Mierniki bezpieczeñstwa informatycznego a niektóre przestêpstwa komputerowe

Transkrypt

1 AUTOMATYKA 27 Tom 11 Zeszyt 3 Maciej Szmit*, Izabela Politowska** Statystyki odnoœnie do w³amañ i odpornoœci systemów to najgorszy doradca przy wyborze platformy systemowej. Tu potrzebne s¹ zdrowy rozs¹dek oraz mentalna zdolnoœæ do wyjœcia poza stereotypy, bajki i mity. Krawczyk P.: Niebezpieczne statystyki. Computerworld z 1 stycznia 25 r. Mierniki bezpieczeñstwa informatycznego a niektóre przestêpstwa komputerowe 1. Wprowadzenie Mówi¹c o bezpieczeñstwie systemów informatycznych definiuje siê zazwyczaj (por.: [4]) pojêcia: zagro enia rozumianego jako potencjalna przyczyna szkody, podatnoœci rozumianej jako mo liwa do wykorzystania przez zagro enie s³aboœæ chronionego systemu, ryzyka rozumianego jako iloczyn prawdopodobieñstwa zajœcia nieporz¹danego zdarzenia (incydentu bezpieczeñstwa) i jego negatywnych skutków, czyli mówi¹c proœciej, jako wartoœæ oczekiwana strat zwi¹zanych z urzeczywistnieniem siê potencjalnego zagro enia. Aby zatem móc szacowaæ ryzyko, co jest niezbêdn¹ czêœci¹ procesu zarz¹dzania bezpieczeñstwem, konieczne jest oszacowanie zarówno potencjalnych skutków incydentu, jak i prawdopodobieñstwa jego zaistnienia. Mowa tu zarówno o zagro eniach endo- jak i egzogenicznych, takich jak klêski ywio³owe, niepokoje spo³eczne czy wreszcie poziom zagro eñ natury informatycznej (cyberterroryzm, epidemie robaków internetowych 1) itd.). O ile ryzyko pochodz¹ce z wnêtrza firmy czy organizacji udaje siê szacowaæ stosounkowo ³atwo na podstawie wiedzy dostepnej w organizacji, o tyle ryzyka zewnêtrzne, w szczególnoœci zwi¹zane z zagro eniami technologicznymi, bywaj¹ trudne do oszacowania. Dostêpne Ÿród³a prezentuj¹ zazwyczaj albo skrajny pesymizm (co jest charakterystyczne dla go- * Katedra Informatyki Stosowanej, Politechnika ódzka w odzi ** Wy sza Szko³a Finansów i Informatyki w odzi 1) Wed³ug [23] straty poniesione w wyniku epidemii wirusów i robaków internetowych wynios³óy odpowiednio (w nawiasach rok wyst¹pienia epidemii): Jerusalem (199) ok 5 mln. USD, Concept (1995) ok. 5 mln USD, Melissa (1993) ok 93 mln USD, Love Bug (2) ok. 7 mln USD, Nimda (21) ok 531 mln USD. 433

2 434 Maciej Szmit, Izabela Politowska ni¹cych za snesacj¹ mediów), albo przeciwnie daleko id¹c¹ niefrasobliwoœæ. Rzetelne próby oceny rozmiaru tego rodzaju zjawisk podejmowane s¹ przez niektóre du e firmy i instytucje zajmuj¹ce siê zabezpieczeniami lub consultingiem informatycznym oraz wyspecjalizowane dzia³y du ych korporacji (na przyk³ad dominuj¹cych na rynku providerów Internetu), jakkolwiek jakoœæ tych ocen pozostawia czasami sporo do ycznia. Pewne nadzieje mo na ³¹czyæ z przygotowywan¹ obecnie przez ISO/IEC seri¹ norm dotycz¹cych systemów zarz¹dzania bezpieczeñstwem informacji (Information Security Management Systems, ISMS) oznaczonych numerami , wœród których znajdowaæ siê bêdzie norma ISO/IEC 274 Information Security Measurements and Metrics. Norma ta ma pomóc organizacjom posiadaj¹cych systemy zarz¹dzania bezpieczeñstwem informacji w ocenie efektywnoœci ISMS zbudowanych w oparciu o normê [2] (a dok³adniej o jej planowanego nastêpcê normê ISO/IEC 272). Pojêcie zarz¹dzanie jest tu podobnie w ogóle w naukach o zarz¹dzaniu rozumiane w skali mikro: pojedynczego przedsiêbiorstwa, organizacji gospodarczej czy te ich systemów informatycznych. Niniejszy artyku³ zawiera przegl¹d Ÿróde³, które zdaniem autorów, mog¹ byæ pomocne w szacowaniu poziomu zagro eñ bezpieczeñstwa informacji w skali makro. 2. Definicje Polska Norma [2] definiuje pojêcie przestêpstwa komputerowego jako naruszenie przepisów pope³nione w wyniku wykorzystania, modyfikacji lub niszczenia sprzêtu komputerowego, oprogramowania lub danych (zob.: [3] s. 24). Z oczywistych powodów definicja taka by³aby nieu yteczna z punktu widzenia prawa. W polskojêzycznej literaturze prawniczej rozró nia siê zazwyczaj przestêpstwa komputerowe (przez które rozumie siê niektóre z przestêpstw przeciwko ochronie informacji art. od 267 do 269b KK oraz oszustwo komputerowe art. 287 KK) oraz przestêpstwa dokonane przy u yciu komputera, na przyk³ad nag³aœniane w mediach przypadki dystrybucji pornografii dzieciêcej czy molestowania seksualnego przy u yciu komunikatorów internetowych (por. np. [32, 34, 42, 44], inne klasyfikacje przestêpstw komputerowych mo na znaleÿæ na przyk³ad w pracy [41] s. 7 i nast.). Rozwa ania niniejsze dotyczyæ bêd¹ wy³¹cznie zagadnieñ zwi¹zanych z niektórymi przestêpstwami komputerowymi. Przyjêcie czêœci z wymienionych wy ej artyku³ów (art 268a, 269, 269a oraz 269b, a tak e modyfikacja artyku³u 287 1) stanowi³o próbê implementacji Konwencji o cyberprzestêpczoœci Rady Europy [1], podpisanej przez Polskê w dniu 23 listopada 23 roku. Warto wspomnieæ, e ju na etapie poprzedzajacym uchwalenie zmian w k.k., a tak e póÿniej proponowane rozwi¹zania budzi³y kontrowersje 2). Z krytyk¹ spotka³o siê w szczegól- 2) W opini prawnej [4] napisano wrêcz: Proponowane rozwi¹zania prawne odbiegaj¹ bowiem znacznie od zaleceñ znajduj¹cych siê w tekœcie konwencji. Wprowadzenie niektórych nowych przepisów zdaje siê równie pog³êbiaæ chaos w treœci Kodeksu nie s³u ¹cy oczywiœcie poprawnej wyk³adni nowych przepisów (s. 3). Druga ze zporzadzonych opinii prawnych [39] ogranicza siê do stwierdzenia zgodnoœci proponowanych zmian z prawem Unii Europejskiej oraz wy- ej wymienion¹ konwencj¹ Rady Europy pod warunkiem zg³oszenia odpowiednich zastrze eñ:

