Prawnokarne aspekty narzędzi hackerskich



Podobne dokumenty
Odpowiedzialność karna za przestępstwa komputerowe

Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego)

KOMPUTER JEST JEDNOCZEŚNIE NARZĘDZIEM i CELEM ATAKU (PRZESTĘPSTWA) Kinga Dziedzic

Przegląd rodzajów ataków hackerskich

Prz r e z st t pczo kompu kom pu e t row ow i n i t n e t rn r e n tow i i n i t n e t le l ktu kt al u n al a

OPINIA KRAJOWEJ RADY SĄDOWNICTWA z dnia 23 czerwca 2016 r. w przedmiocie projektu ustawy o zmianie ustawy Kodeks karny oraz niektórych innych ustaw

Prawa autorskie cd. Prawa autorskie. Autorskie prawa majątkowe. Autorskie prawa osobiste

Ośrodek Badań, Studiów i Legislacji

Prawa autorskie cd. Prawa autorskie. Autorskie prawa majątkowe. Autorskie prawa osobiste

Piraci XXI wieku, czyli legalne i nielegalne programy Informatyka szkoła podstawowa Scholaris - DC Edukacja

POSTANOWIENIE. SSN Waldemar Płóciennik (przewodniczący) SSN Włodzimierz Wróbel (sprawozdawca) SSA del. do SN Piotr Mirek. Protokolant Ewa Oziębła

Podstawy prawne zwalczania przestępstw internetowych na szkodę dzieci w Polsce

Digital Rights Management (DRM) - zarządzanie prawami autorskimi w środowisku cyfrowym. Mikołaj Sowiński Sołtysiński Kawecki & Szlęzak

PROBLEMATYKA REGULACJI NARZĘDZI HACKERSKICH W POLSKIM KODEKSIE KARNYM

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

AGENDA. Prawne aspekty systemów pułapek. Obrona przez atak

Priorytety polityki bezpieczeostwa Unii Europejskiej. Projekt dyrektywy o atakach na systemy informatyczne.

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

CYBERPRZEMOC I INNE ZAGROŻENIA

REGULAMIN korzystania ze stron serwisu zorawina.info. Rozdział 1 POSTANOWIENIA OGÓLNE

W Biurze Rzecznika Praw Obywatelskich zostały przeanalizowane obowiązujące. przepisy normujące zasady porozumiewania się podejrzanego i oskarżonego

KOMENDA WOJEWÓDZKA POLICJI W POZNANIU PCZOŚĆ KOMPUTEROWA

C Y B E R P R Z E M O C. Rodzaje zagrożeń, sposoby

Pornografia w Internecie - zarys problematyki

dr Beata Zbarachewicz

PRAKTYKA WŁASNOŚĆ INTELEKTUALNA W PROCESIE DUE DILIGENCE Radca prawny Aneta Pankowska

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Regulamin świadczenia usług w programie wszystkoonadcisnieniu.pl

Umowa licencji na korzystanie z oprogramowania Marpnet.pl wersja DEMO przez okres 14 dni 1 Używane w niniejszym dokumencie określenia mają znaczenie,

REGULAMIN. I. Definicje

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

PRZESTĘPCZOŚĆ KOMPUTEROWA. Wykład z 23 października 2014 roku

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

1. Bezpieczeństwo i higiena pracy

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Tomasz Grzegorczyk Czyn ciągły i ciąg przestępstw w znowelizowanym kodeksie karnym skarbowym. Palestra 51/3-4( ), 9-13

WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ. SSN Tomasz Grzegorczyk (przewodniczący) SSN Małgorzata Gierszon (sprawozdawca) SSN Andrzej Stępka

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

W Y R O K W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

DECYZJA RAMOWA RADY 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne

Efekt kształcenia. Ma uporządkowaną, podbudowaną teoretycznie wiedzę ogólną w zakresie algorytmów i ich złożoności obliczeniowej.

Prezentacja specjalności studiów II stopnia. Inteligentne Technologie Internetowe

BL TK/15 Warszawa, 7 lipca 2016 r.

PRAWA AUTORSKIE WŁASNOŚĆ INTELEKTUALNA INTERNET ZAGROŻENIA.

Kryminologiczna i prawna problematyka środków odurzających

Przestępczość komputerowa

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Bezpieczeństwo systemów komputerowych

ZARZĄDZENIE NR 1386/2006 PREZYDENTA MIASTA KRAKOWA Z DNIA 5 lipca 2006 roku

Temat 2: Normy prawne dotyczące rozpowszechniania programów komputerowych.

