Pobierz najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Czy łatwo udowodnić winę hakerowi?

Printer Friendly and PDF

leadOstatnio pojawiło się wiele informacji dotyczących hakerstwa oraz odpowiedzialności za hakerstwo, nie tylko w związku z ACTA. Część z nich nie odzwierciedla faktycznie przepisów karnych. Warto wiedzieć, za co i w jakim zakresie odpowiada haker oraz na czym polega postępowanie dowodowe (prokuratorskie i sądowe) i udowodnienie winy hakerowi.

W polskim kodeksie karnym znalazły się przepisy dotyczące tzw. cyberprzestępczości. Przepisy te zostały włączone do kodeksu w ślad za podpisaniem przez Polskę Konwencji Rady Europy o cyberprzestępczości. Według tej konwencji oraz polskich przepisów karnych ochrona prawna przysługuje zarówno administratorowi, jak i użytkownikowi systemu teleinformatycznego, jeśli dojdzie do zakłócenia działania tego systemu lub współpracujących z nim urządzeń wskutek umyślnego ataku.

Zgodnie z art. 268a §1 kodeksu karnego osoba nieuprawniona, która niszczy, uszkadza, usuwa, zmienia dane informatyczne, utrudnia dostęp do nich albo w istotnym stopniu zakłóca lub uniemożliwia ich automatyczne przetwarzanie, gromadzenie lub przekazywanie, podlega karze pozbawienia wolności do lat trzech. Utrudnienie dostępu do danych informatycznych to utrudnienie dotarcia do plików, które zawierają informacje. Przepis dotyczy również blokowania stron internetowych, zarówno komercyjnych, jak i niekomercyjnych. Za taki czyn grozi kara pozbawienia wolności do lat trzech, a jeśli zostanie wyrządzona znaczna szkoda majątkowa – od trzech miesięcy do pięciu lat (art. 268a §2 kk). Aby policja i (lub) prokuratura mogły wszcząć postępowanie, ofiara takiego ataku musi złożyć wniosek o ściganie. Kodeks rozróżnia jednak dodatkowo strony komercyjne i rządowe. Zgodnie z obecną treścią kodeksu karnego (art. 269 kk) każdy, kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o tzw. szczególnym znaczeniu, podlega karze pozbawienia wolności od sześciu miesięcy do ośmiu lat. Za takie dane uznano dane szczególnie istotne ze względu na obronność kraju, bezpieczeństwo komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego. W praktyce danych o szczególnym znaczeniu nie można odtworzyć lub uniemożliwiony jest ich odczyt.

Takiej samej karze (od sześciu miesięcy do ośmiu lat) podlega sprawca, który zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie danych o szczególnym znaczeniu. Szkody wyrządzone przez sprawcę nie muszą być trwałe (dane nie muszą być zmienione, zniszczone lub usunięte) – wystarczy, że na skutek jego działania proces automatycznego przetwarzania czy gromadzenia danych ulegnie tymczasowemu spowolnieniu.

Atak na strony zawierające dane informatyczne o szczególnym znaczeniu może polegać na niszczeniu lub wymianie informatycznego nośnika danych, czy też na uszkodzeniu urządzenia służącego do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. Takie działania również mogą podlegać karze pozbawienia wolności od sześciu miesięcy do ośmiu lat. Policja i (lub) prokuratura wszczynają postępowanie z urzędu, bez konieczności składania wniosku przez pokrzywdzonego.

W piśmiennictwie prawniczym przestępstwo, o jakim mowa w art. 269, nazywane jest sabotażem informatycznym. Za najsłynniejszy sabotaż informatyczny uznaje się atak na strony rządowe w Estonii w 2007 r. – atak typu DDoS (ang. Distributed Denial of Service). Do dziś nie wykryto jego sprawców.

Zgodnie z polskim kodeksem karnym w pewnych sytuacjach samo stworzenie aplikacji, która umożliwia popełnienie przestępstwa, jest nielegalne. Co to oznacza w praktyce? Nawet jeśli nie popełniono przestępstwa z użyciem danej aplikacji, ale jest ona przystosowana do popełnienia przestępstwa określonego w art. 269b kk, to jej autor podlega karze pozbawienia wolności do lat trzech.

Kara grozi również za przesłanie skryptu do tzw. komputerów zombie, gdyż zgodnie art. 267 §1 kk karze grzywny, karze ograniczenia wolności lub pozbawienia wolności do lat dwóch podlega każdy, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. Karalna jest zmiana strony, a także kradzież informacji.

Identyfikacja hakera jest bardzo trudna. W jej celu prowadzone jest internetowe śledztwo, które często nie przynosi efektów. Na przykład znalezienie winnych ataków typu DDoS wymaga zaangażowania dużej liczby ekspertów/biegłych, odpowiednich środków i czasu. Możliwe jest także to, że sprawcy przyznają się sami albo zostaną zdemaskowani przypadkiem, przy okazji skojarzenia ich z innymi przestępstwami.

Często osoby dokonujące zamachów z wykorzystaniem Internetu pozostaną bezkarne, gdyż organy ścigania musiałyby gruntownie sprawdzić komputery zombie. Jeśli tych komputerów jest kilkadziesiąt tysięcy, zaś skrypt automatycznie się odinstalował i nie pozostawił śladu, to znalezienie faktycznego sprawcy może okazać się niemożliwe.

Nawet jeśli organy ścigania dotrą do adresu IP, z którego dokonano ataku, nie oznacza to wcale, że dotrą do sprawcy ataku (mogło np. dojść do podszywania się pod adres IP). Zazwyczaj czyjeś sprawstwo udowadnia się na podstawie poszlak (np. włączonego komunikatora, który uruchamia się automatycznie w momencie uruchomienia systemu operacyjnego komputera).

W przypadku cyberprzestępstw oskarżyciel (prokurator) musi udowodnić winę i to w postaci umyślności (czyli sprawca chciał popełnić przestępstwo lub zgodził się na jego popełnienie), przy czym oskarżony nie musi udowadniać swojej niewinności – to oskarżyciel musi udowodnić, że domniemany sprawca popełnił przestępstwo. Oskarżony (lub podejrzany – na etapie śledztwa prokuratorskiego) może milczeć i nie współpracować z policją lub prokuraturą. Nie ma obowiązku składania jakichkolwiek wyjaśnień. W takim przypadku organy ścigania są zdane na ekspertyzy biegłych (np. specjalistów z zakresu informatyki) i to ich opinia będzie dla procesu kluczowa.

Monika Brzozowska
Adwokat

kierownik Departamentu Prawa Własności Intelektualnej i Danych Osobowych w kancelarii Pasieka, Derlikowski, Brzozowska i Partnerzy

Zabezpieczenia 2/2012

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony