„Państwo nie powinno karmić big techów danymi swoich obywatelek i obywateli” – stwierdziła Fundacja Panoptykon i we współpracy z Fundacją „Internet. Czas działać!” wysłała do Ministerstwa Cyfryzacji petycję w sprawie skryptów śledzących na stronach e-administracji. „Podejmiemy sprawę” – odpowiedział na platformie X minister i na kilka miesięcy zamilkł. Problem dotyczy nas wszystkich, przed zapoznaniem się z oficjalną odpowiedzią MC, sprawdźmy więc, o co chodzi. Podobno lepiej raz zobaczyć, niż sto razy usłyszeć, dlatego weźmy na tapet kilka przykładów.
Przypadek 1. Dlaczego Avast nie lubi CEIDG
Sytuacja, jakich wiele – ktoś chciał się czegoś dowiedzieć o konkretnej firmie, otworzył więc stronę Centralnej Ewidencji i Informacji o Działalności Gospodarczej mieszczącą się pod adresem ceidg.gov.pl, a że miał na komputerze Avasta, to wyświetlił mu się komunikat o neutralizacji zagrożenia, jakim miało być połączenie ze stroną rail-publisher.app.inteliwi.se. Skonsternowany użytkownik zrobił zrzut ekranu i podzielił się nim na Mastodonie.
Jeśli używaliście kiedykolwiek Avasta, to pewnie wiecie, że jedną z jego bolączek jest szafowanie false positive’ami – nie inaczej było i tym razem. Podejrzewając, że mamy tu do czynienia nie z infekcją, tylko skryptem śledzącym pewnego dostawcy usług opartych na AI, skorzystaliśmy z wtyczki Rentgen, która pozwala sprawdzić, jakim domenom i subdomenom badana strona udostępnia dane dotyczące odwiedzających ją osób. Wtyczka, opracowana przez Fundację „Internet. Czas działać!”, ocenia istotność przesyłanych treści i zaznacza rekordy, które potencjalnie mogą stanowić dane osobowe. Wyniki prześwietlenia zamieszczamy poniżej:
Informacje o użytkownikach są przekazywane pięciu podmiotom: amazonaws.com, googleapis.com, gstatic.com, inteliwi.se oraz inteliwise.com. Pierwsza domena, jak łatwo się domyślić, należy do Amazona, dwie kolejne do Google’a. Nie jest wiedzą tajemną, że są to firmy amerykańskie. Pozostałymi domenami posługuje się InteliWISE – polska spółka przejęta dwa lata temu przez fińskie przedsiębiorstwo Efecte. Czy aby na pewno powinny do nich trafiać dane użytkowników strony w domenie gov.pl, w dodatku nadzorowanej przez Ministerstwo Rozwoju i Technologii? Dostępna na stronie polityka prywatności zawiera informację, że „każdy użytkownik może zindywidualizować swoje ustawienia dotyczące cookies w przeglądarce. Brak zmiany tych ustawień oznacza akceptację dla stosowanych cookies”. Zapis ten jest niezgodny zarówno z Prawem telekomunikacyjnym, RODO, jak i z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej.
Przypadek 2: Przyczajona reCAPTCHA, ukryty problem
Zacznijmy od spostrzeżenia, którym jakiś czas temu podzielił się w social mediach Tomasz Zieliński, znany jako autor bloga Informatyk Zakładowy:
Zauważyłem zmiany w ministerialnej wyszukiwarce raportów Systemu Losowego Przydziału Spraw.
PLUSY:
+ brak reCAPTCHY
MINUSY:
– nie działa
Teraz po kolei. Ministerstwo Sprawiedliwości sprawuje pieczę nad Systemem Losowego Przydziału Spraw, który – zgodnie ze swoją nazwą – od 2018 r. przydziela wpływające do sądów sprawy konkretnym sędziom i referendarzom. Raporty z losowań są jawne i dostępne do pobrania za pośrednictwem sądowych portali informacyjnych oraz bezpośrednio ze strony ministerstwa. Do niedawna wszystkie korzystały z mechanizmu reCAPTCHA firmy Google. Dlaczego? „Ze względu na konieczność zapewnienia dostępności wyszukiwarki dla szerokiego grona odbiorców, przy jednoczesnym wymogu wydatkowania środków w sposób celowy i oszczędny, system nie przewiduje możliwości masowego pobierania raportów z losowań SLPS” – wyjaśniło ministerstwo w odpowiedzi na zapytanie Zielińskiego. Trochę to na bakier z transparentnością (bez dostępu do większej liczby raportów trudno wychwycić ewentualne nieprawidłowości w działaniu systemu), skupmy się jednak na obecności skryptu zagranicznej korporacji na stronach polskich sądów.
Dlaczego wybrano akurat takie rozwiązanie? Według resortu sprawiedliwości – „ze względu na doświadczenie wykonawcy, ugruntowaną pozycję rynkową i koszty”, choć nie jest wykluczone, że w przyszłości zostanie ono zastąpione „przez usługę własną MS opartą o analizę ruchu sieciowego, tożsamą z używaną obecnie na portalu ekw.ms.gov.pl”. Innymi słowy, istnieje ministerialny odpowiednik usługi Google’a, sprzężony już z wyszukiwarką ksiąg wieczystych, ale pobieranie raportów SLSP uzależniono od usługi obcej firmy, która gromadzi dane użytkowników m.in. w celach reklamowych.
Możecie powiedzieć, że nie ma o co kruszyć kopii, bo przecież reCAPTCHA zniknęła – tyle że nie do końca tak jest. Jak słusznie zauważył Informatyk Zakładowy, usunięto ją z Portalu Informacyjnego Sądów Powszechnych działającego pod adresem portal.wroclaw.sa.gov.pl (co mogło zresztą spowodować pewne problemy: „na wyniki wyszukiwania czekamy często ponad minutę, a w połowie przypadków wyszukiwanie całkiem zawodzi i widzimy nieprawdziwy komunikat o braku sprawy lub losowania”). Na stronie samego ministerstwa reCAPTCHA została, co widać na poniższym zrzucie ekranu:
Jakby tego było mało, część danych (w tym referer, czyli adres odwiedzanej strony) trafia do trzech domen naraz: www.google.com, gstatic.com i googletagmanager.com. Ta ostatnia, jak można się domyślić, przynależy do systemu zarządzania tagami, który ułatwia dodawanie i edytowanie kodów śledzenia. Najprościej mówiąc, ministerstwo dokarmia naszymi danymi firmę, która zarabia właśnie na zbieraniu i analizowaniu danych o ludziach. Jeśli więc w innej karcie przeglądarki będziemy akurat zalogowani np. do Gmaila, to amerykańska korporacja bez problemu powiąże z nami naszą aktywność na stronie MS.
Na koniec warto wspomnieć, że Tomasz Zieliński umie przetwarzać duże ilości danych. Gdy w reakcji na wniosek o dostęp do informacji publicznej otrzymał ponad 8 mln plików PDF z raportami SLPS, przygotował stronę, która pozwala każdemu je przeszukiwać – szybko i bez zbędnych utrudnień. Czy to rozwiązuje problem? Tylko częściowo, bo pliki te nie mają podpisu cyfrowego, teoretycznie więc mogą zostać zmodyfikowane, co zauważa sam autor strony, pisząc o potrzebie istnienia „weryfikowalnego źródła danych w publicznym serwisie internetowym”. Na domiar złego ministerstwo udostępniało raporty z losowań spraw tylko do kwietnia, a potem – mimo wciąż ponawianych wniosków – zaprzestało, sugerując Zielińskiemu, by pobierał je samodzielnie (choć wskazana strona na to nie pozwala).
Przypadek 3: Google czuwa nad wyborami
Pora na stronę Ministerstwa Spraw Zagranicznych, która nie tak dawno pozwalała zarejestrować się na wybory do Parlamentu Europejskiego osobom przebywającym za granicą, a przy okazji pobierała z serwerów Google’a czcionki i skrypty. Z czcionkami można było się pożegnać bez utraty funkcjonalności, ale zablokowanie skryptów uniemożliwiało rejestrację – zauważył Michał „rysiek” Woźniak, działający na co dzień w obszarze praw cyfrowych i bezpieczeństwa informacji.
