Предизвикателството „криптиране“
Употребата на криптиращите технологии като част от комуникационния модел в световен мащаб е свързан непосредствено с неприкосновеността на личния живот, с упражняването на основните права на личността, с нуждите на бизнеса и управлението. Бизнесът инвестира в разработването на инструменти, които предлагат най-добрата защита за своите клиенти. Използването на криптирането се приема като съществен фактор за защитата на киберсигурността и личните данни, като понастоящем европейското законодателство и по-конкретно Общият регламент за защита на данните (GDPR) (чл. 32, пар. 1, б. „а“[1]) отчита криптирането като мярка, която позволява да се осигури адекватно равнище на сигурност при обработването на лични данни.
В същото време обаче тези възможности могат да възпрепятстват компетентните органи при разкриването на престъпления, тъй като се отразяват на способността им да придобиват доказателства, които биха могли сериозно да спомогнат за целите на наказателното преследване и в частност – подвеждането под отговорност на виновните лица[2]. Поради тази причина е необходимо да се открият и предвидят решения, които да позволят провеждането на ефективни разследвания, които засягат криптирани данни. Тези решения обаче изискват високо равнище на експертиза, съществено инвестиране в необходимите ресурси и отчитане на кратките срокове, в рамките на които разследващите органи следва да се сдобият със съответните доказателства, тъй като това би могло да бъде от огромно значение за успешния изход на разследването, тъй като то може да се отнася до престъпни деяния, при които незабавните мерки са от решаващ характер – терористични атаки, кибератаки, сексуална експлоатация на деца и др.
Според международната асоциация на полицейските началници (IACP) разследващите органи не биха били способни да провеждат разследвания и да преследват лица, нарушили закона, без достъп до електронни доказателства, а криптиращите технологии са посочени като една от основните пречки до този достъп.[3] Широкото разпространение на криптиращите технологии в ежедневието ни води дори до т.нар. „криптовойни“, характеризирани по този начин поради опитите на американското правителство да прекара на законодателно и техническо равнище някои мерки, позволяващи потенциалното декриптиране на всякакви криптирани данни. В края на 90-те години дори е развита концепция, съгласно която правителствените органи следва да съхраняват копие от всеки уникален декриптиращ ключ, така че съответните данни да бъдат декриптирани във всеки случай, когато това е необходимо. Разбира се, тази концепция се изправя пред нестихващата критика на международната общност и е напълно отхвърлена като вариант. Правени са опити и за налагането на ограничения на криптирането за производителите на комуникационни устройства и приложения, които обаче също се провалят, доколкото съществено подкопават конкурентоспособността на икономиката и неприкосновеността на личността, което освен всичко друго води и до огромни финансови загуби. В резултат на тези дейности през 2015 г. Съветът по правата на човека на ООН посочва, че „държавите следва да избягват всякакви мерки, които водят до отслабване на сигурността онлайн като например „задни вратички“ (backdoors), ниски стандарти за криптиране и др.“.
В последните години дебатът относно криптирането отново се засили, като вероятно намери връхната си точка в делото „ФБР срещу Епъл“, в рамките на което беше издадена съдебна заповед, според която компанията следваше да окаже „разумна техническа помощ“[4] на разследващите, които се опитваха да декриптират данните от иззетия телефон iPhone 5C, собственост на лице, заподозряно в извършването на тежко престъпление. Американските власти правят изявление, в което подчертават, че често декриптирането на определени данни е извън възможностите на разследващите органи, което често представлява опасност за националната сигурност.[5]
Съгласно практиката на някои държави членки на Европейския съюз криптирането на данни се използва като способ в огромен брой от случаите, в които в рамките на разследването компетентните органи се сблъскват с доказателства в цифров формат. Установено е, че извършителите на престъпни деяния използват както широкоразпространени приложения за криптиране на комуникацията, така и собственоръчно създадени приложения, които са изградени въз основа на общите принципи на криптиращите алгоритми.
Материята е особено чувствителна, доколкото става въпрос за пресечната точка между неприкосновеността на личните данни и възможностите за злоупотреба чрез използването на достиженията на съвременната наука в сферата на цифровите технологии. Криптирането на комуникацията представлява съществен проблем в контекста на провеждането на наказателното производство[6] и поради тази причина е необходим внимателен анализ на възможностите, които законодателството предлага за целите на достигането на законосъобразен резултат, който балансира между защитата на основните права на човека и обществения интерес от предотвратяването, преследването и разкриването на престъпления.
Механизми за криптиране
Механизмите, позволяващи криптиране на данни и комуникация, претърпяха изключително бурно развитие в последните години. Този факт позволява те да бъдат използвани от все по-голям брой хора, дори и без последните да имат непосредствената цел да изпращат съобщенията си закодирани по някакъв начин, тъй като самите криптиращи механизми представляват неделима част от софтуера и приложенията в нашето ежедневие. В близкото минало експлоатацията на подобни криптиращи схеми изискваше много по-висока експертиза, вкл. обмен на криптиращи ключове между изпращача и получателя на информацията. Понастоящем цялостното развитие на технологията, по-бързите компютри и подобрената инфраструктура позволяват далеч по-мащабното използване на елементарни за ползване криптиращи устройства. Днес криптирането и декриптирането се извършват светкавично, като потребителят дори не забелязва протичащия процес, а когато криптирането се извършва съобразно постоянно заложена настройка, последният дори не трябва да предприема каквито и да е допълнителни действия, освен посочването на избраната парола.
Криптиращите механизми покриват изключително широк набор от функционалности, които стават неизменна част от продукти и услуги, свързани с междуличностна комуникация, системи за електронно гласуване, криптографски валути и др. В тази връзка трябва задължително да се прави разлика между криптиране на данни в движение (data in transit) (съдържание на мейли и друг вид комуникация) и криптиране на статични данни (data at rest) (данни в компютърна информационна система, на цифров носител или съхраняващи се на „облак“).
По отношение на данните в движение статистиката сочи, че повече от 50 процента от общия трафик в интернет за 2016 г. е бил криптиран, като все по-голям брой услуги използват криптирането от край до край (end-to-end) като постоянна настройка (18 процента през същата година[7]). По този начин комуникацията между две лица е напълно защитена посредством криптирането и единствено те биха могли да получат декриптирана версия на изпратената информация. Освен това все повече се увеличават и мобилните устройства, които използват невъзстановяемо криптиране за статични данни, като някои от тях включват и възможност за заличаване на данните благодарение на различен ключ.
Важно е да се отбележи, че редица алгоритми за криптиранe са изградени по начин, който практически прави декриптирането на информацията невъзможно – ако техническите способности за декриптиране, без ключът да е предварително известен, се повишат, алгоритъмът бързо може да бъде променен, така че да включва много по-дълъг и сложен ключ. Така например, ако подобреният хардуер позволява по-бързото изчисление на големи числа, алгоритъмът би могъл да бъде пригоден и да използва още повече цифри, генерирани в ключа, така че да подсигури липсата на възможност за декриптиране в разумен времеви срок.
Нормативна регламентация и въпроси от правно естество
Българският опит
Във връзка със същността на криптирането и криптираните данни, които са събрани в рамките на наказателния процес посредством извършването на претърсване и изземване (чл. 162, ал. 6 вр. чл. 163, ал. 6-8 НПК) възниква въпросът дали е възможно засегнатото лице – титуляр или държател на данните да бъде задължено да предостави парола, за да могат данните да бъдат декриптирани. Подобен проблем не стои, когато лицето е пострадал от престъплението, тъй като в този случай то вероятно ще предостави ключа доброволно.
По различен начин стоят нещата, когато става въпрос за обвиняемия, както и когато засегнатото лице е свидетел, тъй като съобразно чл. 115, ал. 4 НПК обвиняемият има право да откаже да даде обяснения[8], а според чл. 121, ал. 1 свидетелят не е длъжен да дава показания по въпроси, отговорите на които биха уличили в извършване на престъпление него, неговите деца, родители, баба и дядо, братя, сестри или съпруг или лице, с което той се намира във фактическо съжителство.
Това практически означава, че обвиняемият е освободен от задължението да дава каквито и да сведения във връзка с провеждащото се разследване, а свидетелите единствено в определени конкретни случаи биха могли да откажат предоставянето на показания, вкл. необходимата за декриптирането парола. В допълнение е приложима и разпоредбата на чл. 159 НПК, съгласно която по искане на съда или на органите на досъдебното производство всички учреждения, юридически лица, длъжностни лица и граждани са длъжни да запазят и предадат намиращите се у тях компютърни информационни данни, които могат да имат значение за делото.
Ако не е възможно паролата или декриптиращият ключ да бъдат получени от засегнатото лице, възниква въпросът дали е необходимо изискването на допълнително съдебно разпореждане, което да позволи декриптирането на данните за целите на разкриването на разследваното престъпление. Считам, че подобен подход не е нужен, доколкото доказателството единствено следва да е допустимо в съдебното производство, ако е събрано съгласно подходящо процесуално-следствено действие, напр. претърсване и изземване[9] (например в Решение № 196 на САС по в. н. о. х. д. № 272/2014 г. директно се говори за техническа експертиза за „разбиване на пароли“).
Често тази информация е от съществено значение за изхода на делото, като например в рамките на в. н. о. х. д. № 1197/2014 г. (Решение № 763 от 17.07.2014 г. на СГС) е отбелязано, че криптираният компакт диск, предоставен от Интерпол – Отава, не е могъл да бъде отворен в съдебно заседание с посочената парола за достъп. Съдът подчертава, че поради невъзможността дискът да бъде отворен и разчетен е невъзможно да бъде установено и съдържанието на проведения разговор, което е ключово за вземането на окончателно решение. По в. н. о. х. д. № 4910/2013 г. (Решение № 431 от 23.04.2014 г. на СГС) съдът посочва, че декриптирането на потребителското име при регистрация в разглежданата компютърна програма може да има решаващо значение за установяването на обективния и субективния състав на престъплението. Допълва се, че нито прокуратурата при внасянето на обвинителния акт, нито първоинстанционният съд при постановяването на оправдателната присъда са дали ясен отговор на въпроса дали са изчерпани способите за установяването на личните данни, които стоят зад регистрацията на потребителското име, още повече че администраторът, който държи правата за самата програма, има възможност да предостави информация за декриптирането на потребителското име.
При изземването на цифрови данни в рамките на разследването предварителното съдебно разпореждане за претърсване и изземване следва да включва вида на устройството (компютър, сървър), както и релевантността му спрямо производството. При възможност е препоръчително да се посочат конкретните данни от устройството, които следва да се изземат – това е така, тъй като понякога е далеч по-удачно да се изземат определени данни въз основа на процесуалния способ в чл. 163, ал. 7 НПК, отколкото целия хардуер (съобразно чл. 163, ал. 6 НПК), тъй като последният може да съдържа огромни масиви от информация, които не са относими към целите на наказателното производство.
Изземването на данни често се прилага при условията на т.нар. споделен хостинг, когато на един сървър се намират множество сайтове, но данните в само един от тях е от значение за разследването. В този случай съгласно принципа за минимизиране на данните, съответно ограничаване на намесата на разследващите органи в личното пространство на практически неопределен брой лица, изземването дори е незаконосъобразно, тъй като разследващият орган придобива достъп до огромно съдържание, без основание, доколкото останалата част от данните няма връзка с наказателното производство и не би могла да спомогне за установяването на обективната истина.
Законодателството на европейско равнище
Въпреки че в законодателството на мнозинството от държавите членки на Европейския съюз не се говори изрично за криптирана информация, а в повечето от тези случаи дори и за електронни доказателства, съществуват някои национални разпоредби, съгласно които обвиняемото лице е задължено да предостави паролата или кода за достъп до информационната система[10]. Считам, че подобна уредба противоречи на правото на обвиняемия да не дава обяснения, които го уличават в извършването на престъпление[11].
Наказателнопроцесуалните норми в някои държави позволяват на разследващия орган да приложи способ за прихващане на данни в реално време спрямо комуникационно устройство, докато информацията все още не е криптирана или когато вече е декриптирана. Като цяло обаче на европейско равнище се прилагат общите разпоредби относно издаването на съдебно разпореждане за предоставяне на информация от страна на доставчиците на услуги (или от физически и други юридически лица) или за извършването на претърсване и изземване. Недостатък е, че тези общи разпоредби често до водят до неясноти и липса на правна сигурност дали засегнатото лице или доставчикът на услуги следва да предоставят информацията в декриптиран вид[12]. Освен това този подход често би могъл да се разглежда като недостатъчен, за да гарантира адекватната защита на неприкосновеността на съобщенията.
В доклада на Комисията за основни свободи, правосъдие и вътрешни работи (LIBE) относно законодателните рамки, свързани с декриптирането на данни[13], Европейският парламент препоръчва по-широкото използване на специални законодателни способи, уреждащи използването на декриптиране от разследващите органи. В доклад на Върховния комисар за правата на човека на ООН от 2014 г. се посочва, че „прихващането и събирането на данни е необходима и ефективна мярка в помощ на разследващите органи, когато се използва в съответствие с подходяща законодателна рамка“. В своя резолюция, посветена на правото на неприкосновеност в цифровата епоха, Общото събрание на ООН препоръчва: преразглеждането на процедурите, практиките и законодателството по отношение на прихващането на съобщения и събирането на лични данни; установяването и поддържането на механизми за надзор (независими, ефективни и безпристрастни – съдебни, административни и/или парламентарни), които да позволяват прозрачност и отчетност; осигуряването на ефективни правни средства за защита на засегнатите лица при противоправен или произволен достъп до техните данни.
Изследването на националните законодателства показва, че е възприета палитра от различни подходи по отношение на декриптирането на данни за целите на наказателния процес, макар че законодателствата, в които използването на техники за декриптиране се споменава, са сравнително малко. Въпреки това, както беше посочено и по-горе, отсъствието на подобни разпоредби не лишава разследващите органи от възможността да използват подобни техники като инструмент в борбата срещу престъпността. Например в Италия като основа се прилагат разпоредбите за разрешаване на прихващане на комуникация в реално време (специални разузнавателни средства). През 2009 г. италианският касационен съд (решение 24695 от 14 октомври) утвърждава възможността техники за декриптиране да се използват за целите на изземването и копирането на документи, съхранени на твърдия диск на компютърна информационна система. През 2012 г. (решение 254865 от 27 ноември) съдът посочва, че заповед, издадена от прокурор, е достатъчна, за да се приеме процесуално-следственото действие за законосъобразно извършено.
Като примери извън Европейския съюз биха могли да бъдат дадени САЩ и Австралия, в чиито законодателства също липсват конкретни разпоредби относно декриптирането. Подобно на своите европейски колеги, разследващите органи в тези държави също се ползват от общите нормативни правила, които принципно уреждат достъпа до съхранени данни или прихващането на данни в реално време.
Все пак следва да се отбележи, че в последните няколко години Германия, Нидерландия и Обединеното кралство приемат специални разпоредби в наказателнопроцесуалното си право относно използването на техники за декриптиране от страна на разследващите органи.
Германия
Съгласно немския Закон за федералната разследваща полиция (ЗФРП) (§20k, Bundeskriminalamtgesetz[14]) органите на последната получават изричното правомощие да използват технически мерки при боравене с компютърни информационни системи, като се нуждаят от съдебно разпореждане, издадено въз основа на искане на прокуратурата, вкл. за целите на заобикалянето на механизмите за сигурност на устройство, което е било иззето в рамките на законосъобразно процесуално-следствено действие. Искането следва да съдържа информация относно самоличността на лицето (ако е известна), местоположението му, телефонния номер (ако става дума за мобилен телефон) и друга информация, идентифицираща устройството, напр. IMEI[15] номер или IP-адрес, както и вида, обхвата и продължителността на използването на техническата мярка.
В неотложни случаи тези действия биха могли да бъдат извършени и без предварително съдебно разпореждане, като прокурорската заповед следва да бъде потвърдена от съда в рамките на тридневен срок след извършването на процесуално-следственото действие. Ако заповедта не бъде потвърдена, събраните доказателства не биха могли да бъдат използвани в съдебното производство.
В Германия подобни технически мерки биха могли да бъдат взети само за целите на разкриването на тежки престъпления (§100а(2) НПК – Strafprozessordnung[16]) и в рамките на срок, не по-дълъг от три месеца (според ЗФРП те могат да се предприемат и когато е налице заплаха за живота на дадено лице и за националната сигурност (§20k)). За прилагането на тези техники немското законодателство изисква обосновано предположение за релевантността на изискваните данни, като одобрените от съдебната заповед действия биха могли да бъдат насочени единствено срещу заподозряното лице или срещу лица, за които може да се предполага, че са комуникирали с него.
Всички данни, които не са относими към наказателното производство и които засягат личния живот на лицето, следва да не бъдат използвани и да се заличат незабавно (§101(8) НПК). Действията по изземването (декриптирането, заличаването на неотносимите данни, звеното, извършило действията, както и информация, свързана с устройството и събраните данни) следва да се отразят в протокола от процесуално-следственото действие (§100а(4) и § 101 НПК, както и §20k(7) (ЗФРП). В протокола следва да се разпише подробно и цялата информация относно използваните технически мерки, както и датата на извършването на действията.
Съгласно §101(5) НПК лицето, засегнато от използването на техниките, следва да бъде уведомено възможно най-бързо, след като това е възможно, без да се застраши ефективността на разследването. Прокуратурата, както и всички провинции (лендери), следва да представят на Федералната служба по правосъдие ежегоден доклад, който включва броя на производствата, в рамките на които са използвани мерки за прихващане на комуникация, броя на заповедите, както и престъпленията, които са били предмет на тези разследвания.
