Kolejne zagrożenie cenzurą Internetu
Rządowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych przewiduje możliwość wydawania przez Pełnomocnika Rządu ds. Cyberbezpieczeństwa „poleceń zabezpieczających” nakazujących np. wprowadzenie „reguły ruchu sieciowego zakazującego połączeń z określonymi adresami IP lub nazwami URL” lub „zakaz korzystania z określonego sprzętu lub oprogramowania”. Polecenia te będą mogły być wydawane między innymi:
– przedsiębiorcom o szczególnym znaczeniu gospodarczo-obronnym, o których mowa w art. 3 ustawy z dnia z dnia 23 sierpnia 2001 r. o organizowaniu zadań na rzecz obronności państwa realizowanych przez przedsiębiorców, czyli na przykład przedsiębiorcom telekomunikacyjnym takim jak Orange Polska, T-Mobile Polska, Netia, Polkomtel, Telefonia Dialog, EmiTel, Exatel, Multimedia Polska, TTcomm, TK Telekom czy nadawcom takim jak Telewizja Polska i Polskie Radio (pełna lista jest tu, nic nie stoi na przeszkodzie, by wciągnąć na nią również Polsat czy TVN);
– podmiotom, o których mowa w art. 4 pkt 1-16 ustawy o krajowym systemie cyberbezpieczeństwa, czyli na przykład dostawcom usług cyfrowych, przez które rozumie się internetowe platformy handlowe (wszelki handel i usługi z umowami zawieranymi na stronie internetowej, czyli również usługi hostingu), wyszukiwarki internetowe oraz usługi przetwarzania w chmurze;
– krajowym instytucjom płatniczym.
„Polecenia zabezpieczające” będą mogły być wydawane w przypadku wystąpienia „incydentu krytycznego”, czyli incydentu skutkującego „znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi”, klasyfikowanego przez właściwy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (są trzy – jeden prowadzony przez Szefa ABW, jeden przez Ministra Obrony Narodowej i jeden przez państwowy instytut badawczy NASK).
Da to możliwość nakazania zablokowania dostępu do dowolnego serwera, strony internetowej czy usługi, zarówno głównym operatorom telekomunikacyjnym, jak i dostawcom hostingu, operatorom płatności lub samym właścicielom stron czy usług. Decyzją urzędnika, od której nie będzie przysługiwać odwołanie do sądu, bo takiej procedury nie przewidziano. Wystarczy uznanie przez odpowiedni państwowy zespół, że wystąpił „incydent krytyczny”. Bo na przykład zagrożone zostały czyjeś interesy gospodarcze w wyniku ujawnienia jakichś niewygodnych informacji. Za niezastosowanie poleceń zabezpieczających ma grozić kara pieniężna, jeszcze nie wiadomo w jakiej wysokości, bo tu w projekcie wydaje się być luka.
Może intencje są dobre i chodzi tylko o szybkie reagowanie na cyberataki. Ale „dobrymi chęciami piekło jest wybrukowane”.