Kongres USA dość nieśpiesznie zabrał się za opracowanie i uchwalenie nowych przepisów dotyczących cyberbezpieczeństwa. Dość powiedzieć, że pierwotna wersja przepisów umożliwiających wymianę informacji na temat zagrożeń w cyberprzetrzenii była przedstawiona w listopadzie 2011 r. i nie została zatwierdzona przez Kongres (w bardzo różnej od obecnej formie) do grudnia 2015 r. W mijającym tygodniu byliśmy jednak świadkami prezentacji trzech znaczących inicjatyw w dziedzinie cyberbezpieczeństwa, z których każdą charakteryzowało zgoła inne podejście do problemu.
Po pierwsze, dwoje senatorów - republikanin Richard Burr, przewodniczący Senackiej Komisji ds. Wywiadu, i zasiadająca również w tym gremium demokratka Dianne Feinstein - przedstawiło projekt „Ustawy zgodności z postanowieniami sądu z 2016 r.” (Compliance with Court Orders Act of 2016). Odnosi się on bezpośrednio do trwającej właśnie debaty na temat dostępu organów państwa do szyfrowanych połączeń i wykorzystywanych w tym celu urządzeń. Problem ten uwidocznił się ostatnio z całą jaskrawością w związku ze sporem pomiędzy Apple i FBI, które zażądało od koncernu odszyfrowania dostępu do zawartości telefonu iPhone terrorysty z San Bernardino. Senatorowie Burr i Feinstein wydają się nie mieć wątpliwości, że FBI było uprawnione do sformułowania takich roszczeń, zaś taka reakcja, jaką zademonstrował Apple, powinna być na przyszłość prawnie niedopuszczalna, podobnie jak i projektowanie urządzeń, które uniemożliwiają przekazanie dostępu do ich zawartości.
Najważniejszy zapis wspomnianego wyżej projektu ustawy przewiduje, że „podmiot, który otrzyma na wniosek organu państwa sądowy nakaz udostępnienia informacji bądź danych, będzie zobowiązany a) dostarczyć żądanych informacji bądź danych wnioskującemu o to organowi państwa w czytelnej postaci lub b) udzielić wsparcia technicznego, jeśli okaże się ono niezbędne dla umożliwienia dostępu do żądanych informacji bądź danych w czytelnej postaci, względnie dla osiągnięcia celu wydanego nakazu sądowego.” W skrócie oznacza to, że jeżeli dany organ ścigania zażąda dostępu do informacji bądź danych, producent czy dostawca usług komunikacyjnych lub oprogramowania, zobowiązany będzie do udostępnienia wymaganych danych. Projekt takiego rozwiązania legislacyjnego nie jest zaskakujący – został wszak opracowany w Senackiej Komisję ds. Wywiadu. Ciało to odpowiada w Kongresie USA za nadzór nad realizacją uprawnień służb specjalnych do gromadzenia i analizowania danych niezbędnych dla ochrony bezpieczeństwa narodowego.
Projekt zawiera wprawdzie kilkanaście zapisów będących ustępstwem na rzecz branży teleinformatycznej, jednak zostały one wprowadzone jako poprawki w pośpiechu, po tym jak wcześniejsza wersja ustawy doprowadziła środowiska biznesowe do rozpaczy. Zapisy te dotyczą np. prawa do uzyskania rządowej refundacji wszelkich kosztów poniesionych przez firmy w związku z koniecznością dostosowania ich działalności do znowelizowanych przepisów prawa. W projekcie znalazło się też jednoznaczne zapewnienie, że prawo nie będzie wymagało stosowania określonych systemów operacyjnych czy założeń dokumentacji technicznej poszczególnych rozwiązań. Istotne w tym kontekście jest, że omawiany projekt legislacyjny cieszy się tylko niewielkim poparciem w Kongresie. Ledwie został opublikowany, z obu stron zaatakowali go radykałowie; zarówno lewicowi obrońcy prywatności, jak i prawicowi libertarianie wyrazili zaniepokojenie nadmiarem uprawnień przewidywanych dla władz. Istnieje zatem nikła szansa na to, że projekt będzie niebawem procedowany w Kongresie, o ile w ogóle do tego dojdzie.
Wyrazem odmiennej postawy wobec kwestii prywatności i bezpieczeństwa projekt „Ustawy o prywatności poczty elektronicznej” (Email Privacy Act), który wprawdzie po raz pierwszy był przedstawiony już trzy lata temu, ale dopiero w tym tygodniu został przegłosowany przez Komisję ds. Sądownictwa Izby Reprezentantów (House Judiciary Committee). Projekt przewiduje nowelizację „Ustawy o prywatności w łączności elektronicznej” z 1986 r. (Electronic Communications Privacy Act of 1986/ECPA), pierwszego aktu prawnego, który zawierał zestaw nowych zasad, przeznaczonych do stosowania w odniesieniu do nowo powstających metod wymiany informacji. O ile w 1986 r. prawodawca rozumiał różnicę między e-mailem, a rozmowami telefonicznymi czy tradycyjną pocztą, dostrzegając potrzebę uchwalenia nowego prawa, które określałoby warunki uzyskania przez organy państwa dostępu do wymienianych tą drogą informacji, to e-mail traktuje się podobnie jak konwencjonalne, tradycyjne formy komunikacji. Co więcej, w 1986 r. legislator uznał, że e-maile, po przeczytaniu, powinny być utylizowane, podobnie jak stare listy. Wszelkie e-maile, które po 180 dniach znajdowały się w skrzynkach odbiorczych, miały według ustawy sprzed 30 lat status „opuszczonych”. Tym samym ustawa ECPA umożliwiała organom ścigania uzyskanie nieograniczonego dostępu do dowolnej wiadomości e-mail przechowywanej na serwerze poczty elektronicznej przez więcej niż 180 dni bez potrzeby występowania do sądu z wnioskiem o wydanie stosownej zgody i nakazu.
