Opomba: članek je bil objavljen v 44. številki revije Pravna praksa. V luči sodbe evropskega sodišča se mi je zdelo prav prikazati tudi nekoliko drugačen pogled, za katerega verjamem, da ne dobi toliko pozornosti javnosti.

Podatki o prometu na internetu niso namenjeni samo pregonu terorizma in hujših kaznivih dejanj, ampak so nekakšen spomin omrežja. Z njihovo pomočjo se zagotavlja stabilno delovanje omrežja in so nujni za odkrivanje različnih napak in motenj v njem, tako tistih »naključnih« kot tudi namerno povzročenih.

Začel bom s prispodobo vložišča v podjetju, skozi katerega vsak dan potujejo pisemske pošiljke. Tam v veliko evidenčno knjigo vpišejo vsako pismo in paket: pošiljatelja, naslovnika in vrsto pošiljke. Za tiste, ki so namenjene zaposlenim v podjetju, opravijo notranjo dostavo, kar pa potuje ven, predajo zunanji poštni službi. V obeh primerih po opravljeni dostavi vsak kurir v evidenčni knjigi označi uspešno dostavo in se posveti naslednji pošiljki na seznamu prispelih.

Tako so bili včasih videti podatki o prometu. Zapisani v velikih knjigah, ki so romale v arhivske prostore v kleteh različnih ustanov. Tam so ždele pozabljene, le sem in tja so lahko te knjige razkrile, da je nekdo nekoč prejel neko pismo ali nekomu nekaj sporočil. Zgodovinarjem to omogoči dodati kakšen pomemben drobec v mozaik dogajanja ob velikih dogodkih pretekle dobe, pri preiskovanju kriminala pa recimo pokaže, da je nekdo dejansko bil v stiku z nekom drugim in to morda kaj pomeni glede krivde nekoga. Podobno načelo skrbnega beleženja prenešenih sporočil uporabljajo tudi naprave v elektronskih omrežjih, torej tudi v internetu. Ne zaradi pregona kriminala, ampak predvsem zaradi naknadnega odkrivanja dogodkov ob napakah.

Elektronska sporočila so običajno sestavljena iz glave (včasih imenovane tudi ovojnica) in vsebine. Ovojnica ali glava vsebuje podatke o pošiljatelju, naslovniku, ter še nekaj pridruženih lastnosti (recimo kako naj sporočilo potuje). Ko sporočilo potuje do cilja, na vmesnih postajah na podlagi glave sporočila nastanejo prometni podatki, recimo: »Sporočilo vrste V, velikosti K je ob času T prišlo iz smeri A in bilo napoteno v smer B.« V primeru telefonskega klica si te prometne podatke dokaj jasno predstavljamo: vsebujejo podatke o klicoči telefonski številki, klicani številki, datumu in času klica, ter njegovo trajanje. Vendar se na internetu stvari zapletejo.

Elektronska komunikacija med računalniki je sestavljena iz kar sedmih različnih plasti (v praksi se uporabljajo štiri),[1] na vseh teh pa se ustvarjajo prometni podatki, in to na podlagi glave sporočila. Na nižjih plasteh iz prometnih podatkov ugotovimo, kateri napravi je bil dodeljen nek naslov IP, višje izvemo izvorni in ciljni naslov IP komunikacije, vrsto internetnega protokola, izvorna in ciljna vrata (angl. port), povsem na vrhu pa podatke, ki so vezani na aplikacijo, recimo elektronske naslove v primeru elektronske pošte, ali parametre spletne poizvedbe.

Kje se beležijo podatki o prometu

Tako rekoč povsod. Vsak usmerjevalnik prometa zabeleži, na kateri vmesnik je prejel komunikacijski paket in prek katerega ga je predal naprej (oziroma če ga ni, zakaj tega ni storil). Vsak upravitelj spletnega strežnika hrani dnevniške datoteke obiskov. V njih je datum in čas, naslov IP obiskovalca, zahtevana spletna stran in status poizvedbe (uspešna, neuspešna, preusmerjena, in tako naprej). Podobno je s poštnimi strežniki, ter s strežniki DNS, ki delujejo v ozadju in se jih večina uporabnikov niti ne zaveda, čeprav brez njih internet ne deluje, kot smo vajeni.

