oszustwa komputerowe

Cyberprzestępczość –
zagrożenie dla infrastruktury krytycznej.
Wybrane aspekty prawne
kom. Grzegorz Matyniak
Sanok, 24 października 2013
• Agenda
1.Infrastruktura krytyczna – definicja, podstawowe pojęcia
2. Cyberprzestrzeń, cyberprzestępstwo – pojęcia i podstawowe
informacje
3.Wybrane przestępstwa odnoszące się do zagrożenia
bezpieczeństwa infrastruktury krytycznej.
Ustawa z dnia 26 kwietnia 2007r o zarządzaniu kryzysowym, Dz. U z 2007 nr 89
poz.590 (z późn. zm.)
Infrastruktura krytyczna to systemy oraz wchodzące w ich skład powiązane ze
sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje,
usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące
zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także
instytucji i przedsiębiorców. Infrastruktura krytyczna obejmuje systemy:
a) zaopatrzenia w energię, surowce energetyczne i paliwa,
b) łączności,
c) sieci teleinformatycznych,
d) finansowe,
e) zaopatrzenia w żywność,
f) zaopatrzenia w wodę,
g) ochrony zdrowia,
h) transportowe
i) ratownicze,
j) zapewniające ciągłość działania administracji publicznej,
k) produkcji, składowania, przechowywania i stosowania substancji chemicznych i
promieniotwórczych, w tym rurociągi substancji niebezpiecznych;
Europejska Infrastruktura krytyczna
wg Ustawa z dnia 26 kwietnia 2007r o zarządzaniu
kryzysowym, Dz. U z 2007 nr 89 poz.590 (z późn. zm.)
„systemy oraz wchodzące w ich skład powiązane ze sobą
funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia i
instalacje kluczowe dla bezpieczeństwa państwa i jego obywateli
oraz służące zapewnieniu sprawnego funkcjonowania organów
administracji publicznej, a także instytucji i przedsiębiorców,
wyznaczone w systemach, o których mowa w punkcie 2 lit.a i h, w
zakresie energii elektrycznej, ropy naftowej i gazu ziemnego oraz
transportu drogowego, kolejowego, lotniczego, wodnego
śródlądowego, żeglugi oceanicznej, żeglugi morskiej bliskiego
zasięgu i portów, zlokalizowane na terytorium państw
członkowskich Unii Europejskiej, których zakłócenie lub zniszczenie
miałoby istotny wpływ na co najmniej dwa państwa członkowskie”
Występujące powiązania
i
zależności infrastruktury
krytycznej państwa
Skład infrastruktury krytycznej
wg Rządowego Centrum Bezpieczeństwa, 2013
Cyberprzestrzeń
Rządowy Program w zakresie ochrony cyberprzestrzeni RP na lata 2011-2016,
Warszawa 2010, Ministerstwo Spraw Wewnętrznych i Administracji
„Cyfrowa przestrzeń przetwarzania i wymiany
informacji tworzona przez systemy i sieci
teleinformatyczne wraz z powiązaniami
między nimi oraz relacjami z użytkownikami”
Cyberprzestrzeń
wg Ustawy z dnia 30 sierpnia 2011r o zmianie Ustawy o stanie wojennym oraz kompetencjach
Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom
Rzeczypospolitej Polskiej oraz niektórych oraz niektórych innych ustaw, Dz.U z 2011 nr 222 poz1323
„przestrzeń przetwarzania i wymiany informacji tworzona przez
systemy teleinformatyczne, określone w art.3 pkt 3 ustawy z
dnia 17 lutego 2005r o informatyzacji działalności podmiotów
realizujących zadania publiczne (DZ.U nr 64 poz 565 z późn.
zm){„zespół współpracujących ze sobą urządzeń
informatycznych i oprogramowania zapewniający
przetwarzanie, przechowywanie, a także wysyłanie i
odbieranie danych przez sieci telekomunikacyjne za pomocą
właściwego dla danego rodzaju sieci telekomunikacyjnego
urządzenia końcowego w rozumieniu przepisów ustawy z dnia
16 lipca 2004r Prawo telekomunikacyjne Dz.U. Nr 171 poz
1800}, wraz z powiązaniami pomiędzy nimi i relacjami z
użytkownikami”
Cyberprzestrzeń może być miejscem kooperacji pozytywnej prowadzącej do
rozwoju edukacyjnego, komunikacji społecznej, gospodarki narodowej,
bezpieczeństwa powszechnego itp., lecz także kooperacji negatywnej
- cyberinwigilacja – polegająca na
obostrzonej kontroli społeczeństwa
za pośrednictwem narzędzi
teleinformatycznych
- cyberterroryzm – polegający na
wykorzystaniu cyberprzestrzeni do
działań terrorystycznych
- cyberprzestępczość – polegająca na
wykorzystaniu cyberprzestrzeni do
celów kryminalnych w szczególności
w ramach przestępczości
zorganizowanej i przestępczości o
charakterze ekonomicznym
- cyberwojna – polegająca na użyciu
cyberprzestrzeni jako czwartego
(ziemia, morze, powietrze) obszaru
prowadzenia działań wojennych
X Kongres ONZ w Sprawie Zapobieżenia Przestępczości i
Traktowania Przestępców, jaki odbył się we Wiedniu w roku
2000 przyjął, że
1) cyberprzestępstwo w wąskim sensie (przestępstwo komputerowe):
wszelkie nielegalne działanie, wykonywane w postaci operacji
elektronicznych, wymierzone przeciw bezpieczeństwu systemów
komputerowych lub procesowanych przez te systemy danych.
2) cyberprzestępstwo w szerokim sensie (przestępstwo dotyczące komputerów):
wszelkie nielegalne działanie, popełnione za pomocą lub dotyczące systemów
lub sieci komputerowych, włączając w to między innymi nielegalne posiadanie
i udostępnianie lub rozpowszechnianie informacji przy użyciu systemów lub
sieci komputerowych
Cyberprzestępczość
wg definicji przyjętej w Europie Komunikat (2007) 267 wersja ostateczna Komisji do
Parlamentu Europejskiego, Rady oraz Komitetu Regionów z dnia 22.05.2007r „W
kierunku ogólnej strategii zwalczania cyberprzestępczości”
{SEK(2007)641}{SEK(2007)642}
pod pojęciem cyberprzestępczości rozumie się
czyny przestępcze dokonane przy użyciu sieci
łączności elektronicznej i systemów
informatycznych lub skierowane przeciwko
takim sieciom i systemom”
Definicyjny podział przestępstw komputerowych
Dzielą się na 3 podstawowe kategorie:
1) przestępstwa przeciwko bezpieczeństwu elektronicznego przetwarzania
informacji, gdzie chronione jest informacja
2) przestępstwa przeciwko tradycyjnym dobrom prawnym z wykorzystaniem
nowoczesnych elektronicznych technologii gromadzenia i wykorzystania
danych z wyraźnym wskazaniem sposób ich wykorzystania
3) przestępstwa przeciwko tradycyjnym dobrom prawnym z wykorzystaniem
nowoczesnych elektronicznych technologii gromadzenia i wykorzystania
danych bez wyraźnego sposobu ich wykorzystania (np. zniesławienie,
groźby, rozpowszechnianie pornografii przez internet, itp.
Cyberprzestępstwo
wg. Komunikatu (2007) 267 wersja ostateczna Komisji do Parlamentu Europejskiego, Rady oraz
Komitetu Regionów z dnia 22.05.2007r „W kierunku ogólnej strategii zwalczania
cyberprzestępczości” {SEK(2007)641}{SEK(2007)642}
1) obejmuje tradycyjne formy przestępstw, jak oszustwo czy fałszerstwo, jednak w
kontekście cyberprzestępczości dotyczy to przestępstw popełnionych przy użyciu
elektronicznych sieci informatycznych i systemów informatycznych , zwanych też
sieciami łączności elektronicznej,
2) obejmuje publikację nielegalnych treści w mediach elektronicznych (np. materiałów
związanych z seksualnym wykorzystywaniem dzieci czy też nawoływaniem do
nienawiści rasowej),
3) obejmuje przestępstwa typowe dla sieci łączności elektronicznej, tj. ataki przeciwko
systemom informatycznym, ataki typu denial of service oraz hakerstwo. Tego rodzaju
ataki mogą być również skierowane przeciwko najważniejszym infrastrukturom
krytycznym w Europie i uszkodzić istniejące systemy szybkiego reagowania w wielu
obszarach, co może spowodować dramatyczne konsekwencje dla całego
społeczeństwa. Wszystkie te przestępstwa łączy to, że mogą być popełniane na
masową skalę, a odległość geograficzna między miejscem popełnienia przestępstwa
a jego skutkami może być znaczna.
Kodeks karny
Kodeks Karny - wybrane przepisy karne
Rozdział XVII – Przestępstwa przeciwko Rzeczypospolitej Polskiej
art.130§3 – (szpiegostwo komputerowe) Kto, w celu udzielenie obcemu
wywiadowi wiadomości określonych w § 2 (których przekazanie może
wyrządzić szkodę rzeczypospolitej Polskiej), gromadzi je lub przechowuje,
wchodzi do systemu informatycznego w celi ich uzyskania albo zgłasza
gotowość działania na rzecz obcego wywiadu przeciwko Rzeczypospolitej
Polskiej,
Kodeks Karny - wybrane przepisy karne
Rozdział XX – Przestępstwa przeciwko bezpieczeństwu publicznemu
art.163§1 – (sprowadzenie zdarzenia powszechnie niebezpiecznego) Kto
sprowadza zdarzenie, które zagraża życiu lub zdrowiu wielu osób albo
mieniu w wielkich rozmiarach, mające postać:
1) pożaru,
2) zawalenie się budowli, zalewu albo obsunięcia się ziemi, skał lub śniegu,
3) eksplozji materiałów wybuchowych lub łatwopalnych albo innego
gwałtownego wyzwolenia energii, rozprzestrzeniania się substancji
trujących, duszących lub parzących,
4) gwałtownego wyzwolenia energii jądrowej lub wyzwolenia promieniowania
jonizującego,
Kodeks Karny - wybrane przepisy karne
art.165§1 (sprowadzenie niebezpieczeństwa powszechnego na skutek zakłócenia
procesów automatycznego przetwarzania danych) – Kto sprowadza
niebezpieczeństwo dla życie lub zdrowia wielu osób albo dla mienia w wielkich
rozmiarach:
1) powodując zagrożenie epidemiologiczne lub szerzenie się choroby zakaźnej albo
zarazy zwierzęcej lub roślinnej,
2) wyrabiając lub wprowadzając do obrotu szkodliwe dla zdrowia substancje, środki
spożywcze lub inne artykuły powszechnego użytku lub też środki farmaceutyczne
nie odpowiadające obowiązującym warunkom jakości,
3) powodując uszkodzenie lub unieruchomienie urządzenia użyteczności publicznej, w
szczególności urządzenia dostarczającego wodę, światło, ciepło, gaz, energię albo
urządzenia zabezpieczającego przed nastąpienie niebezpieczeństwa powszechnego
lub służącego do jego uchylenia,
4) zakłócając, uniemożliwiając lub w inny sposób wpływając na automatyczne
przetwarzanie, gromadzie lub przekazywanie danych informatycznych,
5) działając w inny sposób w okolicznościach szczególnie niebezpiecznych,
Kodeks Karny - wybrane przepisy karne
art.168 – (przygotowania do sprowadzenie zdarzenia powszechnie
niebezpiecznego lub niebezpieczeństwa powszechnego) Kto czyni
przygotowania do przestępstwa określonego w art.163§1, art.165§1, art.166§1
lub art.167§1,
art.172 – (utrudnianie akcji ratowniczej przy niebezpieczeństwie
powszechnym) Kto przeszkadza działaniu mającemu na celu zapobieżenie
niebezpieczeństwu dla życia lub zdrowia wielu osób albo mienia w wielu
rozmiarach,dodać tekst
Kodeks Karny - wybrane przepisy karne
Rozdział XXI – Przestępstwa przeciwko bezpieczeństwu w komunikacji
art.173§1 – (sprowadzenie katastrofy komunikacyjnej) Kto sprowadza
katastrofę w ruchu lądowym, wodnym lub powietrznym zagrażającą życiu
lub zdrowiu wielu osób albo mieniu w wielkich rozmiarach,
art.174§1 – (sprowadzenie niebezpieczeństwa katastrofy komunikacyjnej) Kto
sprowadza bezpośrednie niebezpieczeństwo katastrofy w ruchu lądowym,
wodnym lub powietrznym,
Kodeks Karny - wybrane przepisy karne
art.175 – (przygotowania do sprowadzenia katastrofy komunikacyjnej) Kto czyni
przygotowania do przestępstwa określonego w art.173§1kk
art.177§1 – (spowodowanie wypadku komunikacyjnego) Kto, naruszając,
chociażby nieumyślnie, zasady bezpieczeństwa w ruchu lądowym, wodnym
lub powietrznym, powoduje nieumyślnie wypadek , w którym inna osoba
odniosła obrażenia ciała określone w art.157§1,
Kodeks Karny - wybrane przepisy karne
Rozdział XXXIII – Przestępstwa przeciwko ochronie informacji
art.267§1 (hacking) – Kto bez uprawnienia uzyskuje dostęp do informacji dla
niego nieprzeznaczonej, otwiera zamknięte pismo, podłączając się do sieci
telekomunikacyjnej lub przełamując albo omijając elektroniczne,
magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
§2 (nieuprawniony dostęp do systemu informatycznego) – tej samej karze
podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu
informatycznego
§3 (nielegalny podsłuch lub inwigilacja przy użyciu środków technicznych) – tej
samej karze podlega, kto w celu uzyskania informacji, do której nie jest
uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym,
wizualnym albo innym urządzeniem lub oprogramowaniem
§5 – Ściganie przestępstwa określonego w §1 - 4 następuje na wniosek
pokrzywdzonego
Kodeks Karny - wybrane przepisy karne
art.268§1(naruszenie integralności komputerowego zapisu informacji) – Kto, nie będąc
do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji
albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej
zapoznanie się z nią,
§2 – Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych,
§3 – Kto, dopuszcza się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę
majątkową,
§4 – Ściganie przestępstwa określonego w §1 – 3 następuje na wniosek
pokrzywdzonego
art.268a§1 (naruszenie integralności danych informatycznych)– Kto, nie będąc do tego
uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych
informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne
przetwarzanie, gromadzenie lub przekazywanie takich danych,
§2 – Kto dopuszczając się czynu określonego w §1, wyrządza znaczną szkodę
majątkową,
§3 – Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek
pokrzywdzonego
Kodeks Karny - wybrane przepisy karne
art.269§1 (sabotaż komputerowy) – Kto niszczy, uszkadza, usuwa lub zmienia
dane informatyczne o szczególnym znaczeniu dla obronności kraju,
bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej,
innego organu państwowego lub instytucji państwowej albo samorządu
terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie,
gromadzenie lub przekazywanie takich danych,
§2 – Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1,
niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo
uszkadzając urządzenie służące do automatycznego przetwarzanie,
gromadzenia lub przekazywania danych informatycznych
Kodeks Karny - wybrane przepisy karne
art.269a (nielegalna ingerencja w system informatyczny) – kto,
nie będąc do tego uprawnionym, przez transmisję, zniszczenie,
usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę
danych informatycznych, w istotnym stopniu zakłóca prace
systemu komputerowego lub sieci informatycznej,
Kodeks Karny - wybrane przepisy karne
art.269b§1 (bezprawne wykorzystywanie programów i danych) – kto
wytwarza, pozyskuje, zbywa lub udostępnia innym osobom
urządzenia lub programy komputerowe przystosowane do
popełnienie przestępstwa określonego w art.165§1 pkt 4, art.267§3,
art.268a§1 albo §2 w związku z §1, art.269§2 albo art.269a, a także
hasła komputerowe, kody dostępu lub inne dane umożliwiające
dostęp do informacji przechowywanych w systemie komputerowym
lub sieci informatycznej,
Kodeks Karny - wybrane przepisy karne
Rozdział XXXV – Przestępstwa przeciwko mieniu
art.287§1 (Oszustwo komputerowe) – Kto, w celu osiągnięcia korzyści
majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienie, wpływa
na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych
informatycznych lub zmienia, usuwa, albo wprowadza nowy zapis danych
informatycznych,
Kodeks Karny - wybrane przepisy karne
Wypada jedynie sygnalizacyjnie w tym miejscu wspomnieć o przestępstwach z
rozdziału XXXIV dot. przestępstw przeciwko wiarygodności dokumentów
(np. art.270, art.276), czy też z rozdziału XXXV dot. przestępstw przeciwko
mieniu (np. art.278§2, art.286§1, art.291 i art.292 w odniesieniu do
programów komputerowych), rozdziału XXXVI dot. przestępstw przeciwko
obrotowi gospodarczemu (art.297§1, art.298 czy coraz częściej występujący
art.299 dot. prania pieniędzy, art.303), jak też z rozdziału XXXVII
zawierających przestępstwa przeciwko obrotowi pieniędzmi i papierami
wartościowymi (art.310, art.312, art.314)
Dziękuję za uwagę