Bezpieczeństwo Komunikatorów

Certyfikat REGULAMIN SERWISU INTERNETOWEGO

art. 13 ust. 1 3 rozporządzenia 2016/679 (RODO)

Zagrożenia w Internecie z akcentem na ochronę i dochodzenie praw. Diagnoserw Dawid Stramowski, Chrząstowo 4, Nakło Nad Notecią

Jak zadbać o bezpieczeństwo na Osiedlu

OPINIA KRAJOWEJ RADY SĄDOWNICTWA. z dnia 13 grudnia 2016 r. w przedmiocie poselskiego projektu ustawy Przepisy wprowadzające

Szkolenie. Ochrona danych osobowych

Druk nr 2783 Warszawa, 2 kwietnia 2004 r.

REGULAMIN SERWISU INTERNETOWEGO 1 Postanowienia ogólne

Art. 55. [Indywidualizacja kary] Okoliczności wpływające na wymiar kary uwzględnia się tylko co do osoby, której dotyczą.

Przede wszystkim autor ma oficjalne prawo do autorstwa utworu, rozpowszechniania go pod wyznaczonym pseudonimem, kontroli nad

Regulamin świadczenia usług dla Partnerów

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

REGULAMIN SERWISU INTERNETOWEGO 1 DEFINICJE

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ 1. Informacje wprowadzające

Bezpieczeństwo systemów i lokalnej sieci komputerowej

UDOSTĘPNIENIA INFRASTRUKTURY W CELACH TESTOWYCH

1. POSTANOWIENIA OGÓLNE

Odpowiedzialność cywilna za naruszenie ogólnego rozporządzenia o ochronie danych (RODO ) Roman Bieda

OPINIA KRAJOWEJ RADY SĄDOWNICTWA. z dnia 28 lipca 2015 r.

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

ArcaVir 2008 System Protection

2 UŻYTKOWNICY LABORATORIUM

Kryminologiczna i prawna problematyka środków odurzających. Temat XIII Konwencje ONZ dotyczące narkotyków i narkomanii

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

POLITYKA PRYWATNOŚCI. Niniejszy dokument opisuje zasady gromadzenia, przetwarzania i wykorzystywania

Problemy prawnokarne wirusów komputerowych.

REGULAMIN KORZYSTANIE Z SYSTEMU SMARTFM.PL

Ochrony danych osobowych w Chinach, ostatni rozwój prawodawstwa :10:17

UCHWAŁA Z DNIA 13 GRUDNIA 2000 R. I KZP 43/2000

Regulamin Serwisu Aumenta S.A.

Ustawa z dnia 2018 r. o zmianie ustawy o przeciwdziałaniu narkomanii

Spis treści Przedmowa Wykaz skrótów Część I. Podstawy odpowiedzialności karnej w obrocie gospodarczym Rozdział 1. Istota prawa karnego gospodarczego

Ustawa z dnia 2015 r. o zmianie ustawy o przeciwdziałaniu narkomanii oraz ustawy o Państwowej Inspekcji Sanitarnej

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

3.3 Używanie logo Kindii przez osoby trzecie bez zgody Zarządu Harper Hygienics S.A. jest zabronione.

2.1. Korzystanie z serwisu STREFA ROYAL CANIN jest dobrowolne i bezpłatne dla wszystkich Użytkowników po dokonaniu prawidłowej rejestracji.

Cyber-zagrożenia Zagrożenia współczesnych technologii teleinformatycznych z punku widzenia organów ścigania w globalnej sieci Internet

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

wraz z wzorami wymaganej prawem dokumentacją

Bezpieczeństwo systemów komputerowych. Java i JavaScript. Java i JavaScript. Java - historia

Banking Tech & Security

Warszawa, dnia 16 maja 2016 r. Poz. 669

Zagrożenia związane z cyberprzestępczością

MICHALPASTERSKI.PL REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ. Spis treści

Transkrypt:

Prawnokarne aspekty narzędzi hackerskich mgr Krzysztof Gienas absolwent Uniwersytetu Szczecińskiego Uwagi ogólne. Internet w przeciągu ostatnich lat stał się nową płaszczyzną nadużyć przestępczych. Przesądził o tym specyficzny charakter globalnej sieci komputerowej, pozwalający na pozostawanie przez sprawcę przestępstwa niemal w pełni anonimowym 1. Rozwój cyberprzestępczości doprowadził jednocześnie do modyfikacji narzędzi wykorzystywanych przez przestępców. Większość aplikacji użytecznych przy dokonywaniu przestępstw w Internecie jest dostępna dla przeciętnych użytkowników sieci. Środowisko hackerskie publikując w sieci efekty swojej pracy w postaci oprogramowania służącego do naruszania poufności i integralności informacji, przyczynia się równocześnie do zwiększenia liczby tego rodzaju ataków, dokonywanych przez laików w dziedzinie informatyki ( określanych nierzadko mianem script kiddies ). Dla niewtajemniczonych swoistym mitem pozostaje hacker, czy też autor wirusa komputerowego, będący jednocześnie znakomitym programistą. To powszechne przekonanie mija się jednak z prawdą, hackera często zastępuje skrypt automatycznie uzyskujący nieuprawniony dostęp do systemu. Podobnie wirusy komputerowe w większości stanowią mutacje znanych już złośliwych programów. Praca twórcza w owych przypadkach nierzadko ogranicza się do niewielkiej modyfikacji kodu źródłowego wirusa. W tych, niezbyt skomplikowanych czynnościach, również maszyna wyręcza człowieka. Pojęcie narzędzi hackerskich. Oprogramowanie służące do popełniania przestępstw skierowanych przeciwko ochronie informacji określane jest zbiorczym mianem narzędzi hackerskich, choć nie służą one jedynie sprawcom włamań do systemów komputerowych. Swoim zakresem obejmują szeroką gamę 1 K. Gienas, Cyberprzestępczość, Jurysta 2003 nr 12 s. 9 10 Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej Wydział Prawa, Administracji i Ekonomii Uniwersytet Wrocławski Opublikowane: 20 września 2004