3 Mierniki bezpieczeñstwa informatycznego a niektóre przestêpstwa komputerowe 435 noœci rozwi¹zanie proponowane w odniesieniu do tzw. przestêpstwa hackingu 3) (pod którym to pojêciem w polskojêzycznej literaturze prawniczej rozumie siê zazwyczaj 4) uzyskanie nielegalnego dostêpu do danych przechowywanych w systemie informatycznym). Konsekwencj¹ nienajlepszego t³umaczenia wspomnianej Konwencji i zapewne nienajlepszej znajomoœci realiów technicznych wœród prawników i prawodawców jest u ywanie w komentarzach, a nawet aktach prawnych terminologii quasi-technicznej, która dla informatyka mo e wydawaæ siê momentami wrêcz œmieszna. I tak hipoteza art kk mówi wrêcz o pod³¹czaniu siê do przewodu s³u ¹cego do przekazywania informacji 5), choæ ju w 2 tego artyku³u mowa o zak³adaniu urz¹dzenia pods³uchowego 6), co sugeruje, e aby pods³uchiwaæ nale y pos³u yæ siê urz¹dzeniem, natomiast sygna³y elektryczne mo na odbieraæ bezpoœrednio pod³¹czaj¹c siê do przewodu. Na dodatek wymieniony jest tam e explicite przewód s³u ¹cy do przekazywania informacji. Wydaje siê zatem, e ustawodawca przeoczy³ istnienie sieci bezprzewodowych. 3) 4) 5) 6) Natomiast proponowany nowy przepis art. 269b k.k. ma na celu realizacjê art. 6 Konwencji, który zobowi¹zuje do penalizacji produkcji, sprzeda y, pozyskiwania z zamiarem wykorzystania, importowania, dystrybucji lub innego udostêpniania oraz posiadania urz¹dzeñ (w tym programów komputerowych), hase³ komputerowych, kodów dostêpu umo liwiaj¹cych bezprawny dostêp do informacji przechowywanych w systemie informatycznym. Nale y zwróciæ uwagê, e projekt ustawy nie przewiduje karalnoœci samego posiadania takich urz¹dzeñ. Przepis art. 6 ust. 3 konwencji zezwala na takie ograniczenie, pod warunkiem z³o enia przez Pañstwo stosownego zastrze enia. [39]. W artykule [34] przedstawione zosta³y liczne zastrze enia miedzy innymi odnoœnie do u ytych w projekcie ustawy (a wynikaj¹cych z nienajlepszego t³umaczenia oryginalnego tekstu konwencji) pojêæ danych informatycznych. Projekt nowelizacji nie usuwa podstawowego b³êdu, jaki pope³niany jest w polskim prawie karny w zakresie penalizacji przestêpstwa tzw. hackingu, czyli uzyskania nielegalnego dostêpu do danych przechowywanych w systemie informatycznym. (...) Rozwi¹zanie to w oczywisty sposób zakorzenione w historii polskiego prawa karnego jest wzorowane na przepisie Art. 172 Kodeksu karnego z 1969 r., nie uwzglêdniaj¹c faktu, e uzyskanie dostêpu do informacji (czyli wedle polskiego orzecznictwa mo liwoœæ zapoznania siê z treœci¹) jest zapewne celem osoby otwieraj¹cej cudze listy, ale wcale nie jest g³ównym celem siê hackera. Tzw. czysty hacking zak³ada, e dla osoby dokonuj¹cej w³amania do systemu nie jest wa na sama informacja, któr¹ mo e uzyskaæ. Wa ne jest jedynie prze³amanie zabezpieczenia. To zaœ wci¹ nie jest w Polsce karalne. Prze³amanie zabezpieczenia jest jedynie œrodkiem, który mo e a nie musi prowadziæ do dokonania przestêpstwa opisanego w art (inn¹ spraw¹ jest trudnoœæ udowodnienia hackerowi, e zapozna³ siê ze skopiowanymi danymi). Tymczasem same w³amania do systemów powoduj¹ce konkretne straty dla administratorów i w³aœcicieli systemów s¹ czynem na tyle szkodliwym, e penalizacji niew¹tpliwie wymagaj¹ [4] s. 5 Na przyk³ad w cytowanej powy ej opinii [4], jakkolwiek ju w artykule [34] mówi siê o programach hakerskich w odniesieniu do programów, o których mowa w artykule 269b k.k. Art k.k. Kto bez uprawnienia uzyskuje informacjê dla niego nie przeznaczon¹, otwieraj¹c zamkniête pismo, pod³¹czaj¹c siê do przewodu s³u ¹cego do przekazywania informacji lub prze³amuj¹c elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolnoœci albo pozbawienia wolnoœci do lat 2. Art k.k. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zak³ada lub pos³uguje siê urz¹dzeniem pods³uchowym, wizualnym albo innym urz¹dzeniem specjalnym.

4 436 Maciej Szmit, Izabela Politowska Co do kwestii prze³amywania zabezpieczeñ to sta³a siê ona równie przedmiotem dyskusji, niektórzy Autorzy próbuj¹ bowiem przeciwstawiæ prze³amywaniu obchodzenie zabezpieczeñ (por. np. [7] oraz [46]). O ile w przypadku zabezpieczeñ fizycznych ma to pewien sens (czy innym jest kradzie z w³amaniem od przyw³aszczenia sobie rzeczy niezbezpieczonej, byæ mo e celowo publicznie dostêpnej 7) ), o tyle w przypadku technik informatycznych sprawa jest w¹tpliwa. Karalne by³oby bowiem, na przyk³ad jako próba si³owa w³amanie do serwera przy wykorzystaniu s³ownikowego generatora hase³, natomiast niekaralne wykorzystanie luki w zabezpieczeniach przy pomocy exploita, o ile ten nie unieruchomi³by programu zabezpieczaj¹cego, a jedynie otworzy³ tylne drzwi do systemu, jeœli otworzy³by je w sposób inny, ni wy³¹czaj¹c na chwilê tego systemu dzia³anie. Kolejnym zagadnieniem jest sformu³owanie art 269b penalizuj¹cego, miêdzy innymi, wytwarzanie, pozyskiwanie, zbywanie lub udostêpnianie urz¹dzeñ i programów komputerowych przystosowanych do pope³nienia okreœlonych przestêpstw (miêdzy innymi mowa o urz¹dzeniach pods³uchowych, wizualnych albo innych urz¹dzeniach specjalnych a tak e has³ach komputerowych, kodach dostêpu lub innych danych umo liwiaj¹cych dostêp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej). Liczni autorzy (por. np. [35, 45]) s³usznie zauwa aj¹, e artyku³ ten jest co najmniej kontrowersyjny, narzêdzia tego typu (na przyk³ad monitory ruchu sieciowego jak WireShark czy Etheral) s¹ bowiem standardowo u ywane przez administratorów sieci czy pracowników serwisu. Czêœæ prawników (por. np. [46]) uwa a, e w myœl tego artyku³u karalne powinny byæ czynnoœci przygotowawcze do pope³nienia przestêpstw (to znaczy osoby uprawnione mog³yby legalnie tego rodzaju programy, has³a, kody i urz¹dzenia wytwarzaæ, pozyskiwaæ, zbywaæ i udostêpniaæ), jakkolwiek problemem pozosta³oby niedookreœlenie krêgu osób uprawnionych. Wydaje siê, e znacznie lepszym pomys³em by³oby jawne okreœlenie przez prawodawcê warunków na jakich by³yby to czynnoœci niekaralne. Stosunkowo interesuj¹co wygl¹daj¹ tu na przyk³ad przepisy kodeksu karnego Republiki Bia³oruœ [5], karz¹ce przygotowanie w celu sprzeda y i sprzeda specjalnych œrodków umo liwiaj¹cych otrzymanie bezprawnego dostêpu do systemu komputerowego lub sieci oraz przygotowywanie z³oœliwego oprogramowania 8). W polskim Kodeksie karnym [4] nie wprowadzono pojêcia z³oœli- 7) 8) Jakkolwiek praktyka polskiego wymiaru sprawiedliwoœci zna przypadek orzeczenia kary za pobranie z publicznie dostêpnego serwera www pliku muzycznego i zapisanie go p³ycie. Zob: [46]. Ñòàòüÿ 353. Èçãîòîâëåíèå ëèáî ñáûò ñïåöèàëüíûõ ñðåäñòâ äëÿ ïîëó åíèÿ íåïðàâîìåðíîãî äîñòóïà ê êîìïüþòåðíîé ñèñòåìå èëè ñåòè Èçãîòîâëåíèå ñ öåëüþ ñáûòà ëèáî ñáûò ñïåöèàëüíûõ ïðîãðàììíûõ èëè àïïàðàòíûõ ñðåäñòâ äëÿ ïîëó åíèÿ íåïðàâîìåðíîãî äîñòóïà ê çàùèùåííîé êîìïüþòåðíîé ñèñòåìå èëè ñåòè íàêàçûâàþòñÿ øòðàôîì, èëè àðåñòîì íà ñðîê îò òðåõ äî øåñòè ìåñÿöåâ, èëè îãðàíè åíèåì ñâîáîäû íà ñðîê äî äâóõ ëåò. Ñòàòüÿ 354. Ðàçðàáîòêà, èñïîëüçîâàíèå ëèáî ðàñïðîñòðàíåíèå âðåäîíîñíûõ ïðîãðàìì 1. Ðàçðàáîòêà êîìïüþòåðíûõ ïðîãðàìì èëè âíåñåíèå èçìåíåíèé â ñóùåñòâóþùèå ïðîãðàììû ñ öåëüþ íåñàíêöèîíèðîâàííîãî óíè òîæåíèÿ, áëîêèðîâàíèÿ, ìîäèôèêàöèè èëè êîïèðîâàíèÿ èíôîðìàöèè, õðàíÿùåéñÿ â êîìïüþòåðíîé ñèñòåìå, ñåòè èëè íà ìàøèííûõ íîñèòåëÿõ, ëèáî ðàçðàáîòêà ñïåöèàëüíûõ âèðóñíûõ ïðîãðàìì, ëèáî çàâåäîìîå èõ èñïîëüçîâàíèå, ëèáî ðàñïðîñòðàíåíèå íîñèòåëåé ñ òàêèìè ïðîãðàììàìè íàêàçûâàþòñÿ øòðàôîì, èëè àðåñòîì íà ñðîê îò òðåõ äî øåñòè ìåñÿöåâ, èëè îãðàíè åíèåì ñâîáîäû íà ñðîê äî äâóõ ëåò, èëè ëèøåíèåì ñâîáîäû íà òîò æå ñðîê. 2. Òå æå äåéñòâèÿ, ïîâëåêøèå òÿæêèå ïîñëåäñòâèÿ, íàêàçûâàþòñÿ ëèøåíèåì ñâîáîäû íà ñðîê îò òðåõ äî äåñÿòè ëåò.

5 Mierniki bezpieczeñstwa informatycznego a niektóre przestêpstwa komputerowe 437 wego oprogramowania, co mo e powodowaæ podobne jak powy ej w¹tpliwoœci, o ile bowiem przygotowywanie, a tym bardziej rozpowszechnianie, wirusów czy rootkitów nale y oceniæ jako jednoznacznie szkodliwe, o tyle ju pos³ugiwanie siê monitorami ruchu sieciowego jest normaln¹ czynnoœci¹ administratora sieci, a ich wytwarzaniem zajmuj¹ siê w³aœciwie wszyscy producenci systemów operacyjnych 9). Podobnych zastrze eñ mo na wymieniæ wiêcej, jakkolwiek nale y pozytywnie nale y oceniæ sam fakt, e Polska jest jednym z zaledwie 28 krajów, które dotychczas (kwiecieñ 27) podpisa³y (ale nie ratyfikowa³y) konwencjê. Ratyfikowa³o j¹ zaledwie 15 krajów [8]. Samo istnienie odpowiednich przepisów prawa karnego materialnego pozwala bowiem przede wszystkim na œciganie przynajmniej niektórych przestêpstw, zaœ jego ewentualne niedoskona³oœci mog¹ byæ przynajmniej w jakiejœ mierze korygowne przez s¹dy, do dyspozycji których pozostaje ca³a gama œrodków poczynaj¹c od umorzenia sprawy a do odst¹pienia od kary. 3. Statystyki s¹dowe i policyjne Niezale nie od oceny jakoœci obowi¹zuj¹cego prawa interesuj¹ce mog¹ okazaæ siê statystyki zwi¹zane z jego egzekwowaniem. Istniej¹ trzy Ÿród³a, z których mo na takie statystyki uzyskaæ: Komenda G³ówna Policji [9] (statystyki dotycz¹ce wykrytych przestêpstw), Ministerstwo Sprawiedliwoœci (statystyki dotyczace os¹dzeñ [11]) oraz S³u ba Wiêzienna (statystyki dotycz¹ce osób odbywaj¹cych kary [1]). W ramach prowadzonych badañ uzyskano szczegó³owe statystyki z dwóch pierwszych Ÿróde³, poniewa liczba osób odbywaj¹cych kary pozbawienia wolnoœci z artyku³ów dotyczacych przestêpstw komputerowych jest znikoma albo adna 1). Z przyjêtego dla potrzeb niniejszego artyku³u punktu widzenia sposób prowadzenia statystyk wymiaru sprawiedliwoœci nale y oceniæ jako archaiczny i maj¹cy w¹tpliw¹ wartoœæ badawcz¹ 11). Przyjêty sposób naliczania statystyk (chronologicznie zamiast wed³ug sygnatur akt) nie umo liwia otrzymania rzeczywistego obrazu sytuacji. Dla przyk³adu, ze statystyk policyjnych [9] mo na dowiedzieæ siê na przyk³ad, e w latach stwierdzono pope³nienie piêciu przestêpstw z art 269 k.k. (niszczenie danych informatycznych). Ze statystyk Ministerstwa Sprawiedliwoœci. e w latach ogó³em os¹dzono z tego artyku³u 1 osób i tyle osób skazano. W oparciu o istniej¹ce dane statystyczne 9) 1) 11) Na przyk³ad Network Monitor wbudowany w system Windows czy tcpdump w systemach z rodziny linux. ¹cznie z przestêpstw przeciwko ochronie informacji (art k.k.) w 26 karê pozbawienia wolnoœci odbywa³o 14 osób, przy czym przestêpstwa przeciwko ochronie informacji obejmuj¹ równie ujawnienie tajemnicy pañstwowej (art. 265) s³u bowej i zawodowej (art. 266) oraz naruszenie tajemnicy korespondencji w odniesieniu do nieelektronicznych postaci informacji. Znacznie lepiej wygladaj¹ na przyk³ad statystyki przestêpstw komputerowych niemieckiej policji kryminalnej [31] choæ, niestety nie s¹ one na bie ¹co aktualizowane.

6 438 Maciej Szmit, Izabela Politowska nie sposób stwierdziæ jak zakoñczy³y siê sprawy przestêpstw wykrytych przez Policjê. Mo liwych jest wiele sytuacji np. niewykrycie sprawcy, zwrócenie przez s¹d aktu oskar enia prokuratorowi celem jego uzupe³nienia, umo enie postêpowania s¹dowego (np z powodu œmierci podejrzanego) czy zmiana kwalifikacji czynu przez s¹d. Mo e byæ równie tak, e procesy ci¹gle jeszcze trwaj¹. Wydaje siê, e czytelny obraz sytuacji powinien obejmowaæ informacjê o tym w jakim procencie pope³nionych przestêpstw uda³o siê doprowadziæ do skazania sprawcy (lub sprawców), w jakim nie uda³o siê go schwytaæ, w jakim podejrzany okaz¹³ siê niewinny itd. Niestety chronologiczny uk³ad danych pozwala jedynie na obliczenie w¹tpliwej wartoœci wskaÿnika liczba prawomocnie skazanych w stosunku do liczby przestêpstw pope³nionych. Na rysunku 1 przedstawiono wykresy stwierdzonych przestêpstw i osób prawomocnie skazanych w kolejnych latach (wg przestepstwa g³ównego 12) ). Dla porównania, oprócz przestêpstw komputerowych zestawiono dane dla art. 196 k.k. (obraza uczuæ religijnych), art. 29 k.k. (kradzie leœna), art 278 (kradzie ) i art 197 (zgwa³cenie). W tabeli 1 zebrano wskaÿnik powsta³y przez podzielenie liczby prawomocnie skazanych przez liczbê przestêpstw pope³nionych (sumarycznie dla lat ) 13). Bior¹c pod uwagê, e w odniesieniu do artyku³ów 269a i 269b mamy do czynienia ze znikomo ma³¹ liczb¹ przypadków i bêd¹c œwiadomym ryzyka stosowania tego rodzaju wskaÿników, mo na jednak uznaæ za w pewnym stopniu symptomatyczne, e wyniki 13% dla art 278 i 18% dla art. 267 s¹ istotnie mniejsze ni ponad czterdziestoprocentowe wartoœci dla zgwa³cenia czy kradzie y leœnej. Mo e to œwiadczyæ o trudnoœciach z ustaleniem sprawcy przestêpstwa b¹dÿ z dowiedzieniem mu winy 14). Odczucie takie wydaje siê byæ uzasadnione, jeœli weÿmie siê pod uwagê rzeczywist¹ liczbê aktów agresji, których doznaje codzinnie ka dy u ytkownik Internetu. Wed³ug danych [12] œredni czas, jaki obecnie mija od momentu pod³¹czenia niezabezpieczonego komputera do sieci publicznej do momentu jego zainfekowania z³oœliwym oprogramowaniem, wynosi mniej ni jedn¹ minutê. Mo na zatem zaryzykowaæ twierdzenie, e w obecnym stanie prawnym (w którym wiêkszoœæ przestêpstw komputerowych œciganych jest na wniosek pokrzywdzonych, a nie z urzêdu) i wobec niewielkiego (w stosunku do liczby stwierdzonych przestêpstw) procentu skazañ, przyt³aczaj¹ca wiêkszoœæ przestêpstw komputerowych pozostaje bezkarna b¹dÿ niewykryta. 12) 13) 14) Oznacza to, e jeœli skazany zosta³ uznany winnym w ramach tego samego procesu przestêpstwa powa niejszego (powoduj¹cego wy sz¹ karê) to przestepstwo l ejsze nie jest ujête w tej statystyce. Jakkolwiek jest to pewne ograniczenie, mo na jak siê wydaje, uznaæ e przestêpstwa komputerowe stosunkowo rzadko ³¹cz¹ siê z przestêpstwami powa niejszymi. W przypadkach artyku³ów wprowadzonych po roku 1999 wskaÿnik obliczono od momentu obowi¹zywania artyku³u. Nale y zwróciæ dodatkowo uwagê, e liczba osób os¹dzonych nie przek³ada siê w prosty sposób na liczbê przypadków, bowiem sprawców mog³o byæ kilku, nie zmienia to jednak wyci¹gniêtego wniosku, jeœli bowiem taki przypadek zaistnia³, to wartoœæ obliczonego ilorazu mo e byæ co najwy ej za wysoka.

7 Mierniki bezpieczeñstwa informatycznego a niektóre przestêpstwa komputerowe Art Art. 268 i 268a Art Art Art Art. 269a Art Art. 269b Art Art Rys. 1. Liczba stwierdzonych przestêpstw i liczba skazanych z powo³anych artyku³ów k.k. w latach ( ród³o: tab. 1)

8 44 Maciej Szmit, Izabela Politowska Tabela 1 Statystyki przestêpstw komputerowych w Polsce w porównaniu z wybranymi innymi rodzajami przestêpstw ( ród³o: opracowanie w³asne na podstawie [9] i [11]) Artyku³ b 269a Przestêpstwa pope³nione wg [9] Skazani wg czynu g³ównego wg [11] Iloraz [%]* 13 3% 7% 18% 43% 1% 41% 13% * Przestêpstwa pope³nione/skazani wg czynu g³ównego. 4. Statystyki zespo³ów reagowania Za kwestie zwi¹zane z obs³ug¹ incydentów bezpieczeñstwa w sieciach komputerowych odpowiadaj¹ zespo³y CERT (Computer Emergency Readiness Team lub Computer Emergency Response Team) 15). W szczególnoœci za obs³ugê incydentów bezpieczeñstwa odpowiadaj¹ zespo³y CSIRT (Computer Security Incident Response Team). Zespo³y takie tworzone s¹ przez instytucje zarz¹dzaj¹ce du ymi sieciami komputerowymi w celu obs³ugi incydentów bezpieczeñstwa oraz œwiadczenia pomocy u ytkownikom (zasady tworzenia zespo³ów CERT precyzuje dokument [6]). Zespo³y takie prowadz¹ czêsto, miêdzy innymi, statystyki incydentów. Oprócz zespo³ów CERT istniej¹ wyspecjalizowane instytucje b¹dÿ zespo³y maj¹ce za zadanie monitorowanie bezpieczeñstwa sieci 16) i innych aspektów bez- 15) 16) Nazwy CERT and CERT Coordination Center s¹ zastrze one w U.S. Patent and Trademark Office. W szczególnoœci nale y tu wymieniæ raporty The National White Collar Crime Center (NW3C) wykonywane wspólnie z the Federal Bureau of Investigation (FBI) w ramach porozumienia the Internet Crime Complaint Center [13] oraz analogiczny raport za rok 25.

9 Mierniki bezpieczeñstwa informatycznego a niektóre przestêpstwa komputerowe 441 pieczeñstwa. Z krajowych inicjatyw warto wymieniæ zespó³ dy urnet (National Initiative for Children Polska) poœwiêcony problematyce zwalczania nielegalnych treœci w Internecie (w szczególnoœci pornografii dzieciêcej) [26]. Zespó³ CERT Polska [19] dzia³a w ramach Naukowej i Akademickiej Sieci Komputerowej (zob [24]). Zespo³y CERT 17) wspó³pracuj¹ ze sob¹ w ramach FIRST (Forum of Incidents Response and Security Teams [22]), przy czym przynale noœæ do FIRST nie jest dla CERT obowi¹zkowa. W chwili obecnej FIRST zrzesza 184 zespo³y o charakterze zarówno ogólnokrajowym, jak CERT Polska, jak i firm komercyjnych (cz³onkami FIRST s¹ na przyk³ad zespo³y obslugi incydentów firm Apple, Oracle czy Deutsche Bank). Czêœæ zespo³ów CERT udostêpnia informacje na temat statystyk incydentów bezpieczeñstwa w sieciach, nad którymi sprawuj¹ opiekê, przy czym nie ma jednolitego standardu klasyfikacji i opisu tego rodzaju zjawisk. Pewn¹ popularnoœæ zdobywa klasyfikacja Common Language (zob [37]) u ywana miêdzy innymi od 21 roku przez CERT Polska 18). Na rysunkach (2 9) i w tabelach (2 9) przedstawiono statystyki zebrane ze stron CERT Coordination Center oraz wybranych zespo³ów CERT/CSIRT (wszystkich zespo³ów krajowych lub zespo³ów obs³ugi incydentów w du ych sieciach o zasiêgu krajowym zrzeszonych w FIRST, które takie statystyki publikuj¹). CERT CC Liczba incydentów Rys. 2. Statystyki incydentów bezpieczeñstwa zg³oszonych do CERT CC ( ród³o: tab. 2) 17) 18) Adres [14] nale y do CERT Coordination Center dzia³aj¹cego przy wsparciu rz¹du federalnego USA w Software Engineering Institute na Carnegie Mellon University. Inne próby standaryzacji nomenklatury z zakresu bezpieczeñstwa zawieraj¹ na przyk³ad dokument [25] czy praca [38]. Nale y zwróciæ uwagê, e ró ne klasyfikacje (a tak e ich t³umaczenia na jêzyk polski) s¹ czasami daleko rozbie ne a nawet sprzeczne. Dlatego te w zamieszczonych dalej tabelach statystyk incydentów ró nch zespo³ów CERT, wszêdzie tam gdzie t³umaczenie mog³o budziæ w¹tpliwoœci, zamieszczone zosta³y równie nazwy ataków oryginalnie u yte w raporcie (w jêzyku angielskim lub w jêzyku narodowym).

10 442 Maciej Szmit, Izabela Politowska US CERT Inne (I- VI) Skanowanie, rekonesans ans (Reconnaissance (ang. Reconnaissance Activity) Activity) Nadu ycie zasobów (Misuse (ang. of Misuse Resources) of Resources ) Kompromitacja ja strony www www (Web (ang. Site WDefacement) eb Site D efacem ent) Z³oœliwy y kod (Malicious (ang. Malicious Code) Code) Odmowa us³ug (Denial (ang. of D enial service) of s ervice) Kompromitacja ja konta konta u ytkownika (User(ang. Compromise) U ser Comprom is e) Kompromitacja ja konta konta administratora tratora (Root (ang. Compromise) Root Comprom is e) Rys. 3. Statystyki incydentów bezpieczeñstwa zg³oszonych do US CERT ( ród³o: tab. 3) CERT B R (I- VIII) PPróba mmanipulacji mapowniami DNS (port. (port. tentativa tentativa de obter/atualizar de obter/atualizar mapas de mapas DNS) de DNS) atak Atak na na u ytkownika u ytkowniak koñcowego (port. (port. A taque Ataquao Usuário Usuário Ainal) Ainal) Oszustwo (port. Fraude) Skanowanie portów (ang. (Port Port Scan) S can) AAtak na serwer www www (port. (port. Ataque Ataque a Servidor a S ervidor Web) W eb) W³amanie anie (port. Invasao) ao) Odmowa us³ug (ang. (Denial Denial of Service) of S ervice) Robak (ang. (Worm) Worm) Rys. 4. Statystyki incydentów bezpieczeñstwa zg³oszonych CERT BR ( ród³o: tab. 4) CERT C H R L Ogó³em 24 (dane (dane przybli one) Spam W³amanie Wirusy Rys. 5. Statystyki incydentów bezpieczeñstwa zg³oszonych do CERT ChRL ( ród³o: tab. 5)

11 Mierniki bezpieczeñstwa informatycznego a niektóre przestêpstwa komputerowe 443 CERT W ³oc hy Nieuprawniony dostêp (ang. (Unauthorized access access to information) to Próba w³amania (ang. (Intrusion Intrusion Attempt) pt) Kompromitacja c konta (ang. (Account Account Compromise) Compromise) Z³oœliwy kkod (ang. (Malicious M alicious Code) Code) Rekonesans (ang. (Computer Computer Fingerprint) Fingerprint) 23 Rys. 6. Statystyki incydentów bezpieczeñstwa zg³oszonych do CERT Italy ( ród³o: tab. 6) CERT Pols ka liczba incydentów ogó³em Rys. 7. Statystyki incydentów bezpieczeñstwa zg³oszonych do CERT Polska ( ród³o: tab. 7) 1 CERT Ma lesia Virus Harrassment Hack Threat Intrusion Mailbomb Forgery Denial-of-Service Destruction Rys. 8. Statystyki incydentów bezpieczeñstwa zg³oszonych do CERT Malezja ( ród³o: tab. 8)

12 444 Maciej Szmit, Izabela Politowska CERT Hong Kong 6 5 Virus Hacking DoS Th eft of inform ation Rys. 9. Statystyki incydentów bezpieczeñstwa zg³oszonych do CERT Hong Kong ( ród³o: tab. 9) Tabela 2 Statystyki incydentów bezpieczeñstwa zg³oszonych do Computer Emergency Readiness Team Coordination Center ( ród³o: [14]) Liczba incydentów Rok Tabela 3 Statystyki incydentów bezpieczeñstwa zg³oszonych do US Computer Emergency Readiness Team ( ród³o: [2]) Rok Kompromitacja konta administratora (Root Compromise) Kompromitacja konta u ytkownika (User Compromise) Odmowa us³ug (Denial of Service) Z³oœliwy kod (Malicious Code) Kompromitacja strony www (Web Site Defacement) Nadu ycie zasobów (Misuse of Resources) Skanowanie, rekonesans (Reconnaissance Activity) ¹cznie

13 Mierniki bezpieczeñstwa informatycznego a niektóre przestêpstwa komputerowe 445 Tabela 4 Statystyki incydentów bezpieczeñstwa zg³oszonych do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil ( ród³o: [15]) Rok I-VIII Robak (worm) n.n. n.n. n.n Odmowa us³ug (Denial of Service) W³amanie (port. invasão) Atak na serwer www (port. Ataque a servidor Web) Skanowanie portów Oszustwo (port. fraude) Atak na u ytkownika koñcowego (port. Ataque ao usuário final) n.n. nie notowano n.n. Tabela 5 Statystyki incydentów bezpieczeñstwa zg³oszonych do National Computer Network Emergency Response Technical Team Coordiantion Center of China w 23 roku ( ród³o: [16]) Wirusy 22 W³amanie 1893 Spam 221 ¹cznie 13314

14 446 Maciej Szmit, Izabela Politowska Tabela 6 Statystyki incydentów bezpieczeñstwa zg³oszonych do Computer Emergency Response Team Italy w 23 roku ( ród³o: [21]) Computer fingerprint 554 Malicious Code 3 Account Compromise 2 Intrusion Attempt 435 Unauthorized access to information 3 ¹cznie 997 Tabela 7 Statystyki incydentów bezpieczeñstwa zg³oszonych do CERT Polska ( ród³o: [19]) Rok Liczba incydentów ogó³em Tabela 8 Statystyki incydentów bezpieczeñstwa zg³oszonych do CERT Malezja ( ród³o: [18]) Virus Mailbomb Harrassment Forgery Hack Threat Denial-of-Service Intrusion Destruction Razem

15 Mierniki bezpieczeñstwa informatycznego a niektóre przestêpstwa komputerowe 447 Tabela 9 Statystyki incydentów bezpieczeñstwa zg³oszonych do CERT Hong Kong ( ród³o: [17]) Virus DoS Hacking Theft of information Razem Statystyki zespo³ów CERT nie mog¹ byæ jak zreszt¹ zastrzegaj¹ same zespo³y traktowane jako chronologiczny zapis aktywnoœci agresorów, tym bardziej e prowadzona w taki czy inny sposób klasyfikacja zmusza zespo³y CERT do przypisywania poszczególnych, niejednokrotnie z³o onych to jest wykorzystuj¹cych ró ne techniki ataków, do jednej z wymienionych grup. W szczególnoœci pojedyczy incydent bezpieczeñstwa mo e dotyczyæ zarówno jednej maszyny, jak i ca³ej grupy obejmuj¹cej setki, czy nawet tysi¹ce komputerów. Ponadto notowane s¹ zazwyczaj tylko te incydenty, które zespo³y CERT bezpoœrednio zidentyfikowa³y i mimo to nie mo na mieæ pewnoœci, czy incydenty zosta³y poprawnie zakwalifikowane. Niemniej podane liczby mog¹ dawaæ pewne wyobra enie, jeœli nie o bezwzglêdnej aktywnoœci agresorów, to przynajmniej o jej dynamice (i dynamice zaanga owania zespo³ów CERT w obs³ugê incydentów) i preferowanych sposobach agresji. Rzucaj¹cym siê w oczy spostrze eniem, które nasuwa siê podczas analizy liczby zg³aszanych incydentów, jest sta³a tendencja wzrostowa. Wyj¹tki dotycz¹ zazwyczaj pojedynczych lat. Nietypowy jest tu jedynie Hong Kong, w którym liczba incydentów spada systematycznie Równie porównanie liczby incydentów zg³oszonych do poszczególnych zespo³ów CERT ze statystykami przestêpstw jest symptomatyczne (w samym tylko roku 25 CERT Polska odnotowa³ 2516 zg³oszeñ incydentów, czyli wiêcej ni Policja wykry³a przestêpstw ze wszystkich artyku³ów komputerowych przez ostatnie piêæ lat). 5. WskaŸniki syntetyczne Oprócz statystyk udostêpnianych czy to przez wymiar sprawiedliwoœci, czy te przez zespo³y reagowania na incydenty mo na znaleÿæ wiele syntetycznych wskaÿników aktualnego poziom bezpieczeñstwa. Zazwyczaj operuj¹ one na kilkustopniowej skali opisuj¹cej ryzyko infomatyczne czy sieciowe, s¹ dostêpne on-line i aktualizowane na bie ¹co, tak aby ka dy u ytkownik sieci w ka dej chwili móg³ sprawdziæ aktualny poziom zagro enia. Wœród tych wskaÿników mo na wymieniæ m.in.: Security Alert Level Enterprise State of Services przygotowany przez administracjê stanow¹ stan Alaska operuj¹cy na piêciostopniowej skali zagro enia ( zielony, niebieski, zó³ty, pomarañczowy, czerwony ) [28].

16 448 Maciej Szmit, Izabela Politowska Current Internet Threat Level przygotowany przez przez IBM ISS [12] operuj¹cy na czterostopniowej skali zagro enia ( zielony, niebieski, ó³ty, czerwony ) Symantec Thread Con przygotowany przez firmê Symantec operuj¹cy na czterostopniowej skali zagro enia ( zielony, ó³ty, pomarañczowy, czerwony ) [29]. CA Security Advisor Alert Level przygotowany przez firmê CA operuj¹cy na szeœciostopniowej skali zagro enia ( szary, b³êkitny, ó³ty, pomarañczowy, czerwony ) [3]. Virus Alert firmy Kaspersky Lab [33]. Oczywist¹ wad¹ tych e wskaÿników jest ich wieloœæ oraz przynajmniej w wypadku niektórych brak jasnych kryteriów ustalania aktualnego poziomu zagro enia. 6. Wnioski Niejednorodnoœæ i wieloœæ mierników i metryk dotycz¹cych poziomu bezpieczeñstwa informacji 19), zarówno w mikro- jak i makroskali, jak równie brak jednolitych (w skali œwiata) i dopracowanych (w realiach Polski) rozwi¹zañ legislacyjnych powoduje, ze obecnie jest trudno rzetelnie oszacowaæ rozmiar zagro eñ zwi¹zanych z poszczególnymi rodzajami przestêpczoœci komputerowej (por. [43]). W praktyce przyjmuje siê zatem jedn¹ z dwóch skrajnoœci albo uznaje siê, e ryzyko jest niewielkie albo wrêcz adne (co prowadzi w krótszym b¹dÿ d³u szym czasie do kompromitacji systemu) albo przeciwnie e poziom zagro enia jest bardzo wysoki, co powoduje koniecznoœc wdro enia wielostopniowych i kosztownych mechanizmów obrony (zapory przeciwogniowe, systemy wykrywania i przeciwdzia³ania w³amanion, programy antywirusowe etc.). Oczywiœcie z tych dwóch wyjœæ w mikroskali zdecydowanie lepsze jest to ostatnie (mniej niebezpieczne jest zastosowanie zbyt dobrej ochrony ni zbyt s³abej). W skali makro tego rodzaju rozumowanie nie jest prawid³owe, mo e bowiem prowadziæ do nadmiernej represyjnoœci prawa. Wydaje siê, e z tak¹ sytuacj¹ ju w jakiejœ mierze mamy do czynienia w odniesieniu do nadmiernej ochrony autorskich praw maj¹tkowych 2). Powstaje pytanie: czy polepszenie jakoœci statystyk mia³oby jakikolwiek wp³yw na praktyczn¹ stronê zarz¹dznia bezpieczeñstwem? Niezale nie przecie od tego, czy ulubionym rodzajem ataku internetowych oszustów bêdzie np. DNS-spoofing czy phishing i tak 19) 2) W niniejszym artykule nie ujêto licznych raportów bezpieczeñstwa informacji (wyszukiwarka Google na zapytanie information security report zwraca ponad milion dwieœcie tysiêcy stron, zaœ na zapytanie information security statistic ponad milion. Stan z maja 27 r.). Takiej iloœci informacji nie da siê w rozs¹dnym czasie nie tylko przeanalizowaæ ale nawet zapoznaæ siê z ni¹. Tym bardziej wskazane wydaje siê opracowanie jakichœ standardów w tym zakresie. Warto w tym miejscu przywo³aæ œwie y (kwiecieñ 27) przypadek akcji policyjnej przeprowadzonej bez wezwania przez w³adze uczelni. Dzia³anie to spotka³o siê z krytyk¹ Senatu Politechniki Koszaliñskiej jako przeprowadzone z naruszeniem obowi¹zuj¹cego prawa (art. 4 ust. 1 i art. 227 ust. 3 Ustawy Prawo o Szkolnictwie Wy szym) [27].

