MPS – Ministerstwo Bezpieczeństwa Publicznego Chin i polityka cyber

counterintelligence.pl 2 lat temu

Zajmowaliśmy się już wojskowym i cywilnym obliczem Chińskiego wywiadu w kontekście prowadzonych operacji cyber. Tym razem przyjrzymy się służbie ukierunkowanej na bardziej wewnętrzne działania – Ministerstwie Bezpieczeństwa Publicznego. Organizacja ta powstała w 1949 jako sukcesor Centralnego Departamentu Spraw Społecznych. Funkcjonalnie jego założeniem było zapewnienie ogółu bezpieczeństwa wewnętrznego Chin – od pracy policji, poprzez wywiad wewnętrzny, zwalczanie elementów wywrotowych i przeciwników politycznych, a także ochronę Chińskich elit i budynków rządowych. W przeciwieństwie do Armii Ludowo Wyzwoleńczej i Ministerstwa Bezpieczeństwa Państwowego, MPS ma statutowo policyjno-administracyjny charakter. Nadzoruje ono Policję Ludową i lokalne biura bezpieczeństwa publicznego znajdujące się we wszystkich prowincjach Chin. Ujmując rzecz ściśle, to właśnie te lokalne biura prowadzą zwierzchnictwo nad posterunkami policji. Nie oznacza to jednak, iż działalność MPS jest ograniczona wyłącznie do terytorium Chin. Dalej, pomimo, iż stworzenie MSS sprawiło, iż znaczna większość funkcji wywiadowczych i kontrwywiadowczych została przeniesiona do nowo utworzonej instytucji, to błędem byłoby traktowanie MPS jako instytucji ściśle policyjnej. W praktyce zakres działania i uprawniania przyznane Ministerstwu plasują je bliżej krajowych agencji wywiadowczych charakterystycznych dla państw autorytarnych – tajnej policji której celem jest raczej zwalczanie wrogów politycznych niż egzekwowanie przepisów. o ile chodzi natomiast o operacje zagraniczne, to aby poznać ich genezę musimy cofnąć się do czasów z przed powstania MSS, kiedy w ramach MPS funkcjonowało Biuro Południowych Chin. Instytucja ta zajmowała się wywiadem i prowadzeniem agentów przenikających choćby do CIA czy prowadzących działania w Hong Kongu i Szanghaju. Utworzenie MSS wpłynęło oczywiście na tę funkcję – biuro zostało wchłonięte do struktur nowo utworzonego wywiadu. Można przypuszczać, iż część jego funkcji przejęły dwie nowo utworzone instytucje. Są to Instytut Badań Południa i biuro w Guangdong będące częścią Biura Współpracy Zagranicznej MPS. Nie ma bezpośrednich dowodów świadczących o prowadzonych przez nie operacjach zagranicznych, jednak powiązania biznesowe gdzie Biuro Współpracy Zagranicznej jest współwłaścicielem spółek prowadzących badania biznesowe w Hong Kongu i Macao, czy firmy rodziny Marszałka Ye Jianyinga świadczą, iż nie porzucono zainteresowania zewnętrznymi operacjami. Wprost natomiast przyznano, iż oficerowie uczestniczący w operacji przymusowego sprowadzania do Chin przeciwników politycznych, byli pracownikami MPS.

Jak przystało na tak tak szeroki zakres obowiązków, struktura organizacyjna MPS jest rozbudowana i obejmuję wiele departamentów:

Źródło: https://www.cambridge.org/core/books/abs/chinas-security-state/from-the-social-affairs-department-to-ministry-of-public-security/1254E42B177C97E3917634B9EFA8C075

Jak widzimy jednak funkcje i miejsce w strukturze organizacyjnej Chińskiego wywiadu będą jednak różnić się zdecydowanie od funkcji wywiadu wojskowego PLA i operacji MSS. Jaka więc jest rola MPS w ekosystemie operacji cyber w Chinach? Przede wszystkim ze względu na swoją pozycję w systemie politycznym Chin, ma ono kluczową rolę w kształtowaniu polityki cyberbezpieczeństwa państwa i stosowania technologii informacyjnej na potrzeby zwalczania zagrożeń wewnętrznych. Pomimo, iż teoretycznie Ministerstwo podlega pod Radę Państwa, to w praktyce silne związki personalne sprawiają, iż w praktyce działania MPS są wyznaczane przez Politburo. Spośród ostatnich pięciu kierowników MPS, trzech było bezpośrednio członkami Politburo, a pozostałych dwóch było sekretarzami partii.

