Polityka i prawo
Cyfrowa Konwencja Genewska to idea, a nie nowy traktat
O przyczynach powstania pomysłu na Cyfrową Konwencję Genewską, reakcji państw na nią oraz społecznej odpowiedzialności Microsoftu mówi w rozmowie z CyberDefence24.pl Piotr Marczuk z firmy Microsoft
Dr Andrzej Kozłowski
Mamy cztery konwencje genewskie, które najczęściej powstawały po konfliktach zbrojnych. Skąd pomysł na Cyfrową Konwencję Genewską?
Piotr Marczuk
Tak jest skonstruowana ludzkość, że do zmian potrzebny jest wstrząs. Sytuacje trudne stają się katalizatorami do działań, które mogą uchronić przed powtórką. Konwencje Genewskie powstawały do tej pory po konfliktach zbrojnych, ale przedmiotem i podmiotem tych regulacji była ludność cywilna. Szczególnie ostatnia Konwencja Genewska dotyczyła ochrony cywili w czasie konfliktu zbrojnego. Wcześniejsze poruszały kwestie m.in. powołania Czerwonego Krzyża, ochrony jeńców czy rannych bez względu na ich narodowość. Generalnie konwencje dążyły do tego, żeby pewne grupy społeczne lub pewnych uczestników konfliktu zbrojnego traktować specyficznie. Charakterystyczny znak Czerwonego Krzyża był oznaczeniem ludzi reprezentujących tę organizację i wiadomo było, że są oni w szczególny sposób chronieni podczas zawieruchy wojennej. Osoby zidentyfikowane jako ranni, bez względu na przynależność do stron konfliktu, mieli być również chronieni w jednakowy sposób. Jeśli chodzi o cywili, którzy znajdują się w obszarze teatru zbrojeń to wiadomo, że traktujemy ich nie jak żołnierzy i zapewniamy im ochronę.
Mieliśmy w ostatnich latach, kilka ewidentnych przykładów cyberataków na skalę regionalną, międzynarodową i globalną. Konsekwencje tych zdarzeń bardzo często dotykają cywili.
W zamyśle Cyfrowej Konwencji Genewskiej było wprowadzenie podobnych reguł do świata cyfrowego, gdzie inspirowane przez państwa cyberataki tworzą obszar konfliktu "zbrojnego" w cyberprzestrzeni. Idąc w ślad za tym, w jaki sposób ludzkość podchodziła do tworzenia Konwencji Genewskich, tutaj również chodzi o ochronę konkretnych, mimowolnych uczestników takich zdarzeń.
Musimy chronić cywili, ponieważ są oni ofiarami działań, które mogą być wymierzone przeciwko konkretnemu podmiotowi, firmie czy nawet państwu. W związku z tym trzeba pomyśleć o cywilach i gospodarce, jak o nadrzędnych wartościach, które należy chronić.
Cyfrowa Konwencja Genewska została zaproponowana pierwszy raz w 2017. Na kanwie jakich wydarzeń?
Mieliśmy w ostatnich latach atak na sieć Sony Pictures. Mimo, że był to atak na prywatną, a nie państwową firmę w konsekwencji sprawa cyberataku i jego skutki szybko zyskały wymiar geopolityczny. Została zaangażowana administracja państwowa, pojawiła się wojenna retoryka oraz pierwsze oficjalne retorsje.
Niedawno doszło do ataku WannaCry, który spowodował bardzo duże problemy w systemie ochrony zdrowia Wielkiej Brytanii. Przeprowadzono także atak NotPetya na Ukrainie, a sama Ukraina jest non stop teatrem cyberwojny. Do pierwszej zmasowanej fali ataków doszło tam już w 2014 roku, podczas wyborów prezydenckich. Potem mieliśmy operację wymierzoną w ukraińską sieć energetyczną, a atak NotPetya w czerwcu 2017 z pewnością nie należał do ostatnich. W 2019 roku mamy kolejne wybory i dziś trudno przewidzieć, w jaki sposób Ukraina poradzi sobie z tym wyzwaniem.
