Legalny hacking w Polsce [ANALIZA]

30 maja 2017, 10:54
prawo

Aktualizacja kodeku karnego 23 marca br. i wprowadzenie zmiany w artykule 269b. Zmiana ta wpłynie na tzw. legalny hacking w Polsce, pracę pentesterów i możliwe programy bug-bounty, których znaczenie zostało podkreślone w Krajowych Ramach Polityki Cyberbezpieczeństwa.

Z dniem 27 kwietnia 2017 roku zaczęła obowiązywać nowelizacja kodeksu karnego przewidująca m.in.: plan uporządkowania i dostosowania przepisów w zakresie tzw. „przestępstwa komputerowego”. Chodzi w szczególności o przestępstwo dotyczące bezprawnego umożliwienia dostępu do systemu komputerowego (art. 269b k.k.) jak i okoliczności wyłączającej bezprawność czynu, określane mianem kontratypu (art. 269c k.k.). Są to o tyle istotne sprawy, gdyż dane z rejestrów polskiej policji pokazują, że przestępstwa opisane w niniejszym artykule nie należą do rzadkości. Statystyki policji prezentują, że  w roku 2016 liczba wszczętych postępowania wynosiła 36, a liczba przestępstw stwierdzonych 39. Z kolei w 2015 liczba wszczętych postepowań wynosiła 58, a liczba przestępstw stwierdzonych to 44. 

Czytaj też: Polska otwiera się na testy bezpieczeństwa. Prezydent podpisał ustawę

Dla przypomnienia – przepis art. 269b k.k. pozwala na ściganie sprawców określonych działań służących popełnieniu przestępstwa a przedmiotem ochrony jest bezpieczeństwo informacji przechowywanej w systemie komputerowym jak i w sieci teleinformatycznej. Przestępstwem wynikającym z art. 269b § 1 k.k. jest więc wytwarzanie, pozyskiwanie i nieuprawniony obrót traktowany jako zbywanie lub udostępnianie innym osobom urządzeń lub programów komputerowych przystosowanych do popełnienia określonego w przepisie przestępstwa, jak również haseł komputerowych, kodów dostępu lub innych danych umożliwiających dostęp do informacji przechowywanych m.in. w systemie komputerowym. Przepis ten ma stanowić zabezpieczanie i rozwiązywać problemy dostępnych narzędzi hackerskich. Przestępstwo to ma charakter powszechny, co oznacza, że w Polsce groziła kara każdemu, kto używał, tworzył lub przekazywał odpowiednie narzędzia do sprawdzania i unowocześniania bezpieczeństwa systemu komputerowego i teleinformatycznego. Pentesterzy, którzy na zlecenie klienta przeprowadzali kontrolowany atak na system informatyczny jego firmy, byli wielokrotnie uważani w świetle prawa za przestępców, gdyż najpierw takie programy tworzyli a następnie z nich korzystali. Również bugbounterzy, którzy wykrywali lub nagłaśniali  mankamenty  zabezpieczeń informatycznych, musieli liczyć się z odpowiedzialnością karną i nie miało znaczenia, że działali w dobrej wierze. Ponadto, w Polsce również kuleje bug-bounty – program wynagrodzeń przyznawanych osobom testującym zabezpieczenia sieci, którzy są w stanie znaleźć luki w systemie informatycznym. Jak na razie program ten rozwija się prężnie w innych krajach. Dobrym sygnałem jest, to że Ministerstwo Cyfryzacji podjęło odpowiednie korki i opublikowało dokument „Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022”, w którym rozpatruje możliwość prawnego uregulowania systemu bug-bounty. Jest więc szansa, że w naszym kraju powstanie szybka i mało kosztowna metoda testowania zabezpieczeń technologii informatycznej.

Zmiany wprowadzone do art. 269b k.k. jak i wprowadzenie nowego art. 269c k.k. przewidują kilka istotnych aspektów. Przede wszystkim, wprowadzono kontratyp ustawowy wskazujący, kto i w jakich okolicznościach czynu zabronionego nie popełnia. Inaczej mówiąc – w jakich konkretnie sytuacjach przepis ten nie obowiązuje. Uznano, że nie popełnia przestępstwa z art. 269b § 1 k.k. kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia. Dodano również artykuł 269c k.k., który wskazuje, w jakich okolicznościach sprawca nie podlega karze. Oznacza to, że sprawca popełnia czyn zabroniony, lecz nie ponosi odpowiedzialności karnej. Chodzi o sytuacje związane z naruszeniem tajemnicy informacji poprzez uzyskanie dostępu do całości lub części systemu informatycznego (art. 267 § 2 k.k.) oraz związane z zakłócaniem prac systemu komputerowego lub sieci teleinformatycznej (269a k.k.), jeśli sprawca działa wyłącznie w celu zabezpieczenia systemu informacyjnego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.

Czytaj też: Bezpieczna Polska w cyfrowej erze. Strategia Cyberbezpieczeństwa na lata 2017-2022 [ANALIZA]

Powyższe oznacza, że pentesterzy, którzy przełamują zabezpieczenia systemu  w celu wykrycia jego słabych punktów i przedstawienia rozwiązań zabezpieczających, nie będą podlegać karze, pod warunkiem jednak, że nie naruszą interesu publicznego lub prywatnego i co najważniejsze nie wyrządzą szkody. Nowe zapisy regulują także – choć dość pobieżnie –  działanie w Polsce systemu bug-bounty. Przepis ten ma ułatwić sytuację przede wszystkim tym osobom, które chcą zgłaszać błędy administratorom stron, będą jednak musiały dokonać tego niezwłocznie, jak również umożliwią firmom sprawdzanie zabezpieczeń poprzez przełamywanie ich. Na marginesie wskazać należy, że w powyższych artykułach pojawiają się terminy „wyłącznie”, „niezwłocznie” oraz „nie wyrządziło szkody”, które są pojęciami zbyt ogólnymi i mogą sprawiać problem na etapie późniejszej interpretacji.  

Z drugiej jednak strony, pomimo uczynienia zadość wszystkim pentesterom i bugbounterom,  nowelizacja przewiduje zmianę granic odpowiedzialności karnej – podwyższono karę za przestępstwo z górnej granicy 3 lat do 5. Ważnym pytaniem, jakie należałoby zadać to, czy podniesienie karalności za czyn z art. 269b § 1k.k. było uzasadnione zasadą zwiększenia społecznej szkodliwości czynu i spójności kodeksu karnego, czy też miało na celu chęć zastosowania rozszerzonego przepadku mienia sprawcy, gdyż wysokość ta odpowiada przesłankom jego zastosowania.

Rozszerzony przepadek mienia zwany potocznie „konfiskatą rozszerzoną” jest nową konstrukcją wprowadzoną do art. 45 § 2 k.k. Jego istota polega na rozszerzeniu katalogu przestępstw, w stosunku, do których przepadek taki może zostać orzeczony m.in. w sytuacji, gdy zagrożenie górnej granicy przestępstwa jest nie niższe niż 5 lat. Oznacza to, że aby skazanemu zabrać majątek, którego „dorobił się” na przestępstwach, wprowadzono możliwość przepadku rozszerzonego wobec przestępstwa umyślnego wytwarzania, sprzedaży i dostarczania narzędzi do popełniania przestępstw komputerowych. Ponadto, uzasadnienie do zaproponowanych zmian granic odpowiedzialności karnej powołane przez Ministerstwo Sprawiedliwości wskazuje, że zmiany te są konieczne dla pełnej implementacji unijnej dyrektywy w sprawie zamrożenia i konfiskaty dochodów pochodzących z działalności przestępczej w UE (2014/42/UE) .” Z drugiej jednak strony przepisy art. 5 ust. 2 lit. d, dyrektywy Parlamentu Europejskiego i Rady 2014/42/UE z dnia 3 kwietnia 2014 r. w sprawie zabezpieczenia i konfiskaty narzędzi służących do popełnienia przestępstwa i korzyści pochodzących z przestępstwa w Unii Europejskiej, na który powołuje się Ministerstwo Sprawiedliwości nie odnosi się do zaostrzenia kary za przestępstwo, a jedynie wskazuje, że dochodzi do konfiskaty rozszerzonej majątku w sytuacji umyślnego wytworzenia, sprzedaży dostarczonych w celu użycia, przewożenia, czy udostępnienia” narzędzi do popełnienia przestępstwa. Co więcej, w polskim systemie prawa karnego, podwyższenie sankcji za przestępstwa musi być odpowiednio uzasadnione prawnie, i nie powinno być tak, że za przestępstwa komputerowe będzie grozić odpowiedzialność karna taka, jak przy  przestępstwach, choćby przeciwko życiu i zdrowiu.

Reasumując; nowelizacja przepisów kodeksu karnego w zakresie tzw. „przestępstwa komputerowego” może być pomocna bugbounterom i pentesterom, gdyż wprowadza wyłączenie odpowiedzialności karnej za przestępstwo. Legalność działania tych osób na rynku jest o tyle dobra, że może usprawnić system bezpieczeństwa teleinformatycznego w kraju. Z drugiej jednak strony, w nowelizacji został wprowadzony m.in. przypadek rozszerzony majątku uzyskanego z przestępstwa jak i rozszerzenie możliwości stosowania podsłuchów. Organy władzy publicznej będą mogły decydować, jeśli tylko uznają za stosowne, że podsłuch jest konieczny do zidentyfikowania mienia zagrożonego przepadkiem. Dodatkowo ustawodawca rozszerzył katalog przestępstw wymienionych art. 269b § 1 k.k. o art. 269 § 1 k.k. zwany „sabotażem komputerowym”.

Autor: Monika Długosz – Adwokat w Kancelarii Prawniczej Kruk i Wspólnicy



CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24