Jednym z najbardziej widocznych przejawów wpływu MPS na podejście PRC do cyberbezpieczeństwa jest wprowadzony w 2007 roku MLPS (Multi-Level Protection Scheme). Regulacja ta ustanowiła pięć poziomów klasyfikacji systemów informatycznych uzależnionych od tego jak poważne konsekwencje mogą wynikać z nieautoryzowanego dostępu do nich czy też ich uszkodzenia. I tak pierwszy poziom dotyczy systemów których uszkodzenie może spowodować naruszenie praw osób, osób prawnych i innych organizacji ale nie wywoła negatywnych skutków dla bezpieczeństwa narodowego, porządku publicznego lub interesów publicznych. Najwyższa, piąta, kategoria to natomiast to systemy których naruszenie spowoduje bardzo poważne szkody dla bezpieczeństwa narodowego. Regulacja znacznie ograniczyła możliwość włączenia zagranicznych firm do państwowej infrastruktury krytycznej. Systemy od poziomu trzeciego wzwyż opierały się o krajowe rozwiązania w zakresie kluczowych elementów systemów, a sprzęt stanowiący ich podstawę podlegał testom i certyfikacji przez Chińskie Centrum Obowiązkowej Certyfikacji. Ponieważ poziom trzeci (uszkodzenie systemów może spowodować poważne dla porządku publicznego, interesów publicznych, i bezpieczeństwa narodowego) obejmuje rozwiązania telekomunikacyjne, systemu stosowane w służbie zdrowia, bankowości czy energetyce to zakres objętych systemów może być bardzo szeroki. Dodatkowo, MLPS wymagał aby stosowane rozwiązania kryptograficzne podlegały zgłoszeniu do Państwowego Biura Zarządzania Szyfrowaniem w celu oceny, co wymagałoby ujawnienia szczegółów własności intelektualnej. MLPS niedawno przeszło reformę i po dwuletnich pracach w 2019 w życie wszedł MLPS 2.0. Wraz z reformą, regulacja zyskała jeszcze silniejsze umocowanie legislacyjne – przepisy wymagające od państwa stosowania, a od podlegających podmiotów dostosowania się zostały wpisane do Prawa o Cyberbezpieczeństwie Chińskiej Republiki Ludowej. MLPS 2.0 rozszerzył również swój zakres obowiązywania adekwatnie do technologii, które pojawiły się w międzyczasie. Zawiera więc on zapisy dotyczące Internetu Rzeczy, mobilnego dostępu do Internetu, usług chmurowych, czy systemów kontroli przemysłowej. Warto zwrócić też uwagę na rozszerzenie zakresu podmiotowego. O ile pierwszy MLPS dotyczył systemów kontrolowanych przez rząd, to wersja 2.0 obejmuję już wszystkich operatorów sieciowych. Dla zagranicznych podmiotów regulacja może rodzić poważne konsekwencje w dwóch obszarach. Po pierwsze, wspomniane już procedury kontroli i certyfikacji mogą wymagać dostępu do własności intelektualnej takiej jak kod źródłowy oprogramowania. Po drugie stosowanie się do MLPS 2.0 jest obowiązkowe dla podmiotów, które wpadną w dane kategorię klasyfikacji. W połączeniu z możliwością stosowania grzywien i wzmocnionego nadzoru w przypadku nie dostosowania się do przepisów, daję to MPS bardzo szerokie możliwości kontroli technologii wykrozystywanej na terytorium Chin.

Kolejnym z przejawów wpływu MPS na politykę jest seria regulacji z 2015 roku, która również zmuszała firmy chcące prowadzić interesy w Chinach do wydania kodu źródłowego swoich produktów. Regulacja ta okazał się jednak na tyle szkodliwa dla biznesu i relacji pomiędzy Chinami, a Stanami Zjednoczonymi, iż ostatecznie odstąpiono od niej jeszcze w Kwietniu 2015. Co warte zaznaczenia, krytykami regulacji była nie tylko administracja Baracka Obamy, ale również przedstawiciele Chińskich firm. Sprawę skomentował bowiem Eric Xu, który wówczas pełnił obowiązki prezesa Huawei. Wyraził on sporo sceptycyzmu wobec koncepcji opierania się wyłącznie na lokalnych produktach w zakresie rozwiązań IT. Zauważył, iż dla zapewnienia bezpieczeństwa konieczne jest najnowszych technologiach, gdyż te dostępne wtedy od producentów w Chinach można porównać do prac uczniów podstawówki, którzy mieli by stawać w szranki ze studentami uniwersytetów. Stanowisko to jest zdecydowanie warte odnotowania, biorąc pod uwagę w jak ostrzej kontrze stało ono do protekcjonalnej polityki wyłączania z rynku zagranicznych podmiotów.

