*** PIIT po zapoznaniu się z treścią założeń do tej ustawy [dalej nazywanej spamowej ] stwierdza co następuje:

Transkrypt

1 Opinia Polskiej Izby Informatyki i Telekomunikacji w sprawie Założeń do Ustawy o SPAM i SPYWARE przygotowanych przez Ministerstwo Transportu i Budownictwa Polska Izba Informatyki i Telekomunikacji [PIIT] po pierwsze proponuje ustalić nazwę ustawy w języku polskim. Przykładowo może to być: Ustawa o zapobieganiu nieakceptowanej poczcie elektronicznej oraz szkodliwego oprogramowania Przy okazji warto może poszukać polskich nazw na oprogramowanie malware, spyware, adware, phishing itp. przy czym na przykład można zaakceptować po polsku pojęcie spam, spamować, spim, spit oraz haker i kraker. Jednym z obowiązkow ustawodawcy jest w porozumieniu z Radą Języka Polskiego ustalenie słownika polskich pojęć. PIIT po zapoznaniu się z treścią założeń do tej ustawy [dalej nazywanej spamowej ] stwierdza co następuje: *** 1. Przedmiotowy dokument nie uzasadnia wystarczająco potrzeby opracowania specjalnej ustawy spamowej, gdyż: a. Nie przedstawia żadnej analizy rzeczywistej skali występowania w Polsce tego typu przypadków, których źródłem jest działanie osoby fizycznej lub podmiotu znajdującego się na terenie Polski lub Unii Europejskiej. b. Nie przedstawia żadnej analizy poziomu strat bezpośrednich i pośrednich wynikających z tego typu przypadków dla osób fizycznych, podmiotów gospodarczych oraz gospodarki kraju. c. Nie przedstawia żadnej nawet szacunkowej analizy kosztów koniecznych do poniesienia przy wdrożeniu tego typu ustawy przez osoby fizyczne, podmioty gospodarcze (szczególnie dostawców usług internetowych) oraz administrację państwową. d. Nie precyzuje rzeczywistych odstępstw polskiego prawodawstwa od zapisów dyrektyw unijnych, wspominając tylko, że takie niewielkie różnice występują. e. Przedstawia wykaz istniejących zapisów prawnych pozwalających ścigać i karać rzeczywiste przestępstwa popełniane z wykorzystaniem internetu. 2. Przedstawione we wnioskach propozycje regulacji należy ocenić negatywnie, gdyż: a. [z tekstu założeń] doprecyzowanie definicji spamu, przy jednoczesnej potrzebie dyskusji nad rozszerzeniem zakresu przedmiotowego na zjawiska inne niż informacje handlowe, Nie negując potrzeby stałego analizowania zakresu definicji spamu, poszerzanie jej na inne zjawiska niż informacje handlowe nie wydaje się obecnie celowe, gdyż ściganie i karanie za przesyłanie informacji o charakterze politycznym, religijnym, oraz za tzw. łańcuszki szczęścia etc. będzie i trudne i mało akceptowalne społecznie. Warto również rozpatrzyć propozycje dotyczące wprowadzenia regulacji typu only opt-in, czyli takiej która wprowadza możliwość rozsyłania Opinia PIIT do Założeń Ustawy spamowej (MTiB) 1

2 informacji tylko do tych, którzy wcześniej jasno wyrazili chęć otrzymywania takiej informacji. Warto zwrócić uwagę, że przy dzisiejszym prawodawstwie spamem stały się de facto również pytania o możliwość dostarczenia informacji handlowej. Sprecyzowanie definicji spamu będzie trudnym zadaniem, gdyż w wielu przypadkach może to zależeć od kontekstu oraz odbiorcy, a także stosowanych rozwiązań technicznych. Dyskusyjne jest zapisane w dokumencie możliwości uznania za spam informacji przesyłanych na czatach internetowych, forach dyskusyjnych, czy w komunikatorach. Powstaje bowiem pytanie kto będzie oceniać czy dana informacja jest spamem, czy też tylko próbą nawiązania kontaktu? b. zmiana kwalifikacji czynu z wykroczenia na regulacje karno-administracyjne (lub pozostawienie czynu jako wykroczenie), Proponowanie natychmiastowej egzekucji w postaci mandatu może w wielu przypadkach prowadzić do nieuzasadnionego ukarania osoby lub