programów umożliwiających naruszenie integralności danych, sparaliżowanie pracy systemu komputerowego, usunięcie zabezpieczeń chroniących utwory w rozumieniu prawa autorskiego rozpowszechnianych w sieci. W Internecie dostępnych jest wiele witryn, na których umieszczone zostało oprogramowanie służące do popełniania przestępstw przeciwko ochronie informacji. W publikacjach poświęconych bezpieczeństwu sieciowemu pojawia się także określenie alternatywne dla narzędzi hackerskich a mianowicie cyberbroń (cyberweapon) 2. Można wyróżnić cyberbroń o charakterze ofensywnym, defensywnym ( np. firewalle ) a także narzędzia spełniające równocześnie obie te funkcje ( programy skanujące porty IP, oprogramowanie służące do łamania kodów ). Ofensywna grupa narzędzi wykorzystywana jest jedynie do ataku lub wyrządzenia szkody, z kolei defensywne chronią systemy komputerowe i znajdujące się w nich dane przed ingerencją osób trzecich. Do grupy ofensywnych narzędzi hackerskich należałoby zaliczyć : wirusy, robaki, konie trojańskie, exploity, narzędzia do ataków denial of service oraz usuwające zabezpieczenia techniczne chroniące utwory rozpowszechniane w Internecie. Popularność narzędzia te zawdzięczają prostej obsłudze i wyręczaniu sprawcy w większości etapów przestępstwa. Niektóre z nich wymagają jedynie wskazania komputera potencjalnej ofiary, reszta czynności wykonywana jest przez automatyczny skrypt bez bezpośredniego udziału sprawcy. Pesymistyczne przewidywania zakładają proces automatyzacji niektórych grup przestępstw 3. Futurystyczne wizje kryminologów przyjmują, że do popełnienia większości przestępstw w sieci wystarczające będzie ściągnięcie odpowiedniego pakietu oprogramowania. Sam program wykona kolejne kroki prowadzące do dokonania przestępstwa. W praktyce będzie to oznaczało, że sprawca nie będzie znał ani tożsamości ofiary ani rodzaju dokonanego przestępstwa. Jedynym śladem przestępczego nadużycia będzie przykładowo osiągnięcie przez sprawcę korzyści majątkowej (funduszy przelanych automatycznie na jego internetowe konto). Prawno-karne aspekty narzędzi hackerskich. Narzędzia hackerskie w świetle postanowień Konwencji Rady Europy dotyczącej cyberprzestępczości z 2001 roku. W rezultacie pojawiają się szczególnie istotne z punktu widzenia prawa karnego pytania. Czy zakazać produkcji i rozpowszechniania narzędzi hackerskich? Jakie będą rzeczywiste efekty wprowadzenia regulacji limitujących ich obecność w Internecie? 2 D. Denning, Reflections on Cyberweapons controls, Computer Security Journal Vol. XVI No. 4 Fall 2000, s. 43-44. 3 D. Parker, Automated Crime, http://www.infosecuritymag.com/articles/1999/autocrime.shtml 2

