Polityka i prawo
Rząd zablokuje Internet?
Minister właściwy ds. informatyzacji będzie mógł zadecydować o zablokowaniu dowolnej strony internetowej bez uzasadnienia? Takie wątpliwości pojawiły się w związku z projektem nowelizacji ustawy o KSC.
Dziennik Gazeta Prawna w przeprowadzonej analizie prawnej rozwiązań odnoszących się do projektu ustawy o krajowym systemie cyberbezpieczeństwa (KSC) ostrzega, że wskazany przez ministra ds. informatyzacji adres internetowy może zostać zablokowany bez podania przyczyny. KPRM ma zapewniać, że chodzi o pilne podjęcie skutecznych, szybkich działań w przypadku wystąpienia incydentu stanowiącego znaczne zagrożenie dla bezpieczeństwa i porządku publicznego. Przyjrzymy się w takim razie zapisom projektu nowelizacji ustawy o KSC w tym obszarze.
Projekt ustawy o KSC wprowadził zapis dotyczący wprowadzenia tzw. polecenia zabezpieczającego, które można wydać operatorom telekomunikacyjnym. Jednym z poleceń zabezpieczających ma polegać na wskazaniu określonego zachowania, które zmniejszy skutki incydentu lub zapobiegnie jego rozprzestrzenianiu. W praktyce zapis ten umożliwiałby blokowanie stron internetowych. Polecenie takie będzie miało moc decyzji administracyjnej i może obowiązywać dwa lata.
W projekcie czytamy, że stosowanie polecenia zabezpieczającego będzie ograniczone do niektórych grup podmiotów gospodarki i społeczeństwa i stosowane w przypadku ryzyka wystąpienia (ostrzeżenie) lub po zaistnieniu incydentu krytycznego, w celu skoordynowania efektywnej reakcji (polecenie zabezpieczające). W projekcie ustawy czytamy, że "incydent krytyczny jest najbardziej dotkliwym w skutkach typem incydentu cyberbezpieczeństwa, skutkującym znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi. Incydent krytyczny jest byłby klasyfikowany przez zespoły CSIRT poziomu krajowego, a więc najpierw operator usługi kluczowej, dostawca usługi cyfrowej lub podmiot publiczny musiałby zgłosić właściwy incydent, który następnie - po przeprowadzeniu należytej oceny - mógłby być uznany przez CSIRT poziomu krajowego za incydent krytyczny".
Kontrowersyjnym zapisem jest też stwierdzenie, że minister właściwy ds. informatyzacji może odstąpić od sporządzenia uzasadnienia polecenia zabezpieczającego w części dotyczącej uzasadnienia faktycznego, jeżeli wymagają tego względy obronności lub bezpieczeństwa lub bezpieczeństwa i porządku publicznego. Obszar ten jest jednak mgliście określony i niejasne zdefiniowany w polskim prawie. Z drugiej strony projekt ustawy mówi o konieczności sporządzania analizy przed wydaniem polecania zabezpieczającego. Analiza miałaby być przeprowadzana wspólnie z Zespołem, w którego skład wchodzą przedstawiciele CSIRT MON, CSIRT NASK, Szefa Agencji Bezpieczeństwa Wewnętrznego realizującego zadania w ramach CSIRT GOV oraz Rządowego Centrum Bezpieczeństwa.
Należy jednak podkreślić, że w polskim prawie istnieją już przepisy umożliwiające zablokowanie dostępu do usług internetowych. Prawo telekomunikacyjne umożliwia prezesowi UKE nakazanie odcięcia internetu lub usług telekomunikacyjnych w sytuacjach szczególny.