Hubert Skrzypulec 19.11.2008r.
ZiIP 3.2 Zabrze
POLITECHNIKA ŚLĄSKA W GLIWICACH
WYDZIAŁ ORGANIZACJI I ZARZĄDZANIA
Katedra Administracji i Prawa
Prawo
Przestępstwa komputerowe w świetle
Kodeksu Karnego z dnia 6 czerwca 1997 r.
Wstęp
Rozwój informatyki i Internetu wprowadził wiele wygód i ułatwień. Dzięki niemu już nie musimy stać w kolejkach na poczcie, żeby zapłacić rachunki; zamiast biegać do marketu po telewizor możemy go zamówić nie wychodząc z domu (nie rzadko dużo taniej); większość z nas już nie pamięta jak wygląda znaczek pocztowy, a na pytanie jaki sport najbardziej lubisz część bez zastanowienia odpowiada e-sport.
Niestety jak to w życiu bywa każdy kij ma dwa końce. Samochody, gdy zostały wymyślone miały służyć przemieszczaniu się ludzi, a nie uciekaniu przed policją. Podobnie jest z Internetem i technologią komputerową. Dla pewnej grupy osób stały się one świetnym miejscem do poprawiania swojej sytuacji finansowej. Dzięki Internetowi nie musimy chodzić na pocztę z rachunkami, ale też nie musimy tam iść, żeby ją obrabować. Stąd tak jak i jazda samochodem został obwarowana przepisami tak też i przestrzeń komputerowa musiała uzyskać regulacje prawne. Do polskiego kodeksu karnego wprowadzono cały rozdział XXXIII – „Przestępstwa przeciwko ochronie informacji”, w którym szczegółowo zostały one opisane. Niniejszy referat poświęcam właśnie przestępstwom komputerowym.
HACKING
Zgodnie z art. 267 Kodeksu Karnego:
§ 1 Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Opisane wyżej zachowanie znane jest jako hacking. Hacker ponosi odpowiedzialność karną za zapoznanie się z treścią przechowywanej w systemie komputerowym informacji, pod warunkiem że uzyska do niej dostęp na skutek przełamania zabezpieczeń. Nie ma przy tym znaczenia, czy tę informację w jakikolwiek sposób wykorzysta, zniszczy, usunie, czy też ujawni innym osobom. Należy tutaj podkreślić, że za hacking może nie odpowiadać osoba, która wykorzystuje lukę w konfiguracji lub systemie operacyjnym i dzięki niej uzyskuje informację znajdującą się w danym systemie informatycznym. Będzie tak po spełnieniu dwóch warunków: wykorzystanie owej „luki” nie wymaga ingerencji w zapis znajdujący się na komputerowym nośniku informacji ani korzystania ze specjalnego oprogramowania. Ponadto można sobie wyobrazić sytuację, w której hacker nie uzyskuje dostępu do określonego systemu informatycznego w celu uzyskania jakichkolwiek informacji, ale np. aby wykazać, że ów system ma właśnie błędy umożliwiające taki dostęp i dodatkowo sprawdzić swoje umiejętności. Jeżeli w wyniku takiego działania nie zapozna się z żadnymi danymi znajdującymi się w tym systemie, to trudno postawić mu zarzut z tego artykułu.
SNIFFING
Artykuł 267 § 2 Kodeksu karnego mówi:
Tej samej karze (grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2) podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
Urządzeniem, o którym tu mowa, jest np. komputer wyposażony w specjalny program umożliwiający uzyskanie zastrzeżonej informacji. Takimi programami są popularne sniffery - programy monitorujące ruch w sieci i umożliwiające przechwytywanie przesyłanych w niej danych (w tym haseł i identyfikatorów użytkowników). Posługiwanie się takimi programami jest więc co do zasady karalne. Zarzut naruszenia tego artykułu można również postawić osobom posługującymi się różnego typu mikrofonami i innymi urządzeniami podsłuchowymi, a także mikrokamerami, nawet jeżeli w żaden sposób nie wykorzystują oni bezprawnie uzyskanych informacji.
HIJACKING
Session hijacking polega na uzyskiwania nieuprawnionego dostępu do systemów komputerowych na skutek przechwycenia sesji legalnego użytkownika. Hijackerowi można postawić zarzut z art. 267 § 2 Kodeksu karnego, który zakazuje posługiwania się komputerami wyposażonymi w specjalne oprogramowanie w celu uzyskiwania zastrzeżonych informacji. Uzyskanie nieuprawnionego dostępu z reguły wiąże się bowiem z dostępem do zastrzeżonych informacji.
SPOOFING
To z kolei popularne określenie "podszywania się" pod innego użytkownika sieci, przez fałszowanie pakietów zawierających adres uprawnionego nadawcy. Takie działanie przeważnie również stanowi naruszenie art. 267 Kodeksu karnego.
CRACKING
Zgodnie z art. 268 Kodeksu karnego:
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolności do lat 3.
To przestępstwo jest popełniane przez internetowych "włamywaczy", bezprawnie ingerujących w zawartość stron WWW innych podmiotów.
Szczególnie niebezpieczne jest niszczenie lub zmienianie informacji umieszczonych na serwerach rządowych, samorządowych lub innych, mających szczególne znaczenie dla bezpieczeństwa lub obronności Polski. Zgodnie bowiem z art. 269 Kodeksu karnego:
§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych,
podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.
W Kodeksie Karnym możemy przeczytać również o innych przestępstwach komputerowych:
Art. 165. § 1. Kto sprowadza niebezpieczeństwo dla życia lub zdrowia wielu osób albo dla mienia w wielkich rozmiarach:
1) powodując zagrożenie epidemiologiczne lub szerzenie się choroby zakaźnej albo zarazy zwierzęcej lub roślinnej,
2) wyrabiając lub wprowadzając do obrotu szkodliwe dla zdrowia substancje, środki spożywcze lub inne artykuły powszechnego użytku lub też środki farmaceutyczne nie odpowiadające obowiązującym warunkom jakości,
3) powodując uszkodzenie lub unieruchomienie urządzenia użyteczności publicznej, w szczególności urządzenia dostarczającego wodę, światło, ciepło, gaz, energię albo urządzenia zabezpieczającego przed nastąpieniem niebezpieczeństwa powszechnego lub służącego do jego uchylenia,
4) zakłócając, uniemożliwiając lub w inny sposób wpływając na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych,
5) działając w inny sposób w okolicznościach szczególnie niebezpiecznych,
podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
Na powyższym przykładzie widzimy z jaką powagą ustawodawca odnosi się do możliwych szkód wyrządzonych poprzez zakłócenie lub uniemożliwienie przetwarzania informacji. W § 2 powyższego artykułu możemy przeczytać iż działalność nieumyślna jest zagrożona pozbawieniem wolności do lat 3.
Art. 269.
§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych,
podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.
Art. 269a.
Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej,
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Art. 269b.
§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej,
podlega karze pozbawienia wolności do lat 3.
§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.
Jak widzimy powyższe przestępstwa są sankcjonowane na równi z Art. 135 Kodeksu Karnego.
§ 1. Kto dopuszcza się czynnej napaści na Prezydenta Rzeczypospolitej Polskiej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. Kto publicznie znieważa Prezydenta Rzeczypospolitej Polskiej, podlega karze pozbawienia wolności do lat 3.
Jak również z Art. 199.
§ 1. Kto, przez nadużycie stosunku zależności lub wykorzystanie krytycznego położenia, doprowadza inną osobę do obcowania płciowego lub do poddania się innej czynności seksualnej albo do wykonania takiej czynności,
podlega karze pozbawienia wolności do lat 3.
§ 2. Jeżeli czyn określony w § 1 został popełniony na szkodę małoletniego, sprawca podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Możemy stąd wywnioskować, że według ustawodawcy przestępstwa komputerowe mają dużą szkodliwość społeczną.
Trzeba oczywiście również wspomnieć o Przestępstwach przeciwko mieniu, które z powodzeniem można za pomocą komputera i Internetu popełniać siedząc wygodnie w fotelu. Wspomniane wcześniej przepisy traktowały o ochronie informacji i bezpieczeństwa publicznego. Przytoczone poniżej artykuły Kodeksu Karnego mówią o nielegalnym pozyskiwaniu programów komputerowych i osiąganiu dzięki temu korzyści majątkowych.
Art. 278.
§ 1. Kto zabiera w celu przywłaszczenia cudzą rzecz ruchomą, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. Tej samej karze podlega, kto bez zgody osoby uprawnionej uzyskuje cudzy program komputerowy w celu osiągnięcia korzyści majątkowej.
Pod ten artykuł z pewnością podpadają straganowi sprzedawcy oprogramowania po promocyjnych cenach. Niestety również nabywcy, świadomi nielegalnego źródła nabywanego w takich miejscach oprogramowania łamią prawo:
Art. 292.
§ 1. Kto rzecz, o której na podstawie towarzyszących okoliczności powinien i może przypuszczać, że została uzyskana za pomocą czynu zabronionego, nabywa lub pomaga do jej zbycia albo tę rzecz przyjmuje lub pomaga do jej ukrycia,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Z tego wynika, że dla naszego dobra powinniśmy zaopatrywać się w oprogramowanie jedynie w licencjonowanych punktach sprzedaży. Podczas zakupu koniecznie sprawdzić obecność hologramów i innych oznaczeń, które świadczą o legalności zakupywanego przez nas programu.
Z tego krótkiego zestawienia przepisów wynika, że Internet i komputery to nie tylko szanse. Również w wirtualnym świecie czyha na nas wiele zagrożeń. Począwszy od wścibskich znajomych, którzy się nam włamują do gadu-gadu, przez fałszywe witryny bankowe po sabotaż i działalność na rzecz obcych wywiadów. Na zakończenie referatu przedstawię jeszcze jeden bardzo ciekawy przypadek, które łączy się z omawianą tematyką.
Artykuł opublikowany w serwisie prawo.vagla.pl
Jutro, tj. 28 października, mężczyzna z Cieszyna stanie przed sądem w związku z pozycjonowaniem strony prezydent.pl. O akcie oskarżenia w tej sprawie pisałem w tekście Za SEO i znieważenie Prezydenta RP akt oskarżenia (wrzesień 2007). Proces będzie się toczył przed Sądem Okręgowym w Bielsku-Białej. Być może będzie to krótki proces, gdyż 24-letni mężczyzna przyznał się do przygotowania (tajemniczego dla mnie) programu do pozycjonowania stron. Przy okazji można by spróbować odpowiedzieć na szereg innych pytań, np. co to znaczy "oficjalna" witryna internetowa Prezydenta RP? Mężczyzna wniósł o dobrowolne poddanie się karze...
Rok temu akt oskarżenia przeciwko Markowi W. miał trafić do Sądu Rejonowego w Cieszynie, teraz mowa o bielskim Sądzie Okręgowym. Pisze o tym - za PAP - Gazeta.pl, w tekście Internauta, oskarżony o obrazę prezydenta, stanie przed sądem. Notatka PAP jest krótka i nie ma tam nowych informacji o dyskusji na temat czynu przypisywanego oskarżonemu. Mamy niedawne doniesienie dotyczące wpisu w blogu posła Palikota (por. O zniewadze i pytaniach opublikowanych w blogu), gdzie również chodziło o potencjalne znieważenie Prezydenta RP. Wówczas sędzia Sądu Okręgowego wyjaśniał, że "zniewaga to takie zachowanie, które według powszechnie przyjętych ocen stanowi wyraz pogardy dla drugiego człowieka". Sąd uznał, że wpis w blogu wraz z pytaniem: "Czy prezydent Lech Kaczyński nadużywa alkoholu?" nie był zniewagą prezydenta. Mamy też doniesienie Akt oskarżenia za wykorzystanie stron policyjnych do pozycjonowania, a tam, w skierowanym do Sądu Rejonowego dla Krakowa Śródmieścia akcie oskarżenia, zarzucano funkcjonariuszowi, "że jako funkcjonariusz policji i administrator policyjnej strony internetowej przekroczył z chęci zysku uprawnienia, umieszczając na stronie "ukryte linki - odsyłacze do stron cywilnych"". Tu nie chodziło o znieważenie prezydenta, ale chodziło o SEO (search engine optimization), a nawet nie o samo SEO, a wparcie przy budowie "zaplecza" SEO i przekroczenie uprawnień. Nie wiem, jak się zakończył ten proces (o ile się zakończył).
Zgodnie z art. 135. § 2. kodeksu karnego: "Kto publicznie znieważa Prezydenta Rzeczypospolitej Polskiej, podlega karze pozbawienia wolności do lat 3". Mamy rozstrzygnięcie Sądu Apelacyjnego z dnia 30 stycznia 2002 r. (II AKa 577/01) i glosę prof. Stanisława Hoca, w której to glosie można przeczytać tezę: "przepis art. 135 § 2 k.k. nie obejmuje przypadków zniesławienia, dlatego też w przypadku zniesławienia Prezydenta RP mają zastosowanie przepisy art. 216 k.k".
W sprawie zaś związanej z wykorzystaniem mechanizmów wyszukiwania Google (por. dział wyszukiwanie), by wypozycjonować "oficjalną stronę Prezydenta RP" tak, by po wpisaniu w wyszukiwarce określonego (obraźliwego?) hasła na pierwszym miejscu wyników wyszukiwania pojawiła się właśnie strona Prezydenta, można postawić kilka pytań: Czy ktokolwiek zwrócił się do usługodawcy (w tym przypadku - być może - spółki Google; por. Pytania prejudycjalne na temat działania internetowych wyszukiwarek) w trybie art. 14 ustawy o świadczeniu usług drogą elektroniczną, tj. notice and takedown? Czy osoby zatrudniane w takich spółkach jak Google mogą również ponosić odpowiedzialność za publiczne znieważenie Prezydenta RP w związku z mechanizmem działania wyszukiwarki (por. Depozycjonowanie: prowokuję do dyskusji). Jaka jest relacja między znieważeniem osoby Prezydenta, a pozycjonowaniem witryny internetowej na temat Prezydenta? Wcześniej należałoby odpowiedzieć na pytanie: na jakiej zasadzie funkcjonuje witryna internetowa Prezydenta RP (por. Czy