W skutek ataku NotPetya praktycznie unieruchomiono system bankowy całego kraju. Ludzie nie mogli korzystać z kart kredytowych, zapłacić na stacji benzynowej, za wizytę u dentysty ze swoim dzieckiem. Padło 20% systemów rządowych. Łącznie z tym, że na posiedzeniu rządu, pokazywano sobie ekrany, które pojawiły się w momencie szyfrowania danych przez atakujących. W przypadku ataków na Wielką Brytanię, Ukrainę czy nawet firmę Sony spekulowano, iż były one kierowane lub inspirowane przez inne kraje, i przeprowadzane przez politycznie grupy hakerskie. Na koniec tymi, którzy najbardziej cierpią są zwykli cywile, którzy nawet nie wiedzą, że są obiektem cyberataku. Jeżeli ktoś chce iść do pracy, chce wejść do metra i jego karta nie działa, bo system jest zablokowany przez cyberatak, to nie mając nic wspólnego z tym co się dzieje w geopolityce i na świecie staje się podmiotem, który cierpi ze względu na cyberatak wymierzony w dany kraj. W przypadku Ukrainy, cyberatak był ukierunkowany na podmioty ukraińskie, ponieważ wirus działał w ten sposób, że wychwytywał firmy, który były zarejestrowane w ukraińskim systemie podatkowym. Potem atak rozlał się poza Ukrainę. Wiadomo, że celem tego ataku nie było uzyskanie korzyści finansowych, ale zniszczenie infrastruktury informatycznej. Później, kiedy dokonano inżynierii wstecznej, stwierdzono, że tych danych i tak nie dałoby się odzyskać. Atak miał być tak przeprowadzony, żeby je utracono bezpowrotnie. Czyli można powiedzieć, że ktoś miał na celu zaatakowanie i bezpowrotne zniszczenie infrastruktury informacyjnej.
To są zagrożenia, które w swojej naturze są nowe. Po pierwsze, podejrzewa się , że ataki są inspirowane przez kraje, a po drugie ich celem jest zniszczenie infrastruktury przeciwnika. Spowodowanie szkód, których się nie da odwrócić. A co najważniejsze dotyka to szerokie rzesze cywili. Te wszystkie elementy skłaniają nas do tego, żeby wyjść z inicjatywą, która ma za zadanie nakłonić sygnatariuszy do zastanowienia się i stworzenia międzynarodowego mechanizmu, który będzie chronił cywili w trakcie cyberataku.
Mówi Pan o obiektach niemilitarnych i cywilach, ale Ci są chronieni w ramach istniejącego prawa międzynarodowego, a podręcznik talliński część pierwsza i druga oraz wyniki prac Grupy Ekspertów Rządowych przy ONZ mówią, że prawo międzynarodowe ma zastosowanie do cyberprzestrzeni. To w takim razie w jakim celu nowy dokument?
Cyfrowa Konwencja Genewska jest ideą. Nie wchodzimy w dyskusję, jak miałby wyglądać ten dokument, ile miałby mieć rozdziałów, jakie miałby być przyznane uprawnienia i obowiązki. Bynajmniej w żadnej sposób nie ujmuję pracy wykonywanej przez już istniejące gremia: Centrum Doskonalenia Cyberobrony NATO (odpowiedzialne za podręczniki talińskie), grupa robocza przy ONZ czy Global Commision on Stability of Cyberspace w Hadze. Ich prace de facto zmierzają w podobnym kierunku. My chcielibyśmy, żeby one mogły się zmaterializować w postaci szeregu norm, na które umówią się wszystkie strony: państwa, organizacje pozarządowe i firmy. Taka wiążąca umowa międzynarodowa powinna określać zakres norm i sposób postępowania, który spowoduje, że skutki cyberataków przeciwko ludności cywilnej, będą minimalizowane. Chcielibyśmy, żeby te wszystkie gremia mogły wypracować system, który rzeczywiście będzie działał. One niestety działają oddzielnie, w silosach, natomiast my chcieliśmy dać dodatkowy impuls do tego, żeby nastąpił pewien przełom w rozmowach międzynarodowych, w dialogu politycznym, dzięki któremu będzie możliwe wypracowanie konsensu i zestawu norm międzynarodowych, które możemy nazwać Cyfrową Konwencją Genewską. Wiadomo, że jest to długoletni proces wymagający wysiłków dyplomatycznych. My występujemy jako aktor z boku. Nie naszą rolą jest tworzenie prawa międzynarodowego.
