Svete meni, da so varovalke v osnutku novele zakona močne, a da ne preprečujejo zlorab. Kot primer daje Nemčijo. Foto: EPA
Svete meni, da so varovalke v osnutku novele zakona močne, a da ne preprečujejo zlorab. Kot primer daje Nemčijo. Foto: EPA
Protest pred vlado proti fiskalnemu pravilu, 23.5.2013
Policija je sisteme, kot je IMSI, uporabljala tudi ob demonstracijah. Fotografija je simbolična. Foto: Ergyn Žječi

Izkušnje z nemških bundestrojanerjem kažejo, da so imeli precej varovalk, a so ga kljub temu uporabljali za stvari, ki niso bile predvidene. Ne samo, da so nadzorovali Skype, sledili so tipkanju po tipkovnici, na daljavo vključili kamero, delali so posnetke zaslona. S tem, ko imate nadzor prek trojanskega konja, imate tudi polni nadzor nad komunikacijsko napravo, pa naj bo to računalnik, telefon ali kaj drugega.

Uroš Svete, strokovnjak za informacijsko tehnologijo in nacionalno varnost, FDV
Pirc Musar
V Uradu informacijskega pooblaščenca, ki ga vodi Nataša Pirc Musar, so pozvali k več javne razprave ter skrajni previdnosti pri uvajanju ukrepov, ki posegajo v zasebnost. Foto: BoBo

Pooblaščenec ponovno opozarja na nujnost resnega in predhodnega ovrednotenja posledic dodajanja pooblastil represivnim organov za zasebnost državljanov. Od predlagatelja bi si želeli več dejavnosti v to smer ter tudi več javne razprave, po možnosti seveda pred nakupom naprav samih.

Nataša Pirc Musar, informacijska pooblaščenka

Ne le hekerji, tudi slovenski organi pregona bodo - v pregonu hudega kriminala - elektronske naprave utemeljeno osumljenih lahko okužili z vohljaško kodo. Spremembe zakona o kazenskem postopku, ki so trenutno v strokovnem usklajevanju na pravosodnem ministrstvu, bodo policistom omogočile nove metode prestrezanja komunikacij.

Osnutek zakona predvideva, da bo policija "z oddaljenim dostopom na elektronsko napravo namestila programsko opremo, ki omogoča prestrezanje komunikacije že pri viru, torej preden se kriptira". Če oddaljen dostop ne bo mogoč, bo policija lahko vdrla v osumljenčevo stanovanje. A ne kar tako - za to bodo določeni številni predpogoji.

Komunikacija je večinoma kriptirana
Organe pregona prehiteva razvoj tehnologije. Če so nekoč lahko prestrezali telefonske komunikacije z enostavnim prisluškovanjem po žici in enako počeli za prestrezanje računalniške pošte, pa jih je ustavilo šifriranje ali enkripcija. Večina sodobnih programov za komuniciranje na elektronskih napravah, pa naj bo to računalnik, telefon, tablica ali kaj drugega, namreč informacijo pred odpravo v medmrežje zakodira.

Zakon je poskus, da se enkripcija obide. Zakon predvideva trojanskega konja oz. program, ki bo na okuženem računalniku namenjen izključno zajemu komunikacije, še preden se ta zašifrira. Tu pa Uroš Svete, obramboslovec ter strokovnjak za informacijsko tehnologijo in nacionalno varnost pri Fakulteti za družbene vede, vidi težavo.

Svete: Varovalke so ustrezne
Svete sicer priznava, da so zakonsko določene varovalke zadostne in ustrezne. Najprej - če bo zakon sprejet - za posameznika moral obstajati utemeljen razlog za sum, da je storil kaznivo dejanje. To ne bo smelo biti lažje kaznivo dejanje, temveč bo policija lahko vohunila le za osumljenci ožjega kroga hujših in bolj zapletenih kaznivih dejanj. Policija bo morala pred ukvarjanjem s trojanci najprej storiti vse, kar je v njeni moči, da bi podatke pridobila z drugimi, manj invazivnimi ukrepi. Zadnja varovalka bo sodstvo: zeleno luč bo moral z odredbo dati tudi preiskovalni sodnik.

Težava so zlorabe
A vse to ne more preprečiti zlorab, je povedal za MMC. Evropa namreč že ima primer, po katerem lahko sklepa o uporabi v praksi. V Nemčiji je že več let v uporabi t. i. bundestrojaner, državni trojanski konj, ki je tudi omejen s številnimi varovalkami, vendar pa niso (dovolj) delovale. Ne le da ima že s samim konceptom nemška javnost precejšnje težave, izkazalo se je, da ga nemški možje postave uporabljajo za precej širok nabor "opravil".

Popoln nadzor nad napravo
Glede na odločbo nemškega ustavnega sodišča bi morala biti uporaba bundestrojanerja omejena le na nadzor določenih programov, kot je, denimo, Skype, policisti pa so z njim prevzeli popoln nadzor nad računalnikom. Izdelovali so slike zaslona, sledili tipkanju po tipkovnici (t. i. keylogger), vključevali mikrofon in kamero za zajem zvoka in slike, je našteval Svete.

Kot je v svojem mnenju o zakonu zapisal Urad informacijskega pooblaščenca, je ta nemški program omogočal še več: tudi namestitev poljubne kode na nadzorovančev računalnik in posledično tudi - podtikanje dokazov.