17 Mierniki bezpieczeñstwa informatycznego a niektóre przestêpstwa komputerowe 449 nale y w zabezpieczanym systemie zbudowaæ mechanizmy obrony zarówno przed jednym, jak i przed drugim zagro eniem. Niew¹tpliwie jest to powa ny argument. Niemniej jednak wydaje siê, e nie tylko ze wzglêdów poznawczych odpowiedniej jakoœci mierniki agresji informatycznej w skali makro by³yby bardzo przydatne. Nasuwaj¹cymi siê instytucjami, dla których informacja taka by³aby u yteczna jest oczywiœcie wymiar sprawiedliwoœci, aparat œcigania czy oœrodki naukowe i dydaktyczne. Równie firmy komercyjne mog¹ byæ zainteresowane tego rodzaju statystykami, zarz¹dzanie ryzykiem zak³ada bowiem zasadê redukowania b¹dÿ unikania w pierwszym rzêdzie najwiêkszych ryzyk, zatem znajomoœæ skali zagro enia ze strony poszczególnych czynników jest nie bez znaczenia. Literatura Przepisy prawne i normy [1] Convention on Cybercrime, Concil of Europe, Budapest, 23.XI.21, Treaty/EN/Treaties/Html/185.htm tekst polskojêzyczny (t³umaczenie robocze): [2] Polska Norma PN-ISO/IEC 17799:27: Technika informatyczna. Techniki Bezpieczeñstwa. Praktyczne zasady zarzadzania bezpieczeñstwem informacji. Warszawa, PKN 27 [3] Polska Norma PN-ISO/IEC :1996: Technika informatyczna Terminologia Terminy podstawowe. Warszawa, PKN 1996 [4] Ustawa z dnia 6 czerwca 1997 r. Kodeks karny - Dz. U. z 1997 r., Nr 88, poz. 553 z póÿn. zm [5] Óãîëîâíûé êîäåêñ Ðåñïóáëèêè Áåëàðóñü Portale, witryny www i dokumenty elektroniczne 21) [6] Brownlee N., Guttman E., Expectations for Computer Security Incident Response, The Internet Society, 1998 (RFC 235, BCP 21) ftp://ftp.rfc-editor.org/in-notes/rfc235.txt [7] Prawa nowych technologii [8] Strona Rady Europy o ratyfikacjach Konwencji o Cyberprzestêpczoœci Treaty/Commun/ChercheSig.asp?NT=185&CM=8&DF=9/26/26&CL=ENG [9] Informacje statystyczne na serwerze Komendy G³ównej Policji 2/1239/ [1] Informacje statystyczne w portalu S³u by Wiêziennej [11] Informacje statystyczne na serwerze Ministerstwa Sprawiedliwoœci [12] IBM Internet Security Systems strona g³ówna [13] Internet Crime Report 26, the NW3C and the FBI, 26_IC3Report.pdf [14] Computer Emergency Readiness Team Coordination Center CERT CC [15] Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil [16] National Computer Network Emergency Response Technical Team Coordiantion Center of China [17] Cert Hong Kong 21) Wszystkie adresy www i ftp zosta³y sprawdzone 15 maja 27 r.

18 45 Maciej Szmit, Izabela Politowska [18] CERT Malezja [19] Computer Emergency Readiness Team Polska [2] United States Computer Emergency Readiness Team [21] Computer Emergency Readiness Team Italy [22] Forum of Incidents Response and Security Teams FIRST [23] ICSA ICSA Labs [24] NASK Naukowa i Akademicka Sieæ Komputerowa [25] Shirey R., Internet Security Glossary (RFC 2828), The Internet Society, 2, ftp://ftp.rfc-editor.org/in-notes/rfc2828.txt [26] National Initiative for Children Polska [27] Stanowisko Senatu Politechniki Koszaliñskiej z dnia 18 kwietnia 27 r. w sprawie wkroczenia policji do domów studenckich PK i przeszukania pomieszczeñ open.php?menu=b&file=s-s-pk_7418 [28] Security Alert Level Enterprise State of Services przygotowany przez administracjê stanow¹ stan Alaska [29] Symantec Thread Con [3] CA Security Advisor Alert Level aspx?cid=56855 [31] Statystyki Przestêpstw Komputerowych Niemieckiej Policji Kryminalnej stats/pks/ [32] Wikipiedia has³o Przestêpczoœæ komputerowa pczo%c5%9b%c4%87_komputerowa [33] Kaspersky Lab [34] Piotr Waglowski Historia oceni rok po wycieku Precious Publikacje [35] Adamski A.: Cyberprzestêpczoœæ aspekty prawne i kryminologiczne. Studia Prawnicze, Zeszyt 4/25, [36] Bukowski S.: Projekt zmian Kodeksu karnego Dostosowanie do Konwencji o cyberprzestêpczoœci. Gazeta S¹dowa, kwiecieñ 24, [37] Howard J.D., Longstaff T.A.: A Common Language for Computer Security Incidents. Sandia National Laboratories, Common%2Language%22%2security%22 [38] Lindqvist U., Jonsson E.: How to Systematically Classify Computer Security Intrusions. Departament of Computer Engineering Chalmers University of Technology, 1996 [39] Paw³owski B.: Opinia prawna o zgodnoœci przedstawionego przez Radê Ministrów projektu ustawy o zmianie ustawy Kodeks karny, ustawy Kodeks postêpowania karnego oraz ustawy Kodeks wykroczeñ (druk nr 231) z prawem europejskim. nsf/opwsdr?openform&231 [4] P³achta M.: Opinia w sprawie projektu ustawy o zmianie Kodeksu karnego, Kodeksu postêpowania karnego oraz Kodeksu wykroczeñ. Gdañsk, 12 stycznia 24 r. (druk sejmowy nr 231). /orka.sejm.gov.pl/rexdomk4.nsf/opwsdr?openform&231 [41] P³aza A.: Przestêpstwa komputerowe. Praca magisterska napisana na Wydziale Prawa i Administracji UMCS pod opiek¹ prof. dra hab. Zbigniewa Æwi¹kalskiego, maszynopis skrypts/mgr_a_plaza.pdf [42] Politowska I., Szmit M.: Prawne aspekty bezpieczeñstwa informacji przechowywanych i przesy³anych w systemach i sieciach informatycznych. [w:] Boston IT Security Review Nr 2/27, 2 23 [43] Siluszek A.: Przestêpstwa komputerowe. PC Kurier 2/8/42 artykuly/siluszek_andrzej/2_8_42/

19 Mierniki bezpieczeñstwa informatycznego a niektóre przestêpstwa komputerowe 451 [44] Warylewski J.: Przestêpstwo oszustwa komputerowego (art. 287 k.k.) podstawowe zagadnienia teoretycznoprawne i praktyczne. [45] Wróblewski W.R.: Profesjonalny haker. Paradoks odpowiedzialnoœci karnej za czyny zwi¹zane z ochron¹ danych i systemów komputerowych. [w:] Bezpieczeñstwo sieci komputerowych a haking. Materia³y z konferencji naukowej Lublin 4 5 marca 25 r. Wyd. UMCS, Lublin 25 [46] Zoll A. (red.), Wróbel W.: Kodeks karny. Czêœæ szczególna. Komentarz, T. II. Zakamycze 26,