24 listopada SPD, Zieloni i FDP ("koalicja sygnalizacji świetlnej") przedstawili swoją umowę koalicyjną. Bezpieczeństwo informatyczne ma znów otrzymać wyższy priorytet. Zamiast zacieśniać inwigilację obywateli, jak to miało miejsce w ostatnich latach, teraz sprawy mają znów pójść w innym kierunku.

Można się tu dowiedzieć, jakie dokładnie cele w obszarze bezpieczeństwa IT mają być w ramach koalicji sygnalistów.

Rola BSI w bezpieczeństwie IT

W umowie koalicyjnej zapisano, że Federalny Urząd Bezpieczeństwa Informacji (BSI) ma stać się "bardziej niezależny". Co dokładnie oznacza to sformułowanie, pozostaje niejasne. W każdym razie BSI prawdopodobnie nie zostanie mianowany najwyższym organem federalnym.

Agencje państwowe mają być jednak zobowiązane do zgłaszania BSI znanych słabości bezpieczeństwa. Ponadto ich systemy informatyczne mają być regularnie poddawane zewnętrznym audytom. BSI ma następnie informować przedsiębiorstwa o słabych punktach bezpieczeństwa. Celem powinno być zawsze jak najszybsze likwidowanie podatności. Nie powinno dochodzić do sytuacji, w której państwo kupuje luki bezpieczeństwa lub utrzymuje je w stanie otwartym.

W przypadku realizacji tych celów koalicja sygnalizacji świetlnej wykraczałaby nawet poza to, czego niedawno domagał się Federalny Trybunał Konstytucyjny (BVerfG) w zakresie bezpieczeństwa IT. BVerfG zezwolił bowiem ostatnio w lipcu organom bezpieczeństwa na "prowadzenie źródłowego nadzoru telekomunikacyjnego za pomocą nieznanej luki ochronnej".

W przeszłości jednak niemieckie władze tylko z rzadka umieszczały programy szpiegowskie na urządzeniach końcowych za pomocą luk w zabezpieczeniach. Dlatego obejście się bez nich nie powinno być zbyt trudne.

Biały hacking dla bezpieczeństwa IT w ramach koalicji sygnalistów

Porozumienie koalicji na rzecz bezpieczeństwa IT mówi ponadto, że "white hacking", czyli w języku umowy koalicyjnej "identyfikacja, zgłaszanie i likwidacja luk bezpieczeństwa w ramach odpowiedzialnej procedury", powinien stać się legalny. Wymagałoby to dostosowania "paragrafu hakerskiego" w kodeksie karnym (§ 202c StGB).

Odrzuca się natomiast prowadzenie hacków przeciwko podejrzanym o cyberatak.

Trojany państwowe i wyszukiwanie w sieci

Korzystanie z oprogramowania do inwigilacji państwa nie ma być całkowicie zakazane. W przyszłości jednak wymagania w tym zakresie mają być wyższe. W ramach tego rząd koalicyjny chce również zrealizować wymagania Federalnego Trybunału Konstytucyjnego. Na temat rewizji uprawnień Urzędu Ochrony Konstytucji do stosowania takich państwowych trojanów w umowie koalicyjnej znalazły się jednak tylko bardzo ogólnikowe sformułowania.

Zitis

Koalicja sygnalistów utrzymuje, że należy stworzyć podstawę prawną dla kontrowersyjnego organu hakerskiego Zitis. W ten sposób chce zagwarantować, że parlament i organy nadzorujące ochronę danych będą mogły kontrolować Zitis bez luk.

Wydaje się, że nie ma zmian w rozwoju narzędzi monitorujących.

Brak stałego monitorowania

Porozumienie koalicyjne wyraźnie sprzeciwia się powszechnemu nadzorowi wideo i stosowaniu oprogramowania do rozpoznawania twarzy. Należy to w każdym razie podkreślić pozytywnie. Koalicja sygnalistów żąda: "Należy zagwarantować prawo do anonimowości zarówno w przestrzeni publicznej, jak i w internecie". Posuwa się nawet do żądania zakazu identyfikacji biometrycznej w publicznych i państwowych systemach punktowych na poziomie europejskim.

W każdym razie zatrzymywanie danych powinno być dozwolone jedynie na podstawie "okoliczności". Nie wiadomo jeszcze, jaką dokładnie formę przyjmie to rozwiązanie. Mogłoby to być coś w rodzaju rozporządzenia o szybkim zamrażaniu, o czym już dyskutowano. Wciąż jednak oczekuje się orzeczenia Europejskiego Trybunału Sprawiedliwości (ETS).

Instrumenty koalicji na rzecz bezpieczeństwa IT

W celu identyfikacji cyberataków i podobnych sprawców koalicja sygnalistów chce uciec się do pułapek logowania, aby zapewnić większe bezpieczeństwo informatyczne przy jednoczesnej ochronie praw podstawowych. W tym celu władze mają mieć możliwość kierowania odpowiednich zapytań do dostawców, którzy następnie ujawnią aktualne adresy IP. W ten sposób nawet pseudonimowi użytkownicy powinni móc być w przyszłości identyfikowani "w sposób, który chroni prawa podstawowe i jest zorientowany na wolność".

Aby w wystarczającym stopniu uwzględnić wolności obywatelskie, do końca 2023 roku ma zostać przeprowadzony całościowy audyt nadzoru. Ma on obejmować "niezależną naukową ocenę ustaw dotyczących bezpieczeństwa i ich skutków dla wolności i demokracji w świetle rozwoju technicznego". Nie wiadomo jeszcze, jakie skutki będzie to miało dla praktyki.

Brak filtrów uploadowych dla bezpieczeństwa IT w ramach koalicji sygnalizacji świetlnej

Koalicja sygnalizacji świetlnej odrzuca obowiązkowe filtry uploadu "w celu ochrony wolności informacji i wypowiedzi". Na tle art. 17 unijnej dyrektywy o prawie autorskim sformułowanie to wydaje się niejasne.

W każdym razie koalicja sygnalizacji świetlnej otwarcie sprzeciwia się "ogólnym obowiązkom monitorowania, środkom do skanowania prywatnych komunikatów i obowiązkowi identyfikacji", jakie przewiduje UE. Czy uda się zapobiec takim środkom, jak planowana kontrola czatu, pozostaje kwestią otwartą.

Wniosek

W sumie umowa koalicji w sprawie bezpieczeństwa informatycznego jest obiecująca. Jak to jednak zawsze bywa z umowami koalicyjnymi, dopiero okaże się, czy i jak będą one faktycznie realizowane.

Jeśli potrzebujesz pomocy w zakresie bezpieczeństwa informacji, skontaktuj się z nami, chętnie wesprzemy Cię we wdrożeniu technicznym i organizacyjnym w Twojej firmie.

DSB buchen
pl_PLPolski