Kontrola operacyjna a przełamywanie zabezpieczeń systemów teleinformatycznych - Security Bez Tabu

Kontrola operacyjna a przełamywanie zabezpieczeń systemów teleinformatycznych

Niezrozumienie na poziomie definicji

Większość społeczeństwa utożsamia kontrolę operacyjną wyłącznie z pozyskiwaniem danych z telefonów komórkowych, wykorzystujących do prowadzonej komunikacji sieci operatorów telekomunikacyjnych.

Poszczególne ustawy służb w tym zakresie wskazują, iż:

Przedsiębiorca telekomunikacyjny, operator pocztowy oraz usługodawca świadczący usługi drogą elektroniczną są obowiązani do zapewnienia na własny koszt warunków technicznych i organizacyjnych umożliwiających prowadzenie przez służby kontroli operacyjnej. *

– Usługodawca świadczący usługi drogą elektroniczną będący mikro przedsiębiorcą lub małym przedsiębiorcą w rozumieniu przepisów ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. z 2021 r. poz. 162) zapewnia warunki techniczne i organizacyjne umożliwiające prowadzenie przez służby kontroli operacyjnej stosownie do posiadanej infrastruktury. *

* Powyższe zapisy można znaleźć m.in. w: art. 19 ust. 12 i 12a ustawy o Policji, art. 27 ust. 12 i 12a ustawy o ABW oraz AW, czy art. 17 ust. 12 i 12a ustawy o CBA

W związku z powyższym warunki techniczne umożliwiające stosowanie kontroli operacyjnej, dosłownie rozumiane jako przekazywanie na rzecz służb danych objętych przedmiotem postanowienia Sądu, pochodzących z klasycznego podsłuchu telefonu w oparciu o ruch sieci telekomunikacyjnej, kontroli korespondencji internetowej (maile), czy przesyłek pocztowych zostało ustawowo scedowane na podmioty świadczące ww. usługi.

Co w przypadku kontroli operacyjnej ukierunkowanej na pozyskanie danych
z prywatnych sieci teleinformatycznych figurantów, do którego dostępu nie mają wyżej wymienione podmioty zobowiązane do zapewnienia warunków technicznych i organizacyjnych (czytaj: do przekazywania danych swoich klientów) w przypadku zarządzenia kontroli operacyjnej?

Pozwolę sobie wrócić kolejny raz do poprzedniego swojego artykułu dotyczącego legalności stosowania spyware przez polskie służby. Wskazywałem w nim, że nowelizacja ustawy o Policji i oraz niektórych innych ustaw (Dz. U. z 2016 r., poz. 147) z dnia 15 stycznia 2016 r. dała polskim służbom korzystającym z „podsłuchów” nowe możliwości w zakresie pozyskiwania danych z:

– systemów informatycznych,

– systemów teleinformatycznych,

– telekomunikacyjnych urządzeń końcowych.*

*definicje jak należy rozumieć przytoczone pojęcia można znaleźć w moim poprzednim wpisie dot. kontroli operacyjnej (Kiedy Spyware Jest Legalny?)

Z uwagi na fakt, iż powyższe dane nie są ogólnodostępne, nie ma do nich dostępu przedsiębiorca, usługodawca, o którym mowa w przytoczonych wyżej artykułach ustaw o Policji, ABW oraz AW, czy CBA, służby są zmuszone same korzystać z dostępnych dla nich narzędzi w celu ich pozyskania.

Metody pozyskiwania danych

Wraz z nieustającym postępem technologicznym, służby na całym świecie, w tym i polskie, aby móc realizować swoje ustawowe obowiązki są zmuszone dostosowywać się do zachodzących zmian, m.in. poprzez zakupy i wykorzystanie narzędzi uznawanych powszechnie przez opinię publiczną jako nielegalne, z których korzystają przestępcy.

Warto tutaj wskazać, że o podjęciu takich działań z wykorzystaniem, m.in. spyware zawsze decyduje Sąd. W momencie, kiedy zarządzi kontrolę operacyjną uwzględniającą ich wykorzystanie, działanie nabiera mocy prawnej, a co za tym idzie staje się legalne.

Z uwagi na fakt, iż służby są zobowiązane do ochrony środków, form i metod realizowanych zadań pracy operacyjnej, sposoby przełamywania zabezpieczeń w celu uzyskiwania danych pozostają tajemnicą, objętą ochroną informacji niejawnych. Warto tutaj dodać, że stosowane metody, z dużą dozą prawdopodobieństwa w znacznym zakresie są zbieżne z tymi, które wykorzystują przestępcy, chcąc nielegalnie zdobyć dane z danego środowiska teleinformatycznego, informatycznego.

Wykorzystanie uzyskanych danych

Głównym celem, dla którego zarządzana jest kontrola operacyjna jest utrwalenie i uzyskanie danych stanowiących dowody świadczące o popełnieniu czynów przestępnych. Jeżeli proces eksploatacji uzyskanych danych wykaże, iż figurant lub inna osoba popełniła przestępstwo służby są zobligowane do ich udostępnienia i przekazania prokuratorowi (art. 19 ust. 15 ustawy o Policji, art. 27 ust. 15 ustawy o ABW oraz AW, art. 17 ust. 15 ustawy o CBA).

Natomiast, w przypadku kiedy zgromadzone podczas stosowania kontroli operacyjnej materiały, które nie (są istotne dla bezpieczeństwa państwa*) stanowią informacji potwierdzających zaistnienie przestępstwa, podlegają niezwłocznemu, protokolarnemu, komisyjnemu zniszczeniu. (art. 19 ust. 17 ustawy o Policji, art. 27 ust. 16 ustawy o ABW oraz AW*, art. 17 ust. 16 ustawy o CBA).

Warto również wskazać, iż zgodnie z polskim prawem istnieje katalog materiałów, których nie można wykorzystać i podlegają niezwłocznemu, komisyjnemu i protokolarnemu zniszczeniu, są to tzw. bezwzględne zakazy dowodowe (art. 178 kodeksu postępowania karnego) oraz takie, na których wykorzystanie w ramach postępowania karnego musi wyrazić zgodę Sąd – tajemnice zawodowe (art. 180 kodeksu postępowania karnego).

* Więcej o tym zagadnieniu w moim poprzednim wpisie (Kiedy Spyware Jest Legalny?).

Podsumowanie

Reasumując, działania obejmujące łamanie zabezpieczeń systemów teleinformatycznych, informatycznych w celu uzyskania i utrwalenia danych w nim zawartych, mogą być przedmiotem działania polskich służb, tylko i wyłącznie w przypadku uzyskania zgody Sądu na zastosowanie takich metod pracy operacyjnej. Faktem jest, że utożsamianie ich wyłącznie z działaniami podejmowanymi przez przestępców traci w ostatnim czasie na aktualności.

O Autorze

Lew Strucki

Prawnik z doświadczeniem pracy w cywilnych służbach specjalnych.

Dziękujemy autorowi za to, że zechciał podzielić się swoją wiedzą i doświadczeniem na łamach SecurityBezTabu.pl