Retencja danych – przepisy wykonawcze.

Ustawa nakazująca operatorom przechowywanie danych o połączeniach istnieje od dawna, ale do tej pory dostawcy internetu robili, co mogli/chcieli, bo przepisów wykonawczych nie było. Wszystko wskazuje na to, że niebawem się to zmieni, bo Minister Infrastruktury przygotowuje rozporządzenie w tej sprawie. I nie wygląda ono różowo, szczególnie dla mniejszych ISP, opierających się o sieci ethernetowe, a ich także – obok dostawców telefonii i poczty elektronicznej – dotyczy.

Projekt rozporządzenia Ministra Infrastruktury w sprawie szczegółowego wykazu danych oraz rodzajów operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do ich zatrzymania i przechowywania, o którym piszę, można przeczytać w całości na stronach Ministerstwa Infrastruktury, podobnie jak dołączone do niego uzasadnienie. Gorąco polecam lekturę obu tych pism przed czytaniem reszty wpisu, a na pewno przed komentowaniem.

Pisać będę z punktu widzenia najbliższego mi, czyli dostawcy internetu i tylko na temat dostarczania usługi internetowej. Pocztę elektroniczną i telefony całkowicie pomijam, choć zdanie administratorów – szczególnie serwerów pocztowych – także mnie interesuje i zapraszam do komentowania.

Przede wszystkim wygląda, że ustawodawca albo zapomniał o istnieniu i zasadach działania sieci opartych o ethernet, albo w ogóle nie zdaje sobie sprawy, w jaki sposób one działają. Ruch w obrębie sieci rozgłoszeniowej w takiej sieci zamykać się może w obrębie jednego przełącznika. Switche są różne, ale nawet te zarządzalne rzadko kiedy oferują wsparcie dla logowania czegokolwiek wymaganego w ustawie. O logowaniu połączeń między użytkownikami dostawcy korzystający ze switchy niezarządzalnych mogą całkiem zapomnieć. Oczywiście, można podzielić sieć na mniejsze (dla każdego użytkownika osobna sieć), ale w ten sposób po pierwsze bardziej obciąża się router, po drugie traci się największą zaletę takiej sieci, jaką jest decentralizacja ruchu lokalnego.

W rozporządzeniu brakuje definicji połączenia. O ile w przypadku telefonii sprawa jest dość oczywista i można ją traktować „na chłopski rozum’, o tyle w przypadku Internetu nie jest tak prosto, szczególnie, że istnieją protokoły bezpołączeniowe. Czy każdy pojedynczy wysłany pakiet traktować wówczas jako połączenie? Co traktować jako rozpoczęcie połączenia? Co jako zakończenie połączenia? W której warstwie modelu OSI należy badać połączenie?

Zauważyć należy, że rozporządzenie wprowadzać ma obowiązek logowania portów. W uzasadnieniu można przeczytać, że dotychczasowa praktyka wskazuje, że obecnie w większości przypadków operatorzy posiadają te dane i nie są one specjalnie generowane w celu retencji ale nie wierzę, że mowa w tym przypadku o portach. O ile większość mi znanych małych ISP jest w stanie określić IP użytkownika i ew. aktywność o zadanej porze, o tyle z portami sprawa ma się zupełnie inaczej (faktem jest, że służby praktycznie nigdy o to nie pytają).

Błędem jest też zapis, że port sieciowy określa rodzaj usługi komunikacyjnej w sieci teleinformatycznej. Istnieją oczywiście pewne zalecenia i standardy, ale port ani nie definiuje usługi, ani usługa nie definiuje portu. Nie ma żadnego problemu w wykorzystaniu nietypowego portu dla danej usługi, co więcej, stosunkowo często jest to stosowane (choćby jako redukcja zagrożenia ze strony skanerów szukających podatności w danych usługach).

Ciekawe jest też wymaganie określenia momentu nawiązania połączenia i rozłączenia z Internetem, także w przypadku adresacji statycznej. Oczywiście definicji Internetu brakuje… Co w przypadku popularnego wśród mniejszych operatorów DHCP, gdzie rozpoczęcie owszem, łatwo określić, ale koniec już nie bardzo…

Ostatnia niefortunna rzecz to – moim zdaniem – termin, od kiedy rozporządzenie miałoby zacząć obowiązywać. Planowaną datą jest bowiem 1 stycznia 2010 r., co praktycznie nie daje mniejszym operatorom możliwości dostosowania się do niego, także po doprecyzowaniu ww. nieścisłości.

Szczerze mówiąc, ciekaw jestem opinii, szczególnie administratorów mniejszych, opartych o ethernet sieci, na temat tego projetku. Chętnie też poznam uwagi na temat ew. błędów w mojej interpretacji ww. rozporządzenia.