Vsako podjetje ali druga ustanova običajno namesti požarno pregrado, s katero zaščiti svoje lokalno omrežje. Na njej se zbirajo prometni podatki za vso komunikacijo, ki prek požarne pregrade potuje. Zabeležijo se izvorni in ciljni naslovi, lastnosti komunikacije in včasih še kaj več.

Tudi doma lahko vaš brezžični usmerjevalnik beleži prometne podatke, pa tega niti ne veste.

Operaterji beležijo prometne podatke na napravah svojega omrežja. Prek njih spremljajo prometne tokove in na njihovi osnovi upravljajo z omrežjem. Načrtujejo nadgradnje in odgovarjajo z zaščitnimi ukrepi v primeru napadov. To počnejo zato, ker so prometni podatki nujni za zagotavljanje zanesljivega delovanja omrežja. Brez njih je odkrivanje napak nemogoče, saj bi se ob problemu znašli v zmedi kot voznik avtobusa, ki je izgubil ves spomin in mu ni jasno, kje se nahaja, kako je sem prišel in kam bi moral peljati vse te ljudi.

Ena od dokaj tipičnih pritožb, ki jo operaterji redno prejemajo, je recimo: »Poslal sem pomembno elektronsko pošto poslovnim partnerjem, a je ti niso prejeli. Pravijo, da vso pošto od drugod prejemajo brez problema, torej ste vi krivi.« V takem primeru ponudnik pogleda v svoje »zbirke prometnih podatkov« (pravni termin) oziroma »log fajle«, dnevniške datoteke svojih strežnikov (strokovni termin). Tam vidi zapisano, kdaj je sporočilo prejel in kdaj ga je predal tujemu poštnemu strežniku. Kot pri tistem vložišču na začetku.

Zakonodaja

Zakon o elektronskih komunikacijah (ZEKom-1)[2] v 45. odstavku 3. člena opredeljuje podatke o prometu kot:

»katere koli podatke, obdelane za namen prenosa komunikacije po elektronskem komunikacijskem omrežju ali zaradi njegovega zaračunavanja.«

Te nato v 151. členu razdeli na tiste, ki se »nanašajo na naročnike in uporabnike« in jih mora operater izbrisati ali anonimizirati, razen kadar gre za nekatere izjeme, med katerimi je tudi obvezna hramba podatkov (162. do 168. člen). Operaterji pa niso smeli hraniti vseh prometnih podatkov, ampak le nekaj kategorij, ki se (na hitro povzeto) nanašajo na možnost povezave naslova IP z naročnikom, podatke o elektronski pošti in o internetni telefoniji.

Ker teh operaterji ne smejo več hraniti, lahko sklenemo naslednje: po uspešno opravljeni komunikaciji ali najpozneje po poravnavi računa za storitev morajo operaterji tiste prometne podatke, ki se nanašajo na naročnike, izbrisati ali anonimizirati.

Hranijo lahko le tako anonimizirane, ali pa na drugi strani prometne podatke, ki se ne nanašajo na naročnike (recimo medstrežniška komunikacija). V praksi torej po roku kakšnega meseca dni običajno ni več mogoče identificirati naročnika.

Če to primerjamo z vložiščem, ki sem ga omenil na začetku, vidimo drugačen pristop. Namesto verne in natančne hrambe, moramo podatke izbrisati in opredeliti (ne predolg) rok njihove hrambe. Razlog je seveda v strahu pred zlorabami, ko bi lahko nekdo prišel do zbirke prometnih podatkov. Vendar ti, tako kot recimo kamere DARS-a, v praksi bolj kažejo na probleme in zastoje v prometu.

Zmeda zakonske regulacije

V primeru, ki smo ga obravnavali na odzivnem centru SI-CERT, je slovensko podjetje napadel heker s porazdeljenim napadom onemogočanja (angl. distributed denial-of-service – DDoS). Ciljal je njihovo spletno storitev, ki je osnova za poslovanje podjetja in jim s tem povzročil konkretno škodo. Kontaktiral je zaposlenega na podjetju in pojasnil, da bo z napadi prenehal, če mu plačajo 600 ameriških dolarjev odkupnine.

