Zagrożony gatunek: poufność komunikacji, Anna Obem, Małgorzata Szumańska | Fundacja Panoptykon

Dziś coraz trudniej zachować poufność komunikacji. To w dużym stopniu sprawka nowych technologii: telefonów, laptopów, Internetu, które mamy ze sobą cały czas. Ale swoje za uszami ma też ustawodawca, który  zawsze znajdzie dobry powód – choćby walkę z terroryzmem – by poszerzyć możliwości państwa w zakresie sięgania po informacje o obywatelach, a przy tej okazji obalać kolejne bastiony prywatności. A prywatność (w tym np. poufność komunikacji) to nie jest widzimisię, które można zbywać niby prowokacyjnym pytaniem „Chyba nie masz nic do ukrycia?”. Jakkolwiek banalnie to nie zabrzmi, to zagwarantowane w Konstytucji prawo, które przysługuje nam wszystkim. A – dla niektórych – to też obowiązek, wynikający z prawa, kodeksów etycznych i regulaminów zawodowych. Tak jak ma to miejsce w przypadku adwokatów. Czy tajemnicę adwokacką da się dziś skutecznie chronić? Dla Panoptykonu, czyli organizacji strażniczej, która na co dzień pokazuje, jak chronić  informacje o sobie, te pytania mają wymiar bardzo praktyczny.

Na początek prawo, które nie jest w tej sferze – delikatnie mówiąc – idealne. Policja i inne służby od lat mogą sięgać po metadane dotyczące komunikacji telefonicznej i internetowej, przechowywane przez firmy, zarówno w celu ścigania sprawców przestępstw, jak i w celach prewencyjnych. Dziś robią to masowo, poza zewnętrzną kontrolą i bez oglądania się na to, czy ktoś jest adwokatem, dziennikarzem, czy też z innego powodu jego komunikacja powinna podlegać szczególnej ochronie.

Dla porządku warto przypomnieć, że z metadanych – bo nie mówimy tu o treści komunikacji – bardzo wiele można się dowiedzieć: do kogo należy dany numer telefonu, z kim ta osoba się łączy, jak często, gdzie się przemieszcza, jakie numery telefonu znajdują się jednocześnie w danym momencie w zasięgu jednej stacji telefonii komórkowej. Dzięki  prowadzonej między innymi przez Panoptykon walce, udało się trochę w tej sferze poprawić (choćby skrócić okres obowiązkowego przechowywania danych telekomunikacyjnych z 24 do 12 miesięcy). Ale ostatnio zdecydowanie dominuje trend poluzowywania i tak sporej swobody służb(np. w sięganiu po dane internetowe). To tzw. ustawie inwigilacyjnej zawdzięczamy dodatkowo jeszcze większe ograniczenie przejrzystości prowadzonych przez nie działań. Wcześniej przynajmniej od Urzędu Komunikacji Elektronicznej i niektórych służb udawało się wydobyć dane statystyczne, które obrazowały skalę problemu. Obecnie nawet podstawowe statystyki zostały objęte klauzulą tajności (chociaż Panoptykon nie poddaje się i kwestionuje to na drodze sądowej).

Prawo zmienia się też jeśli chodzi o możliwość stosowania kontroli operacyjnej. Ostatnio katalog spraw, w których jest to możliwe, wydłużyła ustawa o konfiskacie rozszerzonej, dodając te zmierzające do „ujawnienia mienia zagrożonego przepadkiem”. Z pozoru drobną zmianę, choć praktyce rewolucyjną, wprowadziła w zeszłym roku ustawa „antyterrorystyczna”. Pozwoliła ona „w celu rozpoznawania” przestępstw o charakterze terrorystycznym (a te zdefiniowane są bardzo szeroko) bez zgody sądu zakładać podsłuch cudzoziemcom, a przy tej okazji podsłuchiwać ich rozmówców (więc czemu nie np. adwokatów, którzy prowadzą ich sprawy?).

Czy w obliczu takich możliwości prawnych instytucji państwowych można mieć gwarancję, że poufne informacje są bezpieczne? A to tylko ułamek problemu. Bo dzisiaj zarówno gromadzenie informacji, jak i komunikacja odbywają się w dużej mierze formie cyfrowej. Czyli takiej, w której nie tylko każde działanie pozostawia ślad, ale gdzie trudno też uciec od angażowania pośredników (np. informatyków czy dostawców usług internetowych). Wiele zależy od wiedzy technicznej i możliwości finansowych, ale kluczowy jest zdrowy rozsądek i wrażliwość na kilka ważnych kwestii.

