Marek Reszuta, ekspert ds. Kaukazu, dyplomata po placówkach w Tbilisi, Erywaniu, Moskwie i Sankt Petersburgu
W pierwszej cyklu części omówiłem stopniowy rozwój bazy legislacyjnej tworzącej system kontroli Internetu w Rosji. Jak wspomniałem, jest to zaledwie cześć całego systemu, w wielu aktach prawnych, nie zawsze związanych ze sferą łączności, funkcjonują normy, które tworzą dodatkowe możliwości kontroli Internautów ze strony służb specjalnych.
Cały system jest tak złożony i skomplikowany, że w zasadzie mało kto zdaje sobie sprawę z wielkości bazy prawnej regulującej system monitoringu i cenzury Sieci w RU.
Dodatkowo w Rosji utworzono na potrzeby służb specjalnych specjalistyczny i kompleksowy system, nazwijmy go „prawno-technicznym”, dla celów skutecznej i totalnej kontroli całej łączności w Rosji. To SORM.
System Działań Operacyjno-Rozpoznawczych
SORM to skrót od pojęcia „Система Оперативно-Розыскных Мероприятий”, czyli technicznego Systemu Działań Operacyjno-Rozpoznawczych wprowadzonych Ustawą Federalną RU Nr 144-ФЗ „O działaniach operacyjno-rozpoznawczych” z dnia 12 sierpnia 1995 r. Uregulowania SORM tworzą system technicznych instrumentów do kontroli łączności, początkowo telefonicznej, w dalszym rozwoju systemu rozciągniętej na łączność bezprzewodową, radiową i cyfrową. Z uwagi na jej techniczny charakter, bardzo często używa się sformułowań „środki techniczne SORM”.
System do wzmożonej i skutecznej kontroli łączności przewodowej, określanego obecnie jako SORM-1, zaczęto opracowywać jeszcze w latach 80-tych XX wieku, jednakże ustawowo wprowadzono go do realizacji w 1995 roku. Jak łatwo się domyślić, dotyczyło to głównie podsłuchów telefonicznych realizowanych przez KGB (początkowo tylko przewodowych, następnie również łączności komórkowej). W miarę rozwoju systemu w Rosji powstał system określany jako SORM-3, oczywiście będący pod pełną kontrolą służb specjalnych.
Według pojawiających się informacji, obecnie opracowywany jest system SORM-4, zawierający oprogramowanie oparte na sztucznej inteligencji (AI), jednakże na razie znamy na ten temat zbyt mało szczegółów.
Systemu SORM-1 obecnie już się praktycznie nie stosuje – wynika to z rozwoju łączności telefonicznej i przejścia z systemów analogowych na cyfrowe, które są kontrolowane za pomocą technik SORM 2-3. Dla porządku – SORM-1 regulowany jest obecnie rozporządzeniami Ministerstwa Telekomunikacji i Komunikacji Masowej RU nr 268 z dnia 19 listopada 2012 r. (telefonia stacjonarna, analogowa) i nr 645 z dnia 12 grudnia 2016 r. (telefonia komórkowa).
Przyjrzyjmy się kolejnym wersjom SORM
SORM-2
System aktualnie regulowany jest rozporządzeniem Ministra Telekomunikacji i Komunikacji Masowej RU nr 83 z dnia 16 kwietnia 2014 r., jednakże pierwsze akty normatywne pochodzą z 1998 r.
Na mocy ustawowy, od 1998 roku każdy dostawca w Rosji sygnału telekomunikacyjnego, a więc i Internetu (provider), ma obowiązek podłączyć do swojej sieci serwer będący do wyłącznej dyspozycji służb specjalnych. Provider przekazuje do tego serwera cały ruch ze swojej sieci. Dostawca nie wie, jak wykorzystywany jest jego sygnał, kto jest kontrolowany, jakie metody cybernetyczne są wykorzystywane. Bez podłączenia się do tego serwera należącego do służb, dostawca Internetu nie otrzyma licencji na działalność w Rosji. Dotyczy to wszystkich dostawców, zarówno tych małych, jak również i gigantów takich jak BeeLine, MTS czy Rostelcom.
Wg ustawy, służby specjalne mogą kontrolować dowolną osobę jeśli podejrzewają ją o popełnienie lub planowanie poważnych przestępstw zagrażających bezpieczeństwu Federacji Rosyjskiej (przestępstwa z kategorii: terroryzm, kradzież, rozbój, szantaż, wymuszenia, przestępstwa kryminalne, skarbowe i administracyjne itp.). Teoretycznie, służb nie powinny interesować dane z życia prywatnego obywateli, jeśli osoby te nie stwarzają zagrożenia lub nie są podejrzewane o działalność przestępczą. Zgodnie z Ustawą, służby na kontrolę muszą mieć zgodę Sądu, ale w praktyce nic nie stoi na przeszkodzie, aby używać systemu i bez tej zgody.
Uzyskiwane za pomocą SORM dane dotyczą praktycznie każdej aktywności użytkownika Internetu – są to statystyki, jakiego sprzętu i oprogramowania użytkownik używa, jego lokalizacji w trakcie użytkowania komputera, wejść na konkretne strony itd. Przechwytywane przez system dane użytkowania do funkcjonariuszy służb trafiają już po cyfrowej obróbce w sposób uporządkowany, metodyczny i automatyczny.
SORM-3
Regulowany aktualnie rozporządzeniem Ministra Telekomunikacji i Komunikacji Masowej RU nr 573 z dnia 29 października 2018 r., jednakże system rozpoczął funkcjonowanie w 2014 roku.