Нидерландия
В Нидерландия прокурорът също следва да изиска предварително разрешение от разследващ съдия, за да може да приложи техниките за декриптиране (чл. 126nba, пар. 4 от Наказателнопроцесуалния кодекс) в рамките на конкретно наказателно производство. Техниките могат да се използват единствено за разследването на престъпления съгласно чл. 67, пар. 1 НПК – деяния, за които е предвиден максимален срок за лишаване от свобода поне четири години, както и за други изрично посочени престъпни състави, макар и в тях да са предвидени по-леки наказания[17]. В спешни случаи заповедта на съдията може да бъде дадена устно, но следва да бъде потвърдена писмено в тридневен срок.
Съгласно нидерландското право в искането за разрешаване на използването на декриптиращи техники следва да се посочат престъплението – предмет на разследването, името на заподозряното лице, когато то е известно, както и описание на комуникационното устройство, върху което следва да се приложи техниката. Освен това искането трябва да обосновава спешната необходимост от използването на тези техники с оглед тежкия характер на престъплението, описание на вида и функционалностите на мерките, които ще се използват, целта на прилагането на техниките, както и категориите данни, които ще се достъпят (чл. 126nba, пар. 2).
С оглед осигуряването на максимална прозрачност нидерландското право изисква лицето или лицата, засегнати от използването на техниките за декриптиране, да бъдат уведомени за извършените действия, когато интересите на разследването вече позволяват това (и ако това не им е станало известно по-рано с оглед естеството на действията). Допълнително чл. 126nba, пар. 6 подчертава, че след края на използването на съответната техническа мярка, софтуерът следва да се премахне от компютърната информационна система. Освен това съгласно нидерландския закон разследващите органи носят отговорност, ако техниките за декриптиране са нанесли някакви вреди на засегнатото лице, напр. заличаване на данни.
Обединено кралство
Подобни разпоредби са включени и в британския Закон за правомощията при разследването (Investigatory Powers Act 2016)[18], влязъл в сила през ноември 2016 г., който позволява на компетентните органи[19] да получават достъп до данни, налични в комуникационни устройства, посредством използването на съответно електронно оборудване и техника (дял 5 „Намеса посредством оборудване“). Преди приемането на този закон правната рамка относно получаването на достъп до цифрови данни от страна на разследващите органи е била разпръсната в множество нормативни актове, които са предоставяли различни равнища на защита, което от своя страна е водило до недостатъчна правна сигурност. Законът се придружава от шест кодекса с практически правила, които осигуряват съответните оперативни и юридически детайли във връзка с изпълнението на задачите, както и всички изисквания, свързани със съдебния надзор.
Заповедта за използване на технически мерки се издава от полицейски началник, като следва да бъде потвърдена от съдебен комисар – роля, която се създава за целите на Закона за правомощията при разследването. В спешни случаи заповедта на полицейския началник би могла да бъде потвърдена от съдебния комисар в срок от три работни дни, като тя трябва да бъде необходима и пропорционална съобразно целения резултат, като задължително следва да се вземе предвид степента на навлизане в личното пространство и накърняването на неприкосновеността на засегнатото лице.
Заповедта може да бъде постановена единствено за целите на разследването и разкриването на тежко престъпление, като за тежко се приема престъпление, за което може разумно да се очаква, че подсъдимото лице може да бъде осъдено на лишаване от свобода за поне три години или друго престъпление, което е съпроводено с използването на насилие, от което е произтекла съществена финансова облага или което е извършено от голям брой лица в преследване на обща цел. Освен това заповед може да се издаде, за да бъдат предотвратени смърт, телесна повреда или нанасянето на вреда на физическото или психическото здраве.
Заповедта е валидна за шест месеца от деня на издаването, като в случай на необходимост би могла да бъде подновена за още шест месеца. Ако бъде поискано подновяване, следва да се предоставят данни за постигнатите до този момент резултати и съответно защо досегашният срок не е бил достатъчен. В допълнение заповедта може да бъде изменена и/или допълнена с нова информация за разследваното лице или оборудването, което ще се използва. Останалата част от процедурата за подновяването на заповедта възпроизвежда изискванията при постановяването на основната (първа) заповед. Тя може да бъде отменена, когато разследващите органи преценят, че повече не е необходима за целите на разследването.
Технически способи за декриптиране
Повишеното използване на криптирането през последните няколко години значително затруднява разследващите органи с оглед прилагането на успешни техники за целите на разследването на различни видове престъпна дейност. Тези техники подлежат на съществено развитие с течение на времето, като се отчита непрекъснато развитието на технологиите и на приложимата законодателна рамка. Понякога конвенционалните мерки по разследването биха могли да бъдат достатъчни за постигането на целта, но в определени случаи се изисква използването на далеч по-сложна методика.
Техниките за декриптиране представляват последният възможен изход за компетентните органи, когато другите възможни опции са неспособни да доведат до положителен резултат (възможното задължаване на засегнатото лице или доставчика да предоставят ключа, както и по-скоро немислимото всеобщо и задължително отслабване на криптиращите алгоритми, т.е. съзнателното въвеждане на уязвимост в системата с оглед възможното заобикаляне на криптиращия механизъм (разгледано по-долу)).
Тези техники използват всяка налична слабост в рамките на компютърната информационна система, както техническа, така и предизвикана от човешко действие. Откриването на налични слабости в компютърните информационни системи от страна на разследващите органи създава един вид конфликт на задължения, доколкото съобщаването на откритите слабости на производителите[20] би могло да повиши общото равнище на киберсигурност, но ще възпрепятства по-нататъшното използване на тези слабости с оглед получаването на бъдещ достъп до информация в сходни случаи.
За целите на извършването на декриптирането на релевантните за наказателния процес данни от техническа гледна точка се спазват основните правила на цифровата криминалистика (т.нар. „digital forensics“[21]). Спазването на тези изисквания е изключително значимо, доколкото приемането на доказателствата като допустими в съдебното производство може особено много да зависи от извършената техническа експертиза. Основно правило е да не се работи върху оригиналните доказателства, събрани в рамките на процесуално-следственото действие или получени от доставчика на услуги в криптиран вид, а да се направи криминалистическо копие (digital forensic image). Важно е да се отбележи, че с развитието на технологиите при някои устройства (напр. Iphone) копирането на данни е ограничено, ако не и технически невъзможно.
Технологията за създаването на подобно копие е сложна, като се използват специализирани софтуер и хардуер и процесът отнема съществен период от време. Използваният хардуер ограничава преноса на данни само в една посока, т.е. от иззетото веществено доказателствено средство (компютърна информационна система или друг носител на компютърни данни) към хардуера, върху който се прави копието. Важно е да се подчертае, че технологията не използва принципа „copy/paste”, при който се прехвърлят единствено наличните данни (файлове). Криминалистическото копие съдържа абсолютно всеки бит информация, наличен и на иззетото устройство, вкл. и празното място.
След създаването на копието се пристъпва към опитите за декриптиране на данните. С оглед постигането на максимално успешен резултат могат да се използват различни методики, като например използването на механизъм за разпознаване на пароли след събиране на необходимата информация чрез разпити на заподозрени лица, свидетели и др. Проблемът при този метод е, че той обикновено генерира успех единствено при по-къси пароли, съдържащи едноцифрен брой символи. Освен това е възможно да се използва и информацията от оперативната памет на устройството, която би могла съществено да спомогне за отгатването на паролата (вж. по-долу).
Ако декриптирането бъде извършено успешно, то декриптираните данни следва да бъдат приети като допустимо доказателство, тъй като те все още са налични и на оригиналното веществено доказателствено средство, иззето със законосъобразното процесуално-следствено действие. Ако съдът изрази съмнение дали става въпрос за същите данни (или със същото съдържание), по всяко време той може да проведе следствен експеримент чрез въвеждане на вече известната парола в иззетата компютърна информационна система или друг носител на данни.
Друг възможен подход за целите на декриптирането на данни, необходими в рамките на наказателното производство, е прилагането на методи от т.нар. „live forensics“. Тези методи са приложими при работещо устройство и обикновено включват изследване на терен, още преди техниката да бъде иззета, като всички извършвани стъпки следва подробно да се опишат в протокола от процесуално-следственото действие. Обикновено целта на „live forensics“ е да се установи дали на компютърната информационна система са налични криптирани данни, като се направи т.нар. “dump” (анализ на съдържанието) на оперативната памет (RAM), както и дали се използват „cloud“ услуги за съхраняване на данни. Задължително условие е методът да се прилага единствено от технически помощник (специалист), а не от всеки разследващ орган.
При наличие на криптирани данни и ако устройството работи, т.е. при въведена парола, следва да се пристъпи към директното изземване на данните в декриптиран вид. Важно е да се подчертае, че в оперативната памет се съдържа много информация, която се заличава незабавно при изключването на устройството (възможно е да е налична и информация за криптиращата парола). В тази връзка „cloud“ услугите създават още по-съществени проблеми, доколкото повечето, ако не и всички, подобни услуги предлагат криптиране на връзката, а в някои случаи и криптиране на самите данни, след като те бъдат качени на „облака“.
Допълнително съществуват някои сериозни затруднения, ако например в иззетото устройство е интегриран инструмент за унищожаване на информацията чрез втора парола. Освен това е възможно ключът да включва биометрични данни, като в този случай например е задължително на законодателно равнище да се уреди, че събраните от обвиняемия пръстови отпечатъци биха могли да се използват и за декриптирането на данни, необходимите за целите на разследването, при спазването на посочените в закона гаранции и условия. По-спорно от юридическа гледна точка е използването на технически способи за реконструиране на пръстов отпечатък с оглед декриптирането на информация.
В някои държави, например Германия[22] и Нидерландия, се използват и способи, при които в определено комуникационно устройство се вкарва полицейски софтуер, който позволява прихващането на съобщения, преди те да бъдат криптирани (т. нар. malware). Освен този механизъм нидерландското право изрично позволява и използването на уязвимостите на компютърната информационна система.
Италианското законодателство дори разрешава използването от страна на разследващите органи на софтуера, известен с наименованието „троянски кон“, който може да проследява засегнатото лице, да прихваща съобщения посредством установяването на контрол върху микрофона и камерата на устройството[23], както и да позволява получаването на достъп до съхранените на устройството данни. Този софтуер следва да отговаря на определени в законодателството изисквания, като трябва да бъде сертифициран ежегодно, а дейността му може да бъде управлявана единствено от държавни органи, но не и от частни подизпълнители. Производството и използването на софтуера следва да бъдат проследими, като съществуват предложения за целта да се създаде нарочен регистър. „Троянският кон“ не следва да намалява общото равнище на сигурност на устройството и трябва да бъде премахнат след завършването на разрешеното процесуално-следствено действие.
Друг метод, който често се използва във Франция, е т.нар „keylogging“, който представлява интегрирането в устройството на софтуер, записващ всичко, което потребителят пише на клавиатурата (техниката е използвана от ФБР в САЩ още през 1999 г.). Програмата изпраща записаните данни към специфичен сървър, където разследващите органи биха могли да прочетат всичко, което се въвежда в устройството.
Въпреки някои несъмнени достойнства на използването на декриптирането като метод за борба с престъпността, особено когато друга мярка не е налична, редица организации, вкл. Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA) и Европол посочват, че тези мерки следва да се използват внимателно, доколкото създават съществени рискове за неприкосновеността на личните данни и свободата на изразяване съгласно международното и европейското право, както и по отношение на киберсигурността като цяло, тъй като биха могли да създадат условия за съществени злоупотреби.
Техниките за декриптиране често изискват съществено навлизане в личното пространство на засегнатите лица, особено ако бъдат сравнени с конвенционалните инструменти за събиране на доказателства (претърсване и изземване, заповед за предоставяне на данни в цифров формат от страна на доставчиците на услуги и дори прихващането на данни в реално време, доколкото последната мярка би могла да се упражнява единствено при наличието на съдебно разпореждане и обикновено само за предотвратяването или разследването на престъпления с много висока степен на обществена опасност).
