Włamanie do systemu - odpowiedzialność karna

Transkrypt

Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
Włamanie do systemu - odpowiedzialność karna
Autor: Administrator
30.01.2008.
Zmieniony 30.01.2008.
Wyobraźmy sobie następujący scenariusz - Firma "Edytory" S.A. opracowuje kolejną wersję popularnego
edytora tekstu. Intruz postanawia zdobyć program wraz z dokumentacją, a następnie wyprodukować
pirackie kopie programu. Jako cel ataku wybiera prywatny komputer szefa firmy. Do włamania używa
specjalnego programu łączącego się z komputerem ofiary i próbującego uzyskać dostęp do systemu
poprzez podstawienie kolejnych haseł. Intruz ma wiele szczęścia i już po kilku godzinach poznaje hasło
dostępu do komputera ofiary. Inwigiluje system nie znajdując jednak interesującego go programu.
Kontynuując atak przesyła na adres e-mail biura firmy komputerowej list zawierający konia trojańskiego.
Roztargniona sekretarka "daje się nabrać" i instaluje ukrytego w załączniku konia trojańskiego na
firmowym serwerze. Intruz uzyskuje szeroki dostęp do systemu, zapoznaje się z dokumentacją
programu, czyta firmową pocztę i stara się ustalić stopień zaawansowania prac nad programem. Kiedy
jest już pewien, że dobiegły one końca, używa kolejnych funkcji konia trojańskiego i kopiuje program na
dysk swojego komputera. Następnie wprowadza do systemu komputerowego firmy "Edytory" S.A. wirusa
niszczącego dane zapisane na serwerze. System komputerowy firmy zostaje sparaliżowany na wiele
godzin. Żądny popularności włamywacz zmienia firmową stronę WWW, zamieszczając na niej informacje
o włamaniu. W oparciu o powyższą hipotetyczną historię chciałbym przedstawić odpowiedzialność
sprawcy na gruncie przepisów kodeksu karnego, kodeksu cywilnego oraz prawa autorskiego. Włamanie
do systemu komputerowego, penetracja systemu oraz kopiowanie i niszczenie zgromadzonych w nim
danych stanowi naruszenie szeregu przepisów prawa. Za http://www.iswinoujscie.pl/
Odpowiedzialność karna - Pierwsze włamanie:
Pierwszym krokiem intruza jest złamanie hasła broniącego dostępu do prywatnego komputera szefa
firmy. Mimo wnikliwej penetracji systemu atakujący nie znajduje jednak interesujących go danych.
Należy zastanowić się, czy taka działalność może zostać uznana za tzw. przestępstwo hackingu, o którym
mowa w art. 267 par. 1 k.k. Zgodnie z tym artykułem odpowiedzialność karną będzie ponosił sprawca,
który przełamując elektroniczne, magnetyczne albo inne szczególne zabezpieczenia, uzyskał bez
uprawnienia informację dla niego nie przeznaczoną. Warunkiem postawienia agresorowi zarzutu
naruszenia art. 267 par. 1 k.k. jest po pierwsze - przełamanie "szczególnych zabezpieczeń" chroniących
system komputerowy, a po drugie - uzyskanie informacji dla niego nie przeznaczonej. System musi
posiadać zatem aktywne (a nie tylko zainstalowane) [1] zabezpieczenia, stanowiące realną przeszkodę
dla włamywacza, których sforsowanie wymaga specjalistycznej wiedzy lub urządzeń. Jak trafnie wskazuje
się w literaturze prawniczej, "przełamanie zabezpieczeń" ma miejsce zarówno wtedy, gdy sprawca
niszczy, usuwa zabezpieczenia, jak również kiedy sprawca oddziałując bezpośrednio na zabezpieczenia
chwilowo niweluje ich funkcję zabezpieczającą [2]. Niewątpliwie w omawianym przez nas przypadku
doszło w drodze "odgadnięcia" hasła do przełamania zabezpieczeń systemu komputerowego. Na
marginesie rozważań zauważmy, że nie będzie ponosił odpowiedzialności karnej na gruncie omawianego
przepisu intruz, który uzyskuje dostęp do systemu w inny sposób, niż łamiąc zabezpieczenia. Nie
będziemy mogli postawić zarzutu przestępstwa hackingu intruzowi, który wykorzystując błędy w
oprogramowaniu omija zabezpieczenia lub używa haseł, które wcześniej zdobył stosując tzw. social
engineering (do niektórych ataków tego typu znajdzie zastosowanie art. 267 § 2 k.k.). Drugim, po
przełamaniu zabezpieczeń, koniecznym warunkiem karalności hackingu jest uzyskanie przez sprawcę
nieprzeznaczonej dla niego informacji. W doktrynie przedmiotu reprezentowane są dwa stanowiska
odnośnie informacji, których uzyskanie uzasadnia postawienie zarzutu popełnienia przestępstwa
hackingu. Zadaniem A. Adamskiego, intruz łamiąc zabezpieczenia w postaci hasła dostępu, "zapoznaje
się z nieprzeznaczoną dla niego informacją, jaką jest treść hasła" [3].
