Data retention (zatrzymywanie danych) - projekt dyrektywy
Projekt nakłada na operatorów telefonicznych i internetowych obowiązki dotyczące przechowywania przez dłuższy okres danych dotyczących łączności przeprowadzanych za ich pośrednictwem. Dane te mają służyć m.in. do zapobiegania, wykrywania i karania poważnych przestępstw popełnianych przez użytkowników telefonów i internetu. Dyrektywa proponuje przechowywanie danych dotyczących połączeń internetowych przez pół roku, połączeń telefonicznych - przez rok.
Artykuł 4 dyrektywy ustala ogólne kategorie danych, które powinny znaleźć się w bazach operatorów. Są to:
dane niezbędne do ustalenia źródła połączenia;
dane niezbędne do ustalenia odbiorcy połączenia;
dane niezbędne do określenia daty, godziny i czasu trwania połączenia;
dane niezbędne do określenia rodzaju połączenia;
dane niezbędne do określenia narzędzia komunikacji lub tego, co może służyć za narzędzie komunikacji;
dane niezbędne do identyfikacji lokalizacji urządzenia komunikacji ruchomej.
Szczegółową listę danych podlegających zatrzymaniu znajdziemy w załączniku do dyrektywy - może on jednak ulegać modyfikacjom „tak często, jak jest to niezbędne” (art. 5). Załącznik ma być modyfikowany w trybie „komitologii” - bez udziału całego Parlamentu.
Dyrektywa w założeniu ma służyć walce z terroryzmem, została jednak skonstruowana w taki sposób, że zaszkodzi tylko zwykłym obywatelom.
Sposoby obejścia systemów zapisywania danych
Poniżej krótkie przedstawienie kilku najprostszych sposobów uniknięcia zapisu danych dotyczących transmisji internetowej. Dostępne w Internecie oprogramowanie umożliwia ich wykorzystanie nawet osobom bez zaawansowanej wiedzy informatycznej.
1. Tunelowanie
Tunelowanie to technika wykorzystywana często do łączenia sieci lokalnych należących do jednego przedsiębiorstwa, za pośrednictwem łącz internetowych. Specjalne oprogramowanie zbiera cały ruch z sieci lokalnej przeznaczony do oddalonej sieci, szyfruje go i przesyła do komputera umieszczonego w drugiej sieci, który rozszyfrowuje połączenie i wysyła dane do konkretnych komputerów.
Technikę tę wykorzystuje się też do ukrycia zawartości i miejsca docelowego połączeń w środowiskach informatycznych, w których nie ma zagwarantowanego pełnego bezpieczeństwa i prywatności komunikacji. Specjalne oprogramowanie przechwytuje wszystkie połączenia z naszego komputera, szyfruje je i umieszcza w jednym strumieniu danych skierowanym do komputera umieszczonego w bezpiecznej lokalizacji. Dopiero tamten komputer rozszyfrowuje dane i łączy się z innymi serwerami w Internecie. W zapisach łączności operatora, z którym się łączymy, znajdzie się tylko zapis o jednej łączności - z naszym 'bezpiecznym' komputerem, mimo iż w tym czasie mogliśmy przeprowadzić za jego pośrednictwem setki połączeń różnego typu do różnych miejsc w sieci. Jeśli 'bezpieczny' komputer znajdzie się na terytorium poza Unią Europejską, co nie jest niczym nadzwyczajnym w zglobalizowanym świecie, cała nasza łączność internetowa nie będzie podlegać zapisom dyrektywy.
2. Anonymizer
Anonymizery to komputery ze specjalnym oprogramowaniem, służące do bezpiecznego przesyłania poczty elektronicznej bez obawy, że źródło jej pochodzenia zostanie wykryte. Każda wiadomość pocztowa ma ukryte nagłówki informujące np o prawdziwej dacie wysłania, serwerach przez które była przesyłana oraz o nadawcy. Anonymizery usuwają te nagłówki i przesyłają pocztę dalej - co powoduje, że jako źródło pochodzenia e-maila, w teoretycznie niemodyfikowalnych nagłówkach, figuruje serwer anonymizera, a nie nadawcy. Popularne jest tworzenie sieci serwerów anonimizujących pocztę, przez co nawet jeśli jeden z nich zostanie przechwycony przez organy bezpieczeństwa, źródło poczty i tak jest niezmiernie trudne do odgadnięcia.
W przypadku ulokowania anonymizera poza granicami Unii Europejskiej, w zapisach łączności używanego przez nas operatora znajdzie się tylko informacja o łączności z anonymizerem, nie znajdzie się informacja o docelowym odbiorcy poczty elektronicznej.
