Cyberprzestępczość zagrożenie dla infrastruktury krytycznej. Wybrane aspekty prawne

Transkrypt

1 Cyberprzestępczość zagrożenie dla infrastruktury krytycznej. Wybrane aspekty prawne kom. Grzegorz Matyniak Sanok, 24 października 2013

2 Agenda 1.Infrastruktura krytyczna definicja, podstawowe pojęcia 2. Cyberprzestrzeń, cyberprzestępstwo pojęcia i podstawowe informacje 3.Wybrane przestępstwa odnoszące się do zagrożenia bezpieczeństwa infrastruktury krytycznej.

3 Ustawa z dnia 26 kwietnia 2007r o zarządzaniu kryzysowym, Dz. U z 2007 nr 89 poz.590 (z późn. zm.) Infrastruktura krytyczna to systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Infrastruktura krytyczna obejmuje systemy: a) zaopatrzenia w energię, surowce energetyczne i paliwa, b) łączności, c) sieci teleinformatycznych, d) finansowe, e) zaopatrzenia w żywność, f) zaopatrzenia w wodę, g) ochrony zdrowia, h) transportowe i) ratownicze, j) zapewniające ciągłość działania administracji publicznej, k) produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych;

4 Europejska Infrastruktura krytyczna wg Ustawa z dnia 26 kwietnia 2007r o zarządzaniu kryzysowym, Dz. U z 2007 nr 89 poz.590 (z późn. zm.) systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia i instalacje kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców, wyznaczone w systemach, o których mowa w punkcie 2 lit.a i h, w zakresie energii elektrycznej, ropy naftowej i gazu ziemnego oraz transportu drogowego, kolejowego, lotniczego, wodnego śródlądowego, żeglugi oceanicznej, żeglugi morskiej bliskiego zasięgu i portów, zlokalizowane na terytorium państw członkowskich Unii Europejskiej, których zakłócenie lub zniszczenie miałoby istotny wpływ na co najmniej dwa państwa członkowskie

5 Występujące powiązania i zależności infrastruktury krytycznej państwa

6

7 Skład infrastruktury krytycznej wg Rządowego Centrum Bezpieczeństwa, 2013

8 Cyberprzestrzeń Rządowy Program w zakresie ochrony cyberprzestrzeni RP na lata , Warszawa 2010, Ministerstwo Spraw Wewnętrznych i Administracji Cyfrowa przestrzeń przetwarzania i wymiany informacji tworzona przez systemy i sieci teleinformatyczne wraz z powiązaniami między nimi oraz relacjami z użytkownikami

9 Cyberprzestrzeń wg Ustawy z dnia 30 sierpnia 2011r o zmianie Ustawy o stanie wojennym oraz kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych oraz niektórych innych ustaw, Dz.U z 2011 nr 222 poz1323 przestrzeń przetwarzania i wymiany informacji tworzona przez systemy teleinformatyczne, określone w art.3 pkt 3 ustawy z dnia 17 lutego 2005r o informatyzacji działalności podmiotów realizujących zadania publiczne (DZ.U nr 64 poz 565 z późn. zm){ zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego w rozumieniu przepisów ustawy z dnia 16 lipca 2004r Prawo telekomunikacyjne Dz.U. Nr 171 poz 1800}, wraz z powiązaniami pomiędzy nimi i relacjami z użytkownikami

10 Cyberprzestrzeń może być miejscem kooperacji pozytywnej prowadzącej do rozwoju edukacyjnego, komunikacji społecznej, gospodarki narodowej, bezpieczeństwa powszechnego itp., lecz także kooperacji negatywnej - cyberinwigilacja polegająca na obostrzonej kontroli społeczeństwa za pośrednictwem narzędzi teleinformatycznych - cyberterroryzm polegający na wykorzystaniu cyberprzestrzeni do działań terrorystycznych - cyberprzestępczość polegająca na wykorzystaniu cyberprzestrzeni do celów kryminalnych w szczególności w ramach przestępczości zorganizowanej i przestępczości o charakterze ekonomicznym - cyberwojna polegająca na użyciu cyberprzestrzeni jako czwartego (ziemia, morze, powietrze) obszaru prowadzenia działań wojennych

11 X Kongres ONZ w Sprawie Zapobieżenia Przestępczości i Traktowania Przestępców, jaki odbył się we Wiedniu w roku 2000 przyjął, że 1) cyberprzestępstwo w wąskim sensie (przestępstwo komputerowe): wszelkie nielegalne działanie, wykonywane w postaci operacji elektronicznych, wymierzone przeciw bezpieczeństwu systemów komputerowych lub procesowanych przez te systemy danych. 2) cyberprzestępstwo w szerokim sensie (przestępstwo dotyczące komputerów): wszelkie nielegalne działanie, popełnione za pomocą lub dotyczące systemów lub sieci komputerowych, włączając w to między innymi nielegalne posiadanie i udostępnianie lub rozpowszechnianie informacji przy użyciu systemów lub sieci komputerowych

