Dyrektywa Parlamentu Europejskiego i Rady z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW - próba oceny Dr hab. Andrzej Adamski, prof. UMK
Cele Dyrektywy plan prezentacji Harmonizacja prawa i związane z nią kontrowersje Katalog cyberprzestępstw Dyrektywa a polskie ustawodawstwo karne Kary i okoliczności powodujące ich zaostrzenie Ocena Dyrektywy na tle aktualnych tendencji cyberprzestępczości
Preambuła Cele Dyrektywy zbliżenie prawa karnego państw członkowskich w dziedzinie ataków na systemy informatyczne, przez ustanowienie zasad minimalnych dotyczących definicji przestępstw i odpowiednich kar, poprawa współpracy między właściwymi organami, w tym policją i innymi wyspecjalizowanymi organami ścigania w państwach członkowskich, a także właściwymi wyspecjalizowanymi agencjami i organami Unii takimi jak Eurojust, Europol i Europejskie Centrum ds. Walki z Cyberprzestępczością oraz Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA). Artykuł 1 Przedmiot Niniejsza dyrektywa ustanawia minimalne normy dotyczące określania przestępstw i kar w dziedzinie ataków na systemy informatyczne. Ma ona również na celu ułatwienie zapobiegania takim przestępstwom i usprawnienie współpracy między organami sądowymi i innymi właściwymi organami.
Historia harmonizacji prawa karnego państw UE w zakresie zwalczania cyber-ataków (2001-2010) Proposal for a Council Framework Decision on combating serious attacks against information systems of 5.10.2001 cel: walka ze zorganizowaną przestępczością i terroryzmem, Decyzja ramowa 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne, harmonizacja prawa w stosunkowo wąskim zakresie : haking, wirusy i DOS; 2008 r. pozytywna ocena implementacji DR przez Komisję Europejska (w 20 MS) 2009 r. - koncepcja zastąpienia DR 2005/222/WSiSW Dyrektywą, dwie przyczyny: 1.12.2009 wejście w życie Traktatu Lizbońskiego, masowe cyberataki - w Estonii i na Litwie (2007 i 2008); 2008/2009 Conficker infekuje systemy informatyczne departamentów obrony Francji, Niemiec i Zjednoczonego Królestwa; marzec 2009 atak botnetów (spyware) na systemy komputerowe rządów i organizacji prywatnych 103 państw, w tym UE. IX 2010 wniosek dyrektywy z zakresu prawa karnego; która ma zastąpić decyzję ramową Rady 2005/222/WSiSW w sprawie ataków na systemy informatyczne.
Wniosek - DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY dotycząca ataków na systemy informatyczne i uchylająca decyzję ramową Rady 2005/222/WSiSW {SEC(2010) 1122 final} przewidywał rozszerzenie zakresu kryminalizacji zamachów na bezpieczeństwo informatyczne oraz zaostrzenie represji karnej za tego rodzaju czyny. inkorporował 3 kategorie zamachów z DR 2005 (nieuprawniony dostęp, ingerencję w system, ingerencję w dane) poszerzał katalog przestępstw p-ko bezpieczeństwu danych i systemów informatycznych o przechwytywanie przekazów informacji oraz nadużycie narzędzi. nie był instrumentem szczególnie oryginalnym na tle konwencji Rady Europy o cyberprzestępczości z 2001 r. nawiązywał do planów Komisji z 2001r., które obejmowały podobną listę przestępstw (nieuprawniony dostęp, ingerencja w system, ingerencja w dane, podsłuch komputerowy oraz kradzież tożsamości ). uwzględniał nowe metody popełniania cyberprzestępstw, w szczególności wykorzystanie botnetów (zaostrzona karalność).