podmiotu, które nie są bezpośrednimi sprawcami takiego czynu, gdyż wykrycie rzeczywistej przyczyny powstania danego szkodliwego zjawiska może wymagać bardzo specjalistycznej wiedzy i działania, a wskazany sprawca często nie będzie miał technicznych możliwości wykazania swojej niewinności. Warto również zbadać konsekwencje propozycji wszczynania postępowania z urzędu. Jeśli taka możliwość stałaby się również obowiązkiem to rodzą się uzasadnione obawy, że masowość zjawiska może doprowadzić do administracyjnego paraliżu instytucji odpowiedzialnej za wszczynanie takich postępowań. Warto też przypomnieć, że w ogólnie obowiązujące w Kodeksie Cywilnym, Kodeksie Karnym, Kodeksie postępowania administracyjnego istnieją odpowiednie procedury oraz obowiązują drastyczne kary nawet do 3 lat pozbawienia wolności (art Kodeksu karnego) za tego typu praktyki. c. rozszerzenie zakresu podmiotowego na podmioty, na zlecenie których prowadzone są tego typu działania, W tym przypadku jest to uzasadnione, ale już obecnie w polskim prawodawstwie zawsze jest możliwe wskazanie i ukaranie współsprawcy. d. zdefiniowanie zjawiska tzw. pop-up windows i uznanie ich w świetle ustawy za czyn nieuczciwej konkurencji (reklama uciążliwa) w rozumieniu ustawy o zwalczaniu nieuczciwej konkurencji, Znacząca część rozwoju internetu jest finansowana z reklam (podobnie jak komercyjna telewizja i prasa), a zjawisko pop-up jest tylko jedną z form takiej reklamy podobnie jak 15 minut reklamowej przerwy w trakcie filmu w TV, czy całkowicie obklejony reklamą tramwaj. Stąd też szczególne potraktowanie tego typu formy reklamy wydaje się nieuzasadnione. Dodatkowo tego typu zakazy stawiałyby w ewidentnie gorszej pozycji polskiego przedsiębiorcę w stosunku do przedsiębiorcy zagranicznego, sprawiając pogorszenie jego konkurencyjności. Rynek doczekał się skutecznych mechanizmów blokujących tego typu reklamy, co pozwala internaucie na samodzielną decyzję dotyczącą chęci zapoznawania się z reklamą skierowaną do niego z wykorzystaniem tych technik. Penalizacja wspomnianych technik może doprowadzić również do próby anonimizowania ich Opinia PIIT do Założeń Ustawy spamowej (MTiB) 2

3 nadawców, co z kolei, jak pokazuje zjawisko spamu, często wiąże się z wykorzystaniem do dystrybucji cudzych zasobów. e. powołanie specjalnej komórki przy Prezesie UKE właściwej dla ścigania spamu, Nadanie Prezesowi UKE możliwości nadania tak szerokich uprawnień pracownikom proponowanej Inspekcji Telekomunikacyjnej, dotyczących prawa wstępu do pomieszczeń w celu przeprowadzenia kontroli dodatkowych zadań nie wydaje się celowe, a już prawo wchodzenia do mieszkań osób fizycznych (i to bez nakazu prokuratora gdyż proponuje się z zastrzeżeniem wyjątków wskazanych w ustawie (czyli skrócenie terminów na załatwienie sprawy z uwagi na środowisko technologiczne, w którym zjawiska mają miejsce) ) rodzi poważne wątpliwości związane z możliwościami naruszania praw obywatelskich i będzie bardzo negatywnie społecznie odebrane. Biorąc pod uwagę, że komórki do zwalczania przestępstw komputerowych powstały już przy Policji, to wydaje się niecelowe tworzenie kolejnego organu państwowego uprawnionego do prowadzenia śledztw, przeszukań, zabezpieczania dowodów, i innych tego typu czynności. f. dodatkowo należy podjąć próbę stworzenia procedur i narzędzi do skutecznej walki ze zjawiskami malware. Walka ze zjawiskiem malware jest skuteczna po stronie producenta danego oprogramowania, które może być celem ataku hakera (a właściwie krakera [ang. Craker], gdyż haker nie robi krzywdy właścicielowi komputera, do którego się włamał ). W każdym innym przypadku jest to standardowe zabezpieczenie funkcjonowania danego systemu