Prawo i cyfryzacja

W Polsce brakuje dużych graczy na międzynarodowym rynku usług IT, którzy mogliby być wykorzystani przez Polski rząd, tak jak to robią Amerykanie czy Brytyjczycy – mówi adwokat Jakub Orłowski, panelista wrześniowego klubu CIO w rozmowie z Łukaszem Ziają.

Analizując polski system prawny można dojść do wniosku, że prawo nie nadąża za cyfryzacją. Czy państwo w ogóle powinno nadążać za cyfryzacją?

System prawny, nie tylko w Polsce, ale na całym świecie, nie nadąża i nigdy nie nadąży za cyfryzacją. To niemożliwe. Postęp technologiczny można porównać do zjawiska płynącej rzeki: woda, która płynie z prądem rzeki dla obserwatora, który stoi na brzegu wygląda identycznie, choć wszyscy wiemy, że ciągle się zmienia. Tak samo jest z postępem technologicznym i zjawiskami mu towarzyszącymi: widzimy jak na naszych oczach się zmieniają, ale nie wiemy co przyniesie przyszłość. Nie jesteśmy w stanie precyzyjnie ocenić, jakie konsekwencje powstaną w związku z pojawieniem się nowych technologii, dlatego nigdy nie będziemy w stanie odpowiednio wcześnie zareagować. Jak pisał Stanisław Lem „każda nowa technologia ma awers korzyści i rewers nieznanych dotychczas bied.”.

Zobacz również:



Czy polski system prawny wymaga zmiany samego procesu legislacji?

W 2014 roku na świecie doszło do blisko 43 mln naruszeń bezpieczeństwa związanych z wyciekiem danych wrażliwych, natomiast liczba zatrzymanych, a następnie skazanych osób jest nieporównywalnie mniejsza. Stosunkowo łatwo jest uzyskać bezprawny dostęp do informacji, a sprawcy często unikają odpowiedzialności karnej. Hakerzy potrafią doskonale zacierać ślady swoich przestępstw i kamuflować swoje działania. Dlatego rządy krajowe bardziej muszą zwracać uwagę na profilaktykę bezpieczeństwa niż na zmiany w prawie. Zmiany w prawie oczywiście powinny następować, jednak budowanie podstawowej świadomości, wśród legislatorów, związanej z wyzwaniami, jakie wynikają z postępu technologicznego jest kamieniem węgielnym pod budowę zwaną systemem prawnym. Obserwując dzisiejszy proces tworzenia prawa coraz częściej mam wrażenie, że tym tematem zajmują się osoby, które nie rozumieją zjawisk ery informacji, a przez to nie są w stanie zareagować w odpowiedni sposób i we właściwym momencie.

W całkowitej pustce legislacyjnej znajduje się chociażby kwestia ochrony znaków towarowych w adresach internetowych.

To dobry przykład. Ustawodawca polski zamknął oczy i pozwala na całkowitą dowolność związaną z ustaleniem zasad rejestracji znaków towarowych w adresach internetowych oraz ich ochrony przez bezprawnymi działaniami; przepisy nie regulują tej kwestii w sposób precyzyjny. Ze względu na szczególną pozycję Naukowej i Akademickiej Sieci Komputerowej, która zarządza domenami z końcówką .pl, wszystkie sprawy sporne rozstrzygane są przez sąd polubowny, którego wyrok zasadniczo nie podlega zaskarżeniu. W tym zakresie lukę w systemie prawnym wypełniają przedstawiciele nauki prawa, którzy swoimi komentarzami czy monografiami starają się wskazać właściwe kierunku interpretacji przepisów znajdujących się chociażby w ustawach o zwalczaniu nieuczciwej konkurencji czy o prawie własności przemysłowej. Wszystkie te zabiegi są iluzoryczne, choć potrzebne, bo w czasie kiedy powstawały te ustawy nikt nie myślał, że będzie trzeba je stosować do zagadnień prawnych związanych z internetem, który w tym czasie dopiero w Polsce raczkował. Ten prosty przykład, na który Pan wskazał, dobitnie pokazuje, jak wiele jest jeszcze do zrobienia i poprawienia, jeżeli chodzi o proces legislacyjny mający na celu płynne przechodzenie w nowoczesną przyszłość państwa.

Jak Pańskim zdaniem kształtuje się sytuacja związana z informatycznym bezpieczeństwem państwa?

Mówiąc o informatycznym bezpieczeństwie państwa należy wskazać na zaniedbania w zakresie partnerstwa publiczno-prywatnego. W Polsce brakuje dużych graczy na międzynarodowym rynku usług IT, którzy mogliby być wykorzystani przez polski rząd – tak jak to robią Amerykanie czy Brytyjczycy. Polscy informatycy od lat znajdują się w światowej czołówce. Niestety ich umiejętności oraz wiedza nie są wykorzystywane dla poprawy bezpieczeństwa państwa, a jedynie dla wewnętrznych korzyści zagranicznych korporacji. W tym właśnie należy upatrywać jedną z głównych przyczyn pewnego rodzaju zardzewienia w dostrzeganiu korzyści związanych z rozwojem nowych technologii i wprowadzaniem w ślad za tym dopasowanych zmian w systemie prawnym.

Czy organy ścigania są przygotowane do prowadzenia spraw związanych z cyberprzestępczością?

