Propozycja zaostrzenia przepisów, czyli nic nie wiadomo

Warto uważnie śledzić proces legislacyjny. Jak wiadomo Ministerstwo Sprawiedliwości przygotowuje od pewnego czasu dużą nowelizację prawa karnego. Ale jednocześnie, zgodnie z zapowiedziami po atakach na serwis policji, reakcji najprawdopodobniej na zatrzymania ludzi od napisów do filmów (por. Ewentualny atak serwerów Policji uważam za głupotę i nieodpowiedzialność), MS postanowiło zaostrzyć przepisy związane z atakami na infrastrukturę techniczną oraz tzw. hakingu... Projekt nowelizacji kodeksu karnego ma "w najbliższych tygodniach" trafić do Sejmu. Będą konsultacje społeczne?

Jak pisze Rzeczpospolita w artykule Groźba pięciu lat więzienia za blokowanie komputerów: "Część zmian w projektowanym kodeksie karnym wymusza na Polsce prawo wspólnotowe, w szczególności decyzja ramowa 2005/222/WSiSW z 24 lutego 2005 r. w sprawie ataków na systemy informatyczne".

W tym tekście także tabelka porównująca aktualne i zapowiadane przepisy. Na stronach Ministerstwa Sprawiedliwości nie znalazłem projektu.

"Istotne zakłócanie pracy systemu komputerowego" (jak sądzę z art. 269a. KK) ma być zastąpione "czasowym blokowaniem sieci komputerowej". Co oznacza czasowe blokowanie sieci? Trudno powiedzieć, ale nie widziałem projektu, a jedynie nawiązuje do dziennikarskiego materiału Rzepy.

"Podłączenie się do przewodu przenoszącego informacje" (w art. 267 KK mowa dziś o formie przestępstwa zapoznania się z informacją m.in. "podłączając się do przewodu służącego do przekazywania informacji", tak więc nie wiem co porównuje Rzeczpospolita w artykule) ma być uzupełnione "podłączeniem się do sieci bezprzewodowej".

Rzeczpospolita pisze o "złamaniu zabezpieczeń komputera" (skąd wy to bierzecie? Art. 267 KK: "...przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie...") i to ma być uzupełnione "obejściem zabezpieczeń komputerowych".

Rzeczpospolita pisze: "nielegalne uzyskanie informacji z systemu", Kodeks karny mówi o "bez uprawnienia uzyskuje informację dla niego nie przeznaczoną", a Rzepa opisuje projektowaną nowelizacje: "uzyskanie nielegalnego dostępu do informacji".

Jednym słowem nic nie wiadomo. Nie wiadomo jak zaprojektowano przepisy nowelizacji Ministerstwa Sprawiedliwości (nie wynika to z artykułu Rzeczpospolitej). Na razie tylko można wpaść w panikę, co niniejszym czynię.

Stop. Zanim wpadnę w panikę, jeszcze odesłanie do przywołanej wyżej Decyzji Ramowej Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne (PDF).

I jeszcze odesłanie do drugiego artykułu Rzeczpospolitej: Prawu trudno nadążyć za Internetem, w którym podano informację, że w 2006 roku policja zanotowała jedynie 19 zgłoszeń "dotyczących włamań do komputerów", ale wcześniej przywołane są słowa mec. Wojciecha Jędrzyńskiego, radcy prawnego w Kancelarii Prawnej Chałas i Wspólnicy:

Tak jak klasyczna kradzież z włamaniem jest przedmiotem dyspozycji i sankcji określonej w kodeksie karnym, tak również internetowa kradzież z włamaniem do cudzych zasobów umieszczonych w pamięci komputera powinna być napiętnowana w kodeksie.

OK. Teraz już mogę spokojnie wpaść w panikę.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

a nie mowilem?

A nie mówiłem, że bez większego sensu jest tworzenie norm hipotetycznych w tak szybko rozwijającej się dziedzinie techniki? Jeśli "podłączanie się do przewodu" uzupełnimy o "sieci bezprzewodowe" to dostaniemy potworka, który w zamierzeniu miał być określeniem sieci w ogóle (no bo i przewodowe i bezprzewodowe), tyle że znowu z dziurą na emisję ujawniającą z przewodów sieci przewodowych (że nie wspomnę o emisji ujawniającej z monitorów, znacznie ciekawszej) - jeśli będę podsłuchiwał takową (do zrobienia) to niewapliwie nie "podłączę się do przewodu" ani nie będzie to sieć bezprzewodowa. Bedzie par 2 - urządzenie specjalne (o ile mnie na tym złapią...)

Swoją drogą: jeśli - z tego samego artykułu - zapoznam się z treścią zamkniętego pisma bez jego otwierania (dajmy na to prześwietlając je silnym źródłem światła widzianego) - to również nie ma jak mnie skazać (no chyba, że latarka to też "urządzenie specjalne").

Więsza luka to inżynieria społeczna - dajmy na to uwiedzenie sekretarki i uzyskanie od niej tajnego hasła (np podłuchując, co mówi ona przez sen) - nie jest (chyba) ani "przełamaniem" ani "obejściem" - zabezpieczenia działają i atakujący poddaje się ich działaniu, tyle, że ma do nich klucz zdobyty metodą podsłuchu, ale podsłuchu niekaralnego, bo podsłuchiwanie pod drzwiami sypialni nie zostało spenalizowane).

Skąd ta - iście bizantyjska - ochota do przewidzenia wszelkich możliwych sposobów i technik ataku? Czy w części kk dotyczącej "zwykłych" przestępstw też projektuje się wprowadzenie lex specialis do art 148 przez tworzenie twórczych hipotez w rodzaju np "kto zabija człowieka młotkiem o masie powyżej 2 kilogramów"? Konsekwencją takiej drobiazgowości będzie po pierwsze to, że już do napisania aktu oskarżenia trzeba będzie konsultacji biegłego (co w zasadzie powinno mi być miłe ;)) a po wtóre to że nadal prawo będzie penalizować określone techniki (jakby szło o - nie przymierzając - zapewnienie jakości oscypka, żeby nie dolewać doń za dużo mleka krowiego - a nie prawo karne). Przecież 90% "hakerów" to skrypciarze, który nie bardzo rozumieją jak działa uruchomione przez nich narzędzie. Czy "obchodzi" czy "omija" czy zgoła "dezaktywuje" albo "enumeruje" a może "czasowo wyłącza". Gorzej, że po skutecznie przeprowadzonym ataku (i złośliwym zatarciu śladów przez zniszczenie systemu atakowanego np w drodze kilkukrotnego zamazywania dysków) nawet biegły prokuratorowi nie pomoże. A nie znając mechanizmu w tym układzie nie można nawet okarżyć.

Jeśli jutro jakiś haker opublikuje w gazecie zabezpieczone informacje to też mu nie można nic zrobić dopóki nie wykarze mu się, nie tylko że wszedł w ich posiadanie w sposób nielegalny ale i dokładnie - JAK to zrobił, dopóki istnieją niepenalizowane sposoby uzyskania poufnej informacji i dopóki różne techniki są rozproszone po różnych artykułach i paragrafach. Nawet jeśli wymieni się w kodeksie wszelkie możliwe sposoby ale bez kategorycznej normy ogólnej...

Już słyszę sędziego: "Niech się Pan prokurator zdecyduje czy oskarża z art 267 par 1, bo przełamał zabezpieczenia czy może z art 267 par 2 bo przechwytywał emisję ujawniającą, a może zgoła 275 bo posłużył się cudzym identyfikatorem - nie wie Pan JAK to zrobił? Aaaaa to szkoda... A przy okazji - dopóki się Pan nie dowie, to 267 par 3 też nie wchodzi w grę".

Poza tym "podłączając się do sieci" - informacje zazwyczaj uzyskuje się z komputera a nie z sieci. Jedna z często wykorzystywanych luk są "boczne" wejścia do sieci. Np pracownik, żeby sobie spokojnie poserfować podłącza się z pracy do Internetu modemem, mimo, że ma oprócz tego "normalne" (czytaj: monitorowane przez prezesa) połączenie przez sieć lokalną. Jeśli w takim komputerze są interesujące hakera informacje to przecież on się do sieci (wewnętrznej bezprzewodowej sieci przedsiębiorstwa) nie podłączał. Zabezpieczeń też nie przełamywał - sam użytkownik otworzył mu niezabezpieczone wejście... Ale będzie wesoło :)

obchodzenie zabezpieczeń

Przepis ten przyczyni sie tylko do tego, że zabezpieczenia będą jeszcze mniej spełniały swoją role.

Co to w ogóle jest za zabezpieczenie które można obejść? Nie spełnia ono swojej podstawowej roli, czy więc nadal zasługuje na miano zabezpieczenia?

Przykład: autoryzacja po adresach MAC mimo, że nazywana jest "zabezpieczeniem" nie zabezpiecza przed czymkolwiek (zmiana adresu MAC jest banalna).

Inna dyskusja o tym: http://tinyurl.com/25zufs

Ochrona zabezpieczeń, a ochrona prywatności

Jestem tylko ciekaw czy prace nad kodeksem karnym skierują się również w stronę lepszego zabezpieczenia prywatności przed nieautoryzowanym zakresem.

Jako przykład - firma w której pracuje wprowadza politykę bezpieczeństwa która zakłada (w obowiązkowo podpisywanych przez pracowników oświadczeniach) iż wszelka aktywność jest monitorowana (włącznie z treścią maili), a także iż zabronione jest szyfrowanie lub jakakolwiek forma ukrywania przed pracodawcą treści działań lub zawartości transmisji lub danych.

Oczywiście pod taką definicję podpada chociażby wysłanie maila ze służbowego konta do żony.

Jak ustawodawca zapatruje się na takie działania?
Czy złamanie moich prywatnych zabezpieczeń (hasło, szyfrowanie pgp) powinno być dozwolone?

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>