Do postawienia zarzutu popełnienia przestępstwa z art. 267 § 1 k.k. nie jest zatem konieczne, aby intruz
wykorzystał "złamane" hasło, penetrował system czy zapoznał się z innymi danymi. Karalne jest samo
uzyskanie przez osobę nieuprawnioną w drodze przełamania zabezpieczenia "informacji" umożliwiającej
"wtargnięcie" do systemu komputerowego. Proponowana jest również odmienna wykładnia przepisu,
wyraznie rozróżniająca informację o zabezpieczeniu od samej "informacji" chronionej tym
zabezpieczeniem [4]. Zgodnie z tą koncepcją intruz ponosi odpowiedzialność karną, jeżeli dokona
przełamania zabezpieczeń i uzyska dostęp do informacji w szerszym zakresie, niż tylko informacja o
zabezpieczeniu (np. napastnik zapozna się z dokumentacją programu, pocztą elektroniczną
pracowników). W omawianym przez nas przypadku intruz "złamał" hasło dostępu i wtargnął do systemu,
nie znalazł natomiast na twardym dysku ofiary informacji będącej zasadniczym celem ataku. Przyjmując
http://www.witczak.priv.pl
Kreator PDF
Utworzono 7 March, 2017, 01:34
pierwszą z przedstawionych koncepcji będzie można mu postawić zarzut popełnienia przestępstwa z art.
267 § 1 k.k. Przyjmując natomiast za trafną drugą z proponowanych wykładni, czyn intruza należy uznać
za usiłowanie popełnienia przestępstwa z art. 267 § 1 k.k. Przestępstwo zagrożone jest karą grzywny,
ograniczenia wolności lub pozbawieniu wolności do lat dwóch. Ściganie przestępstwa następuje na
wniosek pokrzywdzonego.
Odpowiedzialność karna - Koń trojański:
Kolejnym krokiem w realizacji planu intruza jest przesłanie ukrytego w załączniku do e-maila konia
trojańskiego. Włamywacz instaluje konia trojańskiego na komputerze ofiary, za jego pomocą inwigiluje
system oraz przechwytuje korespondencję przedsiębiorstwa. Na straży poufności przekazu informacji stoi
art. 267 § 2 k.k. wprowadzający odpowiedzialność karną sprawcy, który "w celu uzyskania informacji, do
której nie jest podsłuchowym, wizualnym lub innym urządzeniem specjalnym". Moim zdaniem za
"urządzenie specjalne", o którym mowa w przepisie, należy uznać miedzy innymi komputer wyposażony
w specjalistyczne oprogramowanie przeznaczone do przechwytywania informacji w sieciach
komputerowych [5]. Do programów tego typu należą różnego rodzaju konie trojańskie oraz sniffery. Nie
ma przy tym znaczenia, czy intruz posługuje się programem zainstalowanym na własnym komputerze,
czy też instaluje taki program na komputerze ofiary. Zauważmy, że odpowiedzialności karnej podlega
także sprawca, który sam nie zainstalował konia trojańskiego czy sniffera, ale posługuje się takim
oprogramowaniem wcześniej zainstalowanym w systemie przez innego intruza. Należy podkreślić, że
intruz ponosi odpowiedzialność karną niezależnie, czy zdążył zapoznać się z informacją, czy był w stanie
ją zrozumieć, a nawet niezależnie, czy uzyskał jakąkolwiek informację (inaczej niż w omawianym powyżej
art. 267 § T k.k.). Karalna jest sama instalacja lub posługiwanie się specjalistycznym programem w celu
zdobycia takiej informacji. W analizowanym przez nas przypadku intruzowi będzie można postawić zarzut
popełnienia przestępstwa z art. 267 § 2 k.k.
Odpowiedzialność karna - Kopiowanie programu:
Po wtargnięciu do systemu intruz skopiował interesujący go program komputerowy. Program
komputerowy stanowi utwór chroniony prawem autorskim. W omawianym przypadku zastosowanie
znajdzie art. 117 ust. 1 pr. aut. w myśl którego każdy, kto "bez uprawnienia albo wbrew jego "warunkom
w celu rozpowszechnienia utrwala lub zwielokrotnia cudzy utwór (...) podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat dwóch" [6]. Na gruncie tego przepisu karane jest
zatem przygotowanie do przestępstwa tzw. piractwa komputerowego. Ochronę programów
komputerowych zapewniają również przepisy kodeksu karnego. Zgodnie z art. 278 k.k. karze
pozbawienia wolności od 3 miesięcy do 5 lat podlega sprawca, który "bez zgody osoby uprawnionej
uzyskuje cudzy program komputerowy w celu osiągnięcia korzyści majątkowej". Pojęcie "uzyskanie
programu komputerowego" należy interpretować szeroko, ponieważ obejmuje ono zarówno utrwalenie
oraz zwielokrotnienie programu na nośniku materialnym (np. CD), jak również ściągniecie plików przez
Internet na twardy dysk komputera. Uzyskanie cudzego programu musi łączyć się z zamiarem uzyskania
korzyści materialnych. Jak trafnie wskazuje się w literaturze, w większości przypadków sam program
posiada znaczną wartość majątkową - sprawca nielegalnie uzyskując program może z niego korzystać
bez ponoszenia kosztów nabycia program [7]. W omawianym przypadku intruz zamierzał uzyskać
poprzez produkcję pirackich kopii programu znacznie szerszą korzyść majątkową. Zauważmy, że art. 278
k.k. przewiduje karę wyższą, niż omawiany powyżej art. 117 pr. aut., właściwszym zatem będzie
postawienie sprawcy zarzutu popełnienia przestępstwa z art. 278 k.k.
Odpowiedzialność karna - Zniszczenie danych:
Kolejnym krokiem intruza jest wprowadzenie do systemu wirusa niszczącego zgromadzone na serwerze
dane oraz modyfikacja witryny internetowej firmy. Ochronę integralności zapisu informacji zapewnia art.
