CSIS i RCMP stoją przed „poważnymi wyzwaniami” w zakresie pozyskiwania danych prywatnych: organ nadzoru wywiadu

Kanadyjskie organizacje zajmujące się bezpieczeństwem i wywiadem stoją w obliczu „poważnych wyzwań” w wykrywaniu zagrożeń bezpieczeństwa i reagowaniu na nie. Powodem są luki w przepisach prawnych i przestarzałe zasoby, które ograniczają czas i sposób dostępu do prywatnych wiadomości – ostrzega jeden z krajowych organów nadzorujących działalność wywiadowczą.

Niedawno złożony raport Narodowej Komisji ds. Bezpieczeństwa i Wywiadu (NSICOP) zbadał zaciekle kontrowersyjną kwestię legalnego dostępu, czyli zatwierdzonego przez sąd przechwytywania komunikacji elektronicznej.

W raporcie zwrócono uwagę na uzasadnione obawy dotyczące prywatności, ale wskazano również, że organizacje takie jak Kanadyjska Służba Wywiadu Bezpieczeństwa (CSIS) i Królewska Kanadyjska Policja Konna (RCMP) mają utrudnione zadanie, ponieważ nie dysponują narzędziami, politykami i uprawnieniami, które umożliwiałyby im legalny dostęp do komunikacji podczas śledztw.

„Komisja jest zaniepokojona problemami z legalnym dostępem, opisanymi przez społeczność ds. bezpieczeństwa i wywiadu, a także długotrwałą niezdolnością kolejnych rządów do rozwiązania tych problemów” – czytamy w raporcie.

„Stwierdzają, że szyfrowanie oraz rosnąca objętość, różnorodność i szybkość przesyłu danych generowanych cyfrowo utrudniają, a czasami wręcz uniemożliwiają, zebranie informacji niezbędnych do przeprowadzenia skutecznych śledztw”.

Komitet ostrzegł, że jeśli nie zostaną podjęte żadne działania, „te wyzwania podważą bezpieczeństwo narodowe Kanady w perspektywie długoterminowej” i mogą „utrudnić Kanadzie dalsze korzystanie z wysiłków podejmowanych przez Five Eyes… jeśli nie będzie ona w stanie wnieść znaczącego wkładu w to partnerstwo”.

Raport opublikowano w czasie, gdy Izba Gmin debatuje nad projektem ustawy rządowej, która przyznałaby organom ścigania nowe, szerokie uprawnienia, w tym legalny dostęp.

Prawo do prywatności a bezpieczeństwo publiczne

Utajniona wersja raportu została przedłożona premierowi 4 marca, a ocenzurowana wersja publiczna została złożona w Izbie Gmin w zeszłym tygodniu.

Dotyka ona jednego z najbardziej kontrowersyjnych zagadnień bezpieczeństwa narodowego: znalezienia równowagi między prawem jednostki do prywatności a ochroną bezpieczeństwa publicznego.

Znak budynku Kanadyjskiej Służby Wywiadu Bezpieczeństwa w Ottawie, 14 maja 2013 r. — Przedstawiciele CSIS poinformowali komisję, że brak przepisów dotyczących możliwości przechwytywania „jest najważniejszą cechą odróżniającą nas od naszych partnerów [z sojuszu Five Eyes], którzy odnieśli większe sukcesy niż my”. (Sean Kilpatrick/The Canadian Press)

Dostęp organizacji bezpieczeństwa do danych osobowych, takich jak prywatne wiadomości, to „jedno z najbardziej inwazyjnych uprawnień państwa”, które – jak oczekują Kanadyjczycy – będzie wykorzystywane wyłącznie wtedy, gdy „jest przewidziane przez prawo, służy uzasadnionemu celowi i jest konieczne i proporcjonalne” – czytamy w raporcie.

W oświadczeniu napisano, że Kanadyjczycy oczekują również, iż będą mieli „narzędzia, zasady i legalne organy” umożliwiające taki dostęp.

„Kanadyjczycy byliby zaskoczeni, gdyby dowiedzieli się, jak trudne jest to zadanie dla agencji bezpieczeństwa i wywiadu” – czytamy w komunikacie.

Komisja stwierdziła, że w przeciwieństwie do wielu sojuszniczych państw Kanady, w tym kraju nie obowiązują przepisy prawne nakazujące usługodawcom opracowywanie, wdrażanie i utrzymywanie systemów, które umożliwią szybkie udostępnianie takich informacji w przypadku, gdy CSIS i Królewska Kanadyjska Policja Konna (RCMP) zwrócą się do nich z upoważnieniem sądowym.

NSICOP stwierdziło, że luka ta stwarza ryzyko opóźnień, niejasności prawnych, nieefektywności finansowych oraz „spowodowała zamieszanie i frustrację u wszystkich stron”.

Przedstawiciele CSIS poinformowali komisję, że brak przepisów dotyczących możliwości przechwytywania „jest najważniejszą cechą odróżniającą nas od naszych partnerów [z sojuszu Five Eyes], którzy odnieśli większe sukcesy niż my”.

Dostęp do danych w USA powoduje opóźnienia

W raporcie poruszono także kwestię dostępu do informacji przechowywanych poza granicami Kanady.

Obrońcy prywatności poinformowali członków komisji, że ogromne ilości danych osobowych, które zbiera sektor prywatny, mogą zostać wykorzystane jako ujawnienie, stanowią niewykorzystaną szansę dla agencji bezpieczeństwa i wywiadu.

CSIS odpowiedziało, że czasami nie jest w stanie uzyskać dostępu do tych informacji, ponieważ firmy te mają siedzibę głównie poza Kanadą.

ZOBACZ | Ustawa o silnych granicach budzi obawy dotyczące prywatności:

Organizacje zajmujące się prawami obywatelskimi obawiają się, że proponowany przez rząd federalny projekt ustawy C-2, czyli ustawa o silnych granicach, przyzna organom ścigania nowe, szerokie uprawnienia, na przykład ułatwi policji przeszukiwanie aktywności i danych użytkowników w internecie bez ich wiedzy lub nakazu.

Wiele największych firm technologicznych świata ma siedzibę w USA. Jak wynika z raportu, zgodnie z amerykańską ustawą o przechowywanych komunikatach (US Stored Communications Act), amerykańskie firmy nie mogą ujawniać treści komunikacji zagranicznym organom, chyba że zostanie im doręczony nakaz sądowy.

Kanadyjska Policja Konna (RCMP) może wystąpić o te dane na mocy umowy o wzajemnej pomocy prawnej. Jeśli policja konna potrzebuje informacji od Facebooka lub Apple, wysyła wniosek do kanadyjskiego Departamentu Sprawiedliwości, który z kolei przesyła go do Departamentu Sprawiedliwości USA. Jeśli wniosek zostanie zaakceptowany, zastępca prokuratora USA składa wniosek do sędziego USA o wydanie nakazu. FBI może wykonać nakaz po jego wydaniu przez sędziego USA.

Po przekazaniu informacji przez firmę FBI, trafiają one z powrotem do Królewskiej Kanadyjskiej Policji Konnej (RCMP) za pośrednictwem dwóch departamentów sprawiedliwości. Według RCMP, proces ten może trwać od trzech do sześciu miesięcy, a to opóźnienie może mieć wpływ na przebieg śledztwa.

NSICOP zauważył, że nawet jeśli postępowanie prawne zakończy się sukcesem, dane mogą zostać usunięte przed otrzymaniem nakazu.

Omijanie szyfrowania

W raporcie przeanalizowano sposoby, w jakie CSIS i RCMP unikają tzw. „ciemnej sieci” — kiedy to cele wykorzystują zaszyfrowaną komunikację i dark web do maskowania swoich działań.

Kanadyjska Królewska Policja Konna (RCMP) korzysta z „narzędzia śledczego na urządzeniu” (ODIT), czyli oprogramowania instalowanego na docelowym smartfonie lub komputerze, które umożliwia policji konnej bezpośredni dostęp do informacji przed ich zaszyfrowaniem lub po ich odszyfrowaniu.

Kanadyjska Królewska Policja Konna (RCMP) opisuje go jako „jeden z najbardziej złożonych i najdroższych programów zbierania danych technicznych, jakie prowadzimy”.

Według udanego studium przypadku przytoczonego w raporcie, w 2018 roku amerykańskie Federalne Biuro Śledcze (FBI) powiadomiło Królewską Kanadyjską Policję Konną (RCMP) o Kanadyjczyku, który rzekomo konstruował bombę i planował atak podczas obchodów Nowego Roku. RCMP wysłała ODIT, który ujawnił wiadomości i schematy bomby w szybkowarze.

Ostatecznie Kanadyjczykowi postawiono zarzuty i przyznał się do czterech przestępstw o charakterze terrorystycznym.

Członkowie komisji stwierdzili, że niepokoi ich „to, w jakim stopniu skuteczne łagodzenie skutków katastrof opiera się obecnie na pomysłowości CSIS i Królewskiej Kanadyjskiej Policji Konnej (RCMP), a nie na odpowiednim zestawie narzędzi, legalnych organów i zasobów”.

Jak podano w raporcie, do działania systemów ODIT wymagane są różne zezwolenia, m.in. podsłuch w celu przechwytywania prywatnej komunikacji, nakaz ogólny oraz nakaz dotyczący rejestratora danych transmisyjnych.

