13:17
13/1/2023

Temat retencji danych wraca jak bumerang. Rząd chce aby kolejne podmioty musiały zbierać więcej informacji na temat swoich użytkowników. Nowe prawo ma dotyczyć przede wszystkim dostawców usług poczty elektronicznej i komunikatorów. Uspokajamy: nie chodzi o przekazywanie skanu dowodu. A raczej, chyba nie o to chodzi, bo projekt ustawy nie jest zbyt przejrzysty, za co jest słusznie i mocno krytykowany. W zasadzie to nie do końca wiadomo, co miałoby by być zbierane…

Jakie są zamiary rządu? Co dokładnie na temat użytkowników mieliby dostarczać organom ścigania operatorzy usług dotyczących komunikacji? Czy podpowiedzią mogą być “wrzutki legislacyjne” MON-u z końca ubiegłego roku? I najważniejsze — kogo poza telekomami będzie dotyczyło nowe prawo?

Prawo Komunikacji Elektronicznej

Projekt PKE (Prawa Komunikacji Elektronicznej) jest już w Sejmie pod postacią druku nr 2861. Potrzeba wprowadzenia tego prawa pojawiła się w związku z inicjatywami unijnymi, m.in. z Dyrektywą Parlamentu Europejskiego i Rady (UE) 2018/1972.

PKE ma zastąpić aktualne prawo telekomunikacyjne i uregulować różne nudne kwestie, jak np. gospodarowanie częstotliwościami, wykonywanie działalności w zakresie e-komunikacji, zasady numeracji, ale także budzące kontrowersje kwestie np. retencję danych. Konfederacja Lewiatan w swojej opinii do projektu zauważyła, że projekt zawiera też ważne zapisy dotyczące funkcjonowania rynku telewizyjnego, które dorzucono na ostatnim etapie prac rządowych bez konsultacji społecznych.

W tym tekście skupimy się tylko na tych kontrowersjach, związanych z naszą branżą: czyli co nowego i przez kogo będzie zbierane. Inne kwiatki z PKE, takie jak wymuszanie kolejności numerów stacji telewizyjnych itp., zostawiamy innym, także Wam, w sekcji komentarzy :-) Projekt ustawy wciąż analizujemy i niewykluczone, że w kolejnym artykule poruszymy inne jego podejrzane zapisy. Ale to jest tekst tylko o fragmentach dotyczących wyłącznie retencji.

Problem z retencją danych

Nowe prawo zmienia zasady dotyczące retencji danych, czyli obowiązku przechowywania pewnych informacji przez dostawców usług (np. przez telekomy), po to aby w razie potrzeby udostępniać te dane uprawnionym organom.

Zapisy PKE rozszerzą katalog podmiotów zobowiązanych do retencji (Art. 47 ust. 1. wraz z Art. 2. ust. 39). Od teraz do retencji zobowiązane mają być:

  • telekomy (to już było i nikogo nie dziwi)
  • podmioty świadczące usługi komunikacji interpersonalnej niewykorzystującej numerów (to jest nowość!).

Kim są te “podmioty (…) niewykorzystujące numerów”? Generalnie to pojęcie jest zaczerpnięte z Europejskiego Kodeksu Łączności Elektronicznej (EKŁE) i wprowadzone do projektu PKE. Oznacza ono…

usługę umożliwiającą bezpośrednią interpersonalną i interaktywną wymianę informacji za pośrednictwem sieci telekomunikacyjnej między skończoną liczbą osób, gdzie osoby inicjujące połączenie lub uczestniczące w nim decydują o jego odbiorcy lub odbiorcach, z wyłączeniem usług, w których interpersonalna i interaktywna komunikacja stanowi wyłącznie funkcję podrzędną względem innej usługi podstawowej, w tym usługę, która:
a) umożliwia realizację połączeń z numerami z planu numeracji krajowej lub międzynarodowych planów numeracji, zwaną „usługą komunikacji interpersonalnej wykorzystującą numery”,
b) nie umożliwia realizacji połączeń z numerami z planu numeracji krajowej lub międzynarodowych planów numeracji, zwaną „usługą komunikacji interpersonalnej niewykorzystującą numerów

Czyli pod zapisy PKE podlegać będą:

  • komunikatory (także głosowe),
  • poczta elektroniczna,

ale, co ciekawe, nie będą to czaty będące elementem serwisów społecznościowych, stron rozrywkowych czy gier.

Minister widzi problemy, ale nie widzi problemu

Minister ds. UE przedstawił do projektu swoją opinię. W ogólności uznaje on projekt za zgodny z prawem UE, ale w opinii znalazło się zastrzeżenie, że projekt może zostać uznany za niezgodny z prawem UE:

Przykład opinii, która sama sobie przeczy

A to fragment opinii ministra dotyczący retencji:

Tym samym pogłębiony zostanie zakres niezgodności projektowanych przepisów z art. 15 ust. 1 dyrektywy 2002/58/WE, zgodnie z jego wykładnią wynikającą z orzecznictwa Trybunału Sprawiedliwości (por. wyrok w połączonych sprawach C-511/18, C-512/18 i C-520/18 La Quadrature i in. oraz przywołane tam orzecznictwo.

Pan minister przywołał też najnowsze orzecznictwo tj. wyrok z 20 września 2019 w sprawach C-793/19 i C-794/19, w którym również wskazano, że uogólniona i niezróżnicowana retencja danych narusza prawo unijne.

Podsumowując: członek rządu wie, że projekt PKE nie pasuje do tych wyroków, ale ostatecznie stwierdza, że wszystko jest OK

Nie wiadomo jakie dane będą podlegały retencji

Pewnie chcecie wiedzieć, jakie dane i w jakim zakresie mają zbierać telekomy i dostawcy usług komunikacyjnych? Zajrzyjmy do projektu.

Art. 49. 1. Obowiązkiem, o którym mowa w art. 47 ust. 1, objęte są dane dotyczące publicznie dostępnych usług komunikacji elektronicznej niezbędne do:
1) ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego oraz użytkownika końcowego:
a) inicjującego połączenie,
b) do którego kierowane jest połączenie;

2) określenia:
a) daty i godziny połączenia oraz czasu jego trwania,
b) rodzaju połączenia,
c) lokalizacji telekomunikacyjnego urządzenia końcowego,
d) danych jednoznacznie identyfikujących użytkownika w sieci.