Wprowadzenie adekwatnych regulacji powinno przyczynić się do zmniejszenia liczby przestępstw przeciwko ochronie informacji w Internecie. Częściową odpowiedź na postawione powyżej pytania przynosi Konwencja Rady Europy dotycząca cyberprzestępczości, zakładając wprowadzenie do ustawodawstw karnych nowego typu przestępstw polegających na produkcji i rozpowszechnianiu narzędzi hackerskich w Internecie 4. Zgodnie z art. 6 punkt 1 Konwencji każda Strona podejmie środki ustawodawcze i inne, niezbędne do ustanowienia w jej prawie krajowym przestępstw polegających na umyślnej i bezprawnej : a. produkcji, sprzedaży, dostarczaniu w celu używania, sprowadzaniu, rozpowszechnianiu lub innym udostępnianiu : (i) urządzenia, w tym także programu komputerowego przeznaczonego lub przystosowanego głównie w celu popełnienia któregokolwiek z przestępstw określonych w artykułach od 2 do 5 ( przepisy te obejmują regulację hackingu, podsłuchu komputerowego, naruszenia integralności danych oraz sabotażu komputerowego ) (ii) hasła komputerowego, kodu dostępu lub podobnych danych, dzięki którym całość lub część systemu informatycznego jest dostępna z zamiarem wykorzystania w celu popełnienia przestępstw określonych w artykułach od 2 do 5 Konwencji W myśl postanowień konwencyjnych kryminalizowane byłoby także posiadanie narzędzi hackerskich z zamiarem wykorzystania ich w celu popełnienia przestępstw z art. 2 5 Konwencji. Opcjonalnym warunkiem jest wprowadzenie minimalnej liczby narzędzi, których posiadanie będzie przesądzać o popełnieniu przestępstwa (ograniczenie oparte wyłącznie o kryterium ilościowe). Dystrybucja oznacza aktywne udostępnianie narzędzi hackerskich innym użytkownikom ( np. za pośrednictwem poczty elektronicznej), z kolei udostępnianie owych narzędzi jest równoznaczne z umieszczaniem ich w Internecie na użytek innych 5. Udostępnianiem będzie tworzenie kompilacji linków (odnośników), umożliwiających dotarcie do narzędzi. Strony Konwencji nie zostały zobligowane do wprowadzenia przepisów karnych odpowiadających brzmieniu całego art. 6 Konwencji. Każda ze stron może zastrzec sobie prawo do nie stosowania punktu 1 art. 6 Konwencji, pod warunkiem, że nie dotyczy to sprzedaży, rozpowszechniania lub innego udostępniania elementów wymienionych w punkcie 1 litera a ( ii ). Wymaga podkreślenia, że przestępstwa z art. 6 Konwencji można dokonać działając tylko z zamiarem bezpośrednim. 4 Tekst Konwencji dostępny w serwisie Vagla.pl http://www.vagla.pl/skrypts/cybercrime_konwencja.html 5 EUROPEAN COMMITTEE ON CRIME PROBLEMS (CDPC) Draft Explanatory Memorandum to the Draft Convention on Cybercrime - oficjalny komentarz do Konwencji Rady Europy 59 3

Jak podkreśla D. Denning regulacje prawno-karne obecnie z reguły pomijają problem tzw. cyberbroni (cyber-weapons), do których można zaliczyć programy umożliwiające przeprowadzenie ataku denial of service lub wirusy komputerowe 6. Główny nacisk kładzie się bowiem na sam fakt używania takich narzędzi, pozostawiając niejako na uboczu ich produkcję, rozpowszechnianie i posiadanie. Jedynie niektóre państwa europejskie zdecydowały się na wprowadzenie do swoich ustawodawstw regulacji odnoszących się do narzędzi hackerskich (Włochy, Szwajcaria) 7. Chodzi zwłaszcza o zakazy rozpowszechniania kodów dostępu do złamanych przez hackerów usług oraz tworzenie i pomoc przy pisaniu wirusów (Szwajcaria) 8. W innych krajach pozostaje jedynie możliwość odwołania się do podstawowych instytucji prawa karnego jako podstaw ewentualnej odpowiedzialności osób udostępniających w sieci narzędzia tego typu 9. Konwencja w przypadku kryminalizacji posiadania hasła komputerowego, kodu dostępu lub podobnych danych, dzięki którym całość lub część systemu informatycznego jest dostępna z zamiarem wykorzystania w celu popełnienia przestępstw przeciwko ochronie informacji zezwala stronom na wprowadzenie w ustawach karnych wymogu posiadania przez sprawcę pewnej liczby elementów jako warunku odpowiedzialności karnej. Wydaje się, że wprowadzenie owego opcjonalnego warunku odnośnie posiadania narzędzi hackerskich byłoby możliwe jedynie poprzez wprowadzenie w kodeksie karnym przepisu kryminalizującego posiadanie narzędzi w znacznej ilości. Samo wprowadzenie zakazu posiadania narzędzi służących do popełniania przestępstw przeciwko ochronie informacji w Internecie może natrafić na pewne problemy natury praktycznej. W szczególności chodzi o możliwość udowodnienia sprawcy posiadającemu na twardym dysku programy komputerowe zamiaru popełnienia przestępstwa. Argumenty za i przeciwko wprowadzeniu odpowiednika art. 6 ust. 1 Konwencji. Nawet jeśli uznać problem narzędzi hackerskich za drugorzędny z punktu widzenia prawa karnego w chwili obecnej, perspektywicznie należy zwrócić uwagę na rozwój 6 D. Denning, Obstacles and Options for Cyber Arms Controls, referat przedstawiony na konferencji Arms Control in Cyberspace Berlin 29-30 czerwca 2001 http://www.cs.georgetown.edu/`denning 7 A. Adamski, Przestępczość w cyberprzestrzeni. Prawne środki przeciwdziałania zjawisku w Polsce na tle projektu konwencji Rady Europy, Toruń 2001, s. 40-41. 8 Przyjąć należy, że wirus komputerowy został objęty zakresem art. 6 konwencji, co implikuje wprowadzenie odpowiedniej regulacji w polskim kodeksie karnym. 9 W świetle prawa francuskiego produkcja i rozpowszechnianie w Internecie narzędzi hackerskich nie jest przestępstwem. Osoby udostępniające tego typu programy mogą zostać pociągnięte do odpowiedzialności jedynie jako współsprawcy przestępstwa dokonanego za ich pomocą. Por. S. Dussolier, Situating legal protections for copyright-related technological measures in the broader legal landscape: ANTI CIRCUMVENTION PROTECTION OUTSIDE COPYRIGHT General Report, referat przedstawiony na konferencji Adjuncts and Alternatives to Copyright Nowy York 13-17 czerwiec 2001 s. 14. 4

technologiczny. Upowszechnienie się takich innowacji bez wątpienia doprowadzi do sytuacji, w której użycie narzędzi hackerskich może stanowić bezpośrednie zagrożenie dla życia i zdrowia ludzkiego 10. D. Denning wskazuje argumenty przemawiające za i przeciwko ewentualnemu wprowadzeniu kryminalizacji narzędzi hackerskich 11. Przeciwko wprowadzeniu kryminalizacji narzędzi hackerskich przemawiają następujące argumenty : - regulacja taka będzie bardzo trudna do wprowadzenia w życie Praktyczne egzekwowanie zakazu produkcji i rozpowszechniania narzędzi hackerskich w Internecie może okazać się nieefektywne. Próba eliminacji z Internetu narzędzi hackerskich z pewnością spowoduje powstanie czarnego rynku oprogramowania. Dostęp do narzędzi zostanie z pewnością ograniczony i będą one dostępne jedynie dla wybranych użytkowników np. poprzez hasła dostępu do stron hackerskich lub wykorzystywanie steganografii. Powstać może swoiste internetowe podziemie, profesjonalnie zajmujące się sprzedażą narzędzi. Z pewnością dostęp do większości z narzędzi hackerskich będzie wiązał się z opłatami ( obecnie każdy może bezpłatnie pobrać z Internetu interesujące go oprogramowanie ). Nie wolno zapominać także o specyfice Internetu wprowadzenie zakazu w ustawodawstwach karnych części państw spowoduje przeniesienie witryn hackerskich na serwery państw zezwalających na takie zachowania ( tak jak ma to obecnie miejsce w przypadku propagowania rasizmu w Internecie ).Trudności może sprawiać także wypracowanie zasad międzynarodowej kontroli nad egzekwowaniem zakazu w praktyce. - zdefiniowanie zakresu dozwolonego użytku programów kwalifikowanych jako narzędzia hackerskie jest praktycznie niemożliwe Odróżnienie kategorii szkodliwych narzędzi od tych programów, które w rzeczywistości przynoszą więcej korzyści niż szkód może być utrudnione. Ścisłemu rozgraniczeniu tych dwóch grup narzędzi hackerskich stoi na przeszkodzie wykorzystywanie części ich przez uprawnione osoby w celu testowania stabilności systemów komputerowych. Wspomniane już pakiety do ataków typu denial of service pozwalają ocenić stopień zabezpieczeń systemu przed tego rodzaju nadużyciami. W praktyce to właśnie symulowane próby ataku odgrywają istotną rolę w procesie 10 Choć obecnie prognozy te można uznać za przesadne, należy wziąć pod uwagę rozwój technologiczny a zwłaszcza zastosowanie systemów informatycznych w medycynie. Por. D. Denning, Reflections..., op. cit., s. 43-44. 11 D. Denning, Reflections..., op. cit., s. 53. 5

analizy zabezpieczeń informatycznych. Z drugiej strony narzędzia skuteczne przy monitorowaniu systemu bywają wykorzystywane przez hackerów. Podczas prac nad Konwencją wskazywano na możliwość, choć z pewnością niezamierzoną przez jej twórców, objęcia zakazem karnym większości programów wykorzystywanych przez administratorów systemu 12. Narzędzia stworzone w celu legalnego testowania lub ochrony systemów komputerowych nie powinny być uznane za narzędzia hackerskie w rozumieniu przepisów prawa karnego. Przykładowo programy służące do testowania stabilności systemów produkowane w celu ich legalnego wykorzystywania nie mieszczą się w zakresie kryminalizacji art. 6 Konwencji 13. Ostateczna wersja art. 6 Konwencji zawiera punkt 2, zgodnie z którym niniejszy artykuł nie powinien być interpretowany jako przewidujący odpowiedzialność karną w przypadku, gdy produkcja, sprzedaż, dostarczanie w celu używania, sprowadzanie, rozpowszechnianie lub inne udostępnianie wymienione w punkcie 1 niniejszego artykułu, nie ma na celu popełnienia przestępstwa określonego w art. 2 5 Konwencji, lecz uprawnione testowanie lub ochronę systemu informatycznego. W toku prac nad Konwencją ścierało się kilka koncepcji rozwiązania problemu narzędzi hackerskich 14. Za zbyt wąski zakres regulacji uznano propozycje regulowania obecności w Internecie jedynie tych narzędzi, które zostały wytworzone wyłącznie w celu popełniania przestępstw, wyłączając z zakresu unormowań Konwencji narzędzi o tzw. podwójnej naturze (stosowanych zarówno przez hackerów jak i administratorów systemu). Zdaniem części specjalistów rozwiązanie takie doprowadziłoby do wielu problemów natury praktycznej, a w szczególności związanych z udowodnieniem zamiaru twórcy programu, sprowadzającym się do wykorzystywania go w przestępczych celach. Niemożliwe byłoby również sformułowanie ogólnych zasad przemawiających za tym, że dane narzędzie stworzono wyłącznie do przestępczego wykorzystania. Określenie wyłącznie mogłoby prowadzić do sytuacji, w której za narzędzie hackerskie nie mógłby być uznany program, który choć umożliwia popełnianie przestępstw posiada również inne właściwości wykorzystywane w celach zgodnych z prawem. Wprowadzenie takiego zastrzeżenia pozostawiłoby ów zapis martwą regulacją a stosowanie go w praktyce pociągałoby więcej komplikacji niż efektów pozytywnych. Alternatywą dla tej propozycji było oparcie regulacji narzędzi hackerskich na kryteriach subiektywnych bądź obiektywnych. W pierwszym przypadku zakresem regulacji objęte zostałyby wszystkie programy, które mogą zostać wykorzystane do popełnienia przestępstwa w Internecie. Nieistotny 12 Co spotkało się z wyraźnym sprzeciwem środowisk naukowych ( związanych z bezpieczeństwem sieciowym ) oraz administratorów sieci. 13 Oficjalny komentarz do Konwencji Rady Europy..., op. cit., 64 14 Oficjalny komentarz do Konwencji Rady Europy..., op. cit.. 60 6

pozostawałby fakt, że część owych narzędzi jest równocześnie legalnymi programami. Trudno wymagać od producenta oprogramowania, że z góry przewidzi wszystkie możliwości zastosowania swojego produktu. Przyjęcie takiej regulacji prowadziłoby do iście paranoicznej sytuacji, w której w pełni legalne oprogramowanie byłoby jednocześnie objęte restrykcjami prawa karnego. Powodem stosowania w stosunku do nich przepisów prawa karnego byłby fakt, że część użytkowników stosuje je w celach nielegalnych ( które nie są przecież zamierzeniem firmy wypuszczającej na rynek dany produkt ). W tej sytuacji jedynym w miarę realnym rozwiązaniem pozostało przyjęcie kryterium obiektywnego, czyli za narzędzia hackerskie zostaną uznane te programy, które przeciętny użytkownik sieci może uznać za przydatne do popełniania przestępstw. Problem tkwi w tym, w jaki sposób oddzielić narzędzia szkodliwe od tych, które pozostają użyteczne w pracy administratora systemu. Z pewnością nie wystarczy prosty podział na narzędzia ofensywne ( np. wirus ) i defensywne (np. firewall ). Administratorzy często używają do testowania stabilności systemu oprogramowania analogicznego z tym, którym posługują się hackerzy. Nic nie jest w stanie zweryfikować poziomu bezpieczeństwa danych tak jak symulowany atak. Aby być na bieżąco z aktualnymi zagrożeniami administrator sięga nierzadko do nowości publikowanych na stronach hackerskich. W tej sytuacji pojawia się dylemat- czy zakazać tworzenia i posiadania takich programów? W jaki sposób oceniać poziom ich ewentualnej szkodliwości czy też użyteczności dla funkcjonowania systemów komputerowych? Można kierować się badaniami statystycznymi, obecnością danych programów na stronach hackerskich, a w najdalej posuniętej koncepcji zamiarem jaki towarzyszył twórcy danego narzędzia. Wyżej wskazane możliwości mogą okazać się jednak nieefektywne w praktyce. Nie ma możliwości całkowitego rozdzielenia narzędzi hackerskich, których posiadanie byłoby nielegalne od programów służących do testów wytrzymałościowych systemów dokonywanych przez administratorów. Zawsze znajdzie się program, który będzie wywoływać kontrowersje. Zmylić może także kwalifikowanie programu, biorąc pod uwagę źródło jego pochodzenia niektóre programy wykorzystywane przez internetowych przestępców są produktami renomowanych, bynajmniej nie związanych z cyberprzestępczością firm 15. - olbrzymie koszty wprowadzenia w życie zakazu rozpowszechniania w Internecie narzędzi hackerskich. Efektywne egzekwowanie zakazu produkcji i rozpowszechniania narzędzi hackerskich będzie wiązać się z olbrzymimi kosztami. Zdaniem wielu specjalistów z dziedziny bezpieczeństwa 15 Nawet zawieszenie się programu Windows może skutkować zniszczeniem danych 7