268 k.k., zgodnie z którym odpowiedzialności karnej podlega sprawca, który "niszczy, uszkadza, usuwa
lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie
uprawnionej zapoznanie się z nią". Czynem karalnym staje się więc umyślne wprowadzenie do systemu
wirusa uszkadzającego lub niszczącego dane, zmiana praw dostępu do plików, niszczenie lub zmiana
logów systemowych, modyfikacja stron WWW itp. Na marginesie rozważań zauważmy, że przepis
znajdzie zastosowanie również do ataków typu DoS, które można zakwalifikować jako działanie znacznie
utrudniające zapoznania się z informacją przez uprawnionego. Na gruncie cytowanego przepisu ochronie
podlega jedynie "istotna" informacja. Oceniając "istotność" informacji należy kierować się przede
wszystkim kryteriami obiektywnymi, odnosząc wartość informacji do pewnego standardu obowiązującego
w dziedzinie, której dana informacja dotyczy [8]. Nie bez znaczenia dla oceny "istotności" informacji
pozostaje również nakład środków, jakie poniósł pokrzywdzony w celu jej uzyskania. Zauważmy, że
Kreator PDF
odpowiedzialności karnej podlega tylko taka ingerencja w system, która "udaremnia lub znacznie
utrudnia" zapoznanie się z informacją, a jak wiadomo nie każda ingerencja prowadzi do tego typu
skutków. Jak często wskazuje się w literaturze [9], nie dojdzie do popełnienia przestępstwa, gdy ofiara
ataku posiada dodatkową kopię danych i gdy ich odtworzenie nie stworzy przy tym szczególnych
trudności. Przestępstwo naruszenia integralności informacji zapisanej na nośniku komputerowym
zagrożone jest karą pozbawienia wolności do lat trzech. Jeżeli sprawca swoim czynem wyrządził znaczną
szkodę majątkową, podlega karze pozbawienia wolności od trzech miesięcy do pięciu lat. Zgodnie z art.
115 § 5 k.k. "znaczną szkodą" będzie szkoda w wysokości przekraczającej dwustukrotną wysokość
najniższego miesięcznego wynagrodzenia.
Odpowiedzialność cywilna - Włamanie:
Rozpatrując odpowiedzialność sprawcy za włamanie i inwigilację systemu komputerowego należy
wskazać na możliwość zastosowania przepisów kodeksu cywilnego o ochronie dóbr osobistych. W art. 23
k.c. ustawodawca jedynie przykładowo wymienia dobra pozostające pod ochroną prawa cywilnego, w tym
m.in. zdrowie, wolność, tajemnice korespondencji, nietykalność mieszkania, twórczość naukową.
Zarówno doktryna przedmiotu, jak i orzecznictwo, nieustannie "odkrywa" nowe, pozostające pod ochroną
prawa dobra osobiste. Zgodnie ze stanowiskiem doktryny oraz orzecznictwem sfera życia prywatnego
stanowi podlegające ochronie dobro osobiste człowieka. Zdaniem A. Kopffa [10] "dobrem osobistym w
postaci życia prywatnego jest to wszystko, co ze względu na uzasadnione odosobnienie się jednostki od
ogółu społeczeństwa służy jej rozwoju fizycznej i psychicznej osobowości oraz zachowania osiągniętej
pozycji społecznej". W moim przekonaniu włamanie oraz inwigilacja systemu komputerowego stanowi
wkroczenie w sferę prywatności jednostki, w rezultacie następuje niedopuszczalne naruszenie spokoju
psychicznego ofiary ataku. Nie ma przy tym znaczenia sam techniczny aspekt włamania i nie będzie
koniecznym stwierdzenie przełamania zabezpieczeń systemu. Moim zdaniem sama bezprawna inwigilacja
systemu komputerowego stanowi naruszenie dóbr osobistych jednostki. Zgodnie z art. 24 k.c. osoba,
której dobro osobiste zostało zagrożone, może żądać zaniechania bezprawnych działań. A zatem
podniesienie takiego roszczenia będzie możliwe już w fazie przygotowania ataku, np. skanowania portów.
Gdyby doszło do bezprawnego naruszenia dobra, poszkodowany może żądać zaniechania takiego
działania, usunięcia skutków naruszenia, w tym założeniu oświadczenia o odpowiedniej treści i w
odpowiedniej formie (np. przeprosin w gazecie). Poszkodowany może wystąpić również o zasądzenie
odpowiedniej sumy jako zadośćuczynienia pieniężnego za doznaną krzywdę lub zasądzenie takiej sumy
na wskazany cel społeczny. Jeżeli w skutek naruszenia pokrzywdzony doznał szkody majątkowej, może
dochodzić jej naprawienia na zasadach ogólnych (art. 415 k.c.).
Odpowiedzialność cywilna - Koń trojański, inwigilacja poczty elektronicznej:
Art. 49 Konstytucji Rzeczypospolitej Polskiej gwarantuje wolność i ochronę tajemnicy komunikowania
się. Natomiast art. 23 k.c. wprost wymienia "tajemnice korespondencji" jako ochronione prawem dobro
osobiste człowieka. W doktrynie prawniczej dyskutowany jest problem, czy przekaz w formie
elektronicznej podlega ochronie w ramach tajemnicy korespondencji, czy raczej właściwsze jest
stosowanie szerszego pojęcia tj. tajemnicy komunikacji. Bez wdawania się w nieco teoretyczne dyskusje,
należy stwierdzić, że na gruncie przepisu art. 23 k.c. ochronie podlegają obie formy porozumiewania. Jak
zostało to już zasygnalizowane, samo zagrożenie dobra osobistego stanowi podstawę do wystąpienia z
roszczeniem o zaniechanie bezprawnych działań naruszających to dobro. Moim zdaniem, ofiara ataku
będzie mogła podnieść roszczenie z art. 24 k.c. już w momencie przesłania na jej konto konia
trojańskiego, wtedy bowiem następuje zagrożenie dobra osobistego. Przechwytywanie poczty
elektronicznej oraz inwigilacja systemu stanowi już naruszenie dobra osobistego, a zatem poszkodowany
w oparciu o art. 24 k.c. może wystąpić z roszczeniami w szerszym zakresie. Należy wskazać, że zgodnie z
przepisem art. 43 k.c. przepisy o dobrach osobistych stosuje się odpowiednio do osób prawnych (osobą
prawną jest np. spółka akcyjna). Jak stwierdził Sąd Najwyższy, "dobra osobiste osób prawnych - to
wartości niemajątkowe, dzięki którym osoba prawna może funkcjonować zgodnie ze swoim zakresem
działań" [11]. Niewątpliwie wolność oraz tajemnica komunikowania się stanowi podstawę prawidłowego
funkcjonowania przedsiębiorstwa.
Odpowiedzialność cywilna - Odpowiedzialność za szkodę:
Jeżeli intruz swoim działaniem doprowadzi do powstania szkody majątkowej, znajdą zastosowanie ogólne
zasady kodeksu cywilnego dotyczące odpowiedzialności z tytułu czynów niedozwolonych. Podstawową
zasadę odpowiedzialności z tego tytułu wprowadza przepis art. 415 k.c. stanowiący, że "Kto z winy swej
wyrządził drugiemu szkodę, zobowiązany jest do jej naprawienia". Dochodząc odszkodowania
poszkodowany musi udowodnić występowanie następujących zdarzeń:
Kreator PDF
- Istnienie szkody, rozumianej jako powstała wbrew woli poszkodowanego różnica między obecnym jego
stanem majątkowym a tym stanem, jaki zaistniałby, gdyby nie nastąpiło zdarzenie wywołujące szkodę.
Szkoda obejmie zarówno straty, jakie poniósł poszkodowany, jak i utracone korzyści, których mógł się
spodziewać, gdyby mu szkody nie wyrządzono. W omawianym przypadku odszkodowanie obejmuje
zarówno wartość straconych danych, koszty związane z ponowną instalacją i konfiguracją
oprogramowania, jak również wartość zleceń, które spółka mogłaby przyjąć i wykonać, gdyby jej system
komputerowy działał poprawnie.
- Zawinione zachowanie sprawcy. Poszkodowany musi więc wykazać, że doszło do włamania, zniszczenia
danych itp. oraz że intruz ponosi winę za te działania. Analiza pojęcia winy przekracza rozmiary
niniejszego artykułu. Na marginesie naszych rozważań warto wskazać, że nie można przypisać winy
osobie niepoczytalnej, w tym małoletniemu do lat 13. Jak wskazuje orzecznictwo Sądu Najwyższego,
ocena poczytalności nieletnich w wieku 13 - 18 lat może również w konkretnym przypadku wyłączać
przypisane im winy. Osoby takie nie będą zatem odpowiadać za szkodę wyrządzoną swoim działaniem.
Za szkodę spowodowania włamaniami nieletnich włamywaczy będą najczęściej odpowiadać osoby
zobowiązane do nadzoru nad nimi (np. rodzice, wychowawcy).
- Związek przy czy nowy pomiędzy czynem sprawcy a szkodą. W omawianym przypadku istnieje
oczywisty związek między włamaniem i wprowadzeniem wirusa, a skanowaniem danych i paraliżem
systemu komputerowego.
Odpowiedzialność cywilna - Kopiowanie programu:
Jak zostało już zasygnalizowane, większość programów komputerowych podlega ochronie autorsko prawnej. Intruz, kopiując program komputerowy, narusza majątkowe prawa autorskie twórcy programu,
nie ma przy tym znaczenia, czy zdążył on rozpowszechnić program lub sam z niego korzystać. W
omawianym przypadku uprawniony z praw autorskich będzie mógł żądać w oparciu o art. 79 ust. 1 pr.
aut. zaniechania naruszeń, wydania uzyskanych korzyści lub zapłaty stosownego wynagrodzenia w
potrójnej wysokości oraz naprawienia szkody na zasadach przedstawionych powyżej. Przez "stosowne
wynagrodzenie" należy rozumieć wynagrodzenie, jakie otrzymałby twórca, gdyby sprawca zawarł z nim
umowę o korzystanie z programu (nabył licencję) [12]. Ponadto, jeżeli sprawca narusza prawa autorskie
w ramach prowadzonej działalności gospodarczej, uprawniony może domagać się, aby sprawca uiścił
odpowiednią sumę na Fundusz Promocji Twórczości.
Odpowiedzialność cywilna - Zmiany na stronie:
Ostatnim z destrukcyjnych kroków intruza była zmiana zawartości firmowej strony WWW. Zakładamy, że
strona WWW ofiary charakteryzowała się twórczością i indywidualnością w stopniu uzasadniającym
uznanie jej za utwór chroniony prawem autorskim. Jednym z osobistych praw autorskich twórcy jest
prawo do nienaruszalności treści i formy oraz rzetelnego wykorzystania utworu (tzw. prawo integralności
utworu). Niedopuszczalne jest dokonywanie bez zgody twórcy jakichkolwiek zmian w projekcie i
kompozycji strony. Intruz będzie zatem odpowiadał za naruszenie osobistych praw autorskich. Na
podstawie art. 78 ust. 1 pr. aut. twórca będzie mógł wystąpić z roszczeniem o usunięcie skutków
naruszenia, w szczególności o złożenie stosownego oświadczenia (np. przeprosin) oraz żądać
zadośćuczynienia pieniężnego lub przekazania odpowiedniej sumy na wskazany cel społeczny. Ponadto
zmieniając zawartość strony WWW, intruz naraził na szwank renomę przedsiębiorstwa. Spółka może
zatem wystąpić z rszczeniem w oparciu o przepisy o ochronie dóbr osobistych (tj. art. 23 i art. 24 z
związku z art. 43 k.c.). Wydaje się, że szczególnie uzasadnione będą tu żądania zmierzające do
odbudowy renomy spółki, np. zamieszczenie przeprosin w prasie.
W chwili obecnej istnieją instrumenty prawne pozwalające na podciągnięcie do odpowiedzialności
sprawców włamań komputerowych. W omawianym przypadku intruz naruszył przepisy kodeksu karnego,
kodeksu cywilnego oraz ustawy o prawie autorskim i prawach pokrewnych. Odpowie za to w procesie
karnym oraz w procesach cywilnych wytoczonym przez spółkę "Edytory" S.A. oraz jej prezesa. Należy
ponadto wskazać, że zgodnie z art. 62 k.p.c. pokrzywdzony może w postępowaniu karnym dochodzić
roszczeń majątkowych wynikających bezpośrednio z przestępstwa. Moim zdaniem konieczna jest jednak
dalsza praca doktryny prawniczej oraz orzecznictwa w kierunku przyjęcia wykładni przepisów
uzwzględniającej wyzwania postępu technicznego. Ponadto nieodzownym staje się podjęcie prac nad
nowelizacją kodeksu karnego - zwłaszcza jego paragrafów dotyczących przestępstwa hackingu (art. 267
§ 1 k.k.). Moim zdaniem, karalne powinno być samo wejście przez nieuprawnionego do systemu
komputerowego w celu uzyskania zgromadzonych w nim informacji, niezależnie, czy łączy się to z
"przełamaniem zabezpieczeń" oraz czy intruz w wyniku ataku uzyskał informację.
Kreator PDF
Wybrane przepisy KK i KC:
Art. 13 kodeksu karnego:
§ 1. Odpowiada za usiłowanie, kto w zamiarze popełnienia czynu zabronionego swoim zachowaniem
bezpośrednio zmierza do jego dokonania, które jednak nie następuje.
§ 2. Usiłowanie zachodzi także wtedy, gdy sprawca nie uświadamia sobie, że dokonanie jest niemożliwe
ze względu na brak przedmiotu nadającego się do popełnienia na nim czynu zabronionego lub ze względu
na użycie środka nie nadającego się do popełnienia czynu zabronionego.
§ 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo,
podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne,
magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności
albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub
podsłuchuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
§ 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej
osobie.
§ 4. Ściganie przestępstwa określonego w § 1 - 3 następuje na wniosek pokrzywdzonego.
§ 1. Kto nie będąc tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji
albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega
karze pozbawienia wolności do lat 3.
§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega
karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 4. Ściganie przestępstwa określono w § 1 - 3 następuje na wniosek pokrzywdzonego.
Art. 117.1. ustawy o prawie autorskim i prawach pokrewnych:
1. Kto bez uprawnienia albo wbrew jego warunkom w celu rozpowszechnienia utrwala lub zwielokrotnia
cudzy utwór w wersji oryginalnej lub w postaci opracowania, artystyczne wykonanie, fonogram,
wideogram lub nadanie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat
2.
2. Jeżeli sprawca uczynił sobie z popełniania przestępstwa określonego w ust. 1 stałe zródło dochodu
albo działalność przestępną, określoną w ust. 1, organizuje lub nią kieruje, podlega karze pozbawienia
wolności do lat 3.
Art. 23 kodeksu cywilnego:
Dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub
pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa,
artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od
ochrony przewidzianej w innych przepisach.
Art. 24 kodeksu cywilnego:
§ 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego
działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby,
osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w
szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach
przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty
odpowiedniej sumy pieniężnej na wskazany cel społeczny.
§ 2. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany
może żądać jej naprawienia na zasadach ogólnych.
§ 3. Przypisy powyższe nie uchybiają uprawnieniom przewidzianym w innych przepisach, w szczególności
Kreator PDF
w prawie autorskim oraz w prawie wynalazczym.
Przypisy:
1. Zwraca na to uwagę P. Kardas, Prawnokarna ochrona informacji w polskim prawie karnym,
Czasopismo prawa karnego i nauk penalnych 2000/1.
2. W. Wróbel w: G. Bogdan, K. Buchała, Z. Ćwiakalski, M. Dąbrowska-Kardas, P. Kardas, J. Majewski, M.
Rodzynkiewicz, M. Szewczyk, W. Wróbel, A. Zoli, Kodeks karny, Część szczególna. Komentarz, t. 2 str.
1007.
3. A. Adamski, Prawo karne komputerowe, Warszawa 2000, str. 47: A. Adamski, Przestępstwa
komputerowe w nowym kodeksie karnym str. 39 w: Nowa Kodyfikacja Karna Krótkie Komentarze,
Warszawa 1998.
4. W. Wróbel, Kodeks karny... j.w., str. 1007, a także P. Kardas, Prawnokarna ochrona informacji... j.w.,
str. 69.
5. Przegląd taki reprezentuje A. Adamski. Komputer w paragrafach, Rzeczpospolita 30.10.1997;
Przestępstwa komputerowe w nowym kodeksie... j.w., str. 56, Prawo karne komputerowe, str. 59. W
doktrynie prezentowane jest również stanowisko odmienne W. Wróbel, Kodeks karny... j.w., str. 1010.
6. J. Barta, M. Czajkowska-Dąbrowska, Z. Ćwiakalski, R. Markiewicz, E. Trapie, Komentarz do ustawy o
prawie autorskim i prawach pokrewnych, Warszawa 1995, str. 486 i następne.
7. A. Adamski, Przestępstwa komputerowe w nowym kodeksie... j.w., str. 118 podobnie E. CzarnyDrożdżejko, Ochrona informacji i programów komputerowych w nowym kodeksie karnym, str. 216 w:
Prawo autorskie a postęp techniczny, Kraków 1999.
8. Zwraca na to uwagę także P. Kardas, Prawokarna ochrona informacji, str. 88.
9. A. Adamski, Przestępstwa komputerowe w nowym kodeksie... j.w., str. 57.
10. A. Kopff, Koncepcja prawa do intymności i do prywatności życia osobistego, Studia Cywilistyczne, T
XX, Kraków 1972.
11. Wyrok SN z 14.11.1986, II CR 295/86, OSNC 1988/2-3/40.
12. J. Barta, M. Czajkowska-Dąbrowska, Z. Ćwiakalski, R. Markiewicz, E. Trapie, Komentarz do ustawy...
j.w., str. 375 i następne.
Bonus:
Odpowiedzialność karna intruza za zniszczenie lub modyfikację logów systemowych:
W większości systemów operacyjnych istnieje mechanizm rejestrowania wszystkich zdarzeń
zachodzących w systemie. Systemy linuksowe rejestrują działanie systemu w plikach rejestru
znajdujących się w katalogu /var/log [1]. Ponadto często administrator instaluje dodatkowe
oprogramowanie do monitorowania pracy systemu i rejestracji zdarzeń. [2] Administrator analizując
odpowiednie dzienniki zdarzeń może stwierdzić kto i kiedy pracował w systemie oraz jakie wykonał
operacje. Intruz dokonujący włamania zdaje sobie najczęściej sprawę z istnienia mechanizmu
rejestrującego jego poczynania w systemie, a zatem w celu ukrycia swojej działalności stara się zniszczyć
lub zmienić logi systemowe. Intruz używając edytora tekstu (np. pico, vi) może "ręcznie" zmodyfikować
logi lub usprawnić sobie pracę wykorzystując gotowy program lub pisząc prosty skrypt w języku powłoki.
Na strarzy integralności zapisu informacji stoi przepis art. 268 k.k. zgodnie, z którym odpowiedzialności
karnej podlega sprawca który nie będąc do tego uprawniony "niszczy, uszkadza, usuwa lub zamienia
zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej
zapoznanie się z nią". Natomiast przepis art. 268 § 2 k.k. stanowi, że gdy czyn dotyczy zapisu na
komputerowym nośniku informacji sprawca podlega karze pozbawienia wolności od lat 3 (typ
podstawowy przestępstwa zagrożony jest mniej surową karą grzywny, ograniczenia wolności lub
pozbawienia wolności do lat 2).
Zauważmy, że w oparciu o omawiany przepis karalne jest zniszczenie, uszkodzenie czy zmiana nie
jakiejkolwiek informacji, a wyłącznie "ISTOTNEJ" informacji. Powstaje zatem pytanie czy zapis logów
systemowych stanowi "istotną" informację w rozumieniu niniejszego przepisu. Jak wskazuje się w
literaturze prawniczej, ocena "istotności" informacji powinna opierać się o kryteria obiektywne. [3]
Jednocześnie należy zgodzić się z opinią, że podstawą oceny istotności informacji powinien być "standard
obowiązujący w danej dziedzinie do której odnosi się informacja". [4] Ponadto w doktrynie przedmiotu
reprezentowany jest podgląd zgodnie, z którym oceniając "istotność" informacji oprócz przesłanek
obiektywnych należy uwzględnić znaczenia informacji dla jej dysponenta oraz cel jakiemu informacja
służy [5]. Moim zdaniem skasowanie lub modyfikowanie logów systemowych przez intruza mieści się w
pojęciu niszczenia, usuwania lub zmiany zapisu ISTOTNEJ informacji. Zmiana zapisu informacji, o której
mowa w przepisie, prowadzić może zarówno do zupełnego pozbawienia sensu zapisu jak również do
Kreator PDF
stanu, w którym informacja pozostaje czytelna, nabiera jednak zupełnie innego znaczenia niż przed
dokonaniem zmiany w zapisie [6]. W przypadku ingerencji w logi systemowe najczęściej spotykamy się
właśnie z drugą z wymienionych ewentualności. Intruz najczęściej nie niszczy całości zapisu, kasuje lub
modyfikuje jedynie zapis dotyczący własnej działalności w systemie (np. próby zalogowania z danego
hosta). Oczywiście tego typu "częściowa" zmiana logów systemowych również stanowić może czyn
karalny. W praktyce administrator stara się przeciwdziałać modyfikacji logów systemowych poprzez
odpowiednią konfigurację systemu (w Linuksie będzie to modyfikacja pliku /etc/syslogd.conf). Możliwa
jest konfiguracja systemu, zmierzająca do "dublowania" zapisu logów systemowych. Kopia logów może
być zapisywana w odpowiednim pliku na tym samym komputerze
(/zapisana/bardzo/głęboko/w/systemie) wysyłana na inny host lub okresowo drukowana [7].
Przestępstwo z art. 268 § 2 k.k. jest przestępstwem skutkowym, odpowiedzialność karna sprawcy zależy
od wystąpienia skutku w postaci udaremnienia lub znacznego utrudnienia osobie uprawnionej zapoznania
się z informacją. Jak wskazuje W. Wróbel "Nie stanowi realizacji znamion czynu zabronionego
określonego w tym przepisie zniszczenie jednej z wielu kopii zapisu informacji, chyba że zapoznanie się z
tą informacją zawartą na pozostałych kopiach jest znacznie utrudnione" [8]. Nie dojdzie zatem do
popełnienia przestępstwa z art. 268 § 2 k.k. w przypadku, gdy intruz zniszczy lub zmodyfikuje tylko
jedną z kopii logów systemowych i zapoznanie się z "oryginalnym" zapisem logów nie będzie stanowić
znacznego utrudnienia dla uprawnionego. Omawiane przestępstwo jest przestępstwem umyślnym.
Zgodnie z art. 9 § 1 k.k. czyn zabroniony popełniony jest umyślnie, jeżeli sprawca ma zamiar jego
popełnienia, to jest chce go popełnić albo przewiduje możliwość jego popełnienia i na to się godzi. Nie
stanowi zatem przestępstwa nieumyślne zniszczenie logów systemowych w wyniku nieostrożnych,
przypadkowych działań użytkownika systemu. Należy podkreślić, że niezależnie od odpowiedzialności
karnej, zniszczenie lub modyfikacja logów systemowych łączy się z odpowiedzialnością cywilną sprawcy.
Przypisy:
1. Więcej zobacz: Krzysztof Rzecki, Leszek Siwik, "Bezpieczeństwo w systemach komputerowych Referat z przedmiotu "Administrowanie Systemami Komputerowymi", artykuł dostępny na stronach
serwisu www.ipsec.pl
2. np. LogCaster, zobacz: T. Łopatkiewicz, Centralne monitorowanie logów systemowych - LogCaster, IT
Security Magazine, 12/2000; Robert Wysocki, Audit Policy;
3. A. Adamski, Prawo karne komputerowe, Warszawa 2000, str. 65
4. P. Kardas, Prawnokarna ochrona informacji w polskim prawie karnym, Czasopismo prawa karnego i
nauk penalnych 2000/1
5. O. Górniok, Kodeks karny, str. 325; podobnie: W. Wróbel w: G. Bogdan, K. Buchała, Z. Ćwiakalski, M.
Dąbrowska-Kardas, P. Kardas, J. Majewski, M. Rodzynkiewicz, M. Szewczyk, W. Wróbel, A. Zoll, Kodeks
karny, Część szczególna. Komentarz, t. 2 str. 1019
6. tak: J. Kardas, Prawnokarna ochrona... j.w., str. 90
7. Dominik Bałos, Dariusz Czapla, Jan Górkiewicz, Bezpieczeństwo systemów komputerowych na
przykładzie systemu Linuks., Artykuł dostępny na stronach serwisu www.ipsec.pl; Gerhard Mourani,
Securing and Optimizing Linux, RedHat Edition - A Hands on Guide
Rodzynkiewicz, M. Szewczyk, W. Wróbel, A. Zoll, Kodeks karny, Część szczególna. Komentarz, t. 2;
zobacz również: A. Adamski, Prawo karne komputerowe... j.w., str. 72
Odpowiedzialność karna sprawcy ataku typu DoS (Denial of Service attack).
Przez atak typu DoS (denial of service attack) rozumie się różnego typu ataki na systemy komputerowe
mające na celu utrudnienie lub uniemożliwienie funkcjonowania danej maszyny lub części sieci. Ataki
tego typu polegają najczęściej na sztucznym generowaniu i przesyłaniu do komputera ofiary wielkiej
ilości informacji. Komputer (ofiara) nie jest w stanie przeanalizować i odpowiedzieć na wszystkie
napływające informacje co prowadzi do spowolnienia lub zablokowania jego działania (zawieszenia
komputera). Do ataków tego typu należą między innymi: Chargen-Echo, Teardrop, DDoS, SYN Flood,
Nuke, Land, Smurf, Ping oF Death [1]. Niezależnie od zastosowanej techniki ataku podstawowym jego
celem jest "unieruchomienie" komputera, uniemożliwienie pracy oraz komunikacji z innymi maszynami.
Działania tego typu stanowią zatem naruszenie jednego z podstawowych praw człowieka - wolności
komunikowania się. Jak stanowi art. 49 Konstytucji RP "Zapewnia się wolność i tajemnice komunikowania
się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej
określony." Powyższy przepis Konstytucji znajduje realizację zarówno w przepisach prawa karnego jak i
cywilnego. W omawianym przypadku znajdzie zastosowanie art. 268 kodeksu karnego stanowiący, że:
§ 1. Kto nie będąc tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji
albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega
Kreator PDF
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega
karze pozbawienia wolności do lat 3.
§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega
karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 4. Ściganie przestępstwa określono w § 1 - 3 następuje na wniosek pokrzywdzonego.
Niewątpliwie skuteczny atak typu DoS będzie można zakwalifikować jako działanie udaremniające lub
znacznie utrudniające zapoznanie się z informacją przez uprawnionego. Jak wskazuje się w literaturze nie
dochodzi do popełnienia przestępstwa gdy uprawniony posiada kopię danych i gdy ich odtworzenie nie
stworzy przy tym szczególnych trudności [2]. Zauważmy, że w przypadku informacji zamieszczonych na
serwerze WWW (podobnie serwerze poczty) osobą uprawnioną do zapoznania się z informacją będzie
każdy użytkownik (internauta), a nie tylko osoba która zamieściła informację lub która administruje
serwerem. A zatem możliwość zapoznania się z danymi przez administratora systemu oraz ograniczony
krąg osób uprawnionych (np. po odłączeniu serwera od internetu dane mogą przeglądać jedynie
użytkownicy sieci LAN) nie wyłączy odpowiedzialności karnej sprawcy ataku. Pozostanie bowiem cała
rzesz użytkowników (uprawnionych) którzy w wyniku ataku nie będą mogli zapoznać się z informacją
zgromadzoną na serwerze. Na gruncie omawianego przepisu podlega ochronnie jedynie "istotna"
informacja. Przestępstwem będzie zatem atak udaremniający lub utrudniający zapoznanie się z "istotną"
informacją. Jak wskazuje się w literaturze chodzi w tym przypadku o ISTOTNĄ informację w znaczeniu
obiektywnym [3]. Przy ocenie "istotności informacji" należy brać również pod uwagę interes dysponenta
informacji oraz w pewnych przypadkach interes podmiotu którego dotyczy informacja [1]. Słusznym
wydaje się postulat oceny "istotności" informacji odnosząc jej wartość do pewnego standardu
obowiązującego w dziedzinie której dana informacja dotyczy [5]. Moim zdaniem oceniając "istotność"
informacji należy kierować się również nakładem pracy i środków koniecznych do "uzyskania" danej
informacji. Ustawodawca wprowadził surowszą odpowiedzialność za udaremnienie lub utrudnienie
zapoznania się z informacją zgromadzoną na "komputerowym nośniku informacji". A zatem zgodnie z art.
268 § 2 k.k. w przypadku ataków typu DoS sprawca będzie podlegał karze pozbawienia wolności do lat 3.
Odpowiedzialność sprawcy będzie jeszcze surowsza jeżeli w wyniku ataku wyrządzona zostanie "znaczna
szkoda majątkowa". Zgodnie z art. 268 § 3 k.k. sprawca wyrządzający znaczną szkodę majątkową
podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Zgodnie z art. 115 § 7 k.k. w zw. z § 5
znaczną szkodę majątkową stanowi szkoda przekraczająca dwukrotną wartość najniższego miesięcznego
wynagrodzenia. Przestępstwo z art. 268 § 2 k.k. jest przestępstwem umyślnym. Nie będzie zatem
podlegał karze użytkownik który np. w wyniku awarii programu lub sprzętu przypadkowo dokonał ataku
DoS na inny host. Ponadto atak typu DoS łączy się z odpowiedzialnością cywilną sprawcy.
W USA ataki DoS, zgodnie z ustawą "National Information Infrastructure Protection Act" z 1996 r., są
przestępstwem federalnym zagrożonym karą od 5 do 10 lat więzienia oraz grzywną w wysokości 250 tys.
USD. Z kolei w Wielkiej Brytani sprawców ataków Denial of Service pozwala pociągnąć do
odpowiedzialności znowelizowana w 2002 roku ustawa "Computer Misuse Act".
Przypisy:
1. Więcej na temat ataków typu DoS zobacz: A. Dudek, Nie tylko wirusy, Helion 1998; M. Dudek, Co
każdy internauta wiedzieć powinien - wybrane zagadnienia osobistej polityki bezpieczeństwa. w: Internet
Fenomen Społeczeństwa Informacyjnego, pod red. ks. prof. T. Zasępy; Krzysztof Rzecki, Leszek Siwik,
Bezpieczeństwo w systemach komputerowych, Artykuł dostępny na stronach serwisu
www.ipsec.pl;Wojtek Jakóbczyk, Ataki DoS - ICQ
Rodzynkiewicz, M. Szewczyk, W. Wróbel, A. Zoll, Kodeks karny, Część szczególna. Komentarz t. 2
podobnie: A. Adamski, Prawo karne komputerowe, Warszawa 2000, str. 72, A. Adamski, Przestępstwa
komputerowe w nowym kodeksie karnym. str. 57 w serii: Nowa Kodyfikacja Karna Krótkie Komentarze.
3. A. Adamski, Prawo karne komputerowe j.w., str. 65
4. np. gdy chodzi o dane osobowe, należy brać pod uwagę istotność tych danych dla podmiotu którego
dotyczą.
5. Zwraca na to uwagę P. Kardas, Prawokarna ochrona informacji w polskim prawie karnym, Czasopismo
prawa karnego i nauk penalnych 2000/1.
Więcej informacji:
http://www.prawnik.net.pl
nfsec.pl
Kreator PDF

Włamanie do systemu - odpowiedzialność karna

Transkrypt

Podobne dokumenty

statystyka nadużycie zaufania (art. 296)

Przestępczość komputerowa.

Wybrane artykuły kodeksu karnego, dotyczące ochrony - e

OŚWIADCZENIE O NIEPOSIADANIU GRUNTÓW ROLNYCH

190a Kk

statystyka nadużycie władzy (art. 231)

USTAWA z dnia 27 kwietnia 2006 r. o zmianie ustawy o

Odpowiedzialność za psa KODEKS KARNY

Oświadczenie kandydata o niekaralności. Ja, niżej podpisany/a