…) Lista Ostrzeżeń od dawna, krok po kroku buduje swoją reputację zaufanego mechanizmu ratowania polskich internautów przed oszustami. Ta reputacja jest niezbędna, by był to mechanizm skuteczny – jeśli pojawią się na niej treści z innych kategorii, jej adopcja będzie znikoma i cała praca włożona w uczynienie polskiego internetu bezpieczniejszym pójdzie na marne.”

Apel

Ochrona użytkowników polskiego internetu przed phishigiem (lub innymi zagrożeniami) nie może być zrównana do walki z „piractwem”.

Rozwiązanie tego zagadnienia jest proste – stworzenie drugiej listy ostrzeżeń, przed „treściami naruszającymi prawo autorskie”.

Jeśli ktoś wierzy, że wpisanie domen na Listę Ostrzeżeń CERT Polska pozwoli „uniknąć piractwa”, jest wyjątkowo naiwny – prawie tak samo jak brytyjscy legislatorzy podczas próby powolnej cenzury sieci pod pretekstem ochrony dzieci.

„Wrzucenie dodatkowych treści na Listę Ostrzeżeń jest wyjątkowo głupie, bo wdrożenie tej listy jest całkowicie dobrowolne po stronie operatorów – a autorzy przepisów mieli przecież do dyspozycji listę antyhazardową, prowadzoną przez Ministerstwo Finansów, której wdrożenie jest obowiązkowe” – stwierdza Z3S.

Interesy korporacji nie mogą być zrównane do blokowania działań cyberprzestępców. „To narzędzie miało chronić ludzi przed cyberprzestępcami, a nie dbać o interesy korporacji. Jeśli chcemy walczyć z piractwem, pewnie, róbmy to ale innymi środkami, tak, żeby nie rozmydlić dotychczasowego celu” – celnie kwituje Mateusz Chrobok na X.

Mówiąc wprost: uwzględnienie „pirackich” domen sprawi, że ta lista będzie bezużyteczna. Co nie znaczy, że nie można zrobić innej.

Rządzie, nie zepsuj Listy Ostrzeżeń CERT Polska!

Poniższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji.