16-05.01: Różnice pomiędzy wersjami

Wersja z 05:34, 18 cze 2016 (pokaż źródło)

Żmudziński Janusz (dyskusja | edycje)

← poprzednia edycja

Wersja z 10:39, 21 cze 2016 (pokaż źródło)

Dorożyński Janusz (dyskusja | edycje)

(tekst całosci opinii - jeszcze do ewentualnych korekt)

następna edycja →

Linia 1:

−

~~Tekst projektu~~ {{#l:Projektustawyantyterrorystycznej.pdf}}~~ ~~

+

=== Materiały ===

−

Nowy tekst projektu ustawy (z 05.05.2016) ~~{{#l:dokument219764.pdf~~}}~~ ~~

+

Ustawa tzw. antyterrorystyczna:

−

Obecnie projekt jest w Stałym Komitecie Rady Ministrów https://legislacja.rcl.gov.pl/projekt/12284561/katalog/12348751#12348751 i nie podlega konsultacjom.

+

*{{#l:Projektustawyantyterrorystycznej.pdf|Tekst projektu }}

−

Publiczne konsultacje prowadził Rzecznik Praw Obywatelskich https://www.rpo.gov.pl/pl/content/publiczne-konsultacje-rpo-na-temat-projektu-ustawy-o-dzia%C5%82aniach-antyterrorystycznych

+

*{{#l:dokument219764.pdf|Nowy tekst projektu ustawy (z 05.05.2016)}}

−

~~Prezentacja wyników konsultacji~~ {{#l:Konsultacje_w_sprawie_projektu_ustawy_antyterrorystycznej_podsumowanie.pptx}}~~ ~~

+

−

--[~~[Użytkownik~~:~~Jatkiewicz Przemysław~~|~~Jatkiewicz Przemysław~~]~~] ([[Dyskusja użytkownika:Jatkiewicz Przemysław~~|~~dyskusja]]) 12:26,~~ 10 ~~maj~~ 2016 (~~CEST~~)

+

Obecnie projekt jest w Stałym Komitecie Rady Ministrów [https://legislacja.rcl.gov.pl/projekt/12284561/katalog/12348751#12348751 i nie podlega konsultacjom.]

+

Publiczne konsultacje prowadził Rzecznik Praw Obywatelskich ([https://www.rpo.gov.pl/pl/content/publiczne-konsultacje-rpo-na-temat-projektu-ustawy-o-dzia%C5%82aniach-antyterrorystycznych zapis debaty])

+

*{{#l:Konsultacje_w_sprawie_projektu_ustawy_antyterrorystycznej_podsumowanie.pptx|Prezentacja wyników konsultacji}}

+

*[http://orka.sejm.gov.pl/opinie8.nsf/nazwa/516_u/$file/516_u.pdf|Uchwalona ustawa]

+

=== Termin ===

+

* nie było terminu - brak skierowania do konsultacji

+

=== Opinia ===

+

{| class="wikitable collapsible " width=100%

+

! '''Tekst opinii'''

+

|-

+

|

+

Polskie Towarzystwo Informatyczne zaniepokojone niektórymi zapisami ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych prezentuje poniżej swoją opinię.

+

PTI nie kwestionuje potrzeby uchwalenia takiej ustawy. Z uznaniem odnotowujemy podjęcie konkretnych działań zmierzających do zwiększenia bezpieczeństwa obywateli. Jednakże niektóre zapisy tej ustawy budzą nasz niepokój.

+

Ustawa o działaniach antyterrorystycznych powstawała pośpiesznie i praktycznie bez konsultacji społecznych. W trakcie prac nad ustawą wystąpiły przeciwko niej dziesiątki organizacji społecznych. Nawet Rada ds. Cyfryzacji działająca przy Ministerstwie Cyfryzacji zwróciła uwagę na tryb tworzenia ustawy (brak konsultacji społecznych) jak i zawarte w niej poszczególne zapisy.