sieciowego o wiele bardziej efektywniejsze byłoby przeznaczenie choć części owych wydatków na prewencję, wykrywanie i obronę przed atakami przeciwko bezpieczeństwu informacji 16. - zakaz może budzić wątpliwości z punktu widzenia wolności słowa Zwłaszcza z punktu widzenia amerykańskiego prawa konstytucyjnego zarówno kod źródłowy jak i automatyczne skrypty uznawane są za przejawy wolności słowa 17. Jak dotychczas europejskie orzecznictwo nie zajęło stanowiska w tej sprawie mimo tego wydaje się, że kwalifikacja kodu źródłowego programu komputerowego jako przejawu wolności słowa wydaje się uzasadniona. Pojawić mogą się problemy natury praktycznej związane z narzędziami hackerskimi (w skład których Konwencja zalicza także program komputerowy). Ścisłe rozgraniczenie tego co jest jeszcze informacją dotyczącą narzędzi hackerskich ( wchodzącą w skład chronionej konstytucyjnie wolności słowa ), a co już narzędziami nie jest możliwe. Jak bowiem traktować taki kod źródłowy programu, który nie jest bezpośrednio rozumiany przez komputer lub opisy, których choć nie można uznać za kod źródłowy programu, w prosty sposób mogą zostać przekształcone przez przeciętnego użytkownika w narzędzie hackerskie? 18. Za wprowadzeniem nowej regulacji przemawia : - zmniejszenie liczby ataków skierowanych przeciwko bezpieczeństwu informacji przetwarzanych elektronicznie, przy czym równocześnie ujawnienie i naprawa wad systemów będzie o wiele trudniejsza Choćby częściowa eliminacja narzędzi hackerskich z Internetu równoznaczna będzie z redukcją ilości przestępstw przeciwko ochronie informacji przetwarzanej elektronicznie, zwłaszcza jeśli chodzi o sprawców posiadających niewielką wiedzę z zakresu informatyki. Odebranie narzędzi tej grupie internetowych przestępców powinno prowadzić do zwiększenia bezpieczeństwa działalności gospodarczej prowadzonej za pośrednictwem Internetu. Nie można jednakże pomijać faktu, że wprowadzenie do ustawodawstw krajowych odpowiednika art. 6 Konwencji równocześnie przyczynić może się do zmniejszenia liczby ujawnionych wad systemów komputerowych. - bezpośrednie wskazanie na wysoką szkodliwość wykorzystywania i tworzenia wirusów komputerowych 16 D. Denning, Reflections..., op. cit., s. 56-57. 17 Kod źródłowy programu to jego zapis w języku programowania, aby został rozpoznany przez komputer musi nastąpić proces tzw. kompilacji czyli przekształcenia go w kod maszynowy. Jeśli kod nie zostanie skompilowany w postać kodu maszynowego, nie jest on zrozumiały dla komputera. Niemniej jednak programista potrafi rozpoznać kod źródłowy, bez potrzeby uruchamiania go. Powstaje pytanie, odnoszące się do stosunku prawa do kodu źródłowego programu. Czy powinien być traktowany na równi z samym programem? Przesłanie kodu źródłowego wirusa za pośrednictwem załącznika e-maila nie powoduje naruszenia integralności systemu. Dopóki nie zostanie on skompilowany, o destrukcyjnych skutkach działania programu nie ma mowy. Niemniej jednak sam proces kompilacji w wielu przypadkach jest działaniem niemal mechanicznym i nie wymaga od programisty specjalnych umiejętności. 18 D. Denning, Reflections..., op. cit., s. 52. 8