За сравнение декриптирането отваря възможности за получаване на достъп до неограничен брой данни (статични или в движение), съхранени на иззетото устройство. Освен това често тези данни съдържат и информация за местоположението и движението на лицето, цялата му комуникация с други лица и др., за чието получаване понякога се изисква спазването на по-стриктни условия от страна на разследващите органи – например когато събирането на подобни данни изначално би било възможно единствено за целите на разследването на определено тежко престъпление, а не за всяко такова. Илюстративно погледнато, един терабайт се равнява на около 86 милиона страници във формат „Word“ или 310 хиляди снимки.
Масовото използване на техники за декриптиране на данни поражда и някои проблеми от гледна точка на юрисдикцията, като например случаят на ФБР от 2015 г., в който разследващите органи използват метод, при който се „хакват“ компютрите на над 1000 потребителя, които влизат в уебсайт, за който е известно, че съдържа детска порнография. Подобна мярка не е ограничена географски и включва всеки посетител на сайта, без значение от неговото местоположение. По този начин се накърнява неприкосновеността на лица в редица държави извън юрисдикцията на съда, издал съдебната заповед, вкл. такива, които по никакъв начин не биха могли да предполагат, че ползват услугите на сайт, в който се извършват противоправни действия. В крайна сметка по това дело федералните съдилища във Вирджиния и Оклахома отсъждат, че използването на подобна мярка по отношение на лица извън юрисдикцията на издалия разпореждането съд не поражда правно действие.
Задължително отслабване на криптиращите механизми – опасност за сигурността в кибернетичното пространство
В практиката широко се застъпва мнението, че задължителното отслабване на криптиращите механизми (т. нар. “backdoors”), не представлява решение, но следва активно да се търси подобряването на сътрудничеството с доставчиците на услуги (вкл. производителите на комуникационни устройства) и по отношение на декриптирането на данни при определени законоустановени предпоставки, като се търси необходимият баланс между личните права и обществения интерес. Ограничаването или отслабването на криптирането би могло да доведе до непоправими последици за равнището на киберсигурността и всички технически мерки, използвани от разследващите органи, следва внимателно да бъдат проучвани и оценявани. Освен това задължителното отслабване би породило и някои практически и правни проблеми, като например дали ще бъде необходимо производителите да предоставят „задна вратичка“ на всички компетентни органи в държавите, където съответният доставчик предлага услуги.
През 2016 г. Европол и ENISA публикуват съвместно становище, в което разглеждат тези проблематични аспекти и се възпротивяват срещу действия, които биха могли да доведат до въвеждането на задължително отслабване на механизмите за криптиране. През същата година в съвместно изявление министрите на вътрешните работи на Франция и Германия Бернар Казньов и Томас де Майзире признават важността на криптирането за обществото, но едновременно настояват, че криптираните съобщения и данни следва да бъдат налични за разследващите органи посредством установяването на високо равнище на сътрудничество с производителите на съответната услуга.
От гледна точка на въздействието на мерките, които органите биха могли да използват за целите на декриптирането на данни, те биха могли да се разделят на две групи: мерки, насочени към конкретно лице или лица, и мерки, които потенциално биха могли да засегнат неопределен брой лица. Вторият вид мерки е силно непрепоръчителен, доколкото би могъл всеобщо да намали равнището на киберсигурност и да уязви сериозно криптиращите механизми. Това може да породи редица вредни последици с оглед защитата на основните права на човека и в частност – защитата на личните данни и неприкосновеността на съобщенията. Освен това въвеждането на генерални ограничения за компаниите да използват криптиране в своите продукти би могло да се отрази негативно на правото на свободна стопанска инициатива в рамките на свободния вътрешния пазар[24].
Действия на европейско равнище
Понастоящем не съществува международен или европейски инструмент, който да урежда използването на технологии за декриптиране в контекста на наказателното правосъдие. През април 2015 г. предизвикателствата, свързани с криптирането, са включени като съществена част от европейския дневен ред по сигурността, а Европол посочва, че държавите членки срещат в работното си ежедневие редица проблеми от подобно естество. За първи път темата за криптирането е разгледана от министрите на правосъдието на държавите членки по време на Словашкото председателство на Съвета на Европейския съюз, като през декември 2016 г. министрите възлагат на Комисията да проучи проблема с ролята на криптирането в наказателния процес и да работи по възможни решения на европейско равнище.
Законодателни действия
Потенциална законодателна инициатива, посветена на използването на техники за декриптиране от страна на разследващите органи на държавите членки, би имала за свое правно основание: споделената компетентност на Съюза в пространството на свобода, сигурност и правосъдие с оглед трансграничния характер на престъпленията, за които компетентните органи използват подобни техники (чл. 82 до 89 ДФЕС) (освен това често съответната криптирана информация се намира физически на територията на друга държава), както и компетентността на ЕС в областта на защитата на личните данни и неприкосновеността на съобщенията (чл. 16, пар. 1 ДФЕС и чл. 7, 8 и 11 от Хартата на основните права на ЕС).
Например въз основа на чл. 82, пар. 2, б. „а“ ДФЕС биха могли да се създадат минимални стандарти относно допустимостта на доказателства, събрани в рамките на наказателно производство, когато данните се намират на сървър в друга държава членка и разследващите органи използват техники за декриптиране, за да ги достъпят. Освен това съобразно чл. 87, пар. 2, б. „в“ ДФЕС Съюзът би могъл да приеме правила относно обичайните разследващи техники във връзка с разкриването на тежки форми на организирана престъпност и не може да съществува спор, че техниките по декриптирането представляват именно такава мярка.
Законодателни инициативи от подобен тип следва да бъдат в съответствие с Хартата на основните права и с общите правила за защита на данните. По-специално в съображение 73 от GDPR се посочва, че „ограниченията на защитата на данните биха могли да бъдат налагани от държавите членки, ако са необходими и пропорционални за целите на гарантирането на обществената сигурност в демократично общество, вкл. за целите на предотвратяването, разследването и преследването на престъпления или изпълнението на наказания“.
