O tych hakerach ściganych z urzędu i o programie ochrony cyberprzestrzeni

W mediach pojawił się temat ścigania z urzędu tych, którzy atakują infrastrukturę teleinformatyczną państwa. Dokładniej zaś cytowany jest fragment rządowego programu ochrony cyberprzestrzeni na lata 2011 – 2016. Temat się pojawił, gdyż 10 września pojawiły się w BIP MSWiA nowe dokumenty na ten temat. W każdym razie w głównym dokumencie programu (noszącym datę "czerwiec 2010"), w części 3.3.1 pt. "Program w zakresie działań legislacyjnych", czytamy postulat: "wprowadzenia ścigania z urzędu naruszeń bezpieczeństwa w cyberprzestrzeni, które miały miejsce w odniesieniu do podmiotów administracji publicznej oraz infrastruktury krytycznej ujawnionej w wykazie. Wprowadzenie ścigania na wniosek pokrzywdzonego w przypadku wykrycia incydentu bezpieczeństwa w obszarze cyberprzestrzeni RP". Pomyślmy o konsekwencjach takiego rozwiązania legislacyjnego. Czy oznacza ono, że teraz z urzędu będzie się ścigać również posłów?

Ciekawie jest obserwować, jak przez media idzie fala jakiegoś tematu. Zaczyna się delikatnie. 7 września IDG pisze w tekście Ochrona polskiej cyberprzestrzeni - ambitne plany na lata 2011 - 2016 o opracowywanym właśnie w międzyresortowym zespole Rządowym Programie. Już na tym etapie można było się zaniepokoić, gdy światło dzienne ujrzała informacja: "Programem zostaną objęci przedsiębiorcy (np. działający w sektorze energetycznym, bankowym czy telekomunikacyjnym), instytucje o szczególnym znaczeniu dla obronności i bezpieczeństwa państwa oraz użytkownicy indywidualni". Ale dopiero kilka dni później media rzeczywiście zechciały przeczytać materiał opracowany w MSWiA przy współudziale resortu Obrony Narodowej, Agencji Bezpieczeństwa Wewnętrznego, Straży Granicznej oraz Naukowej i Akademickiej Sieci Komputerowej (NASK)... No bo też i pojawił się Projekt dokumentu kierowany do uzgodnień resortowych w BIP MSWiA.

We wstępie napisałem o posłach. Zrobiłem to w kontekście komentowanych kiedyś przeze mnie działań posła Tadeusza Jarmuziewicza (PO), którego - korzystając z okazji - serdecznie pozdrawiam. Niektórzy pamiętają jeszcze historyczny dyskurs na temat "VAT na usługi świadczenia dostępu do Internetu", kiedy to ówczesna opozycja (a dzisiejsze zaplecze rządowe) wzywała obywateli do „zalania” skrzynek poczty elektronicznej niektórych urzędników państwowych specjalnie przygotowanymi listami. Było tak, że na stronie posła Tadeusza Jarmuziewicza (dziś poseł Jarmuziewicz jest wiceministrem infrastruktury), pod nieaktywnym już dziś adresem www.jarmuziewicz.platforma.org/protest.php, wycelowano w urzędników państwowych cybernetyczne "działa", by w ten sposób wywrzeć presję na ówczesny rząd (który dziś jest opozycją). W artykule pt. Spam polityczny komentowałem to wówczas tak:

Na marginesie warto zauważyć, że „realizowanie prawa” do składania petycji w cudzym imieniu (za jej zgodą) z wykorzystaniem automatycznego przetwarzania danych i automatycznego wysyłania komunikatów elektronicznych na oficjalne skrzynki poczty elektronicznej urzędników administracji publicznej może doprowadzić do zablokowania tych skrzynek, co, w konsekwencji, przeszkadza innym podmiotom w realizacji prawa do składania petycji, skarg i wniosków w interesie publicznym, własnym lub innej osoby za jej zgodą. Zatem zastosowanie takich automatów stanowi, w moim odczuciu, naruszenie zasad przewidzianych w Konstytucji RP, w szczególności dotyczących równości dostępu obywateli do organów administracji publicznej. W moim odczuciu stanowi również wykroczenie przeciwko zasadom współżycia społecznego – nie przez przypadek mailbombing jest uznany za jedną z form przeprowadzenia ataków na systemy komputerowe.

To było w 2003 i 2004 roku, gdy stawka VAT była elementem mobilizowania internautów do politycznej dyskusji. Stowarzyszenie Internet Society Poland pochyliło się wówczas nad tą dyskusją (Stanowisko Stowarzyszenia Internet Society Poland w sprawie stawki VAT na dostęp do Internetu 8 października 2003 roku) i zważyło, że zwolnienie z VAT nie jest dobrym pomysłem. VAT to trudny temat i nie dla wszystkich prosty. Zwolnienie z VAT to nie to samo, co stawka zerowa. ISOC Polska wówczas postulował stawkę 0 VAT, a więc nie zwolnienie (por. VAT quo vadis?).

Dlaczego tego typu "działa", jakie w opozycyjny niegdyś poseł wycelował w ówczesny rząd, są zagrożeniem dla infrastruktury, dowiecie się Państwo z konferencji pasowej, która odbędzie się dziś zupełnie z innej okazji. Nie zdradzając zbytnio napiszę jedynie, że wczoraj policja zatrzymała 5 osób, które wysyłały masowo komunikaty do użytkowników jednego z dużych serwisów. Pojawiły się zarzuty... Być może to pierwszy przypadek, w którym realny scenariusz wydarzeń może przewidywać karę pozbawienia wolności w związku ze spamem (i to takim "webowym", nie koniecznie tylko "mailowym"), a przecież sprawa dotyczy infrastruktury prywatnego przedsiębiorstwa, nie zaś infrastruktury krytycznej państwa... W kolejnej notatce napiszę o tym więcej.

Dla tych wszystkich, którzy chcieliby mi zarzucić chęć obrony atakujących infrastrukturę informatyczną państwa przypominam tekst z 2007 roku, który nosi tytuł Ewentualny atak serwerów Policji uważam za głupotę i nieodpowiedzialność.

Niepochwalanie ataków na infrastrukturę mojego państwa (niezależnie od tego, kto jest aktualnie u władzy) to jedno, a drugie to chwila zastanowienia się nad konsekwencjami postulowanych w przywołanego już projektu Rządowego Programu Ochrony Cyberprzestrzeni RP na lata 2011-2016, który objawił się niedawno na stronach Biuletynu Informacji Publicznej. Tam jest zresztą wiele ciekawych tez. Warto zatem ten materiał przeczytać w całości.

Odnośnie ścigania z urzędu, to zastanawiam się...

Jeśli mamy kłopot z ustaleniem precyzyjnych przepisów na temat tego, co w sferze prawnokarnej i w odniesieniu do działań informatycznych jest przestępstwem, a co nie jest (por. "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection), to wprowadzenie ścigania z urzędu tam, gdzie przepisy karne są niejasne, może wprowadzać pewne ryzyko nadużywania takich przepisów. Posłowie mają poselski immunitet, więc mogą się nie obawiać (przynajmniej do końca kadencji, kiedy zaczniemy się zastanawiać publicznie, kiedy przedawniać się powinny przestępstwa przeciw infrastrukturze krytycznej państwa).

Mamy więc mało precyzyjne przepisy prawa karnego materialnego i postulujemy ściganie z urzędu tam, gdzie dziś przepisy przewidują ściganie na wniosek. Jednocześnie mamy w naszej procedurze karnej takie przepisy, jak art. 303 i 304 KPK:

Art. 303. Jeżeli zachodzi uzasadnione podejrzenie popełnienia przestępstwa, wydaje się z urzędu lub na skutek zawiadomienia o przestępstwie postanowienie o wszczęciu śledztwa lub dochodzenia, w którym określa się czyn będący przedmiotem postępowania oraz jego kwalifikację prawną.

Art. 304. § 1. Każdy dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję. Przepis Art. 191 § 3 stosuje się odpowiednio.
§ 2. Instytucje państwowe i samorządowe, które w związku ze swą działalnością dowiedziały się o popełnieniu przestępstwa ściganego z urzędu, są obowiązane niezwłocznie zawiadomić o tym prokuratora lub Policję oraz przedsięwziąć niezbędne czynności do czasu przybycia organu powołanego do ścigania przestępstw lub do czasu wydania przez ten organ stosownego zarządzenia, aby nie dopuścić do zatarcia śladów i dowodów przestępstwa.
§ 3. Zawiadomienie o przestępstwie, co do którego prowadzenie śledztwa jest obowiązkowe, lub własne dane świadczące o popełnieniu takiego przestępstwa Policja przekazuje wraz z zebranymi materiałami niezwłocznie prokuratorowi.

W przypadku przestępstw takich, jak z art. 268 KK - ściganie następuje na wniosek pokrzywdzonego. Dodajmy dwa do dwóch i powinno wyjść cztery. Jeśli instytucje państwowe i samorządowe dowiedziały się o popełnieniu przestępstwa ściganego z urzędu, to mają obowiązek - wynikający z cytowanego wyżej przepisu art. 304 §2 KPK - do niezwłocznego zawiadomienia prokuratury lub Policji. Ale czy to znaczy, że jak się dowiedzą o tym, że ich infrastruktura została zaatakowana, jak się dowiedzą, że są pokrzywdzonym, to czy istnieje jakiś powód dla którego nie mogą złożyć wniosku o ściganie tam, gdzie przestępstwa dziś ścigane są właśnie na wniosek pokrzywdzonego?

Ja dziś nadal nie wiem, czy nasza interwencja w Wyższej Szkole Policji w Szczytnie, kiedy strona ta była kompletnie zawirusowana i siała infekcjami po komputerach ją odwiedzających (być może również najwyższych funkcjonariuszy policji - wykładowców), przyniosła efekt w postaci podjęcia jakichkolwiek czynności w celu wykrycia sprawców (por. Juwenalia w Wyższej Szkole Policji w Szczytnie). Wiemy, że Policja czasem potrafi potraktować sprawę ataku na jej infrastrukturę w sposób ambicjonalny. Tak przecież - jak się wydaje - było wówczas, gdy młody mężczyzna postanowił umieścić na jednej z policyjnych stron pewną grafikę (por. Afera o zdjęcie na stronach suwalskiej policji, Zatrzymano chłopaka, który umieścił "złe psy" na stronie suwalskiej policji)... Ale jeśli strona stoi na serwerze wpiętym w Neostradę TP, a zabezpieczenia są jedynie umowne, to kto powinien ponosić odpowiedzialność za ewentualną kompromitację infrastruktury teleinformatycznej tego typu? Czy tego typu problemy zostaną załatwione przez Pełnomocnika rządu ds. ochrony cyberprzestrzeni, którego ustanowienie postuluje się w rządowym programie? Zobaczymy.

W każdym razie temat ścigania z urzędu pojawił się w mediach:

• Hakerzy będą ścigani z urzędu
• Nowy urzędnik stanie na straży polskiej cyberprzestrzeni

PS
Tymczasem Polak zhackował amerykańską stronę wojskową. Chodzi o Defence Logisitc Agency i o "wstrzyknięcie" przyjaciołom Amerykanom do serwisu desc.dla.mil fragmentu filmu "Miś"... Skoro dało się wstrzyknąć, to czy doszło do ataku? Czy można przełamać coś, co nie istnieje?

Ten sam rządowy program (projekt), który przewiduje konieczność ścigania z urzędu naruszeń bezpieczeństwa w cyberprzestrzeni, przewiduje również - w zakresie przyszłych działań legislacyjnych - "zdefiniowania pojęć dotyczących cyberprzestrzeni – CRP, cyberprzestępczości i cyberterroryzmu". To dopiero może być bardzo interesująca dyskusja publiczna. O ile jakaś dyskusja publiczna na ten temat będzie w ogóle się toczyć. Być może będą jakieś inne, ważniejsze, bardziej emocjonujące tematy, którymi żyć będzie społeczeństwo...

Załącznik nr 2 do projektu rządowego programu nosi tytuł Zmiany legislacyjne w zakresie ochrony CRP (PDF). W "krótkim opisie" czytamy (wytłuszczenie moje, VaGla):

W ramach Programu zostaną podjęte następujące działania mające na celu uregulowanie wszelkich aspektów związanych z zarządzaniem i bezpieczeństwem CRP poprzez wprowadzenie odpowiednich zapisów do ustaw i rozporządzeń już obowiązujących lub w nowej ustawie i rozporządzeniu wykonawczym w zakresie:

1. zdefiniowania pojęć dotyczących cyberprzestrzeni – CRP, cyberprzestępczości i cyberterroryzmu;

2. wskazania, że CRP należy traktować, jako dobro ogólnego umożliwiające rozwój i niezakłócone funkcjonowanie społeczeństwa informacyjnego, komunikacje – wymianie informacji oraz repozytorium wiedzy i myśli obywateli;

3. ustalenia odpowiedzialności za ochronę CRP – opisanie zakresów zadań, odpowiedzialności i zmian w strukturach organizacyjnych polegających na powołaniu jednostek odpowiedzialnych za zarządzanie i bezpieczeństwo CRP (KPRM, MSWiA, MON, ABW i SKW);

4. wprowadzenia ścigania z urzędu naruszeń bezpieczeństwa w cyberprzestrzeni, które miały miejsce w odniesieniu do podmiotów administracji publicznej, infrastruktury krytycznej. Wprowadzenie ścigania na wniosek pokrzywdzonego w przypadku wykrycia incydentu bezpieczeństwa w obszarze CRP;

5. ustawienia głównych sektorowych punktów kontaktowych CERT.GOV.PL dla obszaru administracji publicznej, CERT Polska dla obszaru cywilnego, MIL CERT dla obszaru wojskowego oraz sektorowych punktów kontaktowych w ministerstwach właściwych sektorów gospodarki RP;

6. wprowadzenia funkcji Pełnomocnika Rządu ds. Ochrony Cyberprzestrzeni RP (PROC) odpowiedzialności i zadań oraz ustalenie sposobów i form współpracy;

7. wprowadzenia funkcji pełnomocnika kierownika jednostki organizacyjnej ds. ochrony cyberprzestrzeni (PKOC) w podmiotach administracji publicznej i zalecenie utworzenia takiej funkcji w podmiotach gospodarczych;

8. umocowania prawnego Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL;

9. wprowadzenia obowiązku dla podmiotów publicznych i zalecenia dla pozostałych użytkowników cyberprzestrzeni informowania (nie dłużej niż w ciągu jednego dnia od wykrycia zdarzenia przez personel) do właściwego zespołu CERT o wykrytych incydentach bezpieczeństwa związanych z CRP.