Zdecydowanie nie. Powodem tego stanu rzeczy jest brak dostatecznych środków finansowych . Jest to problem, z którym zmagają się jednak wszystkie państwa na świecie - Polska nie jest wyjątkiem. Brak wystarczających środków finansowych to jednak nie jedyny problem. Ogromnym problemem jest bowiem to, że nie mamy takich firm jak Google czy Apple – przedsiębiorstw posiadających potężną infrastrukturę informatyczną skoncentrowaną na gromadzeniu danych. Dane te następnie są dzielone, porządkowane i przypisywane do konkretnych zbiorów, które są poddawane analizie przy użyciu takich narzędzi jak Prism – tajny amerykański program szpiegowski, administrowany od 2007 roku bezpośrednio przez National Security Agency. Program ten umożliwia wywiadowi Stanów Zjednoczonych dostęp do danych gromadzonych na serwerach największych przedsiębiorstw internetowych, a także do gromadzenia ich na własny użytek. Podstawę prawną tych działań stanowi sekcja 702 ustawy o kontroli wywiadu. Na tej podstawie prowadzi się przeszukania danych w sposób ukierunkowany, dzięki wykorzystaniu indywidualnych sektorów, które identyfikują konkretne środki komunikacji, takie jak adres e-mail czy numer telefonu.

Jak duża jest Pańskim zdaniem skala inwigilacji tym narzędziem?

Głównym źródłem informacji na temat Prism jest Edward Snowden – technik komputerowy, były pracownik CIA i wykonawca prac na zlecenie przedsiębiorstwa Booz Allen Hamilton, która świadczyła usługi dla National Security Agency. Snowden stwierdził, że był przerażony skalą inwigilacji prowadzonej przez władze Stanów Zjednoczonych i zdecydował się ujawnić skopiowane informacje. W Stanach Zjednoczonych są obecnie prowadzone dyskusję , czy władza nie pozyskuje zbyt wielu informacji, nie inwigiluje zbyt dużej ilości osób, nikt jednak nie kwestionuje konieczności posiadania infrastruktury umożliwiającej takie działania w razie potrzeby. W Polsce nie mamy tego problemu.

Nie mamy infrastruktury informatycznej, która mogłaby choć w minimalnym stopniu konkurować z tym czym dysponują Amerykanie, Brytyjczycy, Kanadyjczycy czy Australijczycy.

Tak, to prawda. Brytyjczycy w 1919 roku stworzyli Government Communications Headquarters (Centrala Łączności Rządowej), jako Rządową Szkołę Kodów i Szyfrów, zajmującą się zbieraniem i oceną informacji pochodzących z rozpoznania promieniowania elektromagnetycznego wykorzystywanego w telekomunikacji. W Polsce jedną z takich jednostek jest Narodowe Centrum Kryptologii — jednostka podległa Ministerstwu Obrony Narodowej, zajmująca się badaniami i wdrażaniem rozwiązań kryptograficznych na potrzeby polskiej administracji publicznej i wojska, utworzone decyzją Ministra Obrony Narodowej w 2013 roku. Polska niestety dopiero od 2013 roku weszła w świat nowych technologii związanych z obserwacją sieci Internet, przez co wiedza naszych służb, ich doświadczenie i możliwości są na zupełnie innym poziomie, aniżeli Brytyjczyków czy innych naszych zagranicznych przyjaciół. Trudno powiedzieć, jakie na dzień dzisiejszy jednostka ta ma sukcesy w walce z przestępczością. Dla mnie bardzo prostym przykładem, może nieco mniej związanym z tematem, jest informacja jaka ukazała się pod koniec 2011 roku, że każdy z posłów dostanie tableta. Nie było by nic w tym dziwnego pod warunkiem, że mielibyśmy pewność, że takie urządzenie nie będzie swoistymi koniem trojańskimi zbierającym informacje o polskich posłach. To pokazuje, że poziom polskiej innowacyjności oraz dostępu do nowych technologii jest taki, że instytucje państwowe muszą korzystać z rozwiązań technologicznych obcych korporacji, co finalnie wpływa na obniżenie poziomu bezpieczeństwa narodowego oraz skuteczności w ściganiu cyberprzestępców.

W 2018 roku wejdzie w życie decyzja wykonawcza Komisji 2016/1250 przyjęta na mocy dyrektywy Parlamentu Europejskiego i Rady w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Do tego momentu ustawodawca będzie musiał zmienić przepisy w blisko 800 ustawach. Czy Pańskim zdaniem poradzi sobie z tym zadaniem?

Taka ilość zmian w przepisach będzie wymagać ogromnej pracy i zaangażowania ze strony państwa. Z drugiej strony jednak przedsiębiorcy i osoby, których dotyczyć będą te przepisy zmuszeni zostaną do podjęcia szeregu zmian organizacyjnych w celu dostosowania się do planowanych zmian. Konieczność wprowadzenia zmian w szeregu ustaw winna być poprzedzona kompleksową debatą nad przepisami tych ustaw, a same nowelizacje nie powinni ograniczać się jedynie do koniecznej zmiany, ale również do zmiany przestarzałych przepisów – tak aby były w większym stopniu dostosowane do otaczających nas zjawisk. Powinniśmy jak najszybciej rozpocząć debatą nad koniecznością wprowadzenia licznych zmian w przepisach prawnych. Mam nadzieję, że taka debata się odbędzie i będzie swoistą iskrą, która stworzy prawdziwy ogień polskiego postępu technologicznego.

Dziękuję za rozmowę.


Jakub OrłowskiKliknij, aby powiększyćJakub Orłowski

Jakub Orłowski
Absolwent Wydziału Prawa i Administracji Uniwersytetu Łódzkiego; adwokat - wspólnik w Kancelarii Adwokackiej Orłowski & Mikuliszyn; specjalizuje się w prawie karnym, handlowym oraz nowych technologii; uczestnik seminarium doktoranckiego na Wydziale Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego.

30-31 marca 2017 r. Zarejestruj się Już po raz dziesiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum Bezpieczeństwa i Audytu IT, która odbędzie się 30-31 marca 2017 r. w Warszawie. SEMAFOR to jedno z najważniejszych wydarzeń związanych z IT security w Polsce.