Jak podkreśla A. Adamski dalsze utrzymywanie obecnej regulacji (a raczej braku regulacji) przyczyniać będzie się do wzmocnienia poczucia bezkarności osób zajmujących się tworzeniem wirusów i innych narzędzi hackerskich 19. Wprowadzenie do kodeksu karnego odpowiednich regulacji przekreśli ten stan i przyczyni się do zmniejszenia skali zjawisk patologicznych związanych z narzędziami hackerskimi (np. testowanie działania wirusa na internetowych serwisach komercyjnych ), przy czym nie można przyjmować iż prawo karne będzie zapobiegać owym naruszeniom w całej rozciągłości 20. Narzędzia hackerskie w świetle polskiego kodeksu karnego. Wśród zmian wprowadzonych nowelą z 18.3.2004 r. o zmianie ustawy - Kodeks karny, ustawy - Kodeks postępowania karnego oraz ustawy - Kodeks wykroczeń przewidziano również wprowadzenie w rodzimym prawie odpowiednika art. 6 Konwencji, regulującego kwestię tworzenia i rozpowszechniania narzędzi hackerskich. Zgodnie z art. 269b 1 kodeksu karnego - kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 1 pkt 4, art. 267 2, art. 268a 2 lub 3 w związku z 2, art. 269 2 albo 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej podlega karze pozbawienia wolności do lat 3. W razie skazania za przestępstwo określone w 1, sąd orzeka przepadek określonych w nim przedmiotów. Sąd może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy ( art. 269b 2 kk ). Z zakresu kryminalizacji narzędzi hackerskich zostały wyłączone programy przydatne przy włamaniach do systemów komputerowych ( art. 267 1 kk hacking ). Pozostaje to w wyraźnej sprzeczności z postanowieniami Konwencji. Brak racjonalnych argumentów przemawiających za pominięciem hackingu zakresem art. 269b, zwłaszcza w sytuacji gdy przestępstwo z art. 267 1 kk z reguły zostaje popełniane właśnie przy zastosowaniu odpowiednich programów komputerowych. Objęcie zakresem art. 269b haseł komputerowych, kodów dostępu lub innych danych umożliwiających dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej nie można uznać za wystarczającą w przypadku pominięcia art. 267 1 kk. Jak przyjmuje się powszechnie, przestępstwo hackingu w świetle obecnej regulacji kodeksu karnego opiera się nie tyle na uzyskaniu nieuprawnionego dostępu do systemu a uzyskaniu informacji przez osobę, która nie jest do tego upoważniona 21. Omawiany 19 A. Adamski, Przestępczość..., op. cit., s. 44. 20 W sektorze teleinformatycznym rola prawa karnego jest raczej drugorzędna. W pierwszym rzędzie należy skupić się na możliwościach technicznych zapobiegania nadużyciom skierowanym przeciwko ochronie informacji. 21 A. Adamski, Prawo karne komputerowe, Warszawa 2000, s. 47-49. 9

przepis nie przewiduje wprowadzenia karalności posiadania narzędzi hackerskich, w kwestii tej Konwencja pozostawiła poszczególnym państwom wolną rękę. Jak słusznie zauważa A. Adamski niejako zostaje to zrekompensowane przez wprowadzenie karalności pozyskiwania narzędzi hackerskich 22. Art. 269b kk różni się od swojego pierwowzoru, art. 6 Konwencji Rady Europy, ujęciem strony podmiotowej przestępstwa. W świetle rodzimej regulacji wystarczającym dla przyjęcia popełnienia czynu z art. 269b kk będzie działanie sprawcy zamiarem ewentualnym. Konwencja zakłada iż sprawca czynów związanych z narzędziami hackerskimi będzie odpowiadał karnie jedynie w sytuacji, gdy działał w zamiarze bezpośrednim. Największą wadą art. 269b kk jest brak regulacji wskazującej wyraźnie, że nie popełnia przestępstwa osoba wykorzystująca narzędzia hackerskie w celu testowania stabilności systemu informatycznego. Brak klauzuli uchylającej bezprawności pozostaje w sprzeczności z postanowieniami Konwencji Rady Europy, nie zapewniając tym samym odpowiedniego poziomu ochrony osobom zajmującym się zawodowo bezpieczeństwem sieci komputerowych. Wnioski końcowe. Choć Konwencja de facto rozszerza zakres kryminalizacji przestępstw przeciwko ochronie informacji o fazę przygotowania, samo uzupełnienie art. 267, 268, 268a, 269, 269a kodeksu karnego o paragraf Kto czyni przygotowanie do przestępstwa określonego w 1 podlega karze... nie spełni wymogu dostosowania polskiego prawa do postanowień Konwencji 23. Zdaniem autora zasadną pozostaje obawa iż obecne brzmienie art. 269b kk z punktu widzenia osób zajmujących się zawodowo zagadnieniami bezpieczeństwa sieciowego, może okazać się przejawem nadmiernej kryminalizacji życia społecznego. Stosowanie przepisu zgodnie z jego literalnym brzmieniem doprowadziłoby do bardzo negatywnych skutków. Biorąc to pod uwagę, omawiany przepis kodeksu karnego w tym względzie powinien zostać uzupełniony o odpowiednią klauzulę niekaralności osób wykorzystujących narzędzia hackerskie, w celu uprawnionego testowania zabezpieczeń systemów komputerowych. W przeciwnym wypadku stosowanie art. 269b w praktyce nastręczać będzie wiele wątpliwości. 22 A. Adamski, Rządowy projekt dostosowania kodeksu karnego do Konwencji Rady Europy, referat przedstawiony na konferencji Secure 2003 23 Zakres art. 6 konwencji jest zbyt szeroki by wprowadzić zmiany dostosowujące prawo polskie do Konwencji jedynie poprzez dodanie paragrafu stanowiącego o karalności przygotowania do przestępstwa 10

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres