Dowody cyfrowe w postępowaniu karnym - wybrane zagadnienia. Możliwość identyfikacji użytkownika komputera

Wykorzystywanie Internetu jako miejsca popełniania przestępstwa, jest szczególnie niebezpieczne, ze względu na bardzo wysoką liczbę potencjalnych ofiar oraz trudności w wykrywaniu sprawców przestępstw. Metody odnajdowania sprawców ulegają coraz większej specyfikacji. W organach ścigania wielu państw, tworzy się specjalne wydziały odpowiedzialne tylko za zwalczanie przestępstw komputerowych.

Maciej Kliś, Andrzej Stella - Sawicki

We wszelkich przestępstwach - w tym cyberprzestępstwach - należy dowieść winę osobie podejrzanej, tymczasem światowa sieć informatyczna zmniejsza efektywność mechanizmów identyfikacji. Pojedyncze osoby mogą pozostawać anonimowe w Internecie[1], mogą przybrać fałszywe imiona i nazwiska. Nawet jeśli używają swych prawdziwych danych, jest niezwykle trudno udowodnić, że to właśnie ta osoba zasiadała przy klawiaturze, a nie ktoś kto np. wykorzystał jej imię i nazwisko. Cyberprzestrzeń pozbawiona jest wszelkich fizycznych atrybutów czyjejś obecności, takich jak: odciski palców, głos, wizerunek. Większość włamywaczy pozostawia co prawda po sobie wirtualne ślady mogące umożliwić identyfikację miejsca z którego działano, ale to i tak nie zawsze pozwoli na przypisanie popełnienia czynu zabronionego.

Pod koniec 2000 roku, miał miejsce jeden z pierwszych procesów w Polsce w sprawie włamania do czyjegoś komputera. Zapadł wyrok skazujący, aczkolwiek jest on nieprawomocny i będzie podlegał kontroli instancyjnej. Przypadek ten jest jednak na tyle precedensowy, że należy odnieść się co do niektórych, proceduralnych, aspektów tej sprawy. Podstawową trudnością przed jaką stanęły organy ścigania oraz sądowe, była kwestia zgromadzenia i wykorzystania informacji cyfrowych, będących de facto jedyną podstawą wyrokowania.

W związku z tym, pojawił się tutaj bardzo poważny problem, na ile informacje cyfrowe mogą być dowodami w danej sprawie, czy mogą być tylko poszlakami, czy też w ogóle nie mają żadnego znaczenia.

W przypadku śledzenia przestępców internetowych najczęściej wykorzystywane są logi cyfrowe, co powoduje, że należy zwrócić szczególną uwagę na sposób ich tworzenia, przechowywania i wykorzystywania. Do rozważenia tej kwestii, należy sprecyzować, czym w ogóle są logi cyfrowe.

Korzystanie z sieci nie jest całkowicie anonimowe, gdyż każde urządzenie bezpośrednio podpięte do Internetu posiada własny, w danej chwili unikalny adres zwany numerem IP (Internet Protocol). W dużym uproszczeniu adres taki składa się z czterech członów, z których każdy może przybierać wartości od 0 od 255 (np. 195.111.30.56.). Jest to niejako "numer rejestracyjny" danego komputera. Każdy z członów w takim adresie oznacza co innego i pozwala na zakreślenie coraz to mniejszego obszaru w którym można poszukiwać danego komputera. Poprzez jeden zatem człon odnajdziemy określoną sieć, poprzez następny odnajdziemy mniejszą sieć, już w ramach tej dużej sieci, i następnie któryś z komputerów w tej sieci. Pulę (zakresy) adresów IP tworzą tzw. klasy, które są przydzielane (przez organizację Internic) firmom będącym dostarczycielami połączeń internetowych (ISP - Internet Service Provider). Ze względu na swą unikalność - adres IP w połączeniu z dokładnym określeniem czasu - jednoznacznie identyfikuje urządzenie w sieci Internet oraz firmę, z której puli pochodzi. Określenie czasu jest szczególnie istotne tam, gdzie dany użytkownik łączy się z Internetem za pomocą modemu telefonicznego. Sygnał z informacjami przesyłany jest, z grubsza biorąc, za pomocą tych samych urządzeń co rozmowa telefoniczna. Za każdym razem gdy posiadacz modemu chce połączyć się z Internetem, operator sieci telefonicznej przydziela mu numer IP. Jest to numer który nie jest przypisany raz na zawsze jakiemuś użytkownikowi, tylko jak np. samochód z wypożyczalni, oddawany jest danej osobie na czas bytności w sieci. W takiej sytuacji, aby określić jaki komputer korzystał z danego IP, należy przyporządkować datę i godzinę, korzystającemu z takiego IP. Tym samym wszelka aktywność danego komputera w sieci, będzie związana z jego IP. Dokonuje się tego za pomocą bilingu, wykazującego jaki numer i kiedy łączył się z danym numerem (umożliwiającym wejście do Internetu).

W celu odczytania konkretnego IP, należy jednak w jakiś sposób gromadzić dane, i dlatego pojawiają się logi cyfrowe.

Logi cyfrowe są informacjami pochodzącymi z serwera (czyli komputera który niejako nadzoruje całą sieć, do niego przyłączane są inne komputery. W momencie gdy nastąpi awaria takiego serwera, to cała sieć również nie jest sprawna) lub innego urządzenia sieciowego, zawierającymi historię aktywności konkretnych usług, opisy zaistniałych błędów itp. Celem gromadzenia takich danych jest monitorowanie stanu urządzeń i usług, weryfikacja obciążenia systemów, generowanie statystyk oraz wyszukiwanie błędów oprogramowania. Logi dotyczące usług internetowych zazwyczaj zawierają informacje o tym kiedy i kto (jaki adres IP) korzystał z danego serwisu podlegającego danemu serwerowi. Jeśli zatem jakaś sieć oferuje - przykładowo - serwis informacji turystycznej, to na serwerze w logach cyfrowych, zapisane zostaje, że np. o godz. 14.54 komputer o adresie IP 195.111.30.56 "wszedł" na stronę poświęconą wycieczkom do Francji i przebywał tam 15 minut. W tym czasie skopiował jakąś udostępnioną część tego serwisu (np. rozkład jazdy autokarów). Stopień szczegółowości logów może być określany przez administratorów systemów (w szczególności funkcje logowania można z pewnych względów wyłączyć). Odpowiednio umiejętna interpretacja informacji zawartych w logach cyfrowych może między innymi doprowadzić do namierzenia intruza (podczas, lub po próbie włamania do systemu).

Jednakże w stosunku do logów cyfrowych, pojawia się szereg wątpliwości. Podstawową kwestią jest sposób ich uzyskania i zabezpieczenia, jako że logi - jako dane cyfrowe przechowywane na nośnikach wielokrotnego zapisu - mogą być za pomocą odpowiednich narzędzi modyfikowane i preparowane bez żadnych ograniczeń.

Z pewnością żadnym wartościowym dowodem nie może być log dostarczony organom ścigania np. przez administratora systemu w postaci wydruku na kartce papieru. Nie ma bowiem żadnej gwarancji na to, że zawarte w logu adresy, godziny, czy informacje o aktywności nie zostały zmienione przed wydrukowaniem. Nie można również wykluczyć, iż zostały po prostu sfabrykowane.

Taka kartka jest tylko dowodem, że coś na niej wydrukowano. Nie może być niczym innym, o ile traktujemy zasadę domniemania niewinności nie jako lex imperfecta, lecz jako podstawową gwarancję procesową.

Nie może także być dowodem zabezpieczony przez organy ścigania log cyfrowy, pochodzący np. z twardego dysku komputera. Formalnie uzyskanie takiego dowodu, znajduje swoją podstawę prawną w art. 217 § 1 kpk, który to przepis stanowi, iż rzeczy mogące stanowić dowód w sprawie należy wydać na żądanie uprawnionego organu. Nie można jednak żądać przy tym od podejrzanego, żeby podawał hasło dostępu do zabezpieczonych danych, gdyż byłoby to niezgodne z obowiązującą w polskim prawie zasadą nemo se ipsum accusare tenetur. Wobec braku takiej zgody, czy też wobec nie podporządkowania się nakazowi, art. 219 § 1 kpk, zezwala na zatrzymanie rzeczy spełniającej powyższe przesłanki. Co prawda informacja cyfrowa nie jest "rzeczą", jest jednak nierozerwalnie związana z określonym nośnikiem informacji na jakim się znajduje (np. twardy dysk, taśma magnetyczna). Same zatem nośniki jako "rzeczy" nie będą stanowiły dowodu, tylko informacja tam zawarta. Prawidłowość tego typu rozumowania wydaje się być w pełni uzasadniona, gdyż nie jest to nic nowego w aspekcie procedury karnej. Podobnie sytuacja się kształtuje np. ze szklanką na której znajdują się odciski palców, z ręcznikiem ze śladami krwi. Można żądać wydania tych przedmiotów, mając na względzie tylko informację o śladach daktyloskopijnych czy też w kontekście identyfikacji krwi. Tak jak i można zabezpieczyć choćby ślady daktyloskopijne na specjalistycznych materiałach, tak też można by było zabezpieczyć dane cyfrowe. Jednakże prawidłowość czynności zabezpieczających ślady daktyloskopijne zapewnia odpowiednia procedura postępowania. Każdy, nawet początkujący technik kryminalistyk, wie lub z łatwością może się dowiedzieć, że ujawnione i zabezpieczone na miejscu zdarzenia ślady daktyloskopijne nie mogą wzbudzać wątpliwości co do godziny i daty powstania, dlatego należy: obszyć lub przeszyć folie zabezpieczającą ślad, opieczętować lub zalakować folię, oznakować folię numerami, dokładnie opisać w protokole wszelkie czynności[2]. W aspekcie informacji cyfrowych takiej procedury nie ma.

Jednakże zanim zostanie taka procedura ustalona, należy unormować sam sposób przechowywania i gromadzenia danych cyfrowych.

Jeżeli bowiem dostęp do tego typu danych nie jest odpowiednio zabezpieczony - w szczególności jeżeli w ogóle istnieje nawet bardzo skomplikowany ale możliwy sposób ich edycji, to także nie ma gwarancji na prawdziwość zawartych w nich informacji. Dalekie porównanie, może być związane choćby z przypadkiem, w którym próbki krwi umożliwiające identyfikacje osoby, przechowywane są w przychodni zdrowia, w pomieszczeniu zamkniętym tylko na kluczyk, do którego dostęp ma większość pracowników. Wystarczyłoby przecież żeby tylko jedna lub dwie osoby spoza organów postępowania miały dostęp do choćby pilniej strzeżonego pokoju, a także i w takim wypadku, procedura nie mogłaby zaakceptować takiego dowodu.

Pomijając już tutaj kwestię możliwych działań samego administratora, to przecież logi cyfrowe, jako dowody, mają pomóc w ujęciu osób, które włamały się do systemu. Jeśli więc osoby takie posiadały umiejętności i wiedzę na temat przełamywania zabezpieczeń, to należy przypuszczać, że wiedziały również o istnieniu i sposobach modyfikacji logów.

O ile więc nie zabezpieczyły się wcześniej (o czym za chwilę), to będąc już w systemie, z łatwością mogły zmienić wszelkie zapisy w logach cyfrowych.

Kolejna kwestia nie jest związana bezpośrednio z samymi logami cyfrowymi, lecz ze sposobem ich zarejestrowania. Dokonuje tego odpowiedni program komputerowy, wcześniej odpowiednio zaprogramowany przez kompetentną osobę. Należy zatem zbadać, choćby za pośrednictwem biegłego, czy sam program funkcjonuje prawidłowo. Jeśliby okazało się, że program zawiera błędy skutkujące nieprawidłowym zapisem logów, to takiego dowodu dopuścić nie można. Podobnie problem ten rozwiązuje orzecznictwo i doktryna amerykańska[3]. Przyjmuje się tam, iż prawidłowość działania programu można stwierdzić, poprzez fakt, iż jego codzienni użytkownicy (pracownicy ISP) polegają na nim podczas codziennego, bezawaryjnego z niego korzystania[4]. W przypadku wątpliwości można przeprowadzić eksperyment, w którym nastąpi sprawdzenie prawidłowości jego działania[5]. Jeżeli jednak program nie jest używany regularnie, to prowadzący śledztwo powinien określić "do jakich operacji program był stworzony, oraz jakie dokładnie polecenia zostały mu wydane"[6]. Nie będzie to jednak wpływało na kwestie dopuszczenia dowodu, lecz tylko na jego wartość[7]. W Polsce, do weryfikacji działania takiego programu, najbardziej celowe wydaje się jednak powołanie zgodnie z art.193 kpk, biegłego informatyka, jako że stopień znajomości problemów komputerów wśród niefachowców jest dużo mniejszy niż w USA.

Biorąc pod uwagę rozważania zaprezentowane w niniejszym artykule, należy wyjątkowo krytycznie odnieść się zatem do sytuacji, gdzie log cyfrowy mający świadczyć o aktywności danego komputera w sieci, będzie dostarczony organom ścigania przez pokrzywdzonego na kartce papieru.

Polski ustawodawca nie jest przygotowany do normowania tego typu przypadków, nawet w znikomym stopniu. Tym bardziej istotne jest uświadomienie sobie zagrożeń związanych z nieumiejętnym podejściem do danych, wymagających do ich rozumienia odpowiedniego przygotowania. W obecnym stanie prawnym (a w zasadzie jego braku) w odniesieniu do ludzi zajmujących się sieciami informatycznymi, nie ma żadnego standardu posługiwania się logami cyfrowymi. Powoduje to, iż nawet zabezpieczenie przez Prokuraturę komputera do którego się włamano, nie miałoby żadnego znaczenia w aspekcie logów jako pełnoprawnych dowodów.

Żeby zatem logi cyfrowe choćby formalnie mogły być traktowane jako zapis tych wydarzeń, które faktycznie miały miejsce podczas określonej aktywności sieciowej, musi powstać dokładna procedura, mająca na celu ich zabezpieczenie przed jakąkolwiek ingerencją[8].

Zapewnienie niepodważalnej autentyczności tego typu danych, możliwe jest na kilka sposobów.

Rozwiązanie, które w sposób stanowczy może wykluczyć wszelką manipulację logami, jest związane z gruntownymi zmianami organizacyjnym w strukturze systemów.

Wszelkie dane cyfrowe, powinny być gromadzone w komputerze niezależnym od administratora systemu, do którego dostęp byłby bardzo znacznie ograniczony. Przykładowym rozwiązaniem mogłoby być przesyłanie na bieżąco generowanych logów, przez szyfrowane łącze, do dedykowanego serwera (specjalnie do tego przeznaczonego, który nie może być wykorzystywany w żaden inny sposób), do którego dostęp miałyby wyłącznie osoby zaufania publicznego. Mógłby to być np. serwer, na stałe umieszczony w jakimś określonym miejscu (np. ośrodek akademicki zajmujący się siecią, budynek jakieś organizacji rządowej). W momencie gdy pojawiłaby się konieczność uzyskania informacji o aktywności w danej sieci, przeszkolony prokurator bądź inna uprawniona osoba, spełniająca wyżej zaznaczone przesłanki, dokonywałaby sprawdzenia zawartości archiwum danych.

W dobie postępującej ekspansji Internetu, takie docelowe rozwiązanie, choć obecnie jawi się cokolwiek egzotycznie, mogłoby w niektórych zastosowaniach znaleźć swe głębokie uzasadnienie.

Szukając bardziej pragmatycznych rozwiązań, należy zwrócić się w stronę administratorów czy też dostawców usług. W drodze ustawodawcze należałoby określić szczegółowy obowiązek ich działania, mający za zadanie zabezpieczyć logi cyfrowe.

Przy okazji można by także określić inne obowiązki osób związanych z siecią, przede wszystkim w aspekcie ich prawnej odpowiedzialności, co pozwoliłoby na kompleksowe rozwiązanie wielu istotnych acz nieuregulowanych kwestii.

Zgodnie z powyższym, kolejnym rozwiązaniem problemu zabezpieczania logów cyfrowych jako wartości dowodowych, mógłby być obowiązek zapisywania ich bezpośrednio na nośniku, na którym fizycznie niemożliwe jest dokonywanie jakichkolwiek późniejszych zmian, jak np. dyski magneto-optyczne jednokrotnego zapisu. Dla weryfikacji spójności danych można by użyć bezpośredniego zapisu na media sekwencyjne (taśmy magnetyczne). W takim przypadku istotna byłaby procedura wprowadzania nowego medium do zestawu, taka, aby jednoznacznie określała zaufaną osobę mającą dostęp do urządzenia zapisującego. Wszelkie załamania jednolitości zapisu dyskwalifikowałyby medium jako dowód w postępowaniu przygotowawczym czy też sądowym.

Możliwe jest także nakazanie szyfrowanie zapisywanych logów na bieżąco podczas ich powstawania, wprowadzając szyfr o kluczu na tyle skomplikowanym, aby jego złamanie pociągałoby za sobą większe koszty niż potencjalne korzyści jakie można by uzyskać. Klucz do szyfru posiadałyby (podobnie jak w przypadku dedykowanego serwera sądowego) osoby zaufania publicznego.

Dane byłyby archiwizowane w plikach opatrzonych datą, poprzez co dostęp do nich nie byłby utrudniony.

Dopiero w taki sposób zabezpieczone zapisy cyfrowe, mogłyby być formalnie uznane za pełnowartościowe dowody.

Co ciekawe, w Stanach Zjednoczonych nie ma regulacji określającej sposób gromadzenia danych przez ISP, pozostawiając ten problem poszczególnym dostawcom usług. Jednakże oni sami dokonują zapisu tych informacji, w sposób uniemożliwiający, czy też nad wyraz utrudniający dostęp. Związane jest to z odpowiedzialnością karną, której mogą podlegać, jeśli z ich winy ktoś nieuprawniony uzyska dostęp do danych[9].

Pojawia się przy tym pytanie, czy nie stanowi to naruszenia konstytucyjnego prawa do wolności i ochrony tajemnicy komunikowania się, zawartego w art. 49 Konstytucji Rzeczypospolitej Polskiej. Podobne przepisy gwarantujące każdemu swobodę komunikowania się są zawarte w Międzynarodowym Pakcie Praw Obywatelskich i Politycznych (art.17) oraz Europejskiej Konwencji Praw Człowieka i Podstawowych Wolności (art.8). Konieczność prowadzenia takiej kontroli aktywności w sieci jest uzasadniona bezproblemowym i w miarę płynnym korzystaniem z zasobów danej sieci. Pozwala na wychwycenie wszelkich błędów, pozwala na ułatwienie komunikacji, co jest np. bardzo istotne w sytuacji gdy dana strona ma szczególnie dużo odwiedzających. Jednocześnie, np. oglądanie danych stron internetowych, czy też ściąganie plików, nie jest jak się wydaje komunikowaniem się, które powinno polegać na jakiejkolwiek formie kontaktu pomiędzy co najmniej dwiema osobami. Natomiast uzyskiwanie danych o aktywności danego człowieka, podlega ochronie w art.47 Konstytucji, gwarantującym prawo do ochrony prawnej życia prywatnego. Wszelkie zatem ograniczenia tych wolności i praw mogą nastąpić jedynie w przypadkach określonych w ustawie, przy zastosowaniu odpowiedniej procedury. W tym aspekcie pojawia się problem, czy tego typu rozwiązanie kwestii rejestracji logów cyfrowych, podlega dyspozycji przepisów kodeksu postępowania karnego, dotyczących możliwości stosowania podsłuchu.

W pierwszej kolejności należy zauważyć, iż art. 241 kpk pozwala na stosowanie podsłuchu o jakim mowa w art. 237 kpk, do "treści przekazów informacji innych niż rozmowy telefoniczne". Zgodnie z definicją zawartą w ustawie o łączności z dnia 23 listopada 1990[10] przez telekomunikacje rozumie się nadawanie, transmisję i odbiór znaków, sygnałów, pisma, obrazów i dźwięków albo informacji jakiejkolwiek natury poprzez przewody, systemy radiowe, optyczne lub jakiekolwiek inne urządzenia wykorzystujące energię elektromagnetyczną.

Inne przekazy informacji, w rozumieniu art.241 kpk, muszą mieć miejsce w sieci telekomunikacyjnej, mogą zatem być dokonywane w Internecie jak trafnie podkreśla to uchwała Sądu Najwyższego z dnia 21 marca 2000[11]. Tak samo kwestie te ujmuje piśmiennictwo[12].

Rejestracja logów cyfrowych jest zapisem przekazu informacji, w momencie gdy informuje o tym, jaka konkretnie operacja została dokonana. Jednakże log cyfrowy w sieciach ogólnie dostępnych, sam w sobie nie indywidualizuje osoby, lecz tylko adres IP komputera. Nie można zatem mówić o naruszeniu prawa do prywatności, gdyż uzyskanie danych osobowych użytkownika określonego adresu IP, wymaga dalszych działań. Należy zwrócić się do Internet providera (dostawcy Internetu) dla tegoż IP, aby udostępnił dane użytkownika, które są chronione przez ustawę z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Polska ustawa o ochronie danych osobowych nie nakłada na administratora danych obowiązku określania kręgu podmiotów uprawnionych do korzystania z informacji zgromadzonej w zbiorze jak ma to miejsce w ustawodawstwie europejskim[13]. Kryterium oceny możliwości udostępnienia danych, związane jest zatem z klauzulą celowości, która stanowi, że dane mogą być udostępnione w celach innych niż włączenie do zbioru, osobom i podmiotom na podstawie przepisów prawa lub, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.

Administrator systemu, ani też żadna inna osoba prywatna mająca dostęp do logów cyfrowych, nie może zatem uzyskać danych osobowych użytkownika danego adresu IP. To zresztą miało miejsce we wzmiankowanej sprawie, gdzie dane takie zostały udostępnione dopiero na żądanie prokuratury, w ramach toczącego się postępowania.

Inaczej wygląda sytuacja, gdy dostęp do danej części sieci jest uwarunkowany zalogowaniem się (wpisaniem swojego imienia i nazwiska) do niej. Wtedy administrator ma możliwość zapoznania się z danymi takiego użytkownika. Oczywiście nie może danych tych udostępniać pod groźbą kary przewidzianej w art. 51 ust. 1 powoływanej wyżej ustawy, jednak narusza prywatność takiego użytkownika. Przypomina to nieco sytuację operatora sieci telefonicznej, który również ma dostęp do danych osobowych abonenta, rejestrując jego aktywność (gdzie i o której dzwonił). Nie może jednak zapoznać się z treścią rozmów, bo nie jest do tego uprawniony. Obecnie administrator, może naruszyć prawo, analizując treść wykonywanych przez użytkownika komend. Jednocześnie przyjmując, iż nie jest do tego uprawnionym, należy uznać, iż wypełnia znamiona typu czynu zabronionego określonego w art. 267 § 2 kk. Powoduje to, że wielu administratorów popełnia przestępstwo zagrożone karą pozbawienia wolności do lat 2, pomimo że owe informacje interesują ich tylko w aspekcie usprawnienia sieci, co nie jest oczywiście aksjologiczną przesłanką penalizacji tego typu zachowań. W obecnym stanie prawnym, aby nie podlegać odpowiedzialności karnej, administrator musi uzyskać zgodę od każdego z użytkowników na zapoznawanie się z ich danymi i informacjami, choćby w postaci zawiadomienia o tym przed pierwszą wizytą i zarejestrowaniem się klienta, a późniejsze wejście będzie oznaczało akceptację. To rozwiązanie także nie jest doskonałe, gdyż ogranicza możliwość korzystania tym, którzy informacji takich udostępniać nie chcą, a innej możliwości użytkowania nie ma. Tym szybciej należy dążyć do unormowania powyższych problemów, właśnie poprzez ustanowienie odpowiedniej i przejrzystej procedury.

Istotą podsłuchu, jest kontrolowanie konkretnej osoby w aspekcie rozmów, czy przekazów informacji.

Należy zatem przyjąć stanowisko, iż gromadzenie logów cyfrowych na serwerze sądowym nie będzie naruszało żadnej z konstytucyjnych zasad, i nie będzie też stanowiło podsłuchu w rozumieniu przepisów kpk, gdyż w innym wypadku należałoby to traktować jako podsłuch całości medium jakim jest Internet, a nie konkretnej osoby. Podobnie rzecz się ma z postulatem zapisywania logów cyfrowych w odpowiedni sposób przez administratorów. To także nie będzie stanowić naruszenia praw obywatelskich, a co więcej nie będzie także stanowić możliwości jego naruszenia. Odczytanie tak zabezpieczonych logów cyfrowych, czy to w sądzie, czy z zabezpieczonych materiałów, będzie możliwe tylko poprzez wskazane osoby zaufania publicznego (sędziego) i to zapewne do potrzeb toczącego się postępowania, jeszcze w fazie in rem.

Podobnie unormowana jest ta kwestia w USA, gdzie pomimo szczególnej wrażliwości na wszelkie próby naruszenia konstytucyjnych zasad (Czwarta Poprawka do Konstytucji USA, dotycząca prawa do prywatności), nie dopatrzono się w takim przypadku ingerencji w podstawowe prawa. Uznano nawet, iż pozwala on na jeszcze lepszą ochroną prawa do prywatności. Ustawa o prywatności komunikacji elektronicznej z 1986 r. wprowadziła szereg ograniczeń dostępu do danych cyfrowych, nawet dla organizacji rządowych. Unormowano w niej pięć sposobów uzyskania informacji, w zależności od jej standardu (adres IP, odczytana lub nieodczytana poczta elektroniczna) każdy z tych sposobów jest bardziej sformalizowany. Od upoważnienia sądowego do nakazu wydania[14]. Obecnie trwają nawet prace legislacyjne, nad zmianami w ustawie, które wprowadzą jeszcze bardziej szczegółowe przepisy normujące dostęp do danych[15].

W związku z faktem, iż USA nie mają jednej regulacji odnoszącej się do obowiązków ISP, pojawia się szereg problemów dotyczących choćby czasu, w jakim dane (w tym logi cyfrowe) są przez nich przechowywane. Poszczególni dostawcy sami to określają. Powoduje to dużą niedogodność dla prokuratora i jego zespołu prowadzącego postępowanie, który musi za każdym razem sprawdzać jaką praktykę przyjął poszczególny ISP. W celu zabezpieczenia zgromadzonych danych, musi żądać od ISP ich zachowania na okres 90 dni, z możliwą opcją przedłużenia. Ewentualna polska regulacja, ułatwiłaby współpracę pomiędzy organami postępowania a dostawcami usług i administratorami.

Można więc stwierdzić, iż proponowane rozwiązania dodatkowo zabezpieczają prawa obywatelskie zagwarantowane w Konstytucji Rzeczypospolitej Polskiej. Administratorom systemu można pozostawić ustawową możliwość rejestracji aktywności w podległej im sieci, ale tylko na określonym poziomie (np. dotyczących liczby odwiedzających, najczęstszych rodzajów aktywności) bez możliwości jakiejkolwiek identyfikacji, która nie jest potrzebna do nadzoru sieci. Szczątkowe logi w ten sposób uzyskane, nie będą mogły stanowić żadnego dowodu w sprawie.

Jak już zaznaczono, logi cyfrowe uzyskane dzięki jednemu z powyższych sposobów, mogą formalnie stanowić dowód w toczącym się postępowaniu. "Formalnie", gdyż na dobrą sprawę, nawet stwierdzona niepodważalna autentyczność logu nie może bezpośrednio prowadzić do przypisania sprawstwa oskarżonemu. Nie chodzi bynajmniej o sytuację, w której z danego komputera - o adresie IP uzyskanym z logów cyfrowych - korzystałaby osoba trzecia. Choć wykazanie tego byłoby prawdopodobnie najbardziej popularną formą obrony, to adres IP jako poszlaka byłby bardzo znaczącym argumentem oskarżenia. Analogią tu może być wydarzenie, gdy właściciel broni, z której zabito twierdzi, że to ktoś inny strzelał.

Przede wszystkim, Log cyfrowy nie może być dowodem, jeśli identyfikuje adres IP komputera, który został wykorzystany przez hackera jako "pośrednik" do włamania.

Jeśli mamy do czynienia z rozbudowaną siecią korporacyjną, w której istnieje duża liczba podłączonych komputerów, to jednym z najczęstszych sposobów zapewnienia bezpieczeństwa danych jest oddzielenie komputerów wewnętrznych od Internetu za pomocą serwera firewall. Jest to komputer, którego adres IP jest widoczny "na zewnątrz", a wszelka komunikacja między komputerami zabezpieczonymi a siecią zewnętrzną odbywa się za jego pośrednictwem, poprzez tzw. serwery proxy.

Bezpośrednim skutkiem takiej konfiguracji jest zarówno niemożność nieautoryzowanego dostępu do sieci wewnętrznej, jak i brak dokładnej informacji w logach serwera, o adresie IP komputera, który korzystał z jakiejś usługi na tym serwerze. W logach zostanie zapisany adres IP serwera firewall.

Bardziej obrazowo przedstawiając, jeśli jakiś z pracowników danej firmy ukrytej za tym firewall'em chce połączyć się choćby z jakąś stroną www, to serwer zarządzający tą stroną i notujący adres IP z którego przychodzi określone żądanie, zanotuje adres IP tegoż serwera proxy, a nie adres IP komputera tego pracownika. Pozostanie on nieujawniony.

O ile w takiej sytuacji wciąż można próbować wydobyć z logów serwera zabezpieczeń adres konkretnego komputera, o tyle tego typu informacji nie wygenerują małe serwery proxy skonfigurowane w celu zacierania śladów przez potencjalnych włamywaczy. Ich prawdziwe adresy pozostaną nieujawnione.

Zatem hacker, który nie chce zdradzić swego adresu IP, może podjąć atak za pośrednictwem takiego serwera proxy. Musi go jednak najpierw stworzyć.

Dokonuje tego np. podrzucając do komputera potencjalnej ofiary program będący tzw. "koniem trojańskim" (oprogramowanie, które oprócz dobrze znanych i pożądanych funkcji umożliwia hackerowi łatwiejszy dostęp do danych ofiary ataku, poprzez np. zapisywanie haseł użytkownika, obchodzenie / łamanie systemów zabezpieczeń itd.).

Przykładem może być program weryfikujący użytkownika w systemie. Podmieniony przez włamywacza - może oprócz zalogowania osoby w systemie - zapisać jej hasło w pliku, tak aby hacker mógł je w przyszłości z łatwością odczytać.

W stosunkowo niedługim czasie powstało wiele różnorodnych koni trojańskich, wśród których jednymi z najniebezpieczniejszych są odmiany programów takie jak NetBus, czy Back Orifice. Umożliwiają one przejęcie pełnej kontroli nad komputerem ofiary, przy czym trudno je z systemu usunąć a łatwo zainstalować, np. przysyłając je w formie załącznika poczty elektronicznej. Łatwo się domyślić, że skoro włamywacz ma pełną kontrolę nad komputerem jednej z ofiar (która wcale nie musi wiedzieć o aktywności hackera na swoim terytorium), to wszelką dalszą działalność przestępczość może prowadzić na konto inwigilowanej osoby, niejako zamieniając jej komputer w serwer proxy.

W każdym zatem przypadku, organy ścigania, powinny dokładnie przebadać komputer którego adres IP zawarty był w logach cyfrowych pochodzących z komputera gdzie nastąpiło włamanie. Jeśli stwierdzi się obecność programu umożliwiającego traktowanie tego komputera jako serwer proxy, to dowód z logów cyfrowych, ponownie można uznać za bezwartościowy.

W powoływanej sprawie nic takiego nie miało miejsca, co nie znajduje już żadnego usprawiedliwienia, gdyż porównać to można do sytuacji w której nastąpiło włamanie do mieszkania, a organy ścigania nie zbadały nawet tego mieszkania, tracąc bezpowrotnie możliwe do ujawnienia ślady. Idąc jeszcze dalej w tym porównaniu (szalenie nieadekwatnym, jak i nieadekwatna jest wszelka próba porównywania doświadczeń wyprowadzanych ze świata realnego do doświadczeń świata wirtualnego, który tworzy całkowicie odmienną jakość), odpowiednikiem odnalezienia NetBusa w zaatakowanym komputerze, mogłoby być stwierdzenie, że mieszkanie do którego się włamano nie posiadało w ogóle drzwi i każdy mógł tam wejść.

Na marginesie zauważyć należy, że równie bezradne będą organa ścigania, gdy adres IP wskaże na kawiarenkę Internetową, gdzie każdy może swobodnie korzystać z komputerów, bez konieczności jakiejkolwiek rejestracji.

Na zakończenie, raz jeszcze wyraźnego podkreślenia, wymaga fakt braku odpowiedniego przygotowania legislacyjnego państwa w obliczu coraz to szybciej postępującej ekspansji Internetu, w sytuacji gdy liczba użytkowników sieci na całym świecie przekroczyła 400 milionów i rośnie w stopniu oszałamiającym[16]. Konieczne wydaje się także przeprowadzenie odpowiednich szkoleń w polskim wymiarze sprawiedliwości, tak by w każdej Prokuraturze, czy tez w każdym Sądzie była osoba posiadająca wiedzę i informacje, pozwalające na prowadzenie postępowań skutecznie, acz zgodnie zarazem z podstawowymi zasadami i gwarancjami procesowymi, wynikającymi wprost z Konstytucji Rzeczypospolitej Polskiej.

--

[1] Choć to już ulega zmianie, w niektórych stanach w USA (Georgia) próbowano wprowadzić regulacje nie dopuszczające do istnienia w sieci osobników anonimowych, jednakże Sąd Najwyższy uznał w sprawie McIntyre v. Ohio Elections Commissin, że prawo do anonimowego wystąpienia, wynika z pierwszej poprawki do Konstytucji USA, gwarantującej swobodę wypowiedzi, a niektórzy tą swobodę mogą uzyskać tylko w wypowiedzi nie opatrzonej nazwiskiem (np. niepopularny polityk, który boi się, że nikt go nie będzie czytał) - zob. więcej 115 S. Ct. 1511 (1995) oraz Joseph S. Faber Regulation of the Internet: A Lesson in Reaching Too Far, CyberLaw 1996, www.cyberlaw.com/regint.html
[2] T. Hanausek Kryminalistyka Katowice 1993, s.123
[3] Richard O. Lempert, Steven A. Saltzburg A Modern Approach to Evidence 370 (2d ed. 1983), People v. Holowko, 486 N.E.2d 877, 878-79 (Ill. 1985)
[4] United States v. Moore, 923 F.2d 910, 915 (1 st Cir. 1991) "Codzienne okoliczności użytkowania, pozwoliły uznać dany program za wiarygodny [...] a przynajmniej nie znaleziono nic, co mogłoby nasuwać podejrzenia co do jego nieprawidłowego działania"
[5] United States v. Dioguardi, 428 F.2d 1033, 1038 (2nd Cir. 1970), United States v. Briscoe 896 F.2d 1476, 1494 (7th Cir. 1990)
[6] United States v. Dioguardi 428 F.2d 1038
[7] United States v. Catabran, 836 F.2d 453, 458 (9th Cir. 1988)
[8] Jest zgodne z Zaleceniem Rady Europy nr R(95)13 które wprowadza zasadę nr 13, mówiącą, iż: "Istnieje potrzeba gromadzenia, zabezpieczania i przedstawiania dowodów elektronicznych w sposób, który najlepiej zapewnia i wyraża ich integralność i niepodważalną autentyczność [...] Metody postępowania z dowodami elektronicznymi powinny być rozwijane w sposób zapewniający możliwość wykorzystania tych dowodów przez wymiary sprawiedliwości różnych krajów, Przepisy procedury karnej dot. dowodów w postaci tradycyjnych dokumentów powinny odpowiednio stosować się do danych przechowywanych w systemach komputerowych."
[9] 18 U.S. Code 2701 (b)
[10] Dz.U. z 1995 r., Nr 117, poz. 564 ze zm. - tekst jednolity
[11] I KZP 60/99, OSNKW 2000 z.5 poz.26
[12] K. Dudka podsłuch komputerowy w polskim procesie karnym - wybrane zagadnienia praktyczne, Prok. i Pr., 1999 nr 1, s.69; P.Hofmański, E. Sadzik, K.Zgryzek Kodeks postepowania karnego. Komentarz, 1999, t.I, s.868-869; B. Kurzępa Kontrola i utrwalanie rozmów telefonicznych według kodeksu postepowania karnego, Prok i Pr. 1999, nr. 3. s. 79
[13] art. 4(3) brytyjskiej DPA z 1984, art. 15(2) niemieckiej BDSG z 1990 r., art. 20 (2) holenderskiej WPR z 1988 r.
[14] Electronic Communication Privacy Act 18 U.S. Code 2701-05
[15] projekt został przedstawiony w Izbie Reprezentantów 4 października 2000
[16] Dla porównania w 1995 roku na świecie było 16 milionów użytkowników Internetu (wg badań IDC), w 1997 roku już 76 milionów (Reuters), a w sierpniu 1999 roku 195,19 miliona (Nua Ltd - Nua Internet Surveys). W Polsce, według szacunków Nua, w styczniu 2000 roku dostęp do Internetu miały 2 miliony osób, a w marcu 2000 r.- według Warsaw Business Journal - nasz kraj posiadał już 2,8 miliona użytkowników Sieci. (Wanda Żółcińska, http://www.internetstandard.com.pl/news.asp?newsid=802, 21 grudnia 2000).

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Zapytanie o czas przechowywania logów.

Jakie logi (takż e-maile w ktorych sa dostepne dane korespondenta takie IP) i jak długo mogą przechowywane przez publicznego operatora ?

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>