Kontrowersje dotyczące zakazu nielegalnego dostępu do systemu Komentarz do wniosku Dyrektywy z 2010 r. : Starting with the types of conduct already provided for in the framework decision, it is to be noted that the proposed directive expands the ambit of illegal access to information systems, as it no longer recognizes each member State s discretion to confine the proscribed conduct to situations where the offense is committed by infringing a security measure. Rozszerzenie zakresu karalności nieuprawnionego dostępu w wyniku pominięcia warunek karalności w postaci naruszenia zabezpieczeń przez sprawcę; Jednolity standard normatywny bezprawnego uzyskania dostępu do systemu informatycznego, który w odróżnieniu od Konwencji RE o cyberprzestępczości (art.2) i DR 2005 (art. 2) w zasadzie nie dopuszczał możliwości indywidualnego kształtowania warunków karalności tego czynu przez ustawodawców krajowych. Propozycja ta wywołała sprzeciw Austrii, Czech, Francji, Hiszpanii, Litwy, Łotwy i Niemiec. sceptyczne nastawienie Niemiec do kryminalizacji czystego hakingu, (art. 202a k.k. RFN chroni dane, a nie system)
Ustawodawstwo krajowe - dwa schematy penalizacji hakingu Naruszenie zabezpieczeń systemu Wymóg bezwzględny Austria, Cypr, Czechy, Estonia, Grecja, Hiszpania, Finlandia, Litwa, Łotwa, Niemcy, Polska i Węgry Okoliczność zaostrzająca karalność, bądź alternatywny warunek karalności Portugalia, Holandia, Włochy, Chorwacja Brak wymogu naruszenia zabezpieczeń uzyskanie nieuprawnionego dostępu Bułgaria, Dania, Irlandia, Luksemburg, Malta, Polska, Słowacja, Słowenia, Szwecja i UK podstępne lub oszukańcze uzyskanie nieuprawnionego dostępu Belgia, Francja
Zakaz nielegalnego dostępu do systemu w Dyrektywie /40/UE 2010 Art. 3 Państwa członkowskie podejmują środki niezbędne dla zagwarantowania, by umyślne i bezprawne uzyskanie dostępu do całości lub części systemu informatycznego było karalne jako przestępstwo, przynajmniej w przypadkach, które nie są przypadkami mniejszej wagi. 2013 Art. 3 Państwa członkowskie podejmują środki niezbędne do zagwarantowania, by umyślne i bezprawne uzyskiwanie dostępu do całości lub jakiejkolwiek części systemu informatycznego, było karalne jako przestępstwo w przypadku, gdy zostało ono popełnione z naruszeniem środków bezpieczeństwa, co najmniej w przypadkach, które nie są przypadkami mniejszej wagi.
Dyrektywa 2013 a DR 2005 - różnice Ograniczenie zakresu karalności hakingu Naruszanie środków bezpieczeństwa warunkiem karalności nielegalnego dostępu Rezygnacja z karalności usiłowania. Nowe zakazy: Podsłuch komputerowy (przechwytywanie danych w trakcie transmisji/ emisji) Dot. narzędzi przestępstwa wytwarzanie, sprzedaż, dostarczanie w celu użycia, przywóz, posiadanie, rozpowszechnianie lub udostępnianie w inny sposób. Wyższe minima górnych zagrożeń karnych co najmniej 2 lata pozbawienia wolności (było: od 1 3 lat) Okoliczności obciążające (zaostrzenie karalności) minimalne górne zagrożenie ustawowe 5 lat pozbawienia wolności za: popełnienie przestępstwa z art. 4 i 5 w ramach organizacji przestępczej, popełnienie przestępstwa z art. 4 i 5 powodującego znaczne szkody popełnione przeciwko systemowi informatycznemu o charakterze infrastruktury krytycznej. minimalne górne zagrożenie ustawowe 3 lata pozbawienia wolności za: popełnienie przestępstwa z art. 4 i 5 z wykorzystaniem botnetu
Kradzież tożsamości jako okoliczność obciążająca 2010 Minimalne górne zagrożenie karą 5 lat pozbawienia wolności za: popełnienie przestępstwa z art. 3-6 przez sprawcę ukrywającego swoją prawdziwą tożsamość i narażającego na podejrzenia osobę, której tożsamość sprawca wykorzystał. 2013 Uznanie za okoliczność obciążającą niewłaściwego użytkowania danych osobowych innej osoby w celu uzyskania zaufania osoby trzeciej, i wyrządzenia przez to szkody prawowitemu posiadaczowi tej tożsamości w przypadku popełnienia przestępstwa z art. 4 lub 5
Nieuprawniony dostęp do systemu komputerowego (przestępstwa stwierdzone przez policję) 2003 2004 2005 2006 2007 2008 2009 2010 2011 Finlandia 94 120 122 153 196 153 315 skazania 0 1 1 4 4 Portugalia 40 80 135 196 194 253 378 353 333 RFN 781 1 743 2 366 2 990 4 829 7 727 11491 15 190 15 726 Francja 416 617 1124 Polska 362 378 430 538 616 694 982 1194 1583
Polski kodeks karny - nowelizacja art. 267 k.k. ( 2008 r.) Dawny przepis Przepis obowiązujący Art. 267. 1. 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Art. 267. 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nie przeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Nowelizacja art. 267 k.k. ( 2008 r.) przepis wzorowany na Decyzji ramowej 2005/222/WSiSW Art. 267 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. Uzasadnienie projektu nowelizacji: Objęcie karalnością przypadków infekowania systemu komputerowego złośliwym oprogramowaniem (malware) w celu przejęcia kontroli nad systemem, jako narzędziem do bezprawnego wykorzystywania.
Average infection rates of ISPs across wider OECD area (2009) van Eeten, M. et al. (2010), The Role of Internet Service Providers in Botnet Mitigation: An Empirical Analysis Based on Spam Data, OECD Science, Technology and Industry Working Papers, 2010/05, OECD Publishing
Krok we właściwym kierunku? Z raportu CERT NASK za rok 2008: Tak jak w latach poprzednich, często nie jesteśmy w stanie zidentyfikować prawdziwego źródła ataku. Atakujący ukrywa się za serwerem Proxy, botnetem czy przejętą maszyną nieświadomej ofiary. Nastąpiła zmiana wektorów infekcji czyli sposobów, w jaki dochodzi do zarażania komputerów.[...] Teraz do zarażeń dochodzi najczęściej przez konie trojańskie lub złośliwy kod na stronach www.(s.14) Wyrok uniewinniający Sądu Rejonowego w Głogowie z 11 sierpnia 2008 roku w sprawie SQL injection. Biegły: przez wprowadzenie podanego wyżej ciągu znaków mężczyzna nie dokonał złamania zabezpieczeń bazy danych, w żaden sposób nie wpłynął na ich funkcjonowanie. Sąd: nie ponosi odpowiedzialności karnej osoba, która uzyskała dostęp do chronionych informacji, ale nie przełamała jej zabezpieczenia
Działanie bez uprawnienia Dyrektywa nie jest w tym zakresie spójna. Definicja działania w sposób bezprawny [without right], którą zawiera normatywna część Dyrektywy (art. 2d), za desygnat tego pojęcia uznaje oprócz postępowania niedozwolonego na mocy prawa krajowego także postępowanie na, które nie udzielił zgody właściciel lub inny posiadacz prawa do systemu lub jego części. Czy pracownik, który wbrew woli pracodawcy (zakaz regulaminowy) używa w miejscu pracy służbowego komputera do celów prywatnych (np. googlowania), popełnia przestępstwo z art. 267 2 k.k.?
Dyrektywa 2013, preambuła 17 Reguła interpretacyjna : naruszenie uzgodnień umownych m. pracodawcą a pracownikiem co do dostępu do systemów informatycznych pracodawcy i ich użytkowania do celów prywatnych (przez pracownika) nie powinno pociągać za sobą odpowiedzialności karnej, gdy dostęp w takich sytuacjach byłby uznawany za nieupoważniony, a zatem stanowiłby wyłączną podstawę do wszczęcia postępowania karnego.
Katalog cyberprzestępstw 2001-2013 2001 projekt DR 2005 DR 2010 wniosek D. 2013 Dyrektywa Nielegalny dostęp do systemu Nielegalny dostęp do systemu Nielegalny dostęp do systemu Nielegalny dostęp do systemu Nielegalna ingerencja w system Nielegalna ingerencja w system Nielegalna ingerencja w system Nielegalna ingerencja w system Nielegalna ingerencja w dane Nielegalna ingerencja w dane Nielegalna ingerencja w dane Nielegalna ingerencja w dane Nielegalne przechwytywanie danych Nielegalne przechwytywanie danych Nielegalne narzędzia do popełniania cyberprzestępstw Nielegalne narzędzia do popełniania cyberprzestępstw
Botnety Preambuła Dyrektywy: (13) Należy przewidzieć surowsze kary za ( ) za cyberataki przeprowadzane na wielką skalę, wpływające zatem na dużą liczbę systemów informatycznych, w tym mające na celu stworzenie botnetu, lub za cyberataki powodujące poważne szkody, w tym przeprowadzane z wykorzystaniem botnetu. - dwie przesłanki zaostrzenia kar: 1) za zbudowanie botnetu 2) za przeprowadzenie cyberataku z wykorzystaniem botnetu - W obu przypadkach górne zagrożenie karne przewidziane w ustawie nie powinno być niższe od 3 lat (pozbawienia wolności), np. od 1 roku do lat 5. Część normatywna Dyrektywy przewiduje zaostrzenie kar w przypadku dwóch rodzajów przestępstw: 1) nielegalnej ingerencji w dane 2) nielegalnej ingerencji w system
Bredolab charakterystyka botnetu Utworzony wiosną 2009 r. przez G. A. 27-letniego obywatela Armenii pochodzenia rosyjskiego który działał na terytorium Armenii i zarządzał botnetem przy pomocy 143 serwerów zlokalizowanych w Holandii i Francji. Główne przeznaczenie botu: kradzież haseł dostępu do kont bankowych i innych poufnych informacji umożliwiających nielegalne przechwytywanie danych (keylogery) i transferowanie środków pieniężnych. Zainfekowane komputery otrzymywały polecenie znalezienia haseł do serwera webowego. Umożliwiało to instalowanie malwaru na stronie internetowej. Jej odwiedziny mogły powodować zarażenie malwarem komputera odwiedzającego stronę. Reakcja łańcuchowa powodowała szybki wzrost liczby zainfekowanych komputerów w botnecie. G.A. wynajmował botnet cyberprzestępcom do rozpowszechniania malwaru, wysyłania spamu i prowadzenia ataków DDoS. Ze świadczonych usług czerpał korzyści majątkowe, które wg ustaleń prokuratury sięgały ok. 125 tys. USD miesięcznie. Bredolab został poddany oględzinom (sinkholing) przez wyspecjalizowaną jednostkę policji holenderskiej (NHTCU), która przejęła kontrolę nad botnetem w październiku 2010 r.