1. Komunikacja. Chociaż w dzisiejszych czasach oczywiste jest, że całą masę spraw załatwiamy zdalnie, to jednak te najbardziej newralgiczne kwestie warto zachować na rozmowę na żywo. Mimo że trudno zrezygnować z telefonu jako podstawowego narzędzia komunikacji, to  warto pamiętać o alternatywach, np. prostym w obsłudze szyfrowanym wideoczacie Jitsi. W komunikacji tekstowej mamy do dyspozycji szyfrowaną pocztę e-mail czy aplikację Signal (alternatywę dla SMS-ów). Ale wciąż trudno korzystać z nich na co dzień, bo do szyfrowanego tanga trzeba dwojga. Dlatego łatwiejszym rozwiązaniem – niewymagającym współpracy drugiej strony – może okazać się szyfrowanie przesyłanych plików. Wówczas wystarczy w bezpieczny sposób (np. na żywo) przekazać wykorzystywane hasło.
2. Sprzęt. Bezpieczny komputer to nie tylko taki, który jest zabezpieczony hasłem, ma zaszyfrowany dysk (najlepiej korzystać z narzędzia systemowego, np. w systemie Windows – BitLocker, Mac – FileVault, Linux – LUKS) bądź zaszyfrowane są pliki z poufnymi informacjami, posiada aktualne oprogramowanie i program antywirusowy. Ale też taki, który pozostaje bez opieki, zwłaszcza wówczas, gdy jest włączony. Jeśli ktoś przechowuje poufne dane na telefonie, to taki sprzęt wymaga nie tylko pamiętania o blokowaniu ekranu hasłem, ale właściwie ciągłej uwagi. Może bowiem bardzo łatwo wpaść w niepowołane ręce.
3. Chmura. To ogromna wygoda, ale też wyzwanie dla zaufania poufności informacji. Dlatego warto korzystać z tego narzędzia ostrożnie, pilnować, jakie informacje tam trafiają, zabezpieczać mocnym hasłem, dbać, aby dostęp do wspólnych plików miały tylko osoby upoważnione, a każda dysponowała odrębnym loginem i hasłem. Korzystając z usług amerykańskich firm trzeba też pamiętać, że ich standardy ochrony danych nie są tak wysokie, jak europejskie. Co więcej, służby USA nie mają skrupułów przed kontrolowaniem danych przesyłanych przez cudzoziemców, a ich współpraca z polskimi odpowiednikami wciąż owiana jest mgiełką tajemnicy (o informacje na ten temat Panoptykon walczy na drodze sądowej).
4. Wi-Fi. Bezpieczna sieć biurowa to przede wszystkim taka, która jest zabezpieczona hasłem. W praktyce warto mieć odrębną sieć dla pracowników i dla gości. W miejscach publicznych bezpieczniej jest korzystać z własnego dostępu do Internetu, niż podłączać się do otwartych sieci. Bo niezaufane i niezabezpieczone Wi-Fi to łatwa droga do włamania się do urządzenia.
5. Hasła. To podstawa nie tylko zabezpieczenia sprzętu, ale też usług (np. poczty elektronicznej). Zgodnie z rozporządzeniem do ustawy o ochronie danych osobowych hasła autoryzujące dostęp do danych osobowych powinny być zmieniane przynajmniej raz na 30 dni. Ale jeszcze ważniejsza jest odpowiednia siła hasła („admin” i „12345” trudno właściwie nazwać hasłami). Mocne hasło ma min. 8 znaków (a raczej więcej), zawiera małe i wielkie litery, cyfry i znaki specjalne. Jak to wszystko pogodzić? Jest na to parę sprytnych trików (można zbudować hasło np. łącząc pierwsze litery słów jakiegoś przepisu ustawy), a zapominalscy powinni zaprzyjaźnić się z menedżerami haseł (np. KeyPassX).
6. Media społecznościowe. Dziś bardzo trudno od nich uciec. A korzystać w sposób w pełni odpowiedzialny jeszcze trudniej. Bo jak tam oddzielić życie prywatne od pracy? A każda opublikowana informacja staje się automatycznie publiczna. Każdy może ją skopiować i wykorzystać. Albo po prostu wyciągnąć zbyt daleko idące wnioski. Dlatego warto dwa razy się zastanowić, zanim jakakolwiek informacja związana z życiem zawodowym trafi na Facebooka czy inny portal społecznościowy.

Wszystkich, którzy mają apetyt na więcej informacji z życia organizacji strażniczej i praktycznych rad dotyczących bezpieczeństwa informacji, zapraszamy na stronę Fundacji Panoptykon (panoptykon.org).

 

Anna Obem, Małgorzata Szumańska | Fundacja Panoptykon

Fundacja Panoptykon patrzy na ręce władzy i firmom, które gromadzą informacje o obywatelach, oraz pokazuje, jak chronić informacje o sobie i swoim życiu. Każdy może wesprzeć jej pracę, przekazując darowiznę (nr konta: 43 1440 1101 0000 0000 1044 6058) lub 1% podatku (KRS: 0000327613). Dowiedz się więcej: https://panoptykon.org/wolnosc-sie-liczy