Prawo międzynarodowe i poprzednie Konwencje Genewskie były domeną wyłącznie państw. W przypadku Cyfrowej Konwencji Genewskiej, prywatna korporacja, która ma olbrzymi wpływ na świat cyfrowy wychodzi z taka propozycją?
Z jednej strony jest to z pewnością sposób myślenia w kategoriach społecznej odpowiedzialności biznesu. Jako firma działająca globalnie mamy świadomość, jak szeroki wpływ mają dzisiaj technologie na kraje, narody i społeczeństwa. W związku z tym, wydaje się nam, że biorąc odpowiedzialność za technologie, które kreujemy i oddajemy w ręce społeczeństw, rządów i organizacji powinniśmy też wziąć odpowiedzialność za to jak one są wykorzystywane. Nie uchylamy się od tego. Mamy wiedzę oraz wiemy o dobrych i złych skutkach wykorzystania technologii i jesteśmy, jako firma, wysokiej klasy, globalnym ekspertem w tej materii. Naszym zdaniem, żeby skutecznie zaadresować te problemy wobec technologii używanych do cyberataków, musimy mieć pewne porozumienie na poziomie międzynarodowym. Bo do tak wysoko postawionych wyzwań, potrzebne są tak wysoko postawione narzędzia.
Jaki jest odbiór państw czy organizacji jak np. Unia Europejska na propozycje Microsoftu?
Odbiór jest różny. Nie mam wiedzy odnośnie Unii Europejskiej, ale rządy poszczególnych państw prezentują różne stanowiska od sceptycznych, po mocno krytyczne, kończąc na grupie tych podchodzących optymistycznie do naszych propozycji. Zdajemy sobie jednocześnie sprawę, że jest to długofalowa praca i to co Microsoft dzisiaj proponuje to w ramach aktu międzynarodowego, który może się ziści za 10-15 lat. Bardzo często jest też tak, że rządy odnoszą się tylko do tej fasady - Cyfrowa Konwencja Genewska, traktując ją jako kolejne porozumienie do stworzenia. My nie chcemy o tym myśleć w ten sposób, bo prace nad kolejnym takim dokumentem spowodują, że będziemy rozmawiać następne 20 lat i niczego w rzeczywistości nie uzyskamy. Inni mówią, ok wyszliście z ideą Cyfrowej Konwencji Genewskiej, mamy kilka różnych gremiów, forów, które pracują na temat norm w obszarze konfliktów w cyberprzestrzeni, spróbujcie wesprzeć te organizacje, po to żebyśmy mogli znaleźć konkretne konkluzje dużo szybciej, próbujcie wejść w istniejące prace i w ten sposób osiągnięcie cel. Jak widać podejścia są różne. W Polsce ostatnio odbyło się forum dyskusyjne zorganizowane przez German Marshall Fund, gdzie obecne były organizacje pozarządowe, reprezentanci z MSZ i przedstawiciele biznesu. MSZ nie był nastawiony krytycznie i negatywnie do samej idei, ale z drugiej strony jego przedstawiciele powiedzieli nam, że procesy dyplomatyczne trwają wiele lat i nie są łatwe, a podmioty, których mają dotyczyć regulacje są trudne do zarządzania i komunikacji. Dlatego też nie należy mieć złudzeń, że ten temat ziści się w krótkim horyzoncie czasowym.
Chciałbym też zwrócić uwagę, że tytuł Cyfrowa Konwencja Genewska jest odbierany zbyt dosłownie, ale co ważne Microsoft proponuje konkretne elementy, filary czy działania, które miałby tę idee ziścić. Jednym z tych filarów jest tzw. Atribution Body czyli organizacja, która miałaby na celu weryfikację i przypisywanie ataku pewnym podmiotom. Z drugiej strony proponujemy koalicję biznesową tz. Cybersecurity Tech Accord, czyli koalicję biznesową, która ma wypracować biznesowe zasady współpracy i wsparcia w zakresie cyber bezpieczeństwa dla biznesu i cywili. Chcemy pokazać, że jeżeli biznes potrafi określić normy i zasady w tej kwestii, to tego samego oczekujemy od rządów i politycznych decydentów.