Jest oczywiste, że to, co opisywało realia korzystania z poczty elektronicznej w 1986 r., dzisiaj jest ponad wszelką wątpliwość bezużyteczne. Obrońcy prywatności już od dawna alarmują, że cezura 180 dni musi przejść do historii. Ustawa Email Privacy Act przewiduje właśnie wprowadzenie postulowanej poprawki, zgodnie z którą organy państwa muszą otrzymać nakaz, aby uzyskać dostęp do wiadomości e-mail w ogóle. Projekt wspomnianej ustawy nie oznacza jednak wyłącznie dobrych wieści dla lobby adwokatów prywatności. Liczyli oni na uchylenie tych artykułów ustawy ECPA, które pozwalają organom państwa zapobiec informowaniu przez operatorów teleinformatycznych ich klientów o tym, że władze zażądały udostępnienia ich danych. Nowy projekt zobowiązuje bowiem operatorów do milczenia przez 180 dni. Mamy więc nową zasadę 180 dni, która na pewno nie spodoba się obrońcom prywatności.
Trzecia postawa wobec kwestii cyberbezpieczeństwa, zademonstrowana w tym tygodniu w Waszyngtonie, nie jest związana z procesem legislacyjnym. Chodzi tu o pierwsze publiczne posiedzenie Komisji ds. Wzmocnienia Cyberbezpieczeństwa Narodowego (Commission on Enhancing National Cybersecurity). Zespół ten, powołany do życia dekretem prezydenta w lutym br., ma za zadanie określić – jak to ujął Barack Obama - „działania, które winien podjąć nasz naród, by zapewnić nam cyberbezpieczeństwo w coraz bardziej zdygitalizowanym świecie”. Komisja ma zrealizować swoją misję w ciągu niecałych 8 miesięcy, składając końcowy raport 1 grudnia 2016 r. W skład tego organu wchodzą m.in. generał Keith B. Alexander - były dyrektor NSA, Ajay Banga – prezes MasterCard, Herbert Lin – wieloletni badacz zagadnień bezpieczeństwa z Uniwersytetu Stanford, Joe Sullivan – dyrektor generalny ds. bezpieczeństwa (Chief Security Officer) w Uber, wcześniej zatrudniony w Facebooku.
Projekt przedstawicieli z Senackiej Komisji Wywiadowczej Kongresu USA przewiduje, że „podmiot, który otrzyma na wniosek organu państwa sądowy nakaz udostępnienia informacji bądź danych, będzie zobowiązany a) dostarczyć żądanych informacji bądź danych wnioskującemu o to organowi państwa w czytelnej postaci lub b) udzielić wsparcia technicznego, jeśli okaże się ono niezbędne dla umożliwienia dostępu do żądanych informacji bądź danych w czytelnej postaci, względnie dla osiągnięcia celu wydanego nakazu sądowego”
W nadchodzących miesiącach prawdopodobnie będziemy mieli okazję śledzić zmagania między zwolennikami trzech opisanych wyżej postaw wobec kwestii cyberbezpieczeństwa: pierwszej, zakładającej, że bezpieczeństwo jest najważniejsze, przygotowanej przez senatorów Burra i Feinstein; ograniczenia prywatności przewidywanego w projekcie ustawy E-mail Privacy Act; czy wreszcie odwołującego się do współpracy podejścia prezydenckiej komisji. O ile pierwsze dwie koncepcje są zbyt skrajne, żeby dało się je przeprowadzić przez proces legislacyjny bez burzliwej debaty, komisja powołana przez Baracka Obamę ma największe szanse, by wpłynąć realnie na politykę. Najpierw jednak musi zmierzyć się z wyzwaniem stworzenia w bardzo krótkim czasie nowych rozwiązań w dziedzinie, w której postęp zazwyczaj wymaga długoletnich wysiłków. Internet może poruszać się z prędkością światła, ale naturalnym stanem dla demokracji jest entropia.
Blaise Misztal zajmuje się kwestiami bezpieczeństwa narodowego, ze szczególnym uwzględnieniem cyberbezpieczeństwa, w jednym z prominentnych waszyngtońskich think tanków, gdzie opracował m.in. symulację strategiczną Cyber ShockWave. Jest stałym ekspertem Cyberdefence24.pl