12 Cyberprzestępczość wg definicji przyjętej w Europie Komunikat (2007) 267 wersja ostateczna Komisji do Parlamentu Europejskiego, Rady oraz Komitetu Regionów z dnia r W kierunku ogólnej strategii zwalczania cyberprzestępczości {SEK(2007)641}{SEK(2007)642} pod pojęciem cyberprzestępczości rozumie się czyny przestępcze dokonane przy użyciu sieci łączności elektronicznej i systemów informatycznych lub skierowane przeciwko takim sieciom i systemom

13 Definicyjny podział przestępstw komputerowych Dzielą się na 3 podstawowe kategorie: 1) przestępstwa przeciwko bezpieczeństwu elektronicznego przetwarzania informacji, gdzie chronione jest informacja 2) przestępstwa przeciwko tradycyjnym dobrom prawnym z wykorzystaniem nowoczesnych elektronicznych technologii gromadzenia i wykorzystania danych z wyraźnym wskazaniem sposób ich wykorzystania 3) przestępstwa przeciwko tradycyjnym dobrom prawnym z wykorzystaniem nowoczesnych elektronicznych technologii gromadzenia i wykorzystania danych bez wyraźnego sposobu ich wykorzystania (np. zniesławienie, groźby, rozpowszechnianie pornografii przez internet, itp.

14 Cyberprzestępstwo wg. Komunikatu (2007) 267 wersja ostateczna Komisji do Parlamentu Europejskiego, Rady oraz Komitetu Regionów z dnia r W kierunku ogólnej strategii zwalczania cyberprzestępczości {SEK(2007)641}{SEK(2007)642} 1) obejmuje tradycyjne formy przestępstw, jak oszustwo czy fałszerstwo, jednak w kontekście cyberprzestępczości dotyczy to przestępstw popełnionych przy użyciu elektronicznych sieci informatycznych i systemów informatycznych, zwanych też sieciami łączności elektronicznej, 2) obejmuje publikację nielegalnych treści w mediach elektronicznych (np. materiałów związanych z seksualnym wykorzystywaniem dzieci czy też nawoływaniem do nienawiści rasowej), 3) obejmuje przestępstwa typowe dla sieci łączności elektronicznej, tj. ataki przeciwko systemom informatycznym, ataki typu denial of service oraz hakerstwo. Tego rodzaju ataki mogą być również skierowane przeciwko najważniejszym infrastrukturom krytycznym w Europie i uszkodzić istniejące systemy szybkiego reagowania w wielu obszarach, co może spowodować dramatyczne konsekwencje dla całego społeczeństwa. Wszystkie te przestępstwa łączy to, że mogą być popełniane na masową skalę, a odległość geograficzna między miejscem popełnienia przestępstwa a jego skutkami może być znaczna.

15 Kodeks karny

16 Kodeks Karny - wybrane przepisy karne Rozdział XVII Przestępstwa przeciwko Rzeczypospolitej Polskiej art (szpiegostwo komputerowe) Kto, w celu udzielenie obcemu wywiadowi wiadomości określonych w 2 (których przekazanie może wyrządzić szkodę rzeczypospolitej Polskiej), gromadzi je lub przechowuje, wchodzi do systemu informatycznego w celi ich uzyskania albo zgłasza gotowość działania na rzecz obcego wywiadu przeciwko Rzeczypospolitej Polskiej,

17 Kodeks Karny - wybrane przepisy karne Rozdział XX Przestępstwa przeciwko bezpieczeństwu publicznemu art (sprowadzenie zdarzenia powszechnie niebezpiecznego) Kto sprowadza zdarzenie, które zagraża życiu lub zdrowiu wielu osób albo mieniu w wielkich rozmiarach, mające postać: 1) pożaru, 2) zawalenie się budowli, zalewu albo obsunięcia się ziemi, skał lub śniegu, 3) eksplozji materiałów wybuchowych lub łatwopalnych albo innego gwałtownego wyzwolenia energii, rozprzestrzeniania się substancji trujących, duszących lub parzących, 4) gwałtownego wyzwolenia energii jądrowej lub wyzwolenia promieniowania jonizującego,

18 Kodeks Karny - wybrane przepisy karne art (sprowadzenie niebezpieczeństwa powszechnego na skutek zakłócenia procesów automatycznego przetwarzania danych) Kto sprowadza niebezpieczeństwo dla życie lub zdrowia wielu osób albo dla mienia w wielkich rozmiarach: 1) powodując zagrożenie epidemiologiczne lub szerzenie się choroby zakaźnej albo zarazy zwierzęcej lub roślinnej, 2) wyrabiając lub wprowadzając do obrotu szkodliwe dla zdrowia substancje, środki spożywcze lub inne artykuły powszechnego użytku lub też środki farmaceutyczne nie odpowiadające obowiązującym warunkom jakości, 3) powodując uszkodzenie lub unieruchomienie urządzenia użyteczności publicznej, w szczególności urządzenia dostarczającego wodę, światło, ciepło, gaz, energię albo urządzenia zabezpieczającego przed nastąpienie niebezpieczeństwa powszechnego lub służącego do jego uchylenia, 4) zakłócając, uniemożliwiając lub w inny sposób wpływając na automatyczne przetwarzanie, gromadzie lub przekazywanie danych informatycznych, 5) działając w inny sposób w okolicznościach szczególnie niebezpiecznych,