W pierwszym kroku rejestracji ministerstwo serwowało wprawdzie użytkownikom „Informację dotyczącą przetwarzania danych osobowych”, ale nie wspominało w niej o współpracy z amerykańską korporacją. Wystarczyło jednak przeanalizować stronę za pomocą wtyczki Rentgen, by się przekonać, że dostarczała ona tzw. referery dwóm domenom: gstatic.com i www.google.com. Pierwsza odnosiła się do czcionek, druga okazała się powiązana z dobrze wszystkim znaną usługą reCAPTCHA.
Czy aby na pewno, chcąc skorzystać z ustawowych praw obywatelskich, powinniśmy się zgadzać na przesyłanie naszych danych za ocean? Petycja, którą złożyły fundacje Panoptykon i „Internet. Czas działać!”, zwraca uwagę na wątpliwą legalność takich procedur. Czytamy w niej, że od ponad roku „obowiązuje co prawda porozumienie EU-US Data Privacy Framework, które formalnie daje podstawy do przekazywania danych do USA. Jednak należy pamiętać, że dwa poprzednie rozwiązania (Safe Harbour i Privacy Shield) zostały uznane za niezgodne z Kartą praw podstawowych, a względem obecnej podstawy transferów danych również podnoszone są wątpliwości”. Aktualne porozumienie może więc trafić do kosza, zwłaszcza że na forum europejskim nie od dziś się mówi o suwerenności cyfrowej – także w kontekście uniezależnienia usług publicznych od największych korporacji powstałych poza UE.
Przypadek 4: Uzależniająca strona o uzależnieniach
W materiałach przygotowanych przez obie fundacje oraz artykule Michała „ryśka” Woźniaka przywoływana jest m.in. strona uzaleznieniabehawioralne.pl, stworzona przez Krajowe Centrum Przeciwdziałania Uzależnieniom pod egidą Ministerstwa Zdrowia. Ta – w odróżnieniu od opisywanej wcześniej – nie ukrywa swoich powiązań z Google’em i w polityce prywatności wprost powiadamia o możliwości wyświetlania reklam dopasowanych do sposobu, w jaki korzystamy z serwisu. Gigant z Mountain View ma otrzymywać „informację o ścieżce nawigacji Użytkownika lub czasie pozostawania na danej stronie”. I rzeczywiście – prześwietlenie Rentgenem pokazuje, że witryna komunikuje się z domeną googletagmanager.com, a przy okazji też z gstatic.com i googleapis.com, bo z jakiegoś powodu musi pobierać czcionki akurat z serwerów Google’a.
Powstaje pytanie, czy aby na pewno strona zarządzana przez instytucję publiczną, kierowana do osób w kryzysie, powinna wyświetlać reklamy oparte na ich aktywności. Uzależnienie od hazardu, kompulsywne zachowania seksualne, zaburzenia odżywiania się – to tylko niektóre problemy, z którymi mogą się mierzyć użytkownicy tej strony. Odwiedzając ją, mają prawo oczekiwać poufności. Przekazywanie ich historii przeglądania zewnętrznym podmiotom nie spełnia tego warunku. Jak nie bez racji zauważają sygnatariusze petycji, państwo nie powinno kierować się tą samą logiką, co właściciele prywatnych witryn, którzy zbierają dane, chcąc usprawnić realizację swoich celów biznesowych.
To nie wszystko, bo uzaleznieniabehawioralne.pl korzystają z CDN-a unpkg.com. Chodzi o sieć dostarczania treści (ang. content delivery network), która obejmuje wszystkie zasoby publikowane w rejestrze menedżera pakietów npm. To oznacza, że niektóre z osadzonych na stronie skryptów nie pochodzą od Google’a, ale i tak pobierane są z zagranicznych serwerów, nad którymi polski podmiot nie ma kontroli. Jest to problematyczne nie tylko z uwagi na wspomnianą wcześniej suwerenność cyfrową – w grę wchodzą także prywatność i bezpieczeństwo.