−

~~Uchwalona ustawa~~: ~~http://orka~~.~~sejm~~.~~gov~~.~~pl/opinie8~~.~~nsf/nazwa/516_u/$file/516_u~~.~~pdf~~

+

Trzy obszary ujęte w ustawie antyterrorystycznej budzą szczególny niepokój PTI. Są to:

+

(a) testy bezpieczeństwa systemów informatycznych (Art. 38 dodający do ustawy o ABW art. 32a)

+

(b) blokada dostępności do danych informatycznych (Art. 38 dodający do ustawy o ABW Art. 32c)

+

(c) personalizacja przedpłaconych kart telefonii komórkowej (Art. 43 dodający do ustawy Prawo telekomunikacyjne art. 60b)

−

~~[[Użytkownik~~:~~Żmudziński~~ Janusz|Żmudziński Janusz~~]] (~~[[~~Dyskusja użytkownika:Żmudziński Janusz~~|~~dyskusja~~]]~~) 07:34, 18 cze~~ 2016 (~~CEST~~)

+

Ad. (a)

+

Ustawa umożliwia ABW prowadzenie testów bezpieczeństwa krytycznych systemów informatycznych, np. operatorów telekomunikacyjnych. Zezwala na stosowanie zabiegów i narzędzia, które w innej sytuacji byłyby nielegalne. Nie precyzuje jednakże jak głęboko w strukturę teleinformatyczną badanych systemów mają wnikać te testy. Czy mogą dotyczyć serwerów lub komputerów osobistych użytkowników. Jeśli tak, to niesie to ryzyko inwigilacji danych przechowywanych na tych komputerach. Dodatkowo, wykorzystywanie oprogramowania przeznaczonego do przełamywania lub omijania zabezpieczeń, może skutkować zaburzeniami stabilności działania testowanych systemów i naruszeniem integralności danych.

+

+

Mamy świadomość, że państwo powinno stać na straży bezpieczeństwa obywateli. Niestety w naszym przekonaniu niektóre zapisy ustawy o działaniach antyterrorystycznych wykraczają poza ten cel. Ustawa przyznaje Agencji Bezpieczeństwa Wewnętrznego nowe uprawnienia i pozwala na ich wykorzystywanie bez odpowiedniej kontroli. Nie daje żadnych gwarancji, że uprawnienia te nie będą nadużywane i pozostaną pod kontrolą państwa.

+

+

Ad. (b)

+

Ustawa rozszerza kompetencje Szefa ABW o możliwość zablokowania danych informatycznych mających związek ze zdarzeniem o charakterze terrorystycznym. Blokowanie stron internetowych będzie się odbywać praktycznie bez udziału sądu, przynajmniej na 5 dni. Niestety ustawa nie precyzuje terminu „dane informatyczne”, co można rozumieć zarówno jako konkretne treści udostępnione na stronach internetowych jaki i całe portale internetowe, w tym również duże portale społecznościowe. W efekcie zablokowane mogą być zarówno pojedyncze strony jak i całe portale. Co więcej, widzimy także duży problem z brakiem przejrzystości ponieważ w przypadku blokowania stron nie ma obowiązku informowania o tym, że dana strona została zablokowana. W takiej sytuacji osoby korzystające z Internetu nie będę wiedziały czy niedostępność danej strony spowodowana jest zablokowaniem wskutek działania tej ustawy, czy, na przykład, z powodu awarii/błędów dostawcy Internetu. Pociągać to może za sobą skutki nie tylko natury finansowej lecz także utratę wizerunku dostawcy treści. Mechanizm blokowania danych informatycznych nie polega na usunięciu treści u źródła, ale na utrudnieniu dostępu do nich, najczęściej poprzez filtrowanie zapytań o dostęp do danego adresu internetowego na poziomie operatora telekomunikacyjnego. W praktyce może to oznaczać konieczność stworzenia i utrzymywania (przez operatorów telekomunikacyjnych lub dostawców usług internetowych) infrastruktury filtrującej wszystkie zapytania użytkowników Internetu w Polsce. W kontekście blokowania stron pojawia się pytanie, czy ustawodawca, przewiduje również blokowanie takich usług jak TOR lub VPN.

+

Dodane przepisy nie precyzują sposobu realizowania blokady, która jest możliwa co najmniej nałożeniem blokady na adres IP lub na adres url. Blokada na adres IP zazwyczaj będzie oznaczała blokadę wielu innych niż inkryminowana stron www. Jednocześnie dodany przepis Prawa telekomunikacyjnego (Art. 32c.6.5) upoważnia Szefa ABW do dowolności w tym zakresie, czyli też żądania zablokowania adresu IP. Właściwym byłoby enumeratywne wskazanie, że blokadzie podlegają adresy url. Ponadto dodane przepisy o blokowaniu wybranych treści stron www są zwodnicze, gdyż ze względu na coraz powszechniejsze stosowanie protokołu https dostawy Internetu nie mają legalnych technicznych możliwości wyfiltrowywania tylko części zawartosci stron www/portali - mogą tylko blokować te strony/portale, czyli adresy url. W ustawie dana kwestia mogłaby być unormowana precyzyjnie, bez wskazanych niedokłądności.

+

Blokowanie stron internetowych będzie miało też wymiar finansowy. Konieczność natychmiastowego zablokowania strony wymagać będzie poniesienia nakładów finansowych przez dostawców usług internetowych. Ustawa nie określa żadnych mechanizmów gwarantujących przejrzystość działań Szefa ABW. Podmiot, którego dane zostaną zablokowane, ani odbiorca treści nie zostaną o tym fakcie poinformowani, co opóźnić może podjęcie przez nich odpowiednich działań w przypadku podjęcia błędnych decyzji przez Szefa ABW.

+

+

Ad. (c)

+

Wprowadzenie wymogu personalizacji kart przedpłaconych, czyli zlikwidowanie ich anonimowości, w oczywisty sposób jest związane ze spełnianiem wymogów ustawy o ochronie danych osobowych w każdym miejscu pobierania takich danych. Wymóg personalizacji oznacza radykalne poszerzenie liczby podmiotów, które zostaną zobligowane na mocy prawa do spełniania wymagań ochrony danych osobowych, w tym np. punkty sprzedaży detalicznej (potoczne kioski Ruchu). Aspekt ten nie jest wprawdzie oczywisty, ale nie został wspomniany w uzasadnieniu i ocenie skutków wprowadzenia ustawy, co według PTI jest niedobrą praktyką.

+

+

W podsumowaniu, ze względu na aktualny stan legislacyjny, PTI przekazując ww. uwagi specjalistyczne, zwraca się do prezydenta Rzeczpospolitej o ich rozważenie przed podpisaniem ustawy lub w związku z takim rozważeniem zgłoszenie prezydenckiej nowelizacji ustawy.

+

Opracowanie: mgr mgr Janusz Żmudziński, dr inż. Przemysław Jatkiewicz, korekta mgr Hanna Mazur, uzupełnienia i redakcja dr inż. Janusz Dorożyński

+

Opinia w wersji dostępnej do kopiowania znajduje się na platformie opiniowania PTI WSTOIn pod adresem https://wstoin.pti.org.pl/wiki/16-05.01#Opinia

+

|}

+

Wypracowanie opinii - patrz [[{{TALKPAGENAME}}|strona dyskusji]].

+

Zlecone do wysłania 2016-06-21

+

<!--

+

* {{#l:16-05.01.Opinia(skan)(Opinia PTI W 353 ZG 16).pdf|Skan wysłanej opinii}}

+

-->

16-05.01: Różnice pomiędzy wersjami

Wersja z 10:39, 21 cze 2016

Menu nawigacyjne

Osobiste

Przestrzenie nazw

Warianty

Widok

Działania

Szukaj

Nawigacja

Obsługa

@@ Linia 1: / Linia 1: @@
-Tekst projektu {{#l:Projektustawyantyterrorystycznej.pdf}}<br />
+=== Materiały ===
-Nowy tekst projektu ustawy (z 05.05.2016) {{#l:dokument219764.pdf}}<br />
+Ustawa tzw. antyterrorystyczna:
-Obecnie projekt jest w Stałym Komitecie Rady Ministrów https://legislacja.rcl.gov.pl/projekt/12284561/katalog/12348751#12348751 i nie podlega konsultacjom.<br />
+*{{#l:Projektustawyantyterrorystycznej.pdf|Tekst projektu }}
-Publiczne konsultacje prowadził Rzecznik Praw Obywatelskich https://www.rpo.gov.pl/pl/content/publiczne-konsultacje-rpo-na-temat-projektu-ustawy-o-dzia%C5%82aniach-antyterrorystycznych<br />
+*{{#l:dokument219764.pdf|Nowy tekst projektu ustawy (z 05.05.2016)}}
-Prezentacja wyników konsultacji {{#l:Konsultacje_w_sprawie_projektu_ustawy_antyterrorystycznej_podsumowanie.pptx}}<br />
---[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 12:26, 10 maj 2016 (CEST)
+Obecnie projekt jest w Stałym Komitecie Rady Ministrów [https://legislacja.rcl.gov.pl/projekt/12284561/katalog/12348751#12348751 i nie podlega konsultacjom.]<br />
+Publiczne konsultacje prowadził Rzecznik Praw Obywatelskich ([https://www.rpo.gov.pl/pl/content/publiczne-konsultacje-rpo-na-temat-projektu-ustawy-o-dzia%C5%82aniach-antyterrorystycznych zapis debaty])<br />
+*{{#l:Konsultacje_w_sprawie_projektu_ustawy_antyterrorystycznej_podsumowanie.pptx|Prezentacja wyników konsultacji}}
+*[http://orka.sejm.gov.pl/opinie8.nsf/nazwa/516_u/$file/516_u.pdf|Uchwalona ustawa]
+=== Termin ===
+* nie było terminu - brak skierowania do konsultacji
+=== Opinia ===
+{| class="wikitable collapsible <!-- collapsed -->" width=100%
+! '''Tekst opinii'''
+|-
+|
+Polskie Towarzystwo Informatyczne zaniepokojone niektórymi zapisami ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych prezentuje poniżej swoją opinię.<br><br>
+PTI nie kwestionuje potrzeby uchwalenia takiej ustawy. Z uznaniem odnotowujemy podjęcie konkretnych działań zmierzających do zwiększenia bezpieczeństwa obywateli. Jednakże niektóre zapisy tej ustawy budzą nasz niepokój. <br><br>
+Ustawa o działaniach antyterrorystycznych powstawała pośpiesznie i praktycznie bez konsultacji społecznych. W trakcie prac nad ustawą wystąpiły przeciwko niej dziesiątki organizacji społecznych. Nawet Rada ds. Cyfryzacji działająca przy Ministerstwie Cyfryzacji zwróciła uwagę na tryb tworzenia ustawy (brak konsultacji społecznych) jak i zawarte w niej poszczególne zapisy. <br>
 <br />
-Uchwalona ustawa: http://orka.sejm.gov.pl/opinie8.nsf/nazwa/516_u/$file/516_u.pdf
+Trzy obszary ujęte w ustawie antyterrorystycznej budzą szczególny niepokój PTI. Są to: <br>
+(a) testy bezpieczeństwa systemów informatycznych (Art. 38 dodający do ustawy o ABW art. 32a) <br>
+(b) blokada dostępności do danych informatycznych (Art. 38 dodający do ustawy o ABW Art. 32c) <br>
+(c) personalizacja przedpłaconych kart telefonii komórkowej (Art. 43 dodający do ustawy Prawo telekomunikacyjne art. 60b) <br>
 <br />
-[[Użytkownik:Żmudziński Janusz|Żmudziński Janusz]] ([[Dyskusja użytkownika:Żmudziński Janusz|dyskusja]]) 07:34, 18 cze 2016 (CEST)
+Ad. (a)<br>
+Ustawa umożliwia ABW prowadzenie testów bezpieczeństwa krytycznych systemów informatycznych, np. operatorów telekomunikacyjnych. Zezwala na stosowanie zabiegów i narzędzia, które w innej sytuacji byłyby nielegalne. Nie precyzuje jednakże jak głęboko w strukturę teleinformatyczną badanych systemów mają wnikać te testy. Czy mogą dotyczyć serwerów lub komputerów osobistych użytkowników. Jeśli tak, to niesie to ryzyko inwigilacji danych przechowywanych na tych komputerach. Dodatkowo, wykorzystywanie oprogramowania przeznaczonego do przełamywania lub omijania zabezpieczeń, może skutkować zaburzeniami stabilności działania testowanych systemów i naruszeniem integralności danych.
+<br />
+Mamy świadomość, że państwo powinno stać na straży bezpieczeństwa obywateli. Niestety w naszym przekonaniu niektóre zapisy ustawy o działaniach antyterrorystycznych wykraczają poza ten cel. Ustawa przyznaje Agencji Bezpieczeństwa Wewnętrznego nowe uprawnienia i pozwala na ich wykorzystywanie bez odpowiedniej kontroli. Nie daje żadnych gwarancji, że uprawnienia te nie będą nadużywane i pozostaną pod kontrolą państwa.<br>
+<br />
+Ad. (b) <br>
+Ustawa rozszerza kompetencje Szefa ABW o możliwość zablokowania danych informatycznych mających związek ze zdarzeniem o charakterze terrorystycznym. Blokowanie stron internetowych będzie się odbywać praktycznie bez udziału sądu, przynajmniej na 5 dni. Niestety ustawa nie precyzuje terminu „dane informatyczne”, co można rozumieć zarówno jako konkretne treści udostępnione na stronach internetowych jaki i całe portale internetowe, w tym również duże portale społecznościowe. W efekcie zablokowane mogą być zarówno pojedyncze strony jak i całe portale. Co więcej, widzimy także duży problem z brakiem przejrzystości ponieważ w przypadku blokowania stron nie ma obowiązku informowania o tym, że dana strona została zablokowana. W takiej sytuacji osoby korzystające z Internetu nie będę wiedziały czy niedostępność danej strony spowodowana jest zablokowaniem wskutek działania tej ustawy, czy, na przykład, z powodu awarii/błędów dostawcy Internetu.  Pociągać to może za sobą skutki nie tylko natury finansowej lecz także utratę wizerunku dostawcy treści. Mechanizm blokowania danych informatycznych nie polega na usunięciu treści u źródła, ale na utrudnieniu dostępu do nich, najczęściej poprzez filtrowanie zapytań o dostęp do danego adresu internetowego na poziomie operatora telekomunikacyjnego. W praktyce może to oznaczać konieczność stworzenia i utrzymywania (przez operatorów telekomunikacyjnych lub dostawców usług internetowych) infrastruktury filtrującej wszystkie zapytania użytkowników Internetu w Polsce. W kontekście blokowania stron pojawia się pytanie, czy ustawodawca, przewiduje również blokowanie takich usług jak TOR lub VPN. <br>
+Dodane przepisy nie precyzują sposobu realizowania blokady, która jest możliwa co najmniej nałożeniem blokady na adres IP lub na adres url. Blokada na adres IP zazwyczaj będzie oznaczała blokadę wielu innych niż inkryminowana stron www. Jednocześnie dodany przepis Prawa telekomunikacyjnego (Art. 32c.6.5) upoważnia Szefa ABW do dowolności w tym zakresie, czyli też żądania zablokowania adresu IP. Właściwym byłoby enumeratywne wskazanie, że blokadzie podlegają adresy url. Ponadto dodane przepisy o blokowaniu wybranych treści stron www są zwodnicze, gdyż ze względu na coraz powszechniejsze stosowanie protokołu https dostawy Internetu nie mają legalnych technicznych możliwości wyfiltrowywania tylko części zawartosci stron www/portali - mogą tylko blokować te strony/portale, czyli adresy url. W ustawie dana kwestia mogłaby być unormowana precyzyjnie, bez wskazanych niedokłądności.<br>
+Blokowanie stron internetowych będzie miało też wymiar finansowy. Konieczność natychmiastowego zablokowania strony wymagać będzie poniesienia nakładów finansowych przez dostawców usług internetowych.  Ustawa nie określa żadnych mechanizmów gwarantujących przejrzystość działań Szefa ABW. Podmiot, którego dane zostaną zablokowane, ani odbiorca treści nie zostaną o tym fakcie poinformowani, co opóźnić może podjęcie przez nich odpowiednich działań w przypadku podjęcia błędnych decyzji przez Szefa ABW. <br>
+<br />
+Ad. (c)<br>
+Wprowadzenie wymogu personalizacji kart przedpłaconych, czyli zlikwidowanie ich anonimowości, w oczywisty sposób jest związane ze spełnianiem wymogów ustawy o ochronie danych osobowych w każdym miejscu pobierania takich danych. Wymóg personalizacji oznacza radykalne poszerzenie liczby podmiotów, które zostaną zobligowane na mocy prawa do spełniania wymagań ochrony danych osobowych, w tym np. punkty sprzedaży detalicznej (potoczne kioski Ruchu). Aspekt ten nie jest wprawdzie oczywisty, ale nie został wspomniany w uzasadnieniu i ocenie skutków wprowadzenia ustawy, co według PTI jest niedobrą praktyką.<br>
+<br />
+W podsumowaniu, ze względu na aktualny stan legislacyjny, PTI przekazując ww. uwagi specjalistyczne, zwraca się do prezydenta Rzeczpospolitej o ich rozważenie przed podpisaniem ustawy lub w związku z takim rozważeniem zgłoszenie prezydenckiej nowelizacji ustawy.
+<small>Opracowanie: mgr mgr Janusz Żmudziński, dr inż. Przemysław Jatkiewicz, korekta mgr Hanna Mazur, uzupełnienia i redakcja dr inż. Janusz Dorożyński</small>
+Opinia w wersji dostępnej do kopiowania znajduje się na platformie opiniowania PTI WSTOIn pod adresem https://wstoin.pti.org.pl/wiki/16-05.01#Opinia
+|}
+Wypracowanie opinii - patrz [[{{TALKPAGENAME}}|strona dyskusji]].
+Zlecone do wysłania 2016-06-21
+<!--
+* {{#l:16-05.01.Opinia(skan)(Opinia PTI W 353 ZG 16).pdf|Skan wysłanej opinii}}
+-->