Celem systemu jest zbudowanie profilu osobowościowego użytkownika Internetu. SORM-3 zaprogramowany jest tak, aby filtrować zbędne z punktu widzenia dane nie przydatne do tworzenia profilu, rozpoznaje „przypadkowych” użytkowników konkretnego sprzętu (np. poprzez analizę innego niż dotychczas zainteresowania muzyką czy też filmami). Tu system korzysta z oprogramowania Deep Packet Inspection (”głęboka inspekcja pakietów”), które są powszechnie stosowane do kontroli sieci przez providerów w „dobrych” celach (np. walcząc z oprogramowaniem szkodliwym typu malware), ale już np. w Chinach są elementem Wielkiego Chińskiego Firewalla, którego celem jest totalna kontrola i cenzura w Internecie. Podobnie w Rosji.
Uregulowania techniczne SORM-3 teoretycznie mają na celu dokładniejsze kwalifikowanie podejrzanych o przestępstwa wymierzone przeciwko Federacji Rosyjskiej, zwłaszcza zaangażowanych w dużą przestępczość zorganizowaną. Usprawnienie systemu miało jakoby na celu wyeliminowanie „przypadkowych przestępców”, jednakże zbudowany został dużo bardziej sprawny system, który pozwala między innymi na powiązanie pakietów sieciowych z określonymi identyfikatorami użytkownika, pozwalając na dokonywanie selekcji ruchu. Jako identyfikatory mogą być wykorzystane loginy do poczty i komunikatorów internetowych, numery telefonów, adresy e-mail, lokalizację użytkownika, adresy IP, adresy URL i in. Oczywiście, za pomocą identyfikatorów można rejestrować i kontrolować dostęp użytkownika do Sieci z dowolnego urządzenia na terytorium całej Federacji Rosyjskiej i nie tylko. Po wyjeździe użytkownika za granicę, służby rosyjskie również mogą ustalić, za pomocą identyfikatora, jego aktywność, lokalizację itd.
Dla zainteresowanych szczegółami technicznymi warto podać, iż system klasyfikuje i dodaje do identyfikatorów takie dane jak: rodzaj użytkowanego IP (IPv4, IPv6), maski podsieci, użytkowanie glob, rodzaje stosowanych protokołów komunikacyjnych i metod szyfrowania, identyfikatorów MAC wszystkich użytkowanych urządzeń, identyfikatorów IMSI, IMEI itd. Jakie dane są w dowolnym momencie do sprawdzenia przez operatorów FSB przez specjalny panel? Między innymi:
- dane personalne użytkownika – imię nazwisko, pełne dane dowodowe (z dowodu osobistego i paszportu zagranicznego),
- korzystanie z dokumentów (dowodów osobistych, paszportów zagranicznych), a tym samym realizowanych czynności prawne (np. meldowania w hotelach), kontrole przez rosyjskie służby państwowe (np. służby drogowe, „gaiszników”), przemieszczanie się po terytorium Rosji i za granicę (m.in. z wykorzystaniem pociągów i samolotów),
- informacje o dowolnych płatnościach dokonywanych kartami kredytowymi i przelewami bankowymi w Rosji, tym samym kontrola wydatków i zakupów (rzeczy i usług), miejsc zakupów, miejsc przebywania w konkretnym miejscu i konkretnym czasie w celu dokonywania transakcji;,
- kontrola kontaktów użytkownika z innymi osobami, firmami i urzędami (z kim, kiedy, ile razy, w jakiej formie),
- pełna kontrola użytkowania przez użytkownika zasobów Internetu,
- kontrola treści przekazywanych przez cyfrowe systemy łączności (e-mail, w tym poczta szyfrowana, komunikacja z wykorzystaniem komunikatorów internetowych, wpisy na portalach społecznościowych) – przypomnijmy, nawiązując do pierwszej części niniejszego cyklu, że chodzi tu o tzw. „Pakiet Jarowoj”, zgodnie z Ustawą Federalną nr 374-FZ z dnia 6 czerwca 2016 roku, nakazującego dostawcom Internetu, portalom społecznościowym i producentom oprogramowania przekazywania do FSB „kluczy” deszyfrujących komunikację.
Dostęp do tych danych przez organy ścigania i służby państwowe jest dostępny wg przepisów przez 3 lata. Oczywiście są one następnie archiwizowane jeśli inwigilacja nie zakończy się postawieniem zarzutów i przekazania danych Sadowi, ale w Ustawie brak jest zapisów mówiących o procedurze dostępu do tych danych przez służby. Można więc domniemywać, że mają dostęp na bieżąco.
Krótko mówiąc, służby mają wszystko i wiedzą kompletnie wszystko o dowolnym użytkowniku Internetu w Rosji. Błędem byłoby jednak twierdzenie, że tylko Rosja w taki sposób kontroluje Internet
Analogiczne do SORM systemy funkcjonują już obecnie na Białorusi i w Kazachstanie, jak również we wspomnianych wyżej Chinach („The Golden Shield Project” oraz IJOP).
Również na Zachodzie funkcjonują takie systemy – na przykład w USA DCSNet, „Boundless Informant” i PRISM (Program for Robotics, Intelligents Sensing and Mechatronics), w Wielkiej Brytanii – CCDP i Tempora, we Francji – Frenchelon, w Szwecji – Titan, w Indiach – „Central Monitoring System” i „National Intelligence Grid”, zaś w Szwajcarii – „Onyx”. W Unii Europejskiej podsłuchy Sieci i użytkowników telefonii komórkowej regulowane są zasadami Lawful Interception nadzorowanymi przez Europejski Instytut Standardów Telekomunikacyjnych (ETSI).
Nie wątpię więc, że Polska zapewne również posiada rozbudowany system inwigilacji użytkowników Internetu, bez potrzeby użytkowania legendarnego „Pegasusa”.