Technika ta opiera się na skutecznym wykorzystaniu luk w zabezpieczeniach, co nie zawsze jest gwarantowane.

„Komisja ustaliła, że narzędzia te są drogie i często zawodne, ponieważ cele ataków stają się coraz bardziej świadome zagrożeń cybernetycznych, a firmy pracują nad identyfikacją i usuwaniem luk w zabezpieczeniach systemów operacyjnych i platform szyfrujących” – czytamy w raporcie.

Obrońcy prywatności ostrzegli komisję, że wszelkie kroki dające policji i agencjom wywiadowczym uprawnienia do omijania szyfrowanej komunikacji lub danych „fundamentalnie osłabią cyberbezpieczeństwo, podważą zaufanie publiczne i zagrożą podstawowym wartościom demokratycznym”.

ZOBACZ | Infiltracja dużej szyfrowanej sieci:

Sky ECC w Vancouver obiecało klientom poufność dzięki swoim szyfrowanym telefonom komórkowym, które stały się celem ataków przestępców, ale także międzynarodowej operacji policyjnej. Śledztwo doprowadziło do upadku tysięcy przestępców i Sky.

CSIS i Królewska Kanadyjska Policja Konna (RCMP) nie monitorują systematycznie, jak często napotykają na wyzwania technologiczne, takie jak szyfrowanie, podczas dochodzeń w sprawie bezpieczeństwa narodowego. Jak stwierdzono w raporcie, jest to „istotne zaniedbanie”, ponieważ „doradzają rządowi i starają się przekonać Kanadyjczyków…, że potrzebne są nowe przepisy i zasoby”.

W raporcie stwierdzono, że agencje „mogą przedstawiać wyłącznie anegdoty, a nie konkretne liczby”.

Mimo to członkowie NSICOP uważają, że istnieją „poważne wyzwania” w zakresie dostępu CSIS i RCMP do istotnych i aktualnych dowodów cyfrowych i informacji wywiadowczych.

„Te wyzwania nie są nowe. Kolejne rządy zdawały sobie z nich sprawę od jakiegoś czasu” – podsumowano w raporcie.

„Nadszedł czas, aby rząd podjął działania i zapewnił służbom bezpieczeństwa i wywiadu niezbędne narzędzia, zasady i legalne uprawnienia, które będą uwzględniać i chronić ich prywatność”.

W raporcie przedstawiono siedem zaleceń, w tym obowiązek opracowania i wdrożenia przez rząd kompleksowej strategii mającej na celu rozwiązanie problemów Kanady w zakresie prawnego dostępu do danych oraz nadania priorytetu podpisaniu i wdrożeniu umowy o dostępie do danych między Kanadą a Stanami Zjednoczonymi, która – jak wskazano w raporcie – „usunie długotrwałe bariery jurysdykcyjne” ustanowione przez prawo amerykańskie.

Wezwano również rząd do publicznego wyjaśnienia jego stanowiska w sprawie wyjątkowego dostępu do komunikacji chronionej szyfrowaniem.

CSIS w oświadczeniu stwierdza, że zgadza się z większością rekomendacji NSICOP.

Królewska Kanadyjska Policja Konna przekazała sprawę Departamentowi Bezpieczeństwa Publicznego, który stwierdził, że zapoznał się z odpowiedzią CSIS i nie ma nic więcej do dodania.

Kontrowersyjny projekt ustawy granicznej zawiera przepisy dotyczące legalnego dostępu

Oczekuje się, że projekt ustawy liberałów C-2, zawierający poprawki dotyczące legalnego dostępu, spotka się z burzliwym odzewem w parlamencie jesienią tego roku.

Zmusiłoby to dostawców usług do przekazywania policji i CSIS podstawowych informacji bez zgody sądu. Wprowadziłoby również nowy nakaz, nakazujący udostępnianie bardziej szczegółowych informacji o abonentach za zgodą sądu w trakcie śledztwa karnego.

Projekt ustawy spotkał się z falą krytyki ze strony grup zajmujących się obroną praw obywatelskich, środowisk akademickich i niektórych parlamentarzystów opozycji, którzy twierdzą, że ustanawia on nowe uprawnienia do inwigilacji, naruszające prywatność oraz Kartę praw i swobód.

NSICOP składa się z parlamentarzystów i senatorów, którzy muszą przejść procedurę certyfikacji na najwyższym poziomie, aby mieć dostęp do ściśle tajnych informacji.

Od momentu sporządzenia raportu dotyczącego legalnego dostępu komisja utraciła głos NDP, gdyż partia ta nie ma już uznawanego statusu w Izbie Reprezentantów.

cbc.ca

CSIS i RCMP stoją przed „poważnymi wyzwaniami” w zakresie pozyskiwania danych prywatnych: organ nadzoru wywiadu