Svete je prepričan, da bodo takšne zlorabe mogoče tudi v slovenski ureditvi. Tudi zato, ker zakonodaja težko sledi tehnološkemu razvoju. Komunikacijski programi so številni, nekateri ugasnejo, nastajajo novi. Posledično program ne more samodejno izvesti edine naloge, ki mu jo dovoljuje zakon - vohljanju za komunikacijo pred enkripcijo - temveč bo treba po računalniku pred tem nujno vsaj nekoliko "pobrkljati".

Razen Nemčije takšnega programa ne uporablja nobena druga evropska država.

Nov - in za Sveteta sporen - je tudi sam princip podtaknjenega programa v metodah dela policije. Ta je bila pri dozdajšnjih metodah elektronskega prisluškovanja še vedno na neki način oddaljena - ali je "iz pisarne" prisluškovala telefonskemu signalu ali pa je z medmrežnega vozlišča pobirala podatke. Zdaj pa bo dejansko na samem računalniku nadzorovanca in bo po možnosti še kontrolirala samo napravo.

Dodajanje in spreminjanje prepovedano
V zakonu je sicer eksplicitno zapisano, da trojanski konj ne bo smel biti namenjen za "spreminjanje, dodajanje in odvzemanje vsebin" na elektronski napravi.

V Uradu informacijskega pooblaščenca sicer dvomijo, da bo program, imenovan tudi "dekoder", sploh učinkovit. Menijo, da če že, bo izkupiček omejen na računalnike s starejšimi in slabo zaščitenimi operacijskimi sistemi. Ker namreč zakon ne predvideva finančnih posledic, Urad dvomi, da bo policija zmožna sama izdelati najnovejše in najnaprednejše vohunske programe, prisiljena bi jih bila kupiti.

Svete pa domneva, da bo policija morda celo prisiljena razvoj takšnega programa prisiljena naročiti pri zunanjem izvajalcu, in to v času, ko vedno več svetovnih agencij išče in razvija lastne sisteme. Tudi zaradi razkritij okoli NSA in sodelovanja, v katero naj bi bili prisiljeni največji izdelovalci operacijskih sistemov ter strojne opreme.

Legalizacija lovilca IMSI
Druga velika sprememba je praktična legalizacija nekoč nezakonitega ravnanja policije. Ta je dlje časa uporabljala napravo lovilec IMSI. To je prenosna bazna postaja za prenosne telefone. IMSI posnema bazno postajo mobilnega operaterja. Ker ima močnejši signal, se telefon najprej poveže nanjo in ji s tem odda svoje podatke, šele nato pa je preusmerjen na bazo mobilnega operaterja. Policija je bila pred časom prisiljena uporabo ustaviti, novi zakon pa bi uporabo dokončno uredil. S tem delom so v Uradu informacijskega pooblaščenca izrazili soglasje, če se bodo v zakonu naštete varovalke tudi dosledno izvajale.

V DZ še pred novim letom?
Po strokovnem usklajevanju naj bi sledila medresorsko usklajevanje in javna obravnava, vendar ju zakon - sodeč po besedilu - sploh ne predvideva. Piše pa, da z izvajanjem v letu 2014 ni predvidenih finančnih učinkov.
Časovni načrt sprejemanja zakona je presenetil tudi FDV-jevega strokovnjaka. Ker je zakon še na ministrstvu, pa ga poleg prej omenjenih faz postopka čaka še obravnava na vladi in šele nato v poslanskih klopeh DZ-ja. Urad informacijskega pooblaščenca pred sprejemanjem priporoča več analiz in javne razprave. Revija Mladina sicer poroča, da naj bi se strokovno usklajevanje končalo v "ekspresnih šestih dnevih" in da naj bi DZ zakon sprejemal še pred novim letom.

Mogoče spremembe pri prometnih podatkih
Te dni je sicer po Evropski uniji završala neka druga, s tem zakonom nepovezana odločitev. Nanaša se na evropsko direktivo o hrambi prometnih podatkov, ki od evropskih ponudnikov spletnih in telefonskih storitev zahteva, da dve leti po nastanku hranijo vse podatke o prometu in lokaciji opravljenih komunikacijskih storitev. Ti so potem pod določenimi pogoji na voljo državnim represivnim organom.

Pred Sodiščem Evropske unije potekata dva postopka. Generalna pravobranilca v obeh postopkih sta mnenja, da je direktiva celoti nezdružljiva z Listino Evropske unije o temeljnih pravicah. Mnenje generalnega pravobranilca ni zavezujoče za sodišče, vendar sodišče takšna mnenja praviloma upošteva, so zapisali v Uradu informacijskega pooblaščenca. V dveh letih tako pričakujejo spremembo evropske retencijske zakonodaje, predvsem spisek hujših kaznivih dejanj, ki so lahko utemeljitev za zahtevo po prej omenjenih podatkih.

Izkušnje z nemških bundestrojanerjem kažejo, da so imeli precej varovalk, a so ga kljub temu uporabljali za stvari, ki niso bile predvidene. Ne samo, da so nadzorovali Skype, sledili so tipkanju po tipkovnici, na daljavo vključili kamero, delali so posnetke zaslona. S tem, ko imate nadzor prek trojanskega konja, imate tudi polni nadzor nad komunikacijsko napravo, pa naj bo to računalnik, telefon ali kaj drugega.

Uroš Svete, strokovnjak za informacijsko tehnologijo in nacionalno varnost, FDV

Pooblaščenec ponovno opozarja na nujnost resnega in predhodnega ovrednotenja posledic dodajanja pooblastil represivnim organov za zasebnost državljanov. Od predlagatelja bi si želeli več dejavnosti v to smer ter tudi več javne razprave, po možnosti seveda pred nakupom naprav samih.

Nataša Pirc Musar, informacijska pooblaščenka