Практически мерки
През 2017 г. Комисията започва експертни обсъждания по темата, като са разгледани както техническите, така и правните аспекти. В обсъждането вземат участие експерти от Европол, Евроюст, Европейската съдебна мрежа по въпросите на киберпрестъпността (EJCN), Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA), Агенцията на Европейския съюз за основните права (FRA), разследващите органи на държавите членки, неправителствени организации и представители на академичната общност.
В резултат на дискусиите, вкл. и по време на няколко семинара с държавите членки, и в допълнение към законодателните предложения за подобряването на трансграничния достъп до електронни доказателства[25], Комисията предлага редица технически мерки в подкрепа на разследващите и съдебните органи, когато те се сблъскват с използването на криптиране в рамките на наказателното производство.
В зависимост от начина, по който престъпниците използват криптиращите механизми, разследващите и съдебните органи биха могли да възстановят част от информацията. Някои държави членки са създали национални служби с експертен опит за справяне с предизвикателствата, свързани с криптирането, но по-голямата част от държавите не разполагат с необходимото равнище на експертиза и технически ресурси.
Поради тази причина Комисията ще продължава активно да подпомага Европол с цел развитието на способностите на агенцията за целите на декриптирането на данни в рамките на наказателния процес. При изготвянето на бюджета на ЕС за 2018 г., Комисията предлага за Европол общо 86 допълнителни длъжности, свързани със сигурността (19 повече в сравнение с бюджета за 2017 г.), по-специално с цел да се укрепи Европейският център за борба с киберпрестъпността.
В подкрепа на разследващите и съдебните органи на национално равнище се изгражда мрежа от експертни точки за контакт, които работят в сферата на киберпрестъпността. По този начин се гарантира, че придобитият вече опит ще бъде споделян между държавите членки и ще се спомогне за по-ефективния отговор срещу предизвикателствата на криптирането. Държавите членки се насърчават да използват финансиране по националните програми в рамките на програмата по направление „полиция“ на фонд „Вътрешна сигурност“ за създаване, разширяване или разработване на национални експертни точки. На европейско равнище Комисията ще помага на Европол да изпълнява функциите на мрежови център за улесняване на сътрудничеството между тези националните точки за контакт.
Органите в държавите членки следва да разполагат с набор от алтернативни техники за разследване, за да се улеснят разработването и използването на мерки за получаване на необходимата информация, криптирана от извършителите на престъпни деяния. Мрежата от експертни точки следва да допринесе за усъвършенстването на този набор от техники, а Европейският център за борба с киберпрестъпността (EC3) към Европол е звеното, което по най-ефективен начин може да създаде и да поддържа хранилище с информация за тези техники и инструменти[26]. Следва дебело да се подчертае, че няма да бъдат разглеждани мерки, които биха могли да отслабят криптирането или да засегнат неопределен брой хора.
Комисията организира програми за обучение на разследващите и съдебните органи, които следва да гарантират, че компетентните служители са по-добре подготвени за процеса по получаването на необходимата криптирана информация. Предоставени са и допълнителни средства в рамките на годишната работна програма за 2018 г. на направление „полиция“ на фонд „Вътрешна сигурност“. Комисията също така подкрепя и провеждането на обучения от страна на Агенцията на Европейския съюз за обучение в областта на разследването (CEPOL).
Освен това Комисията в сътрудничество с Европейския център за борба с киберпрестъпността (EC3) към Европол, Европейската съдебна мрежа за борба с киберпрестъпността (EJCN) и Евроюст провежда постоянен мониторинг на техниките за криптиране, засиленото им използване и отражението им върху наказателните разследвания.
Автор: Богдан Млъчков
[1] Чл. 32, пар, б. „а“ GDPR: “Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно: псевдонимизация и криптиране на личните данни.”
[2] Според статистика на американското Федерално бюро за разследвания (ФБР) около 50 процента от информацията в мобилни телефони, иззети в рамките на наказателния процес, не може да бъде използвана поради наличието на криптиращи механизми.
[3] Доклад на IACP от 2015 – Данни, неприкосновеност и обществена сигурност. Перспективите пред разследващите органи с оглед предизвикателствата, произтичащи от събирането на електронни доказателства.
[4] В отговор „Епъл“ публикува отворено писмо до клиентите на компанията, в което изпълнителният директор Тим Кук описва действията на ФБР като „безпрецедентна стъпка, която застрашава сигурността на нашите клиенти“, като добавя: „правителството твърди, че този софтуер ще може да бъде използван само веднъж и само на един телефон. Но това просто не е вярно. Веднъж създадена, тази технология ще може да бъде използвана отново и отново върху произволен брой устройства.“
[5] Получена е сериозна подкрепа от високопоставени лица от компетентните разследващи органи от държави членки на ЕС (Франция, Обединеното кралство и Испания), които дори публикуват статия в „Ню Йорк Таймс“ със заглавие: „Когато криптирането на телефони възпрепятства правосъдието“. В статията се посочва, че само за периода октомври 2014 – юни 2015, въпреки издадените съдебни разпореждания, данните, съхраняващи се на 74 айфона, са били невъзможни за достъпване.
[6] Следва да се прави разлика между мерките, които разследващите и съдебните органи биха могли да прилагат с оглед предотвратяването, разследването и разкриването на престъпления, и мерките в контекста на защитата на националната сигурност, вкл. дейностите, които се извършват от службите за сигурност. Последните не попадат в обхвата на компетентността на Европейския съюз съгласно чл. 4, пар. 2 от Договора за Европейския съюз. В голям брой държави законодателните мерки в областта на използването на техники за декриптиране и прихващане на съобщения се използват както от разследващите органи, така и от агенциите за национална сигурност и разузнавателните агенции. В определени случаи обаче се оказва, че службите за сигурност разполага с по-широк набор от механизми, както показват и разкритията на бившия служител на американската агенция за национална сигурност Едуард Сноудън.