2. Minister właściwy do spraw informatyzacji w porozumieniu z ministrem właściwym do spraw wewnętrznych oraz po zasięgnięciu opinii Ministra – Koordynatora Służb Specjalnych, jeżeli został on powołany, określi, w drodze rozporządzenia:
1) szczegółowy wykaz danych, o których mowa w ust. 1,
2) rodzaj przedsiębiorców komunikacji elektronicznej niepodlegających obowiązkowi zatrzymywania i przechowywania tych danych

Wytłuściliśmy najważniejsze. Nie bardzo wiadomo czym są dane “jednoznacznie identyfikujące użytkownika“. Ma to dopiero być określone w rozporządzeniu, a nie w ustawie. Czyli zasady dotyczące retencji rząd będzie mógł sobie zmieniać bez tykania ustawy i wszystkich tych problemów związanych z legislacją — bardzo wygodne, prawda?

My mamy pewną teorię na temat tego co może oznaczać tajemnicze pojęcie “danych jednoznacznie identyfikujących użytkownika“. Aby wam ją przedstawić, musimy na chwilę odskoczyć od tematu PKE i cofnąć się w czasie o kilka miesięcy do wydarzenia, które – jak się wydawało – nie miało większego znaczenia.

Ubiegłoroczna wrzutka od MON-u

W październiku ubiegłego roku przez media mainstreamu przetoczyła się mała aferka. Bardziej clickbaitowe media pisały bzdury w stylu “Wojsko będzie czytać naszą korespondencję“. Tak naprawdę, chodziło o to, że rząd pracował nad Ustawą o zwalczaniu nadużyć w komunikacji elektronicznej, która miała wyeliminować m.in. problem bolesnego ostatnio (przede wszystkim dla polityków i ich rodzin, hehe) spoofingu telefonicznego.

W tej ustawie, co było zaskakujące, to Ministerstwo Obrony Narodowej zaproponowało wprowadzenie poniższego zapisu:

Art. 12
(…)
5. Dostawca poczty elektronicznej, o którym mowa w ust. 1, ma obowiązek przechowywania, przez okres nie krótszy niż 90 dni, rejestrów logowań do obsługiwanych przez siebie skrzynek poczty elektronicznej, zawierających co najmniej datę, godzinę uszczegółowioną do 1 sekundy, adres IP oraz port przypisany użytkownikowi w trakcie połączenia przez przedsiębiorcę telekomunikacyjnego.

Taka propozycja została udostępniona w Rządowym Centrum Legislacji nie w PDF jak to zwykle bywa, a w formacie XML, z którym nie wszyscy sobie radzą. Nie było to typowe, więc przez niektórych zostało odebrane jako chęć “ukrycia” treści wrzutki przed oczami Polaków.

KPRM pokazała wtedy pomysłom zgłoszonym przez MON drzwi, a MON skompromitowane zostało podwójnie. W raporcie z uzgodnień, ta wrzutka MON-u wskazana została jako uwaga nieuwzględniona, a dodatkowo MON zostało przepotężnie wyśmiane w prasie, bo informacja o portach źródłowych zostałą (błędnie) zrozumiana jako dostęp do treści maili.

Kluczowe: porty źródłowe

Jeśli kogoś w październiku bulwersowało, że MON domagał się informacji o czasie i adresie IP użytkownika logującego się do skrzynki pocztowej, to w zasadzie od kilku lat powinien wręcz wrzeszczeć z przerażenia. Te dane są logowane przez dostawców (i to nie tylko usług poczty elektronicznej) od lat. I często w szerszym zakresie, a organy ścigania mogą o nie prosić i często je dostają. Ale — i tu docieramy do ważnej subtelności:

mało która firma do logów odkłada port źródłowy użytkownika.

A właśnie to jest kluczową daną dla organów ścigania. Dlaczego? Dlatego że z jednego publicznego adresu IP takiego np. operatora telefonii komórkowej jednocześnie korzystać może kilkaset osób w danej chwili (bo tzw. PAT).

Kiedy policja dostaje informację, że na skrzynkę podszywacz@poczta.pl logował się ktoś z IP np. 11.22.33.44 i chce ustalić kto z tego IP korzystał, to zwraca się z takim pytaniem do operatora do którego należy ten IP. Ale operator telekomunikacyjny policji odpowiada najczęściej, że “bez wskazania portu źródłowego nie jest w stanie ustalić tożsamości abonenta, bo z tego IP korzystało w tym momencie 666 osób“.

Operator może oczywiście przekazać dane wszystkich 666 osób (i czasem to zrobi), a policja niekiedy (bardzo niekiedy) może swoimi ograniczonymi zasobami zawęzić ten zbiór abonentów do jednej osoby. Tej osoby. A raczej urządzenia. Potem oczywiście policja musi ustalać dalej, najczęściej zabierając urządzenie od “podejrzanego”, by ustalić za pomocą biegłych, czy to jednoznacznie namierzone urządzenie było w chwili połączenia zhackowane i wykorzystane jako tzw. “residential proxy”, czy może jednak nie i — bingo! — jego właściciel to faktycznie sprawca, którego szukają.

Podsumowując, ta dziwna propozycja MON-u w zasadzie chciała zmienić w prawie jedną rzecz: wymusić żeby każdy dostawca poczty, musiał do swoich logów (które i tak już prowadzi) dorzucić port źródłowy użytkownika (tak jak obecnie robią to wyłącznie niektórzy usługodawcy). To szalenie ułatwiłoby organom ścigania ustalanie danych osobowych konkretnego abonenta posługującego się konkretnym adresem IP, bez potrzeby wzywania na przesłuchanie wszystkich 666 podejrzanych. To wszystko oczywiście pod jeszcze jednym warunkiem:

że sprawca byłby na tyle głupi, że faktycznie korzystałby z własnego adresu IP do popełniania przestępstw.