3. Niezabezpieczone sieci bezprzewodowe
Zdobywające coraz większą popularność sieci bezprzewodowe pokrywają coraz większy obszar Europy. Doświadczenia wykonywane w Warszawie pokazały, że w samym tylko centrum miasta można znaleźć ponad 100 niezabezpieczonych sieci. W samym tylko sąsiedztwie brukselskiego Manneken Pisa, bez wyspecjalizowanego sprzętu, w ciągu dwóch minut odszukałem 5 sieci tego typu. Większość z nich jest zupełnie niezabezpieczona, co oznacza, że wystarczy zbliżyć się do budynku, w którym jest taka sieć, a nasz laptop lub palmtop uzyskają pełną łączność z Internetem. Standardowe zabezpieczenie sieci, zaimplementowane przez każde urządzenie do łączności WiFi okazało się źle zaprojektowane, a istniejące oprogramowanie umożliwia automatyzację procesu obchodzenia zabezpieczeń.
Oznacza to, że dowolna osoba posiadająca urządzenie łączące się z sieciami bezprzewodowymi może uzyskać dostęp do Internetu pozostając całkowicie anonimową. W zapisach łączności znajdzie się informacja o wykonaniu połączenia przez nieświadomego właściciela sieci bezprzewodowej, zostawiając prawdziwe źródło łączności niewykrywalnym.
4. "Niezmienialne" identyfikatory urządzeń: IMEI i MAC
Twórcy dyrektywy zaznaczają, że jednym ze sposobów określenia prawdziwego nadawcy komunikatu w sieciach jest tzw. adres sprzętowy MAC. Każde urządzenie sieciowe ma swój indywidualny adres MAC, przydzielony przez producenta w czasie wytwarzania. Adres ten można zmienić na dowolny inny jednym poleceniem, standardowo dostępnym w większości systemów operacyjnych. Oznacza to, że łatwe jest podszycie się pod konkretny komputer - adresy MAC nie są szyfrowane w żaden sposób i wystarczy podsłuchanie ułamka sekundy łączności w sieci lokalnej, żeby poznać adresy MAC komputerów połączonych w danej chwili z siecią. Adresy MAC są elementem protokołu sieci lokalnych, nie trafiają nigdy do Internetu, przez co w ewentualnych zapisach operatora Internetu znajdzie się co najwyżej (jeśli użytkownik jest połączony protokołem przekazującym MAC) adres sprzętowy ostatniego urządzenia w szeregu - najczęściej modemu DSL - a nie adres rzeczywistego komputera, który przeprowadził transmisję.
Podobnie jest w przypadku telefonów komórkowych, w których identyfikatorem urządzenia jest tzw. numer IMEI - który w większości aparatów da się zmienić z pomocą wyspecjalizowanego oprogramowania. Technika ta jest często stosowana do ukrycia skradzionych aparatów telefonicznych.
5. Włamania i wirusy
Wiele z rozpowszechnionych dziś wirusów komputerowych rozprzestrzeniających się za pośrednictwem Internetu służy do przekształcenia komputerów w tzw. "maszyny zombie". Jest to technika umożliwiająca twórcy wirusa dokonanie dowolnej operacji w Internecie w taki sposób, że "rozkazuje" on zarażonym maszynom wykonać dane polecenie (najczęściej atak na jakiś serwer), a zarażone komputery już same wykonują całą procedurę. Jako źródło ataku we wszystkich zapisach operatorskich figurują indywidualne, zarażone maszyny, a nie komputer twórcy wirusa.
6. Łączność telefoniczna
W epoce rozpowszechnionej łączności typu VoIP - telefonia po łączach internetowych - bardzo proste jest uniknięcie zapisów dyrektywy nakazujących zapisywanie danych obu stron łączności. W związku z tym, że połączenie do operatora telefonicznego jest wykonywane za pośrednictwem Internetu, operator telefoniczny może znajdować się w dowolnym miejscu na Ziemi. Popularne jest korzystanie z amerykańskich, którzy oferują stosunkowo niskie ceny połączeń do większości państw świata. Wystarczy więc użycie jednej z przedstawionych wyżej technik (na przykład tunelowania), aby połączenie do operatora było ukryte przed oczyma operatora telekomunikacyjnego. Nawet jeśli wykonamy połączenie do odbiorcy korzystającego z telefonu na terenie Unii Europejskiej, jego operator będzie mógł odnotować tylko połączenie przychodzące z USA - nie będzie w stanie wskazać rzeczywistego rozmówcy abonenta.
7. Łączność komórkowa
W kolejnych krajach europejskich wprowadzana jest właśnie telefonia komórkowa trzeciej generacji (tzw. 3G). Charakteryzuje się ona m.in. bardzo szybką transmisją danych - przez co telefony 3G można wykorzystać do szybkiego połączenia z Internetem. Jednocześnie same telefony są coraz częściej uniwersalnymi, kieszonkowymi komputerami umożliwiającymi uruchomienie dowolnego oprogramowania. Wystarczy więc na telefonie 3G uruchomić programy: tunelujący połączenia oraz program do rozmów za pośrednictwem protokołu VoIP (techniki opisane powyżej), a cała łączność telefoniczna prowadzona z takiego telefonu będzie niemożliwa do wyśledzenia.
Zagrożenia
Zapisy tej dyrektywy, mającej służyć walce z terroryzmem, są proste do ominięcia dla każdej osoby choć trochę zainteresowanej tematyką łączności internetowej. Oznacza to, że osoby zainteresowane anonimowością i tak będą w stanie ją uzyskać, przez co dyrektywa w tej postaci traci sens. Stanowi za to poważne zagrożenie dla prywatności każdego użytkownika Internetu i telefonu komórkowego. Dane, które muszą być na jej podstawie zbierane, wystarczają do prawie pełnego odtworzenia działalności internetowej osoby, która się przed tym nie zabezpieczyła. Informacje o lokalizacji telefonów komórkowych pozwalają z kolei na odtworzenie ruchów każdego ich użytkownika.
Dane zbierane przez operatorów mogą być cenną informacją dla każdego, kto chce poznać działania dowolnej osoby korzystającej z Internetu. Ich zabezpieczenie będzie w większości przypadków niemożliwe. Zwłaszcza mali operatorzy, w tym popularne w Polsce sieci blokowe, nie są w stanie zapewnić bezpieczeństwa danym przechowywanym na swoich serwerach. Jak wiadomo, internetowi włamywacze potrafią dostać się nawet do bardzo dobrze zabezpieczonych serwerów. Co więcej, wiele kradzieży danych już dziś odbywa się bez konieczności przełamywania zabezpieczeń - dane są wykradane przez samych pracowników operatora, którzy mają do nich pełen dostęp.
Nie da się również zapewnić integralności tych danych - wszystkie dane elektroniczne mogą być modyfikowane bez zostawienia śladu o przeprowadzeniu operacji. Dlatego bardzo trudno traktować je jako niepodważalne dowody.
Ze względu na koszty wprowadzenia szczegółowego zapisywania wszystkich ruchów użytkownika, dyrektywa stanowi również zagrożenie dla małych operatorów, których nie stać na dodatkowe inwestycje (istnieje nacisk na usunięcie z dyrektywy punktów dotyczących zwrotu operatorom poniesionych kosztów). Również większy operatorzy wyrażają swoje wątpliwości:
"– To kompletnie nierealne zamierzenia – tak o planach UE mówi przedstawiciel TP SA. – Mamy ponad 11 mln abonentów. Niech każdy wykona jeden telefon dziennie w ciągu dwóch lat. Nawet nie ma sensu liczyć, ile pamięci na serwerach trzeba by mieć, aby to trzymać przez wiele miesięcy. – Terroryści i tak zapewne nie dzwonią z telefonów stacjonarnych, tylko z tzw. pre-paidów, czyli telefonów na kartę. Te nowe obostrzenia nie mają sensu. Powstanie wielka baza danych o zwykłych ludziach. I te dane będą wyciekać – dodaje pracownik Ery." (cytat za: Życie Warszawy, 14.11.2005)
Alternatywa
Wprowadzonym m.in. przez Stany Zjednoczone rozwiązaniem jest "data preservation" - w przypadku uzasadnionych podejrzeń, uprawnione organy mogą poprosić operatorów o "zamrożenie" posiadanych przez nich danych (zbieranych np. dla celów bilingowych) . "Zamrożone" dane nie są kasowane w normalnym trybie, lecz pozostają do dyspozycji organów państwowych w celu przeprowadzenia śledztwa. Zabezpiecza to prywatność obywateli, a jednocześnie nie powoduje spadku jakości danych, do których mają dostęp służby ścigania - jak można przeczytać w propozycji Komisji, "większość danych potrzebnych organom ścigania nie wykracza poza okres sześciu miesięcy".
Procedura i terminy
Głosowanie w IMCO: 24 listopada
Głosowanie plenarne: 13 grudnia