Często mówi się o tym, że bezpieczeństwo państwa wchodzi w konflikt z prawem do prywatności. Nie pomyślałbym jednak, że bezpieczeństwo państwowej cyberprzestrzeni może wpłynąć na prawo obywatela do... skontaktowania się z urzędem. Może też wpłynąć na prawo do udziału w procesie stanowienia prawa. W jaki sposób? 

Z powodu Tora ministerstwo blokuje e-maile Fundacji

Czytelnicy Dziennika Internautów dobrze znają Fundację Panoptykon. Jest to organizacja zajmująca się problemami społeczeństwa nadzorowanego. Fundacja bierze udział w konsultacjach przy tworzeniu nowego prawa. Jej prawnicy czytają projekty ustaw, przygotowują swoje opinie i przesyłają je do ministerstw. W praktyce przesyłanie takich stanowisk często polega na wysłaniu e-maili. 

Niestety okazało się, że Ministerstwo Gospodarki jako jedyne nie przyjmowało e-maili od Panoptykonu. Fundacja zaczęła drążyć sprawę i dowiedziała się nieoficjalnie, że "dopóki infrastruktura Fundacji będzie należała do sieci Tor, to komunikacja będzie blokowana".

Co na to Panoptykon? Jak też fundacja się wytłumaczy z uczestnictwa w tak "ciemnych sprawkach" jak Tor?

- Oprogramowanie uruchomione na naszym serwerze czyni z niego przekaźnik w sieci Tor, co oznacza, że użytkownicy tej sieci korzystają z pasma naszego serwera na potrzeby anonimizacji ruchu. Należy zaznaczyć, że konfiguracja naszego serwera nie pozwala mu na stanie się węzłem wyjściowym (ang. exit-node) sieci Tor, a w konsekwencji żaden ruch z sieci Tor nie jest przekazywany przez nasz serwer do jawnego Internetu. Co więcej, opisane ustawienia naszego serwera nie wpływają w żaden sposób na sposób generowania i przesyłania poczty elektronicznej (...) Blokowanie poczty przychodzącej z serwerów, które funkcjonują w sieci Tor, nie zapobiega więc odbieraniu komunikatów pochodzących z tej sieci Tor (bo takowe w ogóle nie są przekazywane), ma jedynie niepożądany efekt uboczny blokowania połączeń z serwerów poczty znajdujących się pod tym samym adresem - wyjaśniała Katarzyna Szymielewicz, prezeska Panoptykonu w piśmie do Ministra Gospodarki. 

Mówiąc prosto, Panoptykon nie wysyła żadnych niebezpiecznych e-maili z podejrzanej sieci. Po prostu Fundacja udostępnia swój serwer na potrzeby sieci Tor, a ministerstwo doszło do wniosku, że jest to wystarczający powód by blokować korespondencję od Fundacji. Panoptykon zaczął się na to skarżyć, uważając, że takie postępowanie ministerstwa jest bezzasadne. 

Ministerstwo: Tak trzeba i kropka

Ministerstwo Gospodarki odpowiedziało na wątpliwości Panoptykonu pismem z dnia 22 września. Ministerstwo stwierdziło, że opiera się na wytycznych CERT. Te wytyczne mówią, że "powinno się ograniczać możliwość dostępu z niezaufanych komputerów oraz sieci anonimizujących".

Przedstawiciele Panoptykonu uważają jednak, że ministerstwo źle zrozumiało wytyczne CERT. Logika wskazywałaby, że te wytyczne dotyczą korzystania z maili, a nie ich przyjmowania ich z innych serwerów... 

Od strony technicznej temat ten drążył serwis Niebezpiecznik. Starał się on odpowiedzieć na pytanie, czy faktycznie jest sens blokować połączenia z sieci Tor. Odpowiedź nie jest całkiem prosta, ale Niebezpiecznik też dochodzi do wniosku, że Ministerstwo Gospodarki nie do końca poprawnie wdrożyło blokadę sieci Tor. Szczegóły znajdziecie w tekście Niebezpiecznika pt. Ministerstwo Gospodarki blokuje e-maile od fundacji Panoptykon …bo są węzłem TOR-a.

Zabrakło przejrzystości

Pozostawiając Niebezpiecznikowi rozwiązania techniczne, proponuję spojrzeć na tę sprawę od strony obywatela. Ministerstwo zablokowało przyjmowanie korespondencji z serwerów określonej kategorii. Rozumiem, że taka jest polityka bezpieczeństwa. Należy jednak zadać dwa, moim zdaniem istotne pytania. 

1. Dlaczego ministerstwo nie poinformowało wcześniej o takich zasadach przyjmowania korespondencji? 
2. Dlaczego tylko Ministerstwo Gospodarki stosuje taką politykę bezpieczeństwa? 

Pierwsze pytanie jest ważne w kontekście kontaktu na linii obywatel-państwo. Generalnie obywatel powinien mieć możliwość wysłania e-maila do ministerstwa. Zauważmy, że wysłanie e-maila może mieć pewne skutki prawne, np. wniosek o dostęp do informacji publicznej może być wysłany zwykłym e-mailem. Również udział w konsultacjach publicznych jest dość ważną sprawą. Ministerstwo "wymyśliło sobie", że nie będzie przyjmować wiadomości z pewnej grupy serwerów. Czy w takim razie nie należało poinformować o tym obywateli? Moim zdaniem należało. 

Akurat Fundacja Panoptykon miała możliwość dowiedzieć się, dlaczego jej e-maile trafiają w próżnię. Nie każdy obywatel będzie miał podobne możliwości, bo nie każdego instytucje rządowe traktują na tyle poważnie, by mu odpowiadać (niestety).

W tym kontekście warto zwrócić uwagę na Wyrok WSA w Białymstoku sygn. akt II SAB/Bk 27/15. Sąd uznał, że zakwalifikowanie e-maila do spamu nie tłumaczy bezczynności urzędu. Sąd uznał też, że do podmiotu publicznego należy takie zorganizowanie zasad docierania korespondencji, by zapewniony był dostęp tejże korespondencji do adresata. Ministerstwo Gospodarki zrobiło coś odwrotnego - zorganizowało obsługę korespondencji tak, by niektóre wiadomości nie dotarły. 

Powinna być jedna, rządowa polityka

Teraz spójrzmy na drugie pytanie. Dlaczego inne ministerstwa przyjmują pocztę od Panoptykonu, a tylko Ministerstwo Gospodarki nie? Ministerstwo powołuje się na przyjęte zasady bezpieczeństwa, ale tak się składa, że tylko jeden resort stosuje te zasady. Generalnie w Polsce jest taki problem, że administracja nie robi wrażenia jednego organizmu. Każdy urząd może mieć inną politykę, każdy ma swoją osobną stronę, osobne logo itd. Obywatel musi się gimnastykować, aby z każdym urzędem rozmawiać na jego własnych zasadach. 

Mówiąc krótko - jeśli administracja rządowa wprowadza ograniczenia w przyjmowaniu e-maili, obywatele powinni o tym wiedzieć. Ponadto te ograniczenia powinny być charakterystyczne dla instytucji rządowych, a nie odmienne dla każdego urzędu. 

Dokumenty źródłowe

Poniżej dokumenty źródłowe. Pierwszym jest pismo Panoptykonu do Ministerstwa Gospodarki. Drugi to odpowiedź ministerstwa. 

Panoptykon MG Blokowanie Stron Internetowych 10.09.2015

MG Blokowanie TOR Skan 28.09.2015