Otwierając stronę, która używa zewnętrznych zasobów, użytkownik (zwykle nie zdając sobie z tego sprawy) przekazuje CDN-om informacje, które według RODO w określonych przypadkach mogą stanowić dane osobowe. Niedawny wyrok Trybunału Sprawiedliwości UE zakwalifikował w ten sposób nawet identyfikator służący do personalizacji reklam. Jeśli na domiar złego ktoś do pobieranego skryptu dołączy złośliwy kod (a historia zna sporo takich przypadków), to w ręce atakujących może się dostać o wiele więcej danych, również wrażliwych, bo strony instytucji publicznych przetwarzają je dosyć często. Mówimy tu – po pierwsze – o tym, że operatorzy CDN-ów hostujących projekty programistyczne nie sprawują dostatecznej kontroli nad tym, kto i co udostępnia za ich pośrednictwem. Po drugie, nie można wykluczyć włamań do ich infrastruktury, skutkujących podmianą oryginalnych bibliotek na szkodliwe.
Na koniec warto wspomnieć o wydajności i niezawodności. Zasoby pobierane z zewnętrznych serwerów, zwłaszcza w znacznym stopniu od nas oddalonych, spowalniają ładowanie strony, a przesyłanie dodatkowych danych nie pozostaje bez wpływu na tzw. ślad węglowy. Z kolei awaria CDN-ów dostarczających skrypty niezbędne do działania danego serwisu, może spowodować jego unieruchomienie, co w przypadku administracji publicznej nie powinno się zdarzać.
W poszukiwaniu rozwiązania
Podaliśmy cztery przykłady, ale bez problemu znaleźlibyśmy więcej. Petycja sporządzona przez fundacje Panoptykon i „Internet. Czas działać!” apeluje do ministra cyfryzacji o:
1) zbadanie stosowanych przez podmioty administracji publicznej praktyk w zakresie wykorzystywania technologii śledzących na ich stronach internetowych;
2) przygotowanie – we współpracy z Urzędem Komunikacji Elektronicznej oraz Urzędem Ochrony Danych Osobowych – wytycznych wskazujących dobre praktyki w tym zakresie.
Jak już wspomnieliśmy, Krzysztof Gawkowski zareagował błyskawicznie – tyle że w social mediach. Podziękował za przesłaną petycję i obiecał zajęcie się sprawą.
Oficjalna odpowiedź nadeszła dopiero po kilku miesiącach. Jak wynika z informacji podanych przez Panoptykon, Ministerstwo Cyfryzacji po wewnętrznej analizie doszło do wniosku, że na stronach rządowych i samorządowych (w domenach gov.pl i samorzad.gov.pl) nie należy osadzać skryptów Google Analytics. Pojawiła się zapowiedź zmiany narzędzia analitycznego na działające w zgodzie z RODO otwartoźródłowe Matomo. Nie wiadomo niestety, kiedy to nastąpi – według MC „prace nad tym rozwiązaniem zostały rozpoczęte w ubiegłym roku”, czyli jeszcze przed wysłaniem petycji. Resort nie wykonał audytu innych stron administracji publicznej i nie wypracował dotąd żadnych wytycznych w zakresie korzystania z technologii śledzących. W bliżej nieokreślonej przyszłości zamierza jednak zorganizować „robocze spotkanie konsultacyjne” z udziałem zainteresowanych podmiotów. Miejmy nadzieję, że przyniesie ono wymierne efekty.
Korzystanie z zasobów zewnętrznych – skryptów, czcionek, chatbotów, narzędzi analitycznych – jest wśród właścicieli stron zjawiskiem powszechnym, ale w przypadku administracji publicznej raczej niepożądanym. Odwiedzając sygnowane przez państwo serwisy, mamy prawo oczekiwać, że żadne z dotyczących nas danych nie będą przekazywane podmiotom trzecim. Niektórzy z komentujących działania Panoptykonu twierdzą, że to nierealne. Pouczają, że nie da się stworzyć funkcjonalnej strony bez „elementów budulcowych” dostarczanych przez korporacje zza oceanu. Podjęliśmy rękawicę i na własnym przykładzie pokazujemy, że i owszem – da się.
Czy było z tym dużo pracy? Było. Czy przez to mamy słabsze wyniki sprzedaży? Być może. Czy tak jest lepiej? Zdecydowanie.
Komentarze
„Podjęliśmy rękawicę i na własnym przykładzie pokazujemy, że i owszem – da się”
OK, tylko Z3S to strona zarządzana przez Adama + mały zespół.
W administracji, to nierealne, takie „zwinne” podejście do rozwiązywania problemu.
Bo, najpierw ten problem trzeba widzieć, a potem chcieć go rozwiązań.
W administracji nikomu na tym nie zależy. Większość urzędników chce spokojnie odsiedzieć dniówkę i zapomnieć o pracy. To nie korpo ani small business, gdzie często myśli się o pracy przez całą dobę.
Nie, żebym krytykował sens tego artykułu. Jasne, że ma sens. Ale zmiany na lepsze jeśli będą, to bardzo powolne, niemrawe. W administracji, wszyscy mają czas…
Trzeba pisać i naciskać. Wysłać list do adresata i publicznie o tym pisać.
Ja sam korzystam z elektronicznych zgłoszeń nieprawidłowości w moim mieście. I gdy wyślę zgłoszenie mailem, to szybko reagują. Oj szybko !!
No OK, to dobrze że tak robisz, obywatelska postawa zasługuje na chwałę.
Ale ja miałem na myśli tę „większą” administrację, na szczeblu ogólnopolskim, taką co ma wpływ na całość. Tam jest ciężko, sklerotycznie i denerwująco „powolnie.
Wiem co mówię (piszę), bo przez kilka lat służyłem „bardzo wysoko” w strukturze mojej firmy, poznałem „Warszawkę”. Tam naprawdę czas się zatrzymał, czasami miałem wrażenie dejavi, że jest PRL, który pamiętam jako dziecko.
Pochwalam też pisanie emaili i pism, bo to zawsze jest ślad którego urzędnicy nie mogą się wyprzeć, że ktoś interweniował. Jeśli pismo papierowe, to przy składaniu go w urzędzie, prosić w kancelarii ogólnej o kopię z adnotacją że pismo przyjęto dnia tego i tego, plus pieczątki i podpis.
Z emailami, to już prościej, ale ja dla pewności zawsze mam włączone żądanie potwierdzenia otrzymania (nie zawsze adresat „odklikuje”). Kopia emaila go pikuś, warto ją mieć.
Ogólnie, warto pisać emaile i pisma, pilnować urzędników. Ale im wyżej, tym trudniej, warto to wiedzieć, żeby się nie spalić od rozczarowania.
Jakąś metodą na zatęchłą biurokrację są też media.
Jeśli sprawa jest duża, „gruba”, to warto odwiedzić redakcje TVN, Gazety Wyborczej, Polityki. Oni z przyjemnością wysłuchają i jeśli to coś ciekawego, pochylą się nad tym. Mają do tego ludzi, środki, możliwości. Mogą rozgryść temat znacznie lepiej niż zwykły szary obywatel.
To Twój kraj, Twoje życie, Twój czas. Warto nie być obojętnym, warto być sprawczym. Nawet jeśli to „tylko” pismo do urzędu albo zgłoszenie nieprawidłowości do dużych ogólnopolskich mediów.
Problem z gatunku dlaczego rządowe strony pojawiają się w wyszukiwarce google. Rozumiem kwestie skryptów trackingowych, telemetrie i bo js jest z zewnatrz, ale czepiać się captchy google w świecie google dajcie spokój
Zgadzam sie. A zreszta sa wazniejsze problemy niz glupia captcha na stronie…
Może to kwestia stosunku poziomu ryzyka do kosztów, czasu i zasobów potrzebnych do zmiany.
Kolejna publikacja która bazuje na emocjach, proszę się posługiwać profesjonalnymi pojeciami, zagrożenie, ryzyko, koszty itp.
Np. Referer-policy ustawia się w aplikacjach dostepnych z sieci wewnętrznych lub w interfejsach zarządzania tych aplikacji. W aplikacjach które przetwarzają publiczne informacje jest to nadmiarowe.
Żenujący poziom komentarzy pod tym artykułem. Kiedyś czytelnicy tego portalu dbali o prywatność. Efekt reklamy Z3S wśród „przeciętnych obywateli” :)
Żenujący to jest poziom argumentów w tym artykule.
Wskaż które argumenty są „żenujące”. Bardzo chętnie przanalizuję ich „żenadę”.
Myślę że nic nie wskażesz, oprócz tego że napisałeś żenujący, wieśniacki komentarz, nic więcej nie potrafisz. Pewnie dlatego, że cały jesteś żenujący. Powinieneś nosić koszulkę z napisem „Jestem żenującym fiutem” xD
Artykuł sugeruje że ktoś pozwala komuś aby kogoś śledził i narusza to prywatność. Proszę powiedzieć kto kogo śledzi w jaki sposób, w jakim celu i jaki będzie tego skutek.
