Bezpieczeństwo z problemami

Europejska dyrektywa 2006/24/WE nakłada na operatorów obowiązek gromadzenia i przechowywania danych transmisyjnych przez okres 24 miesięcy. Obejmuje ona wszelkie środki elektronicznej komunikacji, w tym także usługi sms, e-mail, WWW oraz VoIP. Choć nadal trwają prace nad przepisami wykonawczymi do ustawy Prawo Telekomunikacyjne, określającymi ostateczny kształt implementowanych rozwiązań, już teraz budzą one wiele kontrowersji.

Bezpieczeństwo z problemami

Dyrektywa określa proces udostępniania gromadzonych danych uprawnionym do tego podmiotom. Może się to odbywać w dwóch niezależnych trybach: procesowym oraz pozaprocesowym. W przypadku trybu procesowego żądanie udostępnienia danych jest kierowane przez sąd lub prokuraturę, co wymaga wydania przez sąd lub prokuratora specjalnego postanowienia. W drugim przypadku (tryb pozaprocesowy), podmiotami uprawnionymi do otrzymania danych są: policja, straż graniczna, wywiad skarbowy, żandarmeria wojskowa, ABW, CBA i SKW. W tym przypadku nie istnieje wymóg wydania postanowienia przez sąd lub prokuratora. Udostępnianie danych następuje na ustne lub pisemne żądanie upoważnionego funkcjonariusza jednego z wymienionych wyżej podmiotów. Udostępnienie może nastąpić drogą elektroniczną. Szczegóły jego zastosowania są zawarte w odrębnych ustawach określających działania wyżej wymienionych służb.

Wielość "zapytań"

Ta, z pozoru jasna, procedura przekazywania danych, w praktyce pociąga za sobą wiele komplikacji. Najważniejszym problemem jest niejednorodność kierowanych żądań. Mogą one być zgłaszane elektronicznie, na piśmie bądź ustnie przez upoważnionego do tego funkcjonariusza. Rodzi to wiele problemów natury technicznej. Szacuje się, iż ogólnokrajowy operator, posiadający kilkaset tysięcy abonentów, może liczyć nawet na około 300 zapytań miesięcznie. Ta liczba wzrasta w przypadku większej ilości abonentów usługi dostępu do Internetu w portfelu operatora, gdyż jak się okazuje, częściej udostępniane są właśnie tego rodzaju dane.

Zaprojektowanie efektywnie działającego systemu obsługi takich zapytań jest trudnym i skomplikowanym zadaniem. Dodatkowo sama natura zdarzeń inicjujących wnioski o udostępnienie (przestępstwa, nadużycia itp.) utrudnia precyzyjne oszacowanie wolumenu możliwych zapytań oraz ich formy. Pomijając kwestie związane z procesem selekcji danych przeznaczonych do retencjonowania, najbardziej pożądanym przez operatorów sposobem udostępniania byłby kanał elektroniczny, np. w postaci specjalnych kont użytkowników. Tutaj jednak wyłania się kolejny problem. O ile stopień zinformatyzowania poszczególnych służb nie odbiega od europejskich standardów, o tyle sądy i prokuratury odstają od średniej europejskiej w tym względzie.

Zgodnie z zapisami ustawy, udostępnianie danych powinno być przeprowadzane tak, aby gwarantować odpowiednim organom dostęp bez obecności pracownika firmy udostępniającej. Obecność pracowników operatora może być przedmiotem umowy zawartej między udostępniającym a uprawnionym do wglądu organem tylko wtedy, gdy operator wykaże, iż jest to niezbędne.

Problemy techniczne

Wzrost ilości gromadzonych danych może oznaczać potrzebę rozbudowy systemów bazodanowych przedsiębiorstwa. W szczególności, problem ten dotyczyć może mniejszych podmiotów, które dotychczas nie retencjonowały tak dużej ilości danych. Zgodnie z dyrektywą, zatrzymane dane mają cechować się taka samą jakością oraz podlegać identycznym zasadom bezpieczeństwa jak dane w sieci. A zatem, kompresja danych, jeśli w ogóle dopuszczalna, może być tylko kompresją bezstratną.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200