Ponieważ ta “wrzutka MON-u” była taka jakaś zupełnie niepasująca, ni to do strategii i historycznych działań samego MON-u, ni to do tej tworzonej ustawy, to postanowiliśmy spytać wtedy MON o kulisy dotyczące tej propozycji. Przede wszystkim interesowało nas, dlaczego akurat MON (a nie inne, bardziej “śledcze” organy) potrzebuje nowego obowiązku retencyjnego po stronie dostawców poczty?

Na nasze pytania odpowiedział ktoś, kto podpisał się jako “Wydział Prasowy”:

Szanowny Panie Redaktorze,

obecnie dostawcy usług dostępu do poczty elektronicznej przechowują zgodnie z ustawowym obowiązkiem rejestry logowań zawierające jedynie adresy IP. Było to wystarczającym do ustalenia potencjalnych sprawców przestępstw w sytuacjach gdy jeden adres IP przydzielany był jednemu urządzeniu. Operatorzy telekomunikacyjni od kilku lat stosują nowocześniejszą technologię CGNAT i NAT polegającą na przydzielaniu jednego adresu IP wielu urządzeniom końcowym. Rozróżnianie urządzeń odbywa się za pomocą przydzielonych w trakcie połączenia portów.
Biorąc powyższe pod uwagę bez ustalenia portów powiązanych z adresami IP jednoznaczne ustalenie zakończenia sieci jest w większości przypadków niemożliwe. Z uwagi na to ustalanie sprawców przestępstw z wykorzystaniem poczty elektronicznej takich jak oszustwa, ataki bombowe czy groźby karalne jest utrudnione. To było główną przesłanką propozycji zgłoszonych przez MON (szczególnie ze względu na sytuację geopolityczną), jednak ostateczny kształt zapisów może ulec zmianie w trakcie prac legislacyjnych.

Przypomnijmy, że ciągle mówimy o wrzutce legislacyjnej MON, która miała miejsce jeszcze w ubiegłym roku do Ustawy mającej przeciwdziałać spoofingowi. Jak to się łączy z PKE? Tutaj tylko zgadujemy: skoro PKE też dotyka obszaru retencji i ma obejmować (celowo?) niedoprecyzowane w ustawie dane “jednoznacznie identyfikujące użytkownika”, to może właśnie chodzi o kolejne podejście by wymusić na różnych usługodawcach (zwłaszcza świadczących usługi komunikacji internetowej, przez którą można obrazić komuś córkę albo podszyć się pod żonę) konieczność logowanie portów?

Jeśli chodzi o ten retencyjny aspekt PKE i jeśli nasza hipoteza co do “danych identyfikacyjnych” jest poprawna, (czyli celem jest przepchnięcie zbierania porów źródłowych), to nowe prawo w zakresie “jednoznacznej identyfikacji użytkownika” nie będzie czymś, co samo w sobie jakoś dodatkowo zaszkodzi prywatności obywateli. Bo:

  • niektórzy dostawcy usług już porty źródłowe logują i przekazują na wniosek organów ścigania,
  • bez portu źródłowego i tak da się w większości przypadków ustalić dane abonenta (ale jest to bardziej pracochłonne). O ile nie tunelował on swojego połączenia. No właśnie.

    Wprowadzenie wymogu logowania portów źródłowych będzie trochę jak wymóg rejestracji kart SIM. Ci, którzy wykorzystują je do przestępstw i tak znajdą sposób jak to zrobić anonimowo. Już teraz spooferzy tunelują swoje połączenia, co oznacza że usługodawcy i tak nie mają ich prawdziwych adresów IP, a po wejściu w życie PKE nie będą mieli prawdziwych adresów IP i prawdziwych portów źródłowych.

Jeśli okaże się, że “jednoznaczna identyfikacja użytkownika” to szersze wymagania niż przekazanie portu źródłowego wraz z adresem IP to jak najbardziej będzie powód do oburzania się i bicia na alarm. Na razie w sprawie PKE bulwersujące jest niedookreślenie tego pojęcia i generalnie sam fakt tego, że PKE poszerza możliwości “billingowania”. Teraz będzie można billingi pobierać nie tylko operatorów telekomunikacyjnych, ale też od dostawców innych usług (pocztowych, komunikatorów). Wcześniej w sumie też można było, ale firmy te nie miały obowiązku przechowywania danych.

Tu kończymy temat stricte technologicznej strony retencji, powiązany z cyberbezpieczeństwem, któremu poświęcony jest nasz artykuł. Aspekty prawno-formalne tych zapisów to już temat na analizy wykraczające poza nasze kompetencje, więc pałeczkę w tych obszarach przekażemy komuś innemu.

Ważna opinia prawników

Z czasem na stronie Sejmu pokażą się kolejne krytykujące PKE opinie, a przynajmniej jedna, która będzie mówiła o jego totalnej niezgodności z już obowiązującym prawem UE. Skąd to wiemy? Zajrzyjcie na stronę naszych przyjaciół z Fundacji Panoptykon, gdzie znajdziecie obszerną opinię prawną o retencyjnych problemach wynikających z propozycji PKE. Ta opinia została już przesłana do Sejmu.

TL;DR:

Wiemy że tematy nowych ustaw, pełne odwołań do innych aktów prawnych i wyroków, a także niuansów technologiczno-prawniczych nie są zbyt sexy i dla większości normalnych internautów są po prostu nudne i trudne. Ale są też ważne dla branży cyberbezpieczeństwa. Zapisom w obszarze retencji, tego kto pod nią podlega i co ma logować trzeba się przyglądać dla dobra i prywatności każdego z nas. Nawet jeśli teraz wprost nikt w ustawie nie wpisze czegoś głupiego, to może “przypadkiem” stworzyć pod takie głupie wymogi całkiem wygodne przepisy.

Dlatego poniżej podsumowujemy najważniejsze kwestie i fakty dotyczące PKE. Takie, które w publicznej dyskusji nacechowanej politycznie często uciekają lub są przeinaczane. Takie, do których niektórzy dziennikarze w ogóle nie dotrą, bo zostały zapisane w XML, albo część z nich znajduje się pod linkiem w ósmym przypisie, na siedemdziesiątej piątej stronie nieczytelnie zeskanowanego pisma:

  1. W świetle wyroków TSUE projekt PKE nie jest zgodny z unijnymi normami dotyczącymi retencji danych. PKE kontynuuje patologiczne podejście typu “zbierajmy dużo, może się przydadzą”. Co jest kosztowne i ryzykowne, bo jak wiemy, różne dane wyciekają, te wrażliwe też. (por. Wyciek danych 20 000 funkcjonariuszy oraz Fatalna wpadka Plusa, każdy mógł pobrać pełne dane abonentów)
  2. Retencja danych danych i zasad dostępu policji i innych służb do danych telekomunikacyjnych były przedmiotem zainteresowania Trybunału Konstytucyjnego, który w wyroku z 30 lipca 2014 r. (sygn. K 23/11) wskazał, że niezbędna jest uprzednia, niezależna kontrola nad tym procesem. Wyrok ten nie został nigdy prawidłowo wykonany.
  3. Nie wiadomo, co ustawodawca rozumie przez “dane jednoznacznie identyfikujące” użytkownika. Wyżej postawiliśmy hipotezę. Jeśli chodzi tylko o port źródłowy, nie będzie strasznie. Ale tego nikt nie jest pewny, wiec póki co jest i powinno być strasznie.
  4. Nawet jeśli “dane jednoznacznie identyfikujące” użytkownika będą tylko powiększone o port źródłowy w stosunku do tych już zbieranych (co technicznie nie jest dużym zagrożeniem), to warto też zauważyć, że nowe prawo może otworzyć drogę do masowego pozyskiwania informacji od dostawców poczty i komunikatorów. W skrócie: da możliwość pozyskiwania “billingów” o połączeniach nie tylko telefonicznych, ale także “mailowych” i “komunikatorowych”. O ile ktoś będzie korzystał z polskich dostawców takich usług, bo…
  5. Autorzy projektu w ogóle nie uwzględnili faktu, że wielu dostawców komunikatorów nie ma siedziby na terenie Polski, co oznacza, że mogą nasze prawo zignorować. Ale to już klasyka. Polscy ustawodawcy często piszą ustawy tak, jakby całe 0.0.0.0/0 podlegało polskiemu prawu.
  6. Panoptykon też zauważa, że pojęcie “dane jednoznacznie identyfikujące użytkownika w sieci” z art. 49 ust. 2 pkt 2 PKE jest nieprecyzyjne i pozostawia właściwemu ministrowi, który będzie wydawał rozporządzenie nadmierną dyskrecjonalność.
  7. Nowym przepisom sprzeciwiają się nie tylko obrońcy wolności i prywatności, którzy mieli w sobie sporo samozaparcia aby przez te wszystkie treści aktów prawnych, wyroków i opinii przebrnąć. Przeciwni są też dostawcy usług objętych nowym prawem, którzy nie wiedzą, jakie dane będą musieli przechowywać. I nie chodzi im tylko o koszty, które wzrosną.
  8. Jest problem z blokowaniem stron. W przypadku usunięcia treści o charakterze terrorystycznym, dostawcy treści będą o tym informowani, a w sytuacji blokowania treści ze względu na zagrożenie obronności, bezpieczeństwo państwa oraz porządek publiczny (co wydaje się mniej groźne) dostawcy treści notyfikacji nie otrzymają.

Jeśli już mowa o blokowaniu stron to od siebie dodamy, że nasz rząd zabrał się za znowelizowanie ustawy antyterrorystycznej w tym zakresie. Potrzeba zrobienia tego pojawiła się w związku z unijnym rozporządzeniem 2021/784 w sprawie przeciwdziałania rozpowszechnianiu w internecie treści o charakterze terrorystycznym. Projekt zmian, jakie mają być wprowadzone pojawił się już w Rządowym Centrum Legislacji, ale to temat na inny artykuł.

Jak widzicie, rząd jest ostatnio aktywny w tematach komunikacji elektronicznej. A Polacy i tak dalej są regularnie okradani z wykorzystaniem spoofingu przez ekipy zza Buga. Chociaż trzeba przyznać, że kilka call centers ostatnio rozjechano.

Co robić, jak żyć?

Konieczność przechowywania metadanych związanych z rozmowami czy czatami przez nowe podmioty może nie brzmi jakoś strasznie. Ale Czytelnicy Niebezpiecznika jak mało kto powinni wiedzieć, że czasem z metadanych da się wyczytać wystarczająco dużo, aby komuś zaszkodzić lub go “przejrzeć”. Z tego powodu, podtrzymujemy nasze klasyczne rekomendacje:

szyfrujcie co się da i korzystajcie z dostawców, udostępniających swoje usługi w modelu zero-knowledge, a komunikację przez telefon (rozmowy, SMS-y) traktujcie jako publiczną.

Jeśli do tej pory odwlekaliście zmianę dostawcy skrzynki pocztowej z polskiego na zagranicznego, to warto wrócić do tematu. To nie wykluczy pozyskania danych na Wasz temat, ale na pewno trochę utrudni. Warto pamiętać, że każdy sensowny dostawca poczty elektronicznej, nawet zagraniczny, loguje metadane (a nawet jak mówi, że nie loguje, to załóżcie że to robi). I oczywiście każdy, nawet Proton, jak zostanie zmuszony przez organy ścigania do przekazania danych, to dane które posiada przekaże. A jeśli jakaś firma mówi, że nie przekaże nigdy, to i tak zakładajcie, że jednak przekaże.

Aby w pełni ukryć to z kim, kiedy i jak często się komunikujemy przez internet, trzeba dziś mocno się wysilić. A i tak nie zawsze będzie to możliwe, bo nie z każdym da się w Torze, a i sam dostęp do Tora może zostać “namierzony” i pomimo braku wglądu w treść komunikacji, osoba zostanie oflagowana jako podejrzana. Bo przecież nikt normalny z Tora nie korzysta, prawda? ;)

Aktualizacja 13.01.2022 13:55
W pierwotnej wersji tekstu błędnie napisaliśmy, że Łukasz Shreiber to minister ds. UE. Poprawiliśmy to. Pomyłka wystąpiła bo to Łukasz Shreiber przesłał opinię do marszałek Sejmu, natomiast sama opinia, co już wskazaliśmy w tekście poprawnie, pochodziła od ministra ds. UE.


Aktualizacja 13.01.2023 15:14
Lekko wygładziliśmy niektóre akapity i dodaliśmy porównanie do “bilingów”, bo to termin zrozumiały i przystępnie tłumaczący, o co chodzi w PKE i jakie dane ustawodawca chce pozyskiwać. Dodaliśmy też sekcję, co robić, jak żyć, o którą prosiliście.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

63 komentarzy

Dodaj komentarz
  1. > Jeśli okaże się, że “jednoznaczna identyfikacja użytkownika” to wymóg skanowania dokumentu przez każdego dostawcę skrzynek e-mail (…)

    To by w sumie była niezła nadinterpretacja, ponieważ przepis zaczyna się od tego, że obowiązek retencji obejmuje “dane dotyczące publicznie dostępnych usług komunikacji elektronicznej niezbędne do…” — no a treść komunikacji nie jest daną dotyczącą usługi komunikacji elektronicznej.
    (Co nie zmienia faktu, że projekt to podtrzymanie wieloletniej grandy obowiązującej w Polsce.)

  2. Jak mam własny serwer pocztowy to jestem dostawcą dla siebie, żony, dzieci i kota teściowej? Mam obowiązek kapowac na sieb ie czy mogę pałom pokazał pałę?

    • No właśnie – mój serwer – moje logi – serwer mam poza PL – to muszę czy nie muszę?

    • Jeśli nie jesteś przedsiębiorcą≤ to nie; oczywiście nie chodzi o to czy aby nie prowadzisz działalności gospodarczej, lecz czy świadczysz *tę* usługę (hint: świadczysz usługi dla swoich klientów, a przy okazji sam korzystasz — czyli jesteś swoim własnym użytkownikiem — tak, musisz).
      Wynika to z definicji — “przedsiębiorca komunikacji elektronicznej – przedsiębiorcę telekomunikacyjnego lub podmiot świadczący publicznie dostępną usługę komunikacji interpersonalnej niewykorzystującą numerów”.

  3. No cóż. Pozostaje VPN na stałe do wszystkiego…

    • Ale czy faktycznie VPN coś tu da? Jeśli tak to w jakiej konfiguracji, w sensie czy VPN ale z Polskim wyjściem wystarczy, czy tylko węzły poza Polską? A może w ogóle to nie jest dobry pomysł? Proszę autora tekstu o komentarz.

    • Tylko czy VPN tu pomoże? Serio pytam? Proszę o komentarz autora

    • Też bym prosił o komentarz, mam vpn, komunikator Signal, czy coś jeszcze?

  4. Dziękuję za ten artykuł

  5. > “Operatorzy telekomunikacyjni (…) stosują technologię CGNAT i NAT”

    Nie tylko operatorzy, ale i większość klientów sama dla siebie. PRAWIE KAŻDY router domowy jest równocześnie natownicą – przy okazji, logów nie zbiera, bo nie ma gdzie przy takich wielkościach flasha, jaki pakują tam producenci.

    Problem rozwiązuje dopiero IPv6, ale wciąż nie do końca – wdrożenie v6 w PL jest na marnym poziomie kilkunastu procent, poza tym większość tanich urządzeń wciąż działa po v4.

    • Wdrożenie IPv6 to strach nad strachami, co może się stać, gdyby się okazało, że ruch FORWARD jest w obie strony otwarty i każda obecnie niedostępna sieć stanie się w pełni otwarta dla wszystkich. W końcu nie każdy router ma sensownie skonfigurowane ustawienia domyślne.

  6. Temat – Pomysł inwigilacji Społeczeństwa – dopiero się rozwija… Zamiast pisać to, co się uważa, trzeba uważać, co się pisze. Warto przeczytać to opowiadanie. To czeka niepokornych:
    https://pisarze.pl/2022/12/27/tomasz-witkowski-prog/

  7. Teraz pytanie. Po co przestępcom z rządu logi? Będą wymuszać haracze. Przecież wszyscy to są ludzie. Po obu stronach są źli i dobrzy. Ten świat jest chory

  8. Czyli wystarczyłoby wdrożyć IPv6?

  9. Ciekawa jestem, jak zachowa się taki na przykład Яндекс, jak dostanie z Polski żądanie przekazania logów. Podejrzewam, że się po prostu wypnie na to.

    • Oczywiście, yandex, vk nie udzielą pomocy prawnej, prędzej oddadzą tupolewa niż logi ;) Także okazuje się, że to dość bezpieczna poczta i chyba warta przetestowania. Może będzie lepsza niż nasze krajowe skrzynki.

    • Nic nowego. Wiadomo, że najlepsze i najbezpieczniejsze (jeśli ktoś uzupełnia ryzykowne materiały typu najnowsze premiery filmowe) torrenty są w Rosji.

  10. Pierd.olony faszystowski rząd PiSiej bandy!
    Niech już PiS pójdzie w piz.du!
    Precz z PiSem!
    A staremu wypierdowi Kaczyńskiemu życzę żeby umarł na raka i to szybko!

    • …i już jesteś namierzany!

    • Uważasz, że rudobrody z Partii Oszustów albo ktokolwiek inny z polityków będzie lepszy w tej kwestii niż pis? Obawiam się z że pis i tak jest najlepszy z wszystkich pozostałych, bo reszta jest posłuszna euroosłom, którzy prywatność ludzi już dawno zniszczyli

  11. Zmęczony już jestem tymi wszystkimi wymysłami, prawami tworzonymi ad hoc reaktywnie po jakiejś sytuacji która akurat chwilowo wywołała poczucie zagrożenia u tych półgłówków. I nawet nie chce mi się nad tym przesadnie zastanawiać, bo doświadczenie uczy mnie że stawiając mur w jednym miejscu zostawią tyle możliwości obejścia go, że będzie tylko zawalidrogą, nie zaporą.

    • Dokładnie tak samo jak ma to miejsce z próbami cenzurowania domen na poziomie DNS.

    • I tak to z grubsza działa. Jest więcej niż pewne że niedługo to prawo zostanie uchwalone – w ten czy inny sposób. Tu jakaś dziwna wrzuta, tam jakiś dziwny przepis, tam jakaś nowa ustawa w XML – wszystko jest wyłapywane i obnażane. Ale z n-tym razem ktoś nie wyłapie, ktoś inny przegapi i – pyk, nowe prawo weszło w życie. Tu logi, tam metadane, tam kamerka monitoringu, tam ścieżka GPS i obudzimy się w świecie, gdzie big data nawet traci sens bo data i tak jest big, a w dodatku wszędzie. Póki co jedyna ostoja to papierowy pieniądz, ale jego czas już jest przesądzony.

      Co robić, jak żyć? Ano jak zwykle, bo przed tym się nie ucieknie. Tylko trochę będzie smutno na początku, gdy prawdziwy złoczyńca będzie siedział bezpiecznie za sendmailem przez emacsa, a policja łapać będzie nastolatków którzy napisali na wykopie “Tusk jezt gópi”.

  12. Powodzenia w podsłuchiwaniu takiego Jabbera albo podobnych usług. :)

  13. Hehe, moja przeglądarka na otwartych 5 karach otwiera około 120 połączeń z rożnymi hostami na różnych portach.
    Przyjemnego logowania życzę operatorom z NAT, jak to spróbują logować.

    Moim zdaniem ta regulacja o portach źródłowych oznacza wprowadzenie Ipv6 w trybie pilnym, bo po prostu wprowadzą taką komplikację w Ipv4, że jest praktycznie nieużywalne z powodu tej nowej retencji.

    Pozdro

    • Operatorzy telekomunikacyjni którzy robią nat 1:n i tak już od dawna logują pełne dane połączeń wraz z portami, bo bez tego nie są w stanie ustalić konkretnego użytkownika swojej sieci.

  14. Każdy kolejny rok przybliża nas do roku 1984.

  15. Jak dla mnie komentarz przedstawiciela UE jest jasny. Projekt będzie zgodny z przepisami po naprawieniu zastrzeżeń. Znaczy, że to do czego nie ma zastrzeżeń jest według niego (czy raczej jego zespołu pewnie) zgodne prawem UE.

  16. No dobra, a co ja, jako taki zwykły użytkownik mogę zrobić? Pocztę mamy z żoną na outlook/apple/gmail , z komunikatorów używamy WhatsApp i Messenger, mamy własny serwer NAS w domu, który jest serwerem kopi zapasowych plików.

    • Zrezygnować z inwigilacyjnych potworów takich jak GMail czy Outlook. Eliminować stopniowo email ze swego życia, tam gdzie się da ze znajomymi wymagać PGP (Thunderbird obsługuje to dziś już bezboleśnie nawet dla laików), Pocztę trzymać u płatnego dostawcy (Proton, Posteo itp.). Rozmowy telefoniczne prowadzić tylko na Signalu, zrezygnować z tradycyjnej telefonii. Komputery mieć z Linuksem, z włączynym pelnym szyfrowaniem dysków.

      Trudne? Trochę tak, ale warto. Prywatność jest ważniejsza niż wygoda.

  17. Chyba czegoś nie rozumiem. O jakie komunikatory konkretnie chodzi i jak to ma w zasadzie wyglądać? Służby będą się za każdym razem zwracały do obsługi np. Messengera, Telegrama, Discorda czy innych tego typu usług w celu udostępnienia korespondencji danego użytkownika? Z jakiej racji komunikatory te miałyby udostępniać dane polskim służbom? To że można z nich korzystać z każdego miejsca na świecie oznacza że są pod jurysdykcją polskiego rządu i mają robić to co o ten im każe?

    • Polskie prawo precyzuje to bardzo dokładnie
      “O jakie komunikatory konkretnie chodzi”?
      Odpowiedź: TAK.
      “Jak to ma w zasadzie wyglądać”?
      Odpowiedź: TAK.
      “Z jakiej racji komunikatory te miałyby udostępniać dane polskim służbom?”
      Odpowiedź: TAK.

      Oczywiście aby służby się zaczęły interesować, to trzeba być złodziejem, oszustem albo jakimś innym pedofilem. No bo na pewno to prawo nie będzie użyte przeciwko myślącym inaczej niż nakazuje partia/media/kościół/służby/politycy “bo tak” – prawda?

  18. Dlaczego błędnie się zakłada, że zagraniczni dostawcy nie będą stosować się do polskiego prawa? Skoro świadczą usługi w Polsce to będą musieli się dostosować. Bywało tak wielokrotnie, np. google czy Facebook deklarował dostosowanie się do prawa kraju, w którym świadczy usługi.

    • Chodzi raczej i o Porty i o jakiś device Finger Printing, tylko pewnie jeszcze nie doszli do tego, że nie ma standardu w PL.

  19. A ja tak poważnie spytam, co jeżeli email mam w swojej domenie i na serwerze w firmie hostingowej – czy przyjdą z zapytaniem do mnie czy do firmy hostingowej? Jak do mnie to mogę powoływać się na przepis o tym, że nie muszę dostarczać dowodów w swojej sprawie?

    Co jeżeli komunikator powstał na kremlu?

    • >(…)przepis o tym, że nie muszę dostarczać dowodów w swojej sprawie?(…)

      A jest taki przepis? W Polsce?

      A dwa, w takiej sytuacji jeszcze NIE MA SPRAWY przeciwko Tobie. Jest tylko śledztwo w sprawie, które stawiając się będziesz utrudniał. Za co zostaniesz ukarany. A dopiero potem, za to drugie.

    • @Tomek
      Art. 83. – [Prawo odmowy zeznań] – Kodeks postępowania administracyjnego.
      § 2.
      Świadek może odmówić odpowiedzi na pytania, gdy odpowiedź mogłaby narazić jego lub jego bliskich wymienionych w § 1 na odpowiedzialność karną, hańbę lub bezpośrednią szkodę majątkową albo spowodować naruszenie obowiązku zachowania prawnie chronionej tajemnicy zawodowej.

    • @Tomek
      oraz
      Art. 183. KPK -Prawo do uchylenia się świadka od odpowiedzi
      § 1.
      Świadek może uchylić się od odpowiedzi na pytanie, jeżeli udzielenie odpowiedzi mogłoby narazić jego lub osobę dla niego najbliższą na odpowiedzialność za przestępstwo lub przestępstwo skarbowe.

