Slovensko vlado smo vprašali, kakšno je njihovo stališče glede vgradnje t.i. backdoor dostopa v programsko in strojno opremo, s katero nekatere vlade (najbolj očitno britanska) skušajo preganjati terorizem. Odgovor objavljamo v celoti.
—
Strinjamo se, da je tematika zelo aktualna, saj po dostopnih informacijah obstaja veliko primerov napovedanih, domnevno v izvajanju ali celo opuščenih primerov vgradnje »zadnjih vrat«. V vprašanju je izpostavljen pomen komunikacijske zasebnosti in primerjava z legitimnim interesom države oz. družbe, da prebivalstvu zagotovi varnost tudi tako, da v največji možni meri identificira, razkriva, spremlja in preprečuje teroristična dejanja.
Pri izpostavljeni problematiki je treba upoštevati vidik komunikacijske zasebnosti, ki jo varuje 37. člen Ustave RS, iz katerega izhaja, da se lahko v tajnost pisem in drugih občil ter v nedotakljivost človekove zasebnosti poseže le po odredbi sodišča, če je to nujno za uvedbo ali potek kazenskega postopka ali za varnost države.
Nadalje so zavezanci za razkritje posamične komunikacije operaterji, ki morajo skladno s 160. čl. ZEKom-1 po prejetju odredbe o razkritju komunikacijo izročiti pristojnim organom po izročilnem vmesniku. Jasno je, da operater lahko razkrije oziroma izroči le tisto vsebino komunikacije, ki se prenaša po njegovem omrežju in v takšni obliki, kot ta v njegovem omrežju obstaja. V kolikor je komunikacija pred vstopom v omrežje dodatno zaščitena s šifrirnimi postopki, ključi in gesli, do katerih nimata dostopa ne operater niti ne organi pregona in jih ni mogoče »razbiti« z dostopnimi trivialnimi metodami, je jasno tudi to, da je takšna komunikacija v precejšnji meri varna pred razkritjem, četudi je bila izdana sodna odredba o začasnem razkritju vsebine takšne komunikacije.
Vgradnja »zadnjih vrat« (npr. v terminalno napravo: telefon, mobilni telefon ali v osebni računalnik) naj bi zato omogočila prestrezanje vsebine komunikacije že pred vstopom v komunikacijsko omrežje oz. še preden bi se na terminalni napravi izvedlo morebitno šifriranje vsebine komunikacije, ki se potem naprej šifrirana prenaša po komunikacijskih omrežjih. Obstaja več vrst »zadnjih vrat«, od tistih, ki jih vgrajujejo že proizvajalci programske in tudi strojne opreme, praviloma, ni pa nujno, v sodelovanju z vladami držav (npr. domnevna vključitev skritega NSAKEY v programsko opremo Microsoft, ali stranski vhod v usmerjevalnike Juniper), do ostankov programske kode iz obdobja razvoja in testiranja delovanja programske in strojne opreme, do tistih, ki so v to opremo tajno nameščeni s strani državnih organov ali s strani tretjih nepooblaščenih oseb v obdobju njenega operativnega delovanja pri uporabnikih.
Načeloma ni razlike med programsko kodo s funkcijo »zadnjih vrat«, ki je v programsko in strojno opremo vnesena na zahtevo države in tisto, ki nastane kot namerna ali dejansko nenamerna napaka pri programiranju in jo po naključju ali načrtno kdo identificira in njeno delovanje objavi, ter dokumentira.
Za namene pregona storilcev hudi kaznivih dejanj (zoper katere se lahko odredi začasno razkritje komunikacij) so uporabna le tista »zadnja vrata«, ki so nameščena na posamični računalnik ali komunikacijsko sredstvo v skladu z odredbo sodišča o prikritih preiskovalnih ukrepih. V tem primeru je običajno potreben vstop v stanovanje preiskovanca, pri čemer je treba upoštevati, da nedotakljivost stanovanja varuje 36. člen Ustave RS.
Iz vprašanja ni jasno, ali naj bi šlo za »zadnja vrata«, ki naj bi jih vgrajevali že proizvajalci programske in strojne opreme v vse terminalne naprave, ali pa za uporabo načela »zadnjih vrat« v okviru prikritih preiskovalnih ukrepov na posamični terminalni opremi.
V vsakem primeru ministrstvo ni naklonjeno nobeni splošni rešitvi vnaprejšnjega nameščanja »zadnjih vrat« v vse računalniško-programske rešitve v obliki terminalnih naprav, saj bi bil to pretiran poseg v zasebnost in celovitost komunikacije za vse fizične in poslovne uporabnike brez izjeme. V tem primeru bi šlo za izrazito nesorazmeren ukrep, ki ga po našem mnenju ni mogoče upravičiti z bojem zoper terorizem. Obenem pa bi bili v takem primeru nevarnosti razkritja svoje zasebnosti in komunikacij nesorazmerno izpostavljeni vsi uporabniki informacijsko komunikacijskih tehnologij.
O tem, da ukrepi zoper vse niso sorazmerni priča tudi odločitev Evropskega Sodišča za človekove pravice, ki je razveljavilo Direktivo o hrambi podatkov, ki je bila ravno tako sprejeta zaradi boja proti terorizmu. V Sloveniji je primerljivo odločitev o razveljavitvi določb ZEKom-1 v zvezi s hrambo podatkov (celotno poglavje XIII) sprejelo Ustavno Sodišče RS.
Ob tem naj še dodamo, da si z izvajanjem ustrezne informacijske varnostne politike prizadevamo v največji možni meri preprečevati ranljivosti sistemov in onemogočati nepooblaščeno poseganje v njih ter se izogibati nameščanju opreme, ki bi lahko vsebovala možnosti backdoor dostopov.