Otóż we wszystkich wymienionych przypadkach mamy doczynienia z publicznie dostepnymi aplikacjami i funkcjonalnościami które nie wymagają uwierztelnienia użytkownika który z nich korzysta poza tym wszystkie pracują z danymi które nie są wrażliwe. Więc złowrogie google w tym wypadku będzie wiedzieć że nie ty ale twoja „cyfrowa tożsamość” ścisłej mówiąc przeglądarka www (może to być przeglądarka z kafejki) o adresie IP x.y.z w danej chwili szukała czegoś co było pod linkiem https://costam.gov.pl/costam=stefan
Tak to rzeczywiście narusza prywatność Sztrasburg!!!
No to teraz patrz. Jaki link trzeba kliknąć na stronie, żeby wysłać formularz – przykładowo – zgłoszenia wymiany dowodu osobistego? Jakiś POST formularza, lub inne javascriptowe dziwactwo. Jeżeli na stronie jest analityka, to takie kliknięcie również przez nią przejdzie i się w niej zapisze, łącznie z całą historią sesji przeglądarki. W przypadku Googla i Facebooka natychmiast zostanie powiązane z kontem, na które jesteś zalogowany. Czy to nadal są dane publiczne? Na stronach placówek medycznych, czy ubezpieczycieli nie takie rzeczy się klika.
A co w zamian dostajesz? Nic. Google nadal zapełnia Twoją teczkę, natomiast urząd korzystający z analityki dostaje ochłapy danych w rodzaju czterdzieści osób w wieku 20-25 lat z Mazowsza weszło im dzisiaj na stronę i kliknęło formularz.
Proszę sobie usunąć cookie
Tak ci się tylko PiSie wydaje bo jesteś PiSem i zapadłeś na widzenie tunelowe, to taka przypadłość którą zdjagnozowano jako „koło rekonstrukcji sanacji” aka państwo z dykty :)
Chyba budżetówka nie miała podwyżki :)
Które komentarze mają „żenujący poziom”?
No, na pewno twój się do nich zalicza, to oczywiste. A inne?
.
„Kiedyś czytelnicy tego portalu dbali o prywatność”
Gówno wiesz o prywatności jaką stosują czytelnicy.
Piszesz, co ci łepetyna wymyśli i masz radość że możesz zaistnieć…
Czy można prosić Redakcję o utemperowanie tego komentującego?
Z treścią komentarzy zawsze można dyskutować, ale regularnie używane przez „Dużego Psa” argumenty ad personam, coraz bardziej prymitywne, obniżają poziom tej strony. I są zwyczajnie niesmaczne.
Rozumiemy, wiemy i stosujemy. Gdyby na stronie było gdziekolwiek „połącz z Markiem” to zapewniam was, że Marek żadnego referera by nie dostał.
Kontekst jest ważny, najważniejszy, zawsze i wszędzie :]
Poniewaz tzw. „polski” rzad nie ma niczego do powiedzenia o kluczowych sprawach tego kraju. Jest od wykonywania polecen, a nie od myslenia. Dlatego wszystkie kluczowe dane gospodarcze leza na amerykanskich serwerach, wszystkie systemy platnosci naleza do amerykanskich korpow, a urzednicy najwyzszego szczebla obowiazkowo uzywaja produktow Appla czy im sie to podoba czy nie, mimo ze z dekade temu w Polsce byly przygotowywane telefony na wlasnym sprzecie z wbudowanym systemem szyfrowania rozmow (uwalono ich masowa produkcje w ostatnim momencie). A Kowalskie oczywiscie sa karmione medialnym szambem pt. „jestesmy niepodlegli” i politycznym cyrkiem (cyrkiem w sensie doslowym – to jest przedstawienie), ktore to glupawe towarzystwo traktuje powaznie. Panstwo Polskie na ten moment jest tylko na papierze – co pisze w 100% powaznie.
God dag, co się wydarzyło z autorką Agnieszką Wesołowską?
Czy się zjawi na zaufana?
Nawet PKP nie powinno dorabiac z reklam :))