Czy ta koalicja biznesowa obejmuje również partnerów z Chin i Rosji?
Ogłoszenie pierwszej grupy firm, które podpisały się pod Tech Accord miało miejsce w kwietniu tego roku. Z polskiego podwórka mamy kilka podmiotów zidentyfikowanych, z którymi rozmawiamy nad możliwością przystąpienia przez nie do takiej globalnej koalicji z założeniem takim, że nie miałaby to być inicjatywa pod szyldem Microsoftu, albo z wiodąca siłą Microsoftu. To miałaby być koalicja równorzędnych podmiotów, które przyjmą swego rodzaju memorandum i zasady współdziałania wspólne dla całej tej koalicji. Sama list nie jest zamknięta, więc czas pokaże ile firm i z jakich krajów zechce się włączyć w tę inicjatywę.
Miesiąc temu wraz z doktorem Adamem Lelonkiem odbyliśmy szereg rozmów w Brukseli w Europejskiej Służbie Działań Zewnętrznych Europejskiego Instytutu Badań Strategicznych i reakcja była raczej negatywna. Argumentowano, że Unia Europejska konsekwentnie we wszystkich swoich dokumentach powtarza, że istniejące prawo międzynarodowe jest wystarczające oraz, że wniosek Microsoftu o powołanie nowego dokumentu jest zbieżny ze stanowiskiem Chin i Rosji, że trzeba stworzyć nowy dokument?
Nie będę recenzował wypowiedzi Chin i Rosji.
To była tylko sugestia, że być może te dwa państwa wykorzystają ten pomysł do realizacji swoich interesów. Od początku lat 90. mówiły o konieczności uchwalenia oddzielnego traktatu kontrolującego tzw. broń informacyjną.
Zgadzam się, że istnieje taka możliwość. Z jednej strony mogą to wykorzystać, z drugiej strony USA czy UE są świadome, w jaki sposób można dyplomatycznie rozwodnić ten temat. Aktorzy stojący na szachownicy wiedzą, jakiego rodzaju ruchy druga strona można wykonać. Natomiast wydaje mi się, że Microsoft proponując tego typu idee, podchodzi bardziej do tego tematu z punktu widzenia poszukiwania platformy do efektywnej dyskusji, a nie dyplomatycznego gracza. Nas interesuje to, co można rzeczywiście zrobić, żeby zaadresować problemy cywili czy gospodarek, które są narażone na cyberataki. Dziś nie widać, aby państwa w jakiś sensowny, skoordynowany sposób adresowały te problemy. UE mówi, że można te problemy rozwiązać istniejącymi, uregulowaniami prawa międzynarodowego. Czy jednak można to zaobserwować w konkretnym, skutecznym działaniu? Czy na Ukrainie, na której mamy falę za falą cyberataków widzimy zdecydowaną poprawę sytuacji? Wiadomo, że Ukraina jest w bardzo trudnej sytuacji geopolitycznej i konieczne są tutaj określone działania ochraniające ludność cywilną również w świecie cyfrowym.
Czy Wielka Brytania oprócz opublikowania White Paper i wdrożenia programów poprawy cyberbezpieczeństwa mogła w jakiś sposób zareagować systemowo czy międzynarodowo na WannaCry? Czy mamy jakąś diametralną zmianę od momentu ataku na Sony? Trudno taką zmianę dostrzec. Jakiś impuls służący temu, że świat zareaguje na to co się dzieje w cyberprzestrzeni jest potrzebny. My ten impuls nazywamy Cyfrową Konwencja Genewską. Natomiast musi być on złożony z wielu różnych aktywności i działań, a nie tylko dyplomatycznego bicia piany, żeby to rzeczywiście mogło zadziałać.
Czyli Państwo byście chcieli, żeby taka sama sytuacja miała miejsce w świecie cyfrowym?