19 Kodeks Karny - wybrane przepisy karne art.168 (przygotowania do sprowadzenie zdarzenia powszechnie niebezpiecznego lub niebezpieczeństwa powszechnego) Kto czyni przygotowania do przestępstwa określonego w art.163 1, art.165 1, art lub art.167 1, art.172 (utrudnianie akcji ratowniczej przy niebezpieczeństwie powszechnym) Kto przeszkadza działaniu mającemu na celu zapobieżenie niebezpieczeństwu dla życia lub zdrowia wielu osób albo mienia w wielu rozmiarach,dodać tekst

20 Kodeks Karny - wybrane przepisy karne Rozdział XXI Przestępstwa przeciwko bezpieczeństwu w komunikacji art (sprowadzenie katastrofy komunikacyjnej) Kto sprowadza katastrofę w ruchu lądowym, wodnym lub powietrznym zagrażającą życiu lub zdrowiu wielu osób albo mieniu w wielkich rozmiarach, art (sprowadzenie niebezpieczeństwa katastrofy komunikacyjnej) Kto sprowadza bezpośrednie niebezpieczeństwo katastrofy w ruchu lądowym, wodnym lub powietrznym,

21 Kodeks Karny - wybrane przepisy karne art.175 (przygotowania do sprowadzenia katastrofy komunikacyjnej) Kto czyni przygotowania do przestępstwa określonego w art.173 1kk art (spowodowanie wypadku komunikacyjnego) Kto, naruszając, chociażby nieumyślnie, zasady bezpieczeństwa w ruchu lądowym, wodnym lub powietrznym, powoduje nieumyślnie wypadek, w którym inna osoba odniosła obrażenia ciała określone w art.157 1,

22 Kodeks Karny - wybrane przepisy karne Rozdział XXXIII Przestępstwa przeciwko ochronie informacji art (hacking) Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwiera zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, 2 (nieuprawniony dostęp do systemu informatycznego) tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego 3 (nielegalny podsłuch lub inwigilacja przy użyciu środków technicznych) tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem 5 Ściganie przestępstwa określonego w 1-4 następuje na wniosek pokrzywdzonego

23 Kodeks Karny - wybrane przepisy karne art.268 1(naruszenie integralności komputerowego zapisu informacji) Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, 2 Jeżeli czyn określony w 1 dotyczy zapisu na informatycznym nośniku danych, 3 Kto, dopuszcza się czynu określonego w 1 lub 2, wyrządza znaczną szkodę majątkową, 4 Ściganie przestępstwa określonego w 1 3 następuje na wniosek pokrzywdzonego art.268a 1 (naruszenie integralności danych informatycznych) Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, 2 Kto dopuszczając się czynu określonego w 1, wyrządza znaczną szkodę majątkową, 3 Ściganie przestępstwa określonego w 1 lub 2 następuje na wniosek pokrzywdzonego

24 Kodeks Karny - wybrane przepisy karne art (sabotaż komputerowy) Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, 2 Tej samej karze podlega, kto dopuszcza się czynu określonego w 1, niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzanie, gromadzenia lub przekazywania danych informatycznych

25 Kodeks Karny - wybrane przepisy karne art.269a (nielegalna ingerencja w system informatyczny) kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca prace systemu komputerowego lub sieci informatycznej,

26 Kodeks Karny - wybrane przepisy karne art.269b 1 (bezprawne wykorzystywanie programów i danych) kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienie przestępstwa określonego w art pkt 4, art.267 3, art.268a 1 albo 2 w związku z 1, art albo art.269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci informatycznej,

27 Kodeks Karny - wybrane przepisy karne Rozdział XXXV Przestępstwa przeciwko mieniu art (Oszustwo komputerowe) Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienie, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa, albo wprowadza nowy zapis danych informatycznych,

28 Kodeks Karny - wybrane przepisy karne Wypada jedynie sygnalizacyjnie w tym miejscu wspomnieć o przestępstwach z rozdziału XXXIV dot. przestępstw przeciwko wiarygodności dokumentów (np. art.270, art.276), czy też z rozdziału XXXV dot. przestępstw przeciwko mieniu (np. art.278 2, art.286 1, art.291 i art.292 w odniesieniu do programów komputerowych), rozdziału XXXVI dot. przestępstw przeciwko obrotowi gospodarczemu (art.297 1, art.298 czy coraz częściej występujący art.299 dot. prania pieniędzy, art.303), jak też z rozdziału XXXVII zawierających przestępstwa przeciwko obrotowi pieniędzmi i papierami wartościowymi (art.310, art.312, art.314)

29 Dziękuję za uwagę