  20. Ta ustawa moim zdaniem przejdzie bez problemów, nikt na większą skalę się nie przeciwstawi. Skoro nikt nie zbuntował się jak wprowadzali obowiązkowe odciski palucha do dowodów, to niby czemu teraz ludzie mieliby zablokować coś, czego w większości nie kumają nawet? A odciski palucha to dane biometryczne, nie da się w nich zainstalować VPN-a czy innego ustrojstwa. Nawet media się nie rozpisywały wtedy za bardzo, no bo po co skoro lud się godzi bez krzyków. Państwo Orwellowskie mamy już w sumie teraz. Zrobią z nami co będą chcieli i tyle, nawet nie muszą wiele ściemniać, lud łyknie wszystko i nawet więcej.

    • Odciski palców pobierane są obowiązkowo do paszportów od 2009 roku i też wtedy nikt -niestety – nie protestował.

      Ja nie mam ani dowodu osobistego (tak, wiem, to jest wykroczenie), ani paszportu i nie zamierzam mieć. Żyję, pracuję, do lekarza też chodzę – problemu nie ma. Prawo jazdy wystarczy, żeby żyć spokojnie.

    • @Józef A mozna wiedziec co boli cie w posiadaniu dokumentu tozsamosci? To juz jakas lekka paranoja? Prawo jazdy nie sluzy do potwierdzenia tozsamosci a do potwierdzenia posiadania uprawnien do prowadzenia pojazdow.

    • @Marek

      Człowiek może sobie nie życzyć, żeby oddać swoje zdjęcie do państwowej bazy danych, dostępnej dla setek tysięcy ludzi.

      Kulsony wyświetlają sobie zdjęcia z bazy dowodów osobistych w swoich terminalach, z którymi łażą po ulicach, spisując ludzi bez powodu. Nie życzę sobie żeby byle obszczymury z policji mogły sobie ot tak sprawdzać moje zdjęcie. Już wkurzające jest to, że mam PESEL i że w bazie PESEL też grzebią do woli.

      Można by też się zastanowić, czy baza zdjęć biometrycznych z dowodów i paszportów nie posłuży w przyszłości do śledzenia wszystkich na ulicach przez kamery z automatycznym rozpoznawaniem twarzy. Nie znam odpowiedzi na to pytanie, ale się jej domyślam.

      Po drugie: Poza tym wolny człowiek może sobie nie życzyć, żeby jego odciski palców były umieszczane w dokumentach.

      Po trzecie: g… mnie obchodzi co jeszcze władza wymyśli z dowodami, prawami jazdy czy paszportami i co one potwierdzają a co nie – to jest wymyślanie nieistotnych problemów.

      Daję państwu jak najmniej informacji o sobie i polecam to innym.

      Sapienti sat!

  21. Hehe

    “Operatorzy telekomunikacyjni od kilku lat stosują nowocześniejszą technologię CGNAT i NAT polegającą na przydzielaniu jednego adresu IP wielu urządzeniom końcowym. Rozróżnianie urządzeń odbywa się za pomocą przydzielonych w trakcie połączenia portów.”

    Nie od kilku tylko od 30 lat jest jest problem z NAT i np siecią w hotelu czy hotspocie.
    Teraz doszły telekomy z milionami komórek schowanych za NAT.

    Ale jestem ciekaw, jak w anachronicznym Ipv4 właściciel bloga WordPress na serwerze Nginx z PHP-FPM czy serwera pocztowego na Postfixie ma szukać logów portu źródłowego, jeśli ani Nginx, ani PHP ani Postfix nie logują portów źródłowych tylko same adresy?

    Rząd bohatersko walczy z problemami nieznanymi w żadnym normalnym kraju.

    Np taka Finlandia czy Grecja mają po 40-60% netu w Ipv6, resztę w Ipv4, to każdy smartfon czy laptop w tych krajach dostaje publiczny adres dowolnego typu, w ogóle nie trzeba wtedy NAT czy CGNAT.

    Jeśli natomiast przeglądarka domyślnie otwiera 24 połączenia ze stroną WWW (witamy w web-2.0) to życzę administratorom radosnego logowania, bo przecież nie wiedzą, o które połączenie z danego dnia zapytają służby.

    Jeżeli z dowolnego komputera czy smartfona wychodzi dziennie kilkaset do ponad tysiąca jednorazowych połączeń, to chcę widzieć to logowanie i te logi.

    Jeżeli państwo ma problem z przestępcami za NAT, to powinno wyeliminować NAT operatorski przede wszystkim, a nie tworzyć coraz to durniejsze regulacje w duchu scholastyki kretynizmu i patologii.

    Pozdro

  22. > telekomy (to już było i nikogo nie dziwi)

    To nieprawda. Wielu dziwi – słusznie – że dane lokalizacyjne i billingi *wszystkich* urządzeń są obowiązkowo gromadzonE, a służby mają do nich dostęp na bieżąco.

    Jednym ze zdziwionych był m. in. Trybunał Sprawiedliwości UE, który uznał wyżej wspomniane przepisy za niezgodne z prawem unijnym.

    Nawiasem mówiąc, uważam, że operatorzy sieci telekomunikacyjnych, dostawcy skrzynek mailowych powinni mieć wręcz ZAKAZ zatrzymywania matadanych bez uprzedniego postanowienia sądu o zatrzymywaniu metadanych konkretnych użytkowników.

  23. > prawami tworzonymi ad hoc reaktywnie po jakiejś sytuacji która akurat chwilowo wywołała poczucie zagrożenia u tych półgłówków

    Bardzo dobrze określone.

  24. “czyli celem jest przepchnięcie zbierania porów” – literówka.

    Poza tym dzięki wielkie za sensowne podsumowanie tematu od strony technicznej :)

  25. OK armagedon :) Jednak dopóki nasze skrzynki są zarządzane przez Gmail, Hotmail czy TP. nasz “kochany”rzad może walczyć jak z kasynami online.

  26. A ciekawa jestem czy wszelkie programy do komunikacji grupowej na przyklad Zoom, Hangouts, Skype, Teams czy nawet slack (o startym Gadu-Gadu juz nie wspominam nawet), tez pod to podchodza? Bo jesli tak, to nagle cala masa komunikatorow tego typu stanie sie be… nie wszystkie korporacje lubia jak sie ich pracownikow sledzi… VPN na komputerze pracowniczym to jest standard juz dla mnie, ale mimo wszystko, MS ma biuro w Polsce, google przeciez tez…

  27. Znowu trzeba będzie wysyłać maile telnetem.

  28. Żebyście zdechli w najgorszych męczarniach wy rukwy rządowe.Tego wam życzę ja kulson spaczony.