Bredolab - identyfikacja i skazanie botmastera Identyfikacja podejrzanego : podsłuch i analiza danych serwera VPN wykazała, że G.A. używał serwera również w celach nieprzestępczych ( np. korzystając z poczty elektronicznej, swojego konta na Facebooku oraz dostępu do rachunków bankowych). Aresztowany na lotnisku w Erewaniu na podstawie międzynarodowego listu gończego wystawionego przez NHTCU. Oskarżony o napisanie oprogramowania i zbudowanie botnetu składającego się z 30 mln komputerów na świecie. Skazany 21 maja 2012 r. wyrokiem sądu I instancji Armenii za kwalifikowany typ przestępstwa sabotażu komputerowego (art. 253 (3) k. k. ) na cztery lata kary bezwzględnego pozbawienia wolności.
Bredolab - podstawa kwalifikacji prawnej Article 253. Computer sabotage 1. Obliteration (sabotage) of computer data or software, isolation or making it unusable, spoilage of computer equipment or destruction of the computer system, network or on storage media, is punished with a fine in the amount of 300 to 500 minimal salaries, or with correctional labor for the term of up to 1 year, or with arrest for the term of 1-3, or with imprisonment for the term of up to 2 years. 2. The same action: 1) accompanied with access (penetration) into a computer system or network without permission; 2) negligently caused grave consequences, is punished with correctional labor for the term of up to 2 years, or with imprisonment for the term of up to 4 years. 3. The acts envisaged in part 1 or 2 of this Article which willfully caused severe consequences, are punished with imprisonment for 3-6 years. Początkowo liczba zarzutów była większa i obejmowała przestępstwa z art. 252 k.k. (ingerencja w dane), art. 254 k.k. (nielegalne uzyskanie danych) i art. 255 k.k. (tworzenie lub sprzedaż specjalnych narzędzi do nielegalnej penetracji systemów lub sieci komputerowych). Na skutek ogłoszonej w maju 2011 r. abolicji z okazji 20 rocznicy odzyskania niepodległości przez Armenię postępowanie karne w tym zakresie zostało umorzone.
Mariposa Botnet o szerokim spektrum zastosowań. Głównie przeznaczony do gromadzenia danych umożliwiających kradzież tożsamości (hasła i loginy, numery kart płatniczych, kody dostępu do kont na serwisach społecznościowych), również do wysyłania spamu i prowadzenia ataków typu DDoS. Autor oprogramowania 25 letni M.S. (aka Iserdo ) student medycyny ze Słowenii sprzedał licencję na program Mariposy m.in. trzem obywatelom Hiszpanii (aka Netkairo, Ostiatori Johnyloleante), którzy zainfekowali malwarem 13 mln komputerów, gromadząc dane osobowe 800 tys. użytkowników Internetu. Rozpoczęte w maju 2009 r. dochodzenie przez specjalną grupę operacyjną (policja hiszpańska, FBI, Panda Security, Defence Intelligence, Georgia Tech) doprowadziło w grudniu 2009 r. do przejcięcia serwerów C&C Mariposy i aresztowania jej hiszpańskich botmasterów. Kilkanaście miesięcy później w Słowenii zatrzymano Iserdo, który odrzucił propozycję dobrowolnego poddania się odpowiedzialności w zamian za współpracę z organami ścigania. Wniosek rządu USA o ekstradycję Iserdo nie został uwzględniony przez władze Słowenii z uwagi na konstytucyjny zakaz wydawania obywateli tego kraju obcemu państwu.
Coreflood Działał kilka lat, zainfekował 2 mln komputerów, głównie w USA. wyszukiwał dane osobowe i finansowe użytkowników zainfekowanych komputerów, instalował keyloger, przechwytywał sesje klient- bank, przelewał skradzione środki za granicę, najwyższa wartość jedn. szkody 900 tys. USD. sprawcy NN system przejęty przez Departament Sprawiedliwości i FBI w kwietniu 2011 r. procedura: pozew cywilny p-ko 13 nieznanym sprawcom ( John Doe ), sądowy nakaz przeszukania i zajęcia serwerów C&C w 29 domenach amerykańskich, zarządzenie tymczasowe sądu zezwalające organom ścigania na odpowiadanie na sygnały (ping) wysyłane przez zainfekowane komputery - cel: zatrzymanie pracy programu Coreflood na zarażonych komputerach (ochrona użytkowników przed dalszym ewentualnym pokrzywdzeniem), zablokowanie automatycznej aktualizacji Coreflood (umożliwienie producentom programów antywirusowych opracowanie sygnatur wirusa rozpoznających ostatnią wersję Coreflood) -- zawiadomienie ofiar Coreflood o zainfekowaniu komputerów przez FBI + instrukcja usunięcia szkodliwego programu z komputera. -- przekazanie przez FBI zagranicznych adresów IP komputerów zainfekowanych Coreflood organom policji odpowiednich państw.
Operacja b54 Czerwiec 2013 Przejęcie przez FBI kontroli nad 1492 botnetami Citadel rozrzuconymi po całym świecie. 455 serwerów C&C znajdowało się w 40 centrach przetwarzania danych w USA. Ośrodki dowodzenia pozostałymi botnetami były zlokalizowane poza Stanami Zjednoczonymi i miały swoje domeny w kilkudziesięciu krajach, głównie europejskich, w tym w Polsce. W ciągu 18 miesięcy bot Citadel zainfekował pięć milionów komputerów na świecie, co pozwoliło cyberprzestępcom ukraść ponad 500 milionów USD z rachunków bankowych osób prywatnych lub klientów biznesowych takich instytucji finansowych jak m.in. American Express, Bank of America, Citigroup, Credit Suisse, ebay's PayPal, HSBC, JPMorgan Chase, Royal Bank of Canada i Wells Fargo.
wnioski Proces harmonizacji prawa karnego państw członkowskich UE w dziedzinie zwalczania cyberataków przebiega wolno a rezultaty zapoczątkowanych 12 lat temu prac w tej dziedzinie są nader skromne. W istocie sprowadzają się do przyjęcia czterech standardów normatywnych, które definiują klasyczne zamachy na dane i systemy komputerowe, jakie przewiduje Konwencja Rady Europy o cyberprzestępczości z 2001 r. oraz większość ustawodawstw karnych państw UE, które ratyfikowały tę Konwencję. Prace nad projektem Dyrektywy ujawniły istotne różnice zdań między państwami członkowskimi UE wobec koncepcji budowania zuniformizowanych standardów prawnych nie uwzględniających specyfiki rozwiązań krajowych i związanych z nimi koncepcji prawnych w dziedzinie ochrony danych i systemów komputerowych środkami prawa karanego. Konsensus umożliwiający przyjęcie Dyrektywy osiągnięto kosztem przyjęcia słabszego standardu ochrony integralności systemu komputerowego przed nieuprawnionym dostępem od propowanego przez Komisję Europejską. Uznanie przez Dyrektywę wykorzystywania botnetów do działań przestępczych za okoliczność zaostrzającą karalność może być postrzegane jako przejaw nadążania prawa za rozwojem cyberprzestępczości. Bardziej chyba jednak w wymiarze symbolicznym niż praktycznym. Aktualne stosowane przez cyberprzestępców techniki maskowania własnej tożsamości i ukrywania miejsca, z którego prowadzą ataki uniemożliwiają ich identyfikację i lokalizację, a tym samym pociągnięcie do odpowiedzialności karnej. Zakazy i sankcje karne tracą użyteczność jako narzędzie kontroli zorganizowanej cyberprzestępczości. Doświadczenia amerykańskie dowodzą, realne efekty w walce ze zorganizowana przestępczości przynosi strategia polegająca na pozbawieniu cyberprzestępców narzędzi do popełniania przestępstw, w szczególności takich jak malware i botnety. Wdrożenie tej strategii wymaga przyjęcia określonych ram prawnych.