sobota, 22 listopada 2008

Najnowsza nowelizacja k.k. - kilka spostrzeżeń

Jak doniosła Rzeczpospolita w artykule „Bicz na hakerów czy pułapka na internautów”, Sejm uchwalił nowelizację Kodeksu karnego, przewidującą zmiany m.in. w art. 267, 269a i 269b k.k. Z kolei serwis Vagla.Pl donosi, że ustawa została już podpisana. Tekst można znaleźć tutaj. Natomiast na stronach Ministerstwa Sprawiedliwości można przeczytać projekt tej ustawy wraz z uzasadnieniem. Wszelkie dodane znamiona są znamionami strony przedmiotowej tych typów czynów zabronionych.
Przede wszystkim art. 267 § 1 mówi o „uzyskaniu dostępu do informacji, a nie – jak dotychczas – o uzyskaniu informacji. Informacji dla niego (sprawcy) nieprzeznaczonej – oczywiście.
W art. 267 § 1 dodano znamię uzyskania nieuprawnionego dostępu do informacji przez podłączenie się do sieci telekomunikacyjnej. Wedle definicji z art. 2 pkt 35 Ustawy prawo telekomunikacyjne, taka sieć to „systemy transmisyjne oraz urządzenia komutacyjne lub przekierowujące, a także inne zasoby, które umożliwiają nadawanie, odbiór lub transmisję sygnałów za pomocą przewodów, fal radiowych, optycznych lub innych środków wykorzystujących energię elektromagnetyczną, niezależnie od ich rodzaju”. Uzasadnienie projektu również kieruje do tej definicji podkreślając równocześnie, że jest ona szersza niż dotychczasowe znamię „przewodu służącego do przekazywania informacji”, bo obejmuje także włamania do sieci bezprzewodowych. Przykład: podłączenie się do niezabezpieczonej sieci bezprzewodowej sąsiada w domu czy bloku, który ma w mieszkaniu np. 2 komputery, z których tworzy domową sieć lokalną, w której udostępnia jakieś pliki. Ale jeśli są to np. pliki mp3 zawierające chronione utwory, to czym jest takie „udostępnianie” z punktu widzenia prawa autorskiego (i sąsiada)? Dalej dozwolonym użytkiem, czy rozpowszechnianiem (bo: co prawda każdy może się „podpiąć” np. siedząc z laptopem na ulicy czy parkingu w samochodzie, ale robi to nielegalnie i zwykle bez wiedzy i zgody sąsiada)? Kolejne pytanie: czy taką informacją dla sprawcy nieprzeznaczoną może być sama sieć internet, udostępniana przez sąsiada swoim domownikom przez router czy access pointa? (Zapraszam do polemiki w komentarzach do nin. wpisu.)
Ciekawe jest znamię ominięcia zabezpieczenia informacji, które dodano do treści tego samego paragrafu. O jakie konkretnie działania chodzi – nie bardzo wiadomo, bo nawet uzasadnienie projektu nie podaje przykładów, powołując się jedynie na „specjalistów zajmujących się prawem informatycznym”. NIE chodzi tu np. o SQL injection, bo – jak podaje polska Wikipedia – jest to sposób ataku, a nie ominięcia zabezpieczenia. Coś o polskim wyroku w takiej sprawie – tu.
Dodano także znamię przełamywania zabezpieczenia informatycznego.
Nowy § 2 art. 267 penalizuje uzyskanie nieuprawnionego dostępu do całości lub części systemu informatycznego. Pojęcie „system informatyczny” definiowane jest np. w Ustawie o ochronie danych osobowych. Nas interesuje jednak inna definicja, zawarta w Decyzji Ramowej Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne, której postanowienia implementowano właśnie niniejszą nowelą k.k. Art. 1 lit. a tej decyzji ramowej stanowi, że pojęcie „system informatyczny” „oznacza wszelkie urządzenia lub grupę połączonych lub powiązanych urządzeń, z których jedno lub więcej, zgodnie z oprogramowaniem, dokonuje automatycznego przetwarzania danych komputerowych, jak również danych przechowywanych, przetwarzanych, odzyskanych lub przekazanych przez nie w celach ich eksploatacji, użycia, ochrony lub utrzymania”. Za ekwiwalentne można, wydaje mi się, uznać sformułowania: „przetwarzanie danych” oraz „wykonywanie operacji z wykorzystaniem, na podstawie, danych”. Takim systemem są np 2 komputery połączone bezprzewodowo w sieć lokalną za pomocą routera służącego jako access point.
I do art. 267 § 3 dodano znamię prowadzeni podsłuchu za pomocą przeznaczonego do tego celu oprogramowania. Jak podaje uzasadnienie projektu, chodzi tu o tzw. sniffing, czyli użycie programów pozwalających nieuprawionej osobie (nie-administratorowi i nie-użytkownikowi) sieci śledzić ruch w danej sieci komputerowej.
Ponadto, do art. 269a dodano znamię czynnościowe polegające na utrudnienie dostępu do danych informatycznych.
Art. 269b § 1 k.k. nie uległ zmianie.
Odpowiadając na pytania zawarte w podlinkowanym na początku artykule z serwisu Vagla.Pl (dot. drugiej części nowego art. 267 § 1) myślę, że nie można przełamać zabezpieczeń, gdy np. administrator serwera popełnił błąd, w wyniku którego były one nieaktywne. To znaczy: nie można złamać czy ominąć czegoś, czego w chwili uzyskania dostępu do informacji po prostu nie ma. Informacja, do której dostęp mogą uzyskać tylko osoby uprawnione, jest chroniona zabezpieczeniami, które nie pozwalają na taki dostęp osobie nieuprawnionej. Przed „zrobieniem sobie samemu” takiego dostępu ma chronić uprawnionych ta właśnie norma prawnokarna z art. 267 § 1 k.k. Vide: sprawa wycieku CV i listów motywacyjnych z serwera banku Pekao SA. Uzyskanie dostępu do tych informacji nie wymagało od zwykłego internauty żadnych specjalnych umiejętności „hackerskich”, bo linki zostały zindeksowane, a potem też zarchiwizowane w Google, a więc dostęp do nich był powszechny. A wszystko przez to, że ktoś nie włączył zabezpieczeń chroniących przed nieuprawnionym dostępem do tych informacji. A skoro nie włączył, to zniósł podział na osoby uprawnione i nieuprawione do dostępu do tych informacji.

2 komentarze:

b_w pisze...

Wszystko pięknie, tylko co na to pan prokurator i jak długo postępowanie karne będzie mi groziło wilczym biletem w zawodzie? ;)

kuba_g pisze...

@ bw: W podlinkowanym przeze mnie artykule z "Rzepy" jest napisane, że jakiś prokurator powiedział, iż będzie się kierował "zdrowym rozsądkiem". Poza tym jest § 5 art. 267 k.k.: "Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.". A nie zawsze pokrzywdzonemu chce się lecieć do prokuratury. Zresztą, to tak, jak z art. 116 ust. 1 i art. 122 u.p.a.p.p. Ludzie wrzucają pliki mp3 na serwisy hostingowe, pokrzywdzony się nie skarży (zwykle), więc nie ma sprawy w prokuraturze a potem w sądzie. A pliki mp3 są.