komputerowego poprzez odpowiednie oprogramowanie ochrony systemu (firewall), ustawienie parametrów programu obsługi poczty elektronicznej (blokada określonych tematów i adresów), przeglądarki (blokada po-up ów i banerów reklamowych). Dostępne jest też oprogramowanie antywirusowe, antyspamowe oraz anty spyware owe. Z uwag firmy NASK: Prosimy o korektę zdania Zespół ten działa w ramach Naukowej i Akademickiej Sieci Komputerowej, będącej jednostką badawczo-rozwojową, stanowiącą własność Skarbu Państwa na zdanie Zespół ten działa w ramach Naukowej i Akademickiej Sieci Komputerowej, będącej jednostką badawczo-rozwojową, nadzorowaną przez MeiN. Biorąc pod uwagę fakt, że kluczową działalnością zespołu CERT Polska jest rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci prosimy o umieszczenie tego punktu jako pierwszego w części opisującej działalności zespołu CERT Polska. Kończąc opis zespołu CERT Polska warto dodać, że Jak wynika z powyższego katalogu CERT Polska nie posiada prawnych instrumentów do zwalczania naruszeń prawa w sieci. PIIT docenia skalę zagrożenia oraz koszty ponoszone przez użytkowników z powodu spamu oraz innych podobnych zjawisk. Jednakże na podstawie informacji uzyskanych od dostawców usług internetowych stwierdzamy co następuje: Opinia PIIT do Założeń Ustawy spamowej (MTiB) 3

4 a. Ponad 80-90% spamu w polskiej sieci internetowej pochodzi z zagranicy i to z serwerów, które znajdują się poza kontrolą demokratycznych służb specjalnych, b. Większość tego spamu jest wynikiem korzystania przez użytkownika z witryn erotycznych lub umożliwiających kopiowanie nielicencjonowanych utworów (właściciele tych serwerów dodatkowo zarabiają na sprzedaży pozyskanych tą drogą adresów poczty elektronicznej). c. Dotychczas w Polsce nie odnotowano przypadku rozsyłania spamu w języku polskim na dużą skalę. Pojawiające się przypadki rozsyłania informacji handlowych czy też informacji o imprezach dotyczą stosunkowo wąskiego kręgu odbiorców (dla wielu są też cenną informacją) i mogą być stosunkowo łatwo zidentyfikowane co do źródła pochodzenia. Tym samym łatwe jest na podstawie już istniejącej ustawy zażądanie zaniechania tego typu praktyk. d. Dostawcy usług internetowych dysponują już bardzo efektywnym oprogramowaniem, które na zlecenie odbiorcy poczty elektronicznej jest w stanie odfiltrować przesyłki spamowe z korespondencji oraz zablokować rozsyłanie z danego adresu spamu. Problemem może być fakt, że takie usługi są z reguły związane z płatnymi kontami poczty elektronicznej o zaawansowanych cechach użytkowych. e. Dostawcy usług internetowych i administratorzy serwerów poczty elektronicznej oferują pomoc techniczną użytkownikom w przypadku kłopotów z nadmiernym spamem czy też przejęciem jego komputera do rozsyłania spamu. f. W obecnie używanych programach obsługi poczty elektronicznej oraz w przeglądarkach stron internetowych istnieje wiele mechanizmów ułatwiających odfiltrowanie przesyłek spamu i podobnych od oczekiwanej korespondencji czy informacji. Problemem jest, że wielu użytkowników nie potrafi poprawnie skorzystać z tych funkcji. g. Obecnie na rynku istnieje wiele oprogramowania, które umożliwia prawie 100% zabezpieczenie swojego systemu oraz korespondencji przed nieuprawnionym dostępem lub też przesłaniem nieoczekiwanych informacji. Problemem jest cena tego oprogramowania (istnieją też uproszczone wersje typu freeware ) oraz umiejętność jego poprawnego efektywnego wykorzystania. h. Obecnie na rynku działa wiele firm oferujących oprogramowanie antywirusowe i antyspamowe, które również prowadzą serwisy informacyjne o zasadach korzystania ze swojego systemu komputerowego w taki sposób aby nie być narażonym na otrzymywanie