W świecie cyfrowym chcielibyśmy, żeby państwa zechciały usiąść przy jednym stole i powiedzieć: potrzebujemy pewnego rodzaju regulacji i wspólnego działania. Microsoft dodaje dodatkową cegiełkę do tych działań podkreślając, że ta masa krytyczna już jest. Wszyscy zdają sobie sprawę, że jeden atak może spowodować, że system finansowy kraju przestaje działać i zanim wszystko wróci do normy mijają np. 3 dni. W 3 dni wiele firm traci miliony dolarów i wiele firm może przestać nawet istnieć, bo nie jest w stanie zrestartować swojego systemu operacji finansowych, traci klientów, kontrakty i ludzie zostają bez pracy. Oni mają rodziny, dzieci chodzą do szkoły, ktoś za to musi zapłacić itd. Uruchamia się cały łańcuszek zniszczeń i w jaki sposób państwa na to reagują?
Firmy takie jak Mearsk czy inne, które zostały dotknięte atakiem na Ukrainie czy InterCars w Polsce potrafią co do złotówki wyliczyć, ile ich kosztowało zablokowanie całej infrastruktury informatycznej. Państwo nie potrafi stwierdzić, że przykładowo straty wyniosły 3% naszego PKB, albo jaka liczba obywateli została dotknięta tym atakiem i jakie działania powinniśmy podjąć. Skoro państwa ani społeczeństwa międzynarodowe nie potrafią tego zaadresować, oferujemy mechanizmy, które rzeczywiście pomogą w radzeniu sobie z tego rodzaju sytuacjami. Ze strony biznesowej dajemy dwa przykłady mechanizmów przeciwdziałania i ochrony. Jeden to koalicja biznesowa, która ma pewne globalne zasady, a drugi to organizacja złożona z przedstawicieli przemysłu, organizacji pozarządowych i ekspertów, którzy będą w stanie autorytatywnie stwierdzić, kto stoi za danymi atakiem.
Wycieki danych z CIA Vault 7 czy wcześniej informacje pochodzące od Edwarda Snowdena, sugerowały, że Microsoft współpracował z amerykańskim rządem i instalacji tzw. tylnych furtek. W ataku WannaCry, głównym wektorem ataku była dziura w systemie Microsoft Windows - Eternal Blue. Czy w takim razie propozycja tej Konwencji to próba podreperowania swojej reputacji? Czy Microsoft biorąc pod uwagę te kontrowersyjne historie to na pewno właściwy podmiot do tego?
Zamysł stworzenia idei Cyfrowej Konwencji Genewskiej nie jest w żaden sposób połączony z wizerunkiem Microsoftu. Chcemy budować zaufanie do technologii cyfrowych, w podobny sposób w jaki budowane jest zaufanie do sektora finansowego czy bankowego. Kiedyś musiał Pan stać w kolejach do okienka w banku, ale był Pan pewny, że te pieniądze tam są i są chronione. Dzisiaj Pan to wszystko robi online, ale nadal ma Pan zaufanie do tego podmiotu, który ma w nazwie bank, że on te pieniądze Panu bezpiecznie przechowa. Może być wystawiony na ataki, ale słowo bank równa się zaufanie. W związku z tym, że gospodarka w najbliższych latach coraz bardziej będzie napędzana nie tylko pieniądzem, ale także paliwem, którym są dane, branża informatyczna dąży do tego, żeby zbudować taki stopień zaufania do usług informatycznych, jaki banki mają zbudowany u swoich klientów od wieków.
Oczywiście, możemy powiedzieć, że dzisiaj świat pędzi dużo szybciej niż w XVI czy XVII wieku, bo dzisiejszy New York Times w ciągu jednego tygodnia publikuje więcej danych niż człowiek w XVI wieku przez całe swoje życie. My dzisiaj w branży informatycznej chcemy zbudować to zaufanie do usług informatycznych w takim samym szybszym tempie jak napływ danych, który nas zalewa. Microsoft nie robi tego na swoje konto, ale na konto całej branży informatycznej na świecie. Po prostu technologie informatyczne będą napędzały gospodarki światowe wszędzie, od biznesu jednoosobowego do wielkich korporacji. Jeżeli tego zaufania nie będzie, to postęp technologiczny nie będzie następował. Kilka miesięcy temu Holendrzy stwierdzili, że ze względu na ataki na wybory w Stanach Zjednoczonych, przeprowadzą je u siebie manualnie. Dla mnie to jest pewien element uwsteczniania i zagrożenia dla technologii cyfrowej, że można wrócić do liczydeł. Jeżeli zagrożenie wejdzie na pewien określony poziom, to ktoś powie – zrezygnujmy z technologii informatycznych. Wydaje mi się, że jest to ekstremum, a budowanie zaufania ma na celu uchronić nas przed tym.
