Priorytety polityki bezpieczeostwa Unii Europejskiej. Projekt dyrektywy o atakach na systemy informatyczne. Dr hab. Andrzej Adamski, prof. UMK Katedra Prawa Karnego i Polityki Kryminalnej
plan prezentacji Cyberbezpieczeostwo jako priorytet polityczny UE Projekt dyrektywy o atakach na systemy informatyczne na tle Decyzji ramowej 2005/222/WSiSW Problemy do dyskusji
Priorytety polityki bezpieczeostwa UE Cyberbezpieczeostwo Europejska Strategia Bezpieczeostwa (2008) Komunikat KE nt. ochrony Krytycznej Infrastruktury Informatycznej ( Ochrona Europy przed zakrojonymi na szeroką skalę atakami i zakłóceniami cybernetycznymi, 2009) Europejska Agenda Cyfrowa KOM(2010)245 Zwalczanie cyberprzestępczości Komunikat KE nt. ogólnej strategii zwalczania cyberprzestępczości (2007) Program Sztokholmski (2010) Strategia bezpieczeostwa wewnętrznego UE w działaniu: pięd kroków w kierunku bezpieczniejszej Europy (2010), cele: 1. poważne przestępstwa, przestępczośd zorganizowana 2. terroryzm 3. cyberprzestępczośd 4. kontrola granic zewnętrznych 5. zwiększanie odporności na klęski żywiołowe i katastrofy spowodowane przez człowieka fundamental threats to both the external and internal aspects of EU security
Strategia Bezpieczeostwa Wewnętrznego Unii Europejskiej CEL 3: Podniesienie poziomu ochrony obywateli i przedsiębiorstw w cyberprzestrzeni Działanie 1: Budowa zdolności w zakresie egzekwowania prawa i sądownictwa Utworzenie unijnego centrum ds. walki z cyberprzestępczością (2013) Rozwój potencjału dochodzeniowo-śledczego i ścigania przestępstw w dziedzinie cyberprzestępczości (2013) Działanie 2: Współpraca z przemysłem w celu wzmacniania pozycji obywateli i ich ochrony Stworzenie mechanizmów dla zgłaszania zawiadomieo o popełnieniu cyberprzestępstwa i wyposażenie obywateli w informacje na temat bezpieczeostwa cybernetycznego i cyberprzestępczości (w toku) Wytyczne dotyczące współpracy w zwalczaniu nielegalnych treści w Internecie (2011) Działanie 3: Poprawa zdolności reagowania na ataki cybernetyczne Utworzenie sieci zespołów ds. reagowania kryzysowego w dziedzinie informatycznej w każdym paostwie członkowskim oraz jednego zespołu dla instytucji UE, opracowanie krajowych planów awaryjnych i przeprowadzanie dwiczeo w zakresie reagowania na zagrożenia i odzyskiwania danych *2012+ Utworzenie europejskiego systemu ostrzegania i wymiany informacji (EISAS) [2013]
Harmonizacji prawa w zakresie zwalczania cyber-ataków (2001-2010) Proposal for a Council Framework Decision on combating serious attacks against information systems, EN version of 5.10.01 cel: walka ze zorganizowaną przestępczością i terroryzmem, Decyzja ramowa 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne, harmonizacja w stosunkowo wąskim zakresie : haking, wirusy i DOS; 2008 r. pozytywna ocena implementacji DR przez Komisję Europejska (w 20 MS) 2009 r. - koncepcja zastąpienia DR 2005/222/WSiSW Dyrektywą, dwie przyczyny: 1.12.2009 wejście w życie Traktatu Lizbooskiego, masowe cyberataki - w Estonii i na Litwie (2007 i 2008); 2008/2009 Conficker infekuje systemy informatyczne departamentów obrony Francji, Niemiec i Zjednoczonego Królestwa; marzec 2009 atak botnetów (spyware) na systemy komputerowe rządów i organizacji prywatnych 103 paostw, w tym UE. IX 2010 wniosek dyrektywy z zakresu prawa karnego; ma zastąpid decyzję ramową Rady 2005/222/WSiSW w sprawie ataków na systemy informatyczne.
Wniosek - DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY dotycząca ataków na systemy informatyczne i uchylająca decyzję ramową Rady 2005/222/WSiSW {SEC(2010) 1122 final} przewiduje rozszerzenie zakresu kryminalizacji zamachów na bezpieczeostwo informatyczne oraz zaostrzenie represji karnej za tego rodzaju czyny. inkorporuje 3 kategorie zamachów z DR 2005 (nieuprawniony dostęp, ingerencję w system, ingerencję w dane) poszerza katalog przestępstw p-ko bezpieczeostwu danych i systemów informatycznych o przechwytywanie przekazów informacji oraz nadużycie narzędzi. nie jest instrumentem szczególnie oryginalnym na tle konwencji Rady Europy o cyberprzestępczości z 2001 r. przypomina plany Komisji z 2001r., które obejmowały podobną listę przestępstw (nieuprawniony dostęp, ingerencja w system, ingerencja w dane, podsłuch komputerowy oraz kradzież tożsamości ). uwzględnia nowe metody popełniania cyberprzestępstw, w szczególności wykorzystanie botnetów (zaostrzona karalnośd).
DR 2005 a przyszła Dyrektywa - różnice Rozszerzenie zakresu karalności hakingu Brak opcji dot. naruszania zabezpieczeo. Brak opcji niekaralności usiłowania. Nowe zakazy: Podsłuch komputerowy (przechwytywanie danych w trakcie transmisji/ emisji) Dot. narzędzi przestępstwa wytwarzanie, sprzedaż, dostarczanie w celu użycia, przywóz, posiadanie, rozpowszechnianie lub udostępnianie w inny sposób. Wyższe minima zagrożeo karnych co najmniej 2 lata pozbawienia wolności (było: od 1 3 lat) Okoliczności obciążające (zaostrzenie karalności) minimalne górne zagrożenie ustawowe 5 lat pozbawienia wolności za: popełnienie przestępstwa z art. 3-7 w zorganizowanej grupie, popełnienie przestępstwa z art. 3-6 z wykorzystaniem botnetu, popełnienie przestępstwa z art. 3-6 powodującego znaczne szkody w postaci zakłócenia usług systemowych, strat finansowych lub utraty danych osobowych, popełnienie przestępstwa z art. 3-6 przez sprawcę ukrywającego swoją prawdziwą tożsamośd i narażającego na podejrzenia osobę, której tożsamośd sprawca wykorzystał.
Kwestie do dyskusji Penalizacja symboliczna? botnet Conficker od XI 2008 zainfekował od 3-12 mln PCs na świecie - sprawcy NN Raport CERT-Nask (2008): często nie jesteśmy w stanie zidentyfikować prawdziwego źródła ataku. Atakujący ukrywa się za serwerem Proxy, botnetem czy przejętą maszyną nieświadomej ofiary. Kara kryminalna jako sposób na poprawę cyberbezpieczeostwa? Implementacja Dyrektywy w 2015 r. - pogoo za uciekającym horyzontem? Cyberprzestępczośd - problem wymiaru sprawiedliwości czy bezpieczeostwa publicznego? Nowy paradygmat? Implikacje? Wzmocnienie bezpieczeostwa obywateli kosztem ograniczenia ich praw i wolności? Legitymizacja uprawnieo organów ścigania do wykorzystywania nowych technologii jako narzędzia kontroli społecznej?