UE na temat "narzędzi hackerskich", IP spoofingu, odpowiedzialności osób prawnych

Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE) Parlamentu Europejskiego głosowała niedawno nad propozycjami związanymi z przepisami karnym dot. przestępczości komputerowej. Zgodnie z propozycją: za ataki na systemy teleinformatyczne będzie w Unii groziła kara pozbawienia wolności do dwóch lat. Latem czeka nas zatem interesująca dyskusja na ten temat na forum Parlamentu. W ramach niej zobaczymy, jak europejski prawodawca podejdzie do regulacji IP spoofingu, przygotowywania i dystrybucji "narzędzi hackerskich", itp. Tu też będą propozycje dotyczące odpowiedzialności producentów oprogramowania i dostawców systemów IT za ich produkty oraz działania (i przypuszczam, że nagle paru producentów oprogramowania zainteresowało się tą notatką, skoro do tej pory zawsze wszędzie pisali w licencjach, że nie ponoszą żadnej odpowiedzialności za działanie ich kodu).

Komunikat na temat ostatnich działań LIBE można znaleźć na stronie Komisji: Hacking IT systems to become a criminal offence.

Tu też mowa o zasadach odpowiedzialności za systemy teleinformatyczne. Skoro - jak czytam w argumentacji przedstawionej w notatce prasowej - nie pozwalamy, aby producenci samochodów wypuszczali na rynek pojazdy bez pasów bezpieczeństwa, to takie same zasady powinny obowiązywać w świecie "cyfrowym" (por. wcześniejsze notatki na ten temat: Kara dla robota, czy odpowiedzialność producenta oprogramowania? oraz Odpowiedzialność za LiveUpdate definicji malware (jak również: "Agenda cyfrowa" Komisji Europejskiej z projektem dyrektywy w sprawie praw konsumentów w tle). Tymczasem zastanawiam się, jak kwestia odpowiedzialności za kod zostanie "rozwodniona" w ostatecznej propozycji legislacyjnej, bo nie wątpie, że producenci oprogramowania nie odpuszczą sobie działań zmierzających do ochrony ich braku odpowiedzialności za działanie oprogramowania. Prawdopodobnie pozostanie jedynie odpowiedzialność osoby prawnej za np. zatrudniania "włamywacza", który będzie na rzecz spółki obmacywał cudze systemy, etc. Ważne też jak będzie skonstruowana odpowiedzialność: czy za działania umyślne, czy też za nieumyślne, czy za niedochowanie staranności, a może staranności szczególnej, błędy w nadzorze...

Co do penalizacji "narzędzi hackerskich", to w polskim systemie prawnym mamy już przepisy, które ich dotyczą, ale wywołują one sporo kontrowersji związanych z interpretowaniem tych przepisów. Weźmy ten nieszczęsny art. 269b Kodeksu karnego:

§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane
umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.

Oczywiście można próbować go interpretować w taki sposób, by odczytać (w trybie astrologicznej wykładni prawa), co miał na myśli racjonalny ustawodawca, gdy postanowił penalizować wytwarzanie lub przekazywanie innym haseł komputerowych, albo propagacji linków (danych umożliwiających dostęp do informacji przechowywanych w systemie) albo czy komponentem "przystosowanym do popełniania przestępstwa" jest też klawiatura komputera (zatem producenci i dystrybutorzy klawiatur powinni się obawiać kary)...

Nie wiadomo, jak ten przepis interpretować, ale wiemy, że stanowi on próbę dostosowania polskiego prawa m.in do do przepisów konwencji Rady Europy z dnia 23 listopada 2001 r. o cyberprzestępczości. Zobaczymy, co teraz w tym obszarze zaproponuje Unia Europejska.

Przeczytaj:

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

UE a odpowiedzialność karna

> Zgodnie z propozycją [Parlamentu Europejskiego]: za ataki na
> systemy teleinformatyczne będzie w Unii groziła kara pozbawienia
> wolności do dwóch lat.

Ten fragment mnie trochę zaintrygował. Zawsze wydawało mi się, że Unia nie może zmieniać prawa karnego państw członkowskich, dyskusja wokół ACTA mnie w tym upewniła (jak zrozumiałem to właśnie z powodu przepisów karnych wymagana jest osobna ratyfikacja przez państwa członkowskie), a tymczasem dzieje się coś takiego. Czy ktoś mógłby wytłumaczyć gdzie różnica?

Proposal for a Council

Proposal for a Council Framework Decision on attacks against information systems: "...The legal basis indicated in the preamble of the proposal is therefore Articles 29, 30(a), 31 and 34(2)(b) of the Treaty on European Union...."

--
[VaGla] Vigilant Android Generated for Logical Assassination

Decyzja ramowa a dyrektywa

Pewnie znowu nie dopuscisz tego komentarza, bo jest krytyczny, ale spróbuję...

Po drodze był jeszcze traktat z Lizbony i powoływanie się na podstawy prawne propozycji decyzji ramowej w czasach, gdy UE nie może wydawać decyzji ramowych jest nieporozumieniem. Obecnie tego typu kwestie zawarte są w dyrektywach. Konstrukcje jednak są zbliżone do tych z decyzji ramowych. Tak więc państwa są zobowiązywane do wprowadzenia pewnych rozwiązań do swego prawa karnego. Nie ma więc "kar wynikających wprost z prawa UE", ale są obowiazki wprowadzenia kar do własnego prawodawstwa. Pierwsze takie akcje robiono w karnoprawnej ochronie srodowiska i w latach 2005-2006 ETS potwierdził prawidłowosc tych rozwiazań. Po traktacie z Libony jest nieco łatwiej.

W. Wiewiórowski

Ależ ja przepuszczam krytyczne

Ależ ja przepuszczam krytyczne komentarze. Nie przepuszczam np. takich, gdzie ktoś pisze "urzędasy", albo "naciągacze" - o kimś konkretnie (właśnie przed chwilą nie puściłem takiego), albo znieważa, albo zagraża dobrom, albo pisze wulgaryzmy, albo agituje politycznie (bo to nie serwis do agitacji). Nie przepuszczam też komentarzy całkiem oderwanych od mojego, przyznaję - subiektywnego, pojęcia "kultury osobistej", albo takich, które idą całkiem na manowce, albo mogą popchnąć dyskusję w kierunku niezwiązanym z tematyką serwisu. I chyba się jeszcze nie zdarzyło, bym wymoderował komentarz przedpiszcy (chociaż zwykle nie sprawdzam kto pisze, a co pisze).
--
[VaGla] Vigilant Android Generated for Logical Assassination

Odpowiedzialność za oprogramowanie

Temat odpowiedzialności za oprogramowanie poruszałem w 2009 roku (Jak nie regulować rynku oprogramowania (gwarancje na oprogramowanie)). Pomysł wprowadzenia takich gwarancji uważam za wyjątkowo szkodliwy i mam nadzieję, że zostanie porzucony.

Między innymi dlatego, że spowodowałby zniszczenie rynku oprogramowania freeware, open-source oraz shareware. Innymi słowy, jeśli ktoś chce mieć na aplikację taką jak Angry Birds taką samą gwarancję jak na samochód, to niech się liczy z tym, że będzie musiał za nią tyleż zapłacić.

Jedyne co w tej propozycji dostrzegam to lobbing europejskich koncernów, które nie mając innego pomysłu na konkurencję próbują sobie wywalczyć przymus administracyjny korzystania z ich nieistniejących produktów.

Jeśli z kolei chodzi o narzędzia hakerskie to obecnie proponowane sformułowanie "the production and making available" (Narzędzia hakerskie wracają) postawi w bardzo niekomfortowej sytuacji praktycznie wszystkie osoby i firmy zajmujące się w Europie testowaniem bezpieczeństwa. Pod tę definicję podpada bowiem każdy producent skanera bezpieczeństwa czy nawet każdy pentester, który sobie pisze skrypty i się nimi dzieli ze środowiskiem.

Ja się oczywiście domyślam o co im chodzi - o narzędzia typu RAT czy botnety - ale mieć dobre intencje a je precyzyjnie opisać w języku prawa to dwie różne sprawy.

--
Paweł Krawczyk | ipsec.pl | echelon.pl
facebook | g+ |

>(...)to niech się liczy z

>(...)to niech się liczy z tym, że będzie musiał za nią tyleż zapłacić.(...)

Firma w której pracuję tyle właśnie płaci za oprogramowanie i NIE ma gwarancji. Ma natomiast do spełnienia osobliwe wymogi licencyjne. Piszę też oprogramowanie i gwarancje na nie daję, a to choćby dlatego, że stanowi ono nieodłączną część innego materialnego wyrobu jaki jest sprzedawany i elementarna uczciwość nakazuje by wady wyrobu usuwać tak szybko, jak to tylko możliwe.

Uważam za skrajnie niezdrową sytuację, w której kupuję komputer z preinstalowanym oprogramowaniem, komputer w którym serwis klamkuje się, że toto działa z tym właśnie oprogramowaniem, a z innym,.... no... tego systemu operacyjnego nie wspieramy, a jednocześnie gwarancji na oprogramowanie NIE dostaję.

Oprogramowanie stanowi też immanentną część wielu urządzeń. W wielu z nich także istnieje możliwość choćby upgrade'u, więc teoretycznie istnieje w obrocie oprogramowanie w oderwaniu od sprzętu. I co wówczas z gwarancją? Jest gwarancja na telefon, ale nie na firmware na przykład?

Wydaje mi się, że łączysz odpowiedzialność z z zagwarantowaniem niezawodności działania. A co ze zwykłą gwarancją czy rękojmią? Gwarancja to przede wszystkim prawo do żądania nieodpłatnego usunięcia wady produktu. Producent ma prawo ocenić, czy uszkodzenie powstaje z winy użytkownika, czy może powstało w wyniku czynników zewnętrznych (np. niezgodne ze specyfikacją zachowanie API dostarczonego przez OS użytkownika), czy też może rzeczywiście jest błędem producenta. Ostatecznym krańcem praw gwarancyjnych jest, choć może się mylę, prawo do zwrotu pieniędzy. Czyli - zapłaciłeś zero, dostajesz zwrotu zero. Gdzie zagrożenie dla freeware'u?

Obecnie nie masz w tym zakresie żadnych praw. Kupiłeś, nie działa, albo działa inaczej niż obiecano.... i nic.

Gwarancja na oprogramowanie, a więc odpowiedzialność za jego jakość, jest więc czymś innym niż odpowiedzialność w sensie: "odpowiedzialność za wszelkie szkody wyrządzone przez błędy i zapewnienie bezwzględnej niezawodności". Miejsca, w których taka niezawodność jest wymagana są, przynajmniej na poziomie odpowiednich norm branżowych (jak zresztą zauważasz w podlinkowanych materiałach) obwarowane odpowiednimi wymaganiami.

Na rynku komercyjnym zaś, rynku klienta masowego, jest pełne i skrajne barbarzyństwo.

To, czy i w jakim zakresie rzecz regulować prawem, czy też pozostawić prawom wolnego rynku to sprawa otwarta. Moim zdaniem zwykła, handlowa gwarancja i prawo do żądania usunięcia wad lub zwrotu pieniędzy powinna być wymuszona prawnie. Ale to moje prywatne zdanie.

Pozdrawiam,
Tomasz Sztejka.

Rozumiem że gwarancja na

Rozumiem że gwarancja na oprogramowanie może zniszczyć OpenSource, którego jestem zwolennikiem i w malutkim kawałeczku twórcą. Nie chciałbym do tego doprowadzić.

Nie rozumiem natomiast dlaczego np. oprogramowanie tomografu komputerowego może w licencji mieć wyłączoną odpowiedzialność za wszelkie szkody. To urządzenie może zabić przez błąd programistów a kosztuje więcej niż jakikolwiek samochód, którym jechałem.

Niestety coraz więcej urządzeń w naszym otoczeniu to rozwiązania software'owe, które mogą wpłynąć na nasze zdrowie i życie vide choćby przykład Toyoty i pedału gazu kontrolowanego przez soft. Jestem więc za wprowadzeniem odpowiedzialności wytwórców oprogramowania, pozostaje tylko kwestia prawidłowej implementacji prawa.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>