Co do współpracy z NSA czy CIA w Stanach Zjednoczonych, to cały mój wywód dotyczący budowy zaufania ma pokazać, że tego rodzaju działania są negowane. Z punktu widzenia biznesu podkopywałyby one kompletnie możliwości budowania jakiegokolwiek zaufania do technologii cyfrowych. Gdyby one w rzeczywistości miały miejsce, byłyby określone jako ewidentny strzał w stopę, albo podcinanie gałęzi na której siedzimy. Jeżeli chcemy światowo budować zaufanie do technologii informatycznych, to tego rodzaju działaniami na pewno byśmy sobie nie pomagali. Co więcej, stoimy na stanowisku takim, że wszelkie tego rodzaju aktywności rządów, które mają na celu wykorzystanie backdorów itp., po to żeby w laboratoriach służb specjalnych budować rozwiązania, które mają kiedyś rządowi pomóc w przeprowadzeniu cyberataków, są niewłaściwe. Tego rodzaju działaniom Microsoft jak najbardziej oponuje.
A jak wygląda kwestia prywatności i bezpieczeństwa danych?
Z punktu widzenia dbania o dane, sprawa rozpoczęła się 4 lata temu. Rząd amerykański zwrócił się do Microsoftu w Stanach, wnioskując o udostępnienie danych w jednej ze spraw. Okazuje się, że dane znajdują się w Irlandii, w naszym centrum danych i Microsoft stanął na stanowisku wobec amerykańskiego rządu, że jego jurysdykcja nie rozciąga się na terytorium Irlandii i kończy się na granicach Stanów Zjednoczonych. W związku z czym my tych danych nie udostępnimy, bo dane nie znajdują się w Stanach, tylko w Irlandii, która jest niepodległym państwem. Rząd amerykański mógłby skorzystać z mechanizmów prawnych, które umożliwiają dostęp do tych danych. Te mechanizmy nazywają się MLAT (Mutal legal assistance treaty) i polegają na zgłoszeniu się z oficjalną prośbą do rządu irlandzkiego, albo do właściwych organów wymiaru sprawiedliwości o pomoc prawną. Oni zaś zwrócą się z wnioskiem do Microsoft Irlandia.
Rząd Stanów Zjednoczonych nie wybrał tej drogi i zażądał bezpośrednio do Microsoft, dostępu do danych, gdyż Microsoft ma dostęp do wszystkich swoich centrów danych na świecie. Rozpoczęliśmy batalię prawną. W pierwszej instancji przegraliśmy, w drugiej instancji w apelacji wygraliśmy. Następnie rząd amerykański zwrócił się z tą sprawą do Sądu Najwyższego. Sprawa w sądzie Najwyższym została rozpatrzona lecz zamknięta z powodu nowego prawa – tzw. Cloud Act, które weszło w życie z początkiem bieżącego roku.
Sprawa ta pokazuje w jaki sposób Microsoft podchodzi do ochrony danych. Jeżeli nie ma ważnej podstawy prawnej, a my to bardzo skrupulatnie sprawdzamy, to dane nie zostaną udostępnione. Co więcej, mamy też we własnych politykach takie podejście, że jeżeli jakikolwiek podmiot przyjdzie z ważną podstawą prawną żądania dostępu do danych to Microsoft odpowiada, że nie jest właścicielem tych danych, lecz jedynie przetwarzającym. Właścicielem tych danych jest podmiot danych, czyli po prostu konkretna osoba lub firma. Dlatego odpowiadamy: szanowna instytucjo - proszę zwrócić się do podmiotu danych. On jest dysponentem danych, my tylko je przetwarzamy na mocy umowy.