[7] Център за стратегически и международни изследвания (CSIS), „Ефектът на криптирането за законосъобразния достъп до комуникационни данни“
[8] Например по н. о. х. д. № 8606/2015 г. (Присъда № 18 от 22.01.2016 г. на РС – Пловдив) подсъдимият не се е възползвал от това свое право и е съдействал на служителите от МВР, като е предоставил паролата си. Допълнително е посочил, че въвеждането на грешна парола два или три пъти е щяло да доведе до автоматичното унищожаване на данните. Подобен е случаят и по н. о. х. д. № 273/2013 г. (Присъда № 60 от 4.11.2014 г. на РС – Лом).
[9] Любопитен паралел може да се направи между криптираните данни, които се съхраняват в компютърна информационна система в помещението, което е предмет на претърсване, и вещи, които се съхраняват заключени в друга вещ вътре в съответното помещение (напр. документи в сейф или куфар). Доколкото тези вещи несъмнено влизат в обхвата на претърсването (и изземването) без наличието на необходимост от допълнително съдебно разпореждане, то същото разсъждение при всички положения следва да бъде относимо спрямо криптираните данни.
[10] Подобна е ситуацията в Белгия, а извън Европейския съюз – например в Израел.
[11] Правото на обвиняемия за отказ от предоставяне на обяснения не е включено изрично в разпоредбата на чл. 6 ЕКПЧ (право на справедлив процес), но Европейският съд за правата на човека я тълкува по начин, съгласно който този принцип имплицитно се включва в нея (вж. решенията по делата „Funke v. France, §44; O’Halloran and Francis v. the United Kingdom, §45; Saunders v. the United Kingdom, §60).
[12] Например Белгия е въвела в законодателството си (Закон за електронните съобщения) задължение за доставчиците на услуги да предоставят данните, изискани по реда на наказателнопроцесуалното право, в четяем формат.
[13] http://www.europarl.europa.eu/RegData/etudes/STUD/2017/583137/IPOL_STU(2017)583137_EN.pdf;
[14] https://dejure.org/gesetze/BKAG/20k.html;
[15] IMEI (International Mobile Station Equipment Identity) е уникален номер, чрез който се идентифицира всеки мобилен телефон.
[16] https://dejure.org/gesetze/StPO/100a.html;
[17] От страна на нидерландския неправителствен сектор са изразени някои критики, според които списъкът от престъпления е твърде обширен и включва редица престъпни състави с прекалено ниска обществена опасност, които не оправдават използването на техники за декриптиране, позволяващи съществено навлизане в личното пространство на засегнатите лица. Подобна е ситуацията и в Полша.
[18] https://www.legislation.gov.uk/ukpga/2016/25/contents;
[19] Съгласно закона компетентни органи са полицейските служители; служителите на националната агенция за борба с престъпността, които работят съвместно с полицията; имиграционните служители; служителите от данъчната администрация; определени митнически служители.
[20] Например американският съюз за граждански свободи посочва, че американските власти следва да съобщават за тези слабости на системите, вместо единствено да ги експлоатират за целите на наказателното производство, тъй като в противен случай създават мащабен риск за сигурността на гражданите и обществото като цяло. Представители на академичната общност настояват да се въведат изисквания, съгласно които разследващите органи да бъдат задължени да докладват за наличието на подобни уязвимости. Подобно задължение е въведено в законодателството на Нидерландия.
[21] Цифровата криминалистика се приема за клон на криминалистика, който има за предмет възстановяването, изследването и разкриването на данни в цифров формат. Терминът „цифрова криминалистика“ първоначално е използван като еквивалент на компютърна криминалистика, но понастоящем обхваща проучването и анализа на всякакви устройство, които позволяват съхраняването на електронни данни.
[22] През 2017 г. в Германия като част от Стратегията за киберсигурност е основана Централна служба относно информационните технологии в сферата на сигурността (ZITiS), която следва да подпомага разследващите органи с експертиза в областта на цифровите технологии. Целта на Службата е проучването и разработването на различни техники, като едновременно тя провежда обучения за компетентните органи с цел подобряването на уменията им при използването на приложимия хардуер и софтуер.
[23] През 2011 г. немските разследващи органи са силно критикувани за използването на софтуер с подобни функционалности, тъй като масово се споделя становището, че техника от подобно естество не е законосъобразна.
[24] Подобни ограничения биха накарали потребителите да се обърнат към производители на комуникационни устройства и приложения с по-неясен произход, което също би могло да се отрази отрицателно на общото равнище на киберсигурност в Европейския съюз, вкл. по отношение на поверителността на информацията.
[25] На 17 април 2018 г. Комисията публикува предложения за Регламент относно европейските заповеди за предоставяне и запазване на електронни доказателства по наказателноправни въпроси и Директива относно установяването на хармонизирани правила за определянето на законен представител за целите на събирането на доказателства в наказателния процес, които целят подобряването на трансграничния достъп до електронни доказателства от страна на компетентните органи на държавите членки. Директивата ще установи правила за определянето на законен представител на доставчиците на услуги на територията на Съюза, а Регламентът ще създаде правен режим, съгласно който разследващите и съдебните органи на държава членка ще могат да изпращат заповеди за предоставяне и запазване на данни директно до доставчика на услуги.
[26] Някои от тях вече бяха споменати по-горе: задължение за предоставяне на парола или декриптиращ ключ, директен достъп до устройство с цел придобиване на необходимите данни, използване на съществуващи слабости в криптиращия механизъм, задължение за доставчика на услуги да предостави съхранените при него данни в цифров формат и др.
Подобни статии
КРИТИКА НА ТЪЛКУВАТЕЛНО РЕШЕНИЕ № 4 ОТ 12.03.2016 на ОСНК на ВКС. НЕДОПУСТИМОСТ НА ГРАЖДАНСКИ ИСК В НАКАЗАТЕЛНИЯ ПРОЦЕС
За процесуалният статут на ревизионните актове, издадени по реда на ДОПК в наказателния процес
Достъп на компетентните органи на трета държава до данни, които се съхраняват на територията на Европейския съюз – съответствие с разпоредбите за защита на личните данни на европейско равнище (делото „Microsoft (Ireland) пред Върховния съд на САЩ”)
За правото на справедлив съдебен процес
CLOUD Act, концепцията за юрисдикцията и достъпът до данни