Również regulacje wprowadzone w 2018 przez MPS na mocy Prawa o Policji Ludowej i Prawa o Cyberbezpieczeństwie przyczyniły się do zwiększenia uprawnień w zakresie kontroli podmiotów działających w branży technologicznej. Na ich mocy policja może dokonywać inspekcji dostawców usług internetowych w celu poszukiwaniu treści mogących naruszać prawo i zagrażać porządkowi publicznemu, a także dokonywać specjalnych przeszukań w „okresach poważnych zadań przedsięwzięć związanych z ochroną sieci”. Policja w trakcie takich kontroli może wchodzić do pomieszczeń w których przetwarzane są dane, kopiować i przeglądać dokumentację, sprawdzać działanie mechanizmów zabezpieczenia sieci i żądać wyjaśnień co do działania systemów. Co prawda Policja Ludowa już na mocy wcześniej obowiązujących przepisów mogła dokonywać kontroli bezpieczeństwa i systemów zabezpieczeń, ale kodyfikacja tych uprawnień w odniesieniu do kwestii związanych z bezpieczeństwem sieci pokazuje kierunek MPS w zakresie kontroli sektora na terenie Chin. Warto bowiem nadmienić, iż Ministerstwo dzieli odpowiedzialność za infrastrukturę krytyczną z Administracją Cyberprzestrzeni Chin. Wprowadzanie regulacji rozszerzających uprawnienia jet więc często elementem biurokratycznych sporów.

W kontekście administracji cyberprzestrzeni i organizacji MPS, interesująca jest także działalność biura jedenastego znanego jako Publiczny Nadzór Bezpieczeństwa Sieci Informacyjnych. Jego zaangażowanie jest widoczne choćby przez uczestnictwo w ISOC – Internet Society of China. ISOC to organizacja pozarządowa (choć nazywana też quasi-rządową) zrzeszająca podmioty prywatne, instytucje badawcze, i edukacyjne, a jej celem jest praca nad maksymalnie efektywnym wykorzystaniem Internetu dla celów ekonomicznych i społecznych. Jednym z widocznych przejawów pracy ISOC było choćby Publiczne Przyrzeczenie Samodyscypliny Chińskiego Sektora Internetowego – krytykowane na gruncie praw człowieka porozumienie pomiędzy sektorem prywatnym, a Chińskim rządem na mocy którego firmy zajmujące się usługami sieciowymi miały identyfikować i nie pozwolić na rozpowszechnianie treści zagrażających bezpieczeństwu państwa i stabilności społecznej. W ISOC Ministerstwo pełni rolę wiodącej organizacji – faktycznie najbardziej istotnego podmiotu pomimo teoretycznej równości członków. Pozycja ta umożliwia oddziaływanie na kształt Chińskiego rynku technologicznego również poprzez pozornie konsensualne fora regulacji.

Ze względu na swoje miejsce w strukturze organizacyjnej Chińskiego rządu MPS pełni naturalnie zupełnie inną rolę niż MSS czy PLA – jego działania nakierowane są głównie na zarządzanie zagrożeniami wewnątrz Chin i ich zwalczaniem. W przeciwieństwie jednak do państw demokratycznych gdzie funkcje wywiadu i operacyjnej działalności wywiadowczej są rozdzielone i uwarunkowania prawne chronią obywateli choćby przed nieograniczonym wykorzystaniem materiałów operacyjnych w postępowaniach karnych, w Chinach granica ta jest dużo mniej wyraźna. Jak pokazuje przykład operacji Fox Hunt, zwalczanie opozycji politycznej i zagrożeń dla rządu bierze zdecydowany priorytet nad strukturą organizacyjną chroniącą prawo do uczciwego procesu. Podobnie więc w przypadku administracji cyberprzestrzeni, regulacje takie jak MLPS czy uczestnictwo w ISOC ma instrumentalny charakter, umożliwiający dostosowywanie uwarunkowań przemysłu IT do potrzeb politycznych CCP. W ten sposób, MPS trudno jest traktować jako podmiot niezwiązany z wywiadowczymi i wojskowymi wysiłkami Chin, a jest raczej politycznym ramieniem wspierającym wysiłki na polu operacji cyber od strony politycznej kontroli regulacji.

Idź do oryginalnego materiału