spamu czy też zniszczenia posiadanych treści przez programy wirusowe. Podobne informacje można uzyskać z popularnych pism komputerowych. Wydaje się konieczne upowszechnienie tych informacji. PIIT uważa, że obecnie przy niewielkim w stosunku do innych krajów Unii Europejskiej rozpowszechnieniu korzystania z internetu, podstawowym zadaniem administracji publicznej, instytucji państwowych i prywatnych, placówek edukacyjnych, sektora gospodarczego, a w tym sektora teleinformatycznego powinno być upowszechnianie i promocja korzystania z internetu we wszystkich środowiskach społecznych. Tworzenie zaś poprzez ustawę możliwości penalizacji nawet zwykłych użytkowników tylko z powodu możliwości użycia ich komputera do przestępstwa typu spam, nie wydaje się dobrym rozwiązaniem. Opinia PIIT do Założeń Ustawy spamowej (MTiB) 4

5 Podsumowując, PIIT stwierdza, że obecnie ani zakres zjawiska spamu w Polsce a jednocześnie w praktyce wystarczające środki techniczne (stale zresztą rozwijane) nie uzasadniają wprowadzenia jakichś szczególnych regulacji prawnych oraz specjalnej penalizacji, gdyż: 1. Wszelkie przestępstwa należy traktować jednorodnie bez względu na sposób czy zastosowane środki do jego popełnienia. Kradzież pieniędzy z konta powinna być traktowana jednakowo bez względu czy to był napad z bronią, phishing, czy też poprzez włamanie do komputera. Podawana ostatnio przez prasę wiadomość o wykryciu grupy osób okradających klientów aukcji elektronicznych (a nie internautów) oznacza po prostu wykrycie szajki oszustów i złodziei i dla prokuratora oraz sądu nie powinno być istotne czy kradzieży tych dokonali korzystając z internetu czy telefonu czy po prostu bezpośrednim wymuszeniem. Podobnie powinno być z utrudnianiem życia obywatelowi nadmiernymi reklamami wrzucanymi do skrzynki pocztowej lub skrzynki poczty elektronicznej, czy też przeglądarki stron internetowych. 2. Należy poszukiwać rozwiązań prawnych jednakowo określających skutek przestępstwa, a nie zastosowane przez przestępcę środki techniczne. Nie należy też mnożyć dodatkowych służb tylko dla określonego rozwiązania technicznego, gdyż rozwój techniki dalej będzie szybko dostarczać nowych możliwości zarówno popełniania przestępstw jak i ich zapobiegania. Niech lepiej Policja stale się dokształca oraz uzyskuje dodatkowe wyposażenie, które wraz z nabytą wiedzą informatyczną może zastosować do ścigania poważnych przestępstw, w szczególności związanych z istnieniem zorganizowanej działalności przestępczej korzystającej z technik informacyjnych PIIT negując potrzebę ustawy o spamowej, jednocześnie widzi potrzebę nowelizacji już istniejących ustaw dotyczących rynku teleinformatycznego zarówno pod kątem dostosowania ich do aktualnych rozwiązań technicznych, jak i też do modyfikacji na podstawie zebranych doświadczeń z ich stosowania oraz ze względu na rzeczywiste istniejące zagrożenia. PIIT deklaruje swoją pomoc merytoryczną w analizowaniu tego typu ustaw Polska Izba Informatyki i Telekomunikacji (PIIT) istnieje od stycznia 1993 roku. Izba działa na podstawie ustawy o izbach gospodarczych (z dnia 30 maja 1989 roku) i "jest uprawniona do wyrażania opinii i dokonywania ocen wdrażania i funkcjonowania przepisów prawnych dotyczących prowadzenia działalności gospodarczej" oraz "Właściwe organy administracji państwowej udzielają izbom gospodarczym informacji niezbędnych do wykonywania ich zadań statutowych". Członkami Izby są podmioty gospodarcze prowadzące działalność gospodarczą w sektorze teleinformatyki - telekomunikacji i informatyki. Obecnie do Izby należy ponad 180 firm, reprezentowanych w Izbie poprzez swoich przedstawicieli. Opinia PIIT do Założeń Ustawy spamowej (MTiB) 5