Seveda gre za kaznivo dejanje, vendar pa so podatki v preiskavi incidenta pokazali, da se napadalec zelo verjetno nahaja v Libanonu. V takem primeru je verjetnost uspeha kazenskega pregona blizu ničle, zato se je bolj smiselno pri odzivanju na incident posvetiti odpravi motnje in tehnikam preprečevanja uspešnih napadov v prihodnje. Operater ali ponudnik gostovanja v primeru takih napadov opravi pregled prometnih podatkov, da ugotovi, katere tehnike je napadalec uporabil, ali nadzira omrežje zlorabljenih računalnikov (botnet) in tako naprej. Nato lahko postavi obrambne pregrade in zaščiti svoje stranke.

V drugem primeru smo ob demontaži enega od botnetov storilcev iz tujine dobili obvestilo s seznamom nekaj tisoč naslovov IP, ki se nanašajo na uporabnike v Sloveniji pri različnih ponudnikih in so okuženi z računalniškim virusom, ki lahko povzroči resno škodo. Ne da bi se lastniki zavedali, se je računalnik prepustil storilčevemu nadzoru in sodeloval v omrežnih napadih. Podatki so segali od šest mesecev do dveh let nazaj in primerno bi bilo doseči čim več okuženih uporabnikov in jim posredovati navodila za odpravo zlonamerne kode na njihovih računalnikih. To lahko storijo le operaterji, če še hranijo pripadajoče podatke. Tudi v tej luči je treba ocenjevati sorazmernost in učinkovitost ukrepov kakršnekoli hrambe prometnih podatkov.

Dejstvo je, da večine varnostnih incidentov na omrežju ne preganja policija, ampak jih obravnavamo odzivni centri, ki smo kot nekakšni gasilci požarov na omrežju. Zato takih tem ni primerno presojati samo skozi prizmo Kazenskega zakonika (KZ-1) ali Zakona o kazenskem postopku (ZKP).

Delovanje operaterjev in ponudnikov storitev na internetu ima nekatere tehnične okvire, ki jih z zakonsko regulacijo lahko nekoliko spremenimo ali uredimo, ne moremo pa tu delati nekakšnih revolucij — če zakonodaja ne upošteva dovolj realnosti, bo pač neučinkovita in prej ovira kot karkoli drugega. Povedano drugače: če želite denimo zakonsko urediti hrambo zapisov o pretoku elektronske pošte, potem je dobro, da veste, kako sistem posredovanja elektronske pošte med strežniki in uporabniki deluje.

Tudi zato je že sama ureditev obvezne hrambe prometnih podatkov leta nazaj med operaterji sprožila negodovanje. Torej lahko zdaj pričakujemo, da bo zaradi odločbe Ustavnega sodišča sledilo olajšanje? Sam se bolj bojim tega, da smo korak bliže demonizaciji prometnih podatkov kar povprek, tudi takrat, kadar nam dejansko pomagajo pri vsakodnevnem delovanju v okolju, ki je prežeto z elektronskimi komunikacijami. Če gremo predaleč (in se zraven na področje ureditve še ne spoznamo), lahko namreč tudi poskusi zaščite zasebnosti posameznika škodijo njemu samemu, ko se znajde v vlogi žrtve prevare in pričakuje, da se bo storilca poiskalo in kaznovalo. Nenazadnje, kot je dejal Paul Vixie v pričanju pred Senatnim odborom za pravosodje ZDA:

»Naša demokratična zaveza vladavini prava ima zelo malo vpliva na internet v primerjavi s tem, kako ta vladavina prava deluje v resničnem svetu.«[3]

Umor v hotelu

Tožilec: »Gospodična, sta se osumljenec in žrtev v predverju hotela tisti večer srečala in skupaj odšla v sobo?«

Receptorka: »Hm. Se ne spomnim, morda zaradi tega, ker je bil osumljenec naš gost in je poravnal hotelski račun, zato sem morala po zakonu to pozabiti. Če bi mi prehodno povedali, da ga sumite, bi si zapomnila.«

Tožilec (frustrirano): »Pa saj nismo vnaprej vedeli, da jo namerava ubiti!«

[1] ISO/OSI referenčni model, <sl.wikipedia.org/wiki/ISO/OSI_referenčni_model> (26. 10. 2014).
[2] Ur. l. RS, št. 109/12 in nasl.
[3] Paul Vixie: Hearing on Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks, <cert.si/vix-botnets> (26. 10. 2014).