W świecie rzeczywistym, gdy wydany jest nakaz przeszukania, policjant z tym dokumentem puka do drzwi właściwej osoby. Mówi: tu jest nakaz przeszukania mieszkania i proszę nas wpuścić, a następnie dokonuje czynności. My chcemy zaadaptować te same zasady do świata cyfrowego.
W innych sprawach o dostęp do danych FBI wnioskowało o wydanie danych jednocześnie zabraniając nam poinformować o tym kiedykolwiek ich dysponenta. W tym momencie dochodzi do kuriozalnej sytuacja - FBI z tymi danymi idzie do sądu, rozpoczyna się proces, zapada wyrok, dana osoba zostaje skazana, a my nadal nie możemy poinformować tej osoby, że udostępniliśmy dane na podstawie, których ten wyrok zapadł i sprawa jest zakończona. Microsoft wystąpił w tej sprawie do sądu w Stanach, argumentując, że żąda zmiany legislacji i taka zmiana nastąpiła. W dużej ilości spraw FBI nie zezwalało nigdy Microsoft na poinformowanie właściciela danych o ich udostępnieniu. Dla naszej firmy ta praktyka szła w złą stronę i stała się nadużyciem. W tym obszarze sąd też poszedł nam na rękę i obecnie generalna zasada jest taka, że jeżeli FBI nie zezwala poinformować klienta, to musi określić jak długo taki zakaz obowiązuje.
Tego rodzaju działania Microsoft pokazują, że naprawdę dokładamy należytej staranności i robimy więcej lub maksymalnie dużo, i zgodnie z przepisami prawa, żeby nie ułatwiać organom administracji państwowej dokonywania działań, które na końcu, w swoim efekcie powodują, że zaufanie do technologii jest umniejszane. Staramy się budować to zaufanie w taki sposób, żeby rzeczywiście pokazać, że dostęp do danych naszych klientów, to jest świętość. Działamy zgodnie z literą prawa polegając na mocy nakazu sądowego, umocowania prawnego czy innych podstaw prawnych.
Czy Cyfrowa Konwencja Genewska miałaby adresować problem działań informacyjnych jak np. propagandy, dezinformacji czy fake newsów, bo dzisiaj widzimy, że cyberbezpieczeństwo i bezpieczeństwo informacyjne są ze sobą nieodłącznie powiązane?
Wydaje mi się, że w szerokim rozumieniu tego słowa, tak. Generalnie rzecz dotyczy pewnych procesów ważnych dla społeczeństwa, mówię tu o fake newsach czy zorganizowanych falach trollowania, wpływie na wybory. Czyli są to swego rodzaju procesy społeczne, które są ważne na poziomie kraju i jego obywateli. W strukturach Microsoft, w działach, które zajmują się szeroko rozumianymi zagadnieniami cyberbezpieczeństwa, temat ataków cyfrowych, których autorem jest państwo staje się coraz ważniejszy. W szczególności na znaczeniu zyskuje bezpieczeństwo wyborów. Patrzymy na ten obszar oczywiście z punktu widzenia świata cyfrowego. Łączy się to bezpośrednio z tematem fake newsów czy manipulowania opinią publiczną w świecie cyfrowym. Nie po to manipuluje się opinią w świecie cyfrowym, żeby ludzie przestali lubić masło lub margarynę. Raczej robi się to na innym poziomie, np. na poziomie decyzji wyborczych. Z tego punktu widzenia wydaje mi się, że tak, że patrzymy na to w sposób holistyczny. Mówiąc o ochronie w cyberprzestrzeni w czasie pokoju, mówimy o obronie cywili, jeśli chodzi o systemy ochrony zdrowia, systemy finansowe, systemy energetyczne, czyli podstawy gospodarki współczesnego państwa oraz podstawy polityczne danego organizmu państwowego. Jedną z takich podstaw jest właśnie bezpieczeństwo wyborów.
Piotr Marczuk - członek Zarządu Microsoft, odpowiedzialny za Government Affairs w regionie Europy Środkowo-Wschodniej