  29. Dzięki za artykuł.
    Z jednej strony : inwigilacja co oczywiste w stylu coraz większy rok 1984, jak już ktoś przytomnie powyżej w komentarzu zauważył, bo globalny nacisk jest na to i drugie dno jest w tym, (jak w aferze balenciagi ).
    Wszystko to łączy się z en wu o, szczypawkami, “wirusem” ,kontrolą percepcji i Fajf Dżi.

    Ale z drugiej strony : Polak potrafi, w konspiracji czuje się najlepiej !
    Najwyżej cza będzie schodzić do wirtualnego “kanału” zatem pomimo potrzeby realizmu i unikania naiwnego działania miejta jednak optymizm ,”Szerujta” pozytywy !
    Bo my Polaczki musimy trzymać się razem : kto to powiedział ?

    • 5G, NWO, szczypawki. :)
      Odstaw leki lub zmniejsz dawke.

  30. Jak zwykle pewnie chodzi o przekręty na wielką skalę.

  31. […] W swojej opinii nie jesteśmy osamotnieni. Niespodziewanego sojusznika zyskaliśmy w Ministerstwie ds. Unii Europejskiej, które w swoim stanowisku do projektu również zwróciło uwagę na problemy z retencją danych. Sprawa postawiła też do pionu ekspertów od cyberbezpieczeństwa.  […]

  32. Przypuszczam, że prędzej, czy później zmuszą nas do posiadania w komputerze (smartfonie itp.) czegoś w rodzaju karty SIM, która będzie jednoznacznie identyfikowalna i bez której w ogóle nie da się wejść do sieci.

    Przypuszczam też, że w nieodległej przyszłości będziemy mieli NFC umieszczony w zatoce czołowej, który będzie nas jednoznacznie identyfikował. Potwierdzenie tożsamości będzie przenoszone przy pomocy smartzegarka itp., przez przyłożenie go do czoła; trzeba będzie tak potwierdzić po każdym jego zdjęciu. Przyłożenie nośnika z potwierdzoną tożsamością będzie JEDYNYM sposobem zalogowania się, uruchomienia komputera, samochodu, konta, zamka do mieszkania itd.
    Jeżeli się to komuś kojarzy, np. z Apokalipsą, to jego prywatna sprawa…

  33. sutenerowi to loto…. 500+ dajo? dajo!!!! A Tusek coś dawał????? A tu 13,14!!!!!! Dopłaty do wungla!!!! Gazu!!!! Łopon!!!! No i najlepszo ropa w europie!!! Po cenach widać,nie ma lipy!!! Malkontenty jesteśta!!!! Janusz się wami dziady zajmie!!!

  34. Warto zwrócić uwagę nie tylko na ten jeden fakt o możliwym ułatwieniu “inwigilowaniu” komunikatorów. Wszystkie różne działania są ze sobą powiązane, jak zmniejszanie obrotów gotówkowych, zmniejszanie limitów wypłat z bankomatów, zgłaszanie przez banki większych wypłat gotówkowych i wpłat oraz wiele innych. Bardzo przyspieszył proces wiązania “rąk” obywatelom w każdej dziedzinie – aby każdego można było zniszczyć gdy podpadnie władzy jednym klikiem. Z jednej strony aby każdy był uzależniony od dostępu do gotówki wirtualnej a z drugiej posiadania na każdego haczyka, bo u każdego coś się znajdzie jak dobrze poszukać w Polskie nieracjonalnym systemie prawnym. Przykładowo w Polskim prawie nabywając młotek lub nuż kuchenny w sklepie i niosąc go do domu – obywatele już popełniają przestępstwo. Warto się także tym zainteresować.

    • Celne komentarz…tylko ze wiekszosc tzw ludzi, spoleczenstwa czyli nieswiadomych baranow, a nawet czytelnikow tej strony tego nie zrozumie :

      oni chca naprawde smart swiata, wiecej netfliksa, 6G, ostatniej prostej, “wyborow” itd .

      Kochaj swoje wiezienie to ich motto, o ktorym nawet nie wiedza !

      zatem ograniczanie swobod i monitorowanie komunikatorow kojarzy im sie z “ochrona”, a jak sie zorientuja to nowy wspanialy swiat juz ich dawno polknie.

  35. Czy przepisy te będą dotyczyć TOR ? ;)

  36. OMG niezły clickbait a już myślałem że znowu chcą się czepiać komsów takich jak Signal, Briar, Speek, Tox czy innych podobnych a to głównie poczta i porty źródłowe

  37. Ciekawa sprawa u mnie.

    Jest sobie internet domowy z publicznym adresem IP.
    Jest zarejestrowana domena podpięta do tego publicznego IP.
    W domu, na routerze, jest uruchomiony serwer jabbera, ktory się komunikuje z innymi serwerami jabbera w różnych domenach.
    Sam protokół jabbera jest wolny, każdy człowieczek może sobie na dowolnej maszynie z publicznym IP postawić taki serwer we własnej domenie lub nawet adresie user.dyndns.org

    Kto w takiej sieci prywatnej, gdzie nie występuje podmiot usługodawcy, odpowiada za “retencję”?

    I jak robić tą retencję w sytuacji, kiedy komunikatory domyślnie używają szyfrowania e2e w standardzie omemo lub opengpg?

    Ktoś tu się z tymi dyrektywami i ustawami nieźle wydurnił, nie pierwszy raz z resztą.
    xD

    PZDR

    • Obecnie nikt, ponieważ projekt Ustawy PKE został odrzucony.

  38. ” nonroot 2023.02.15 13:07 | # |

    5G, NWO, szczypawki. :)” za glupi jestes aby zrozumiec co on napisal !!

    Ty juz “lek” pewnie wziales, na “wirusa”1984, czyli sam sobie zrobiles uszkodzenie dna, a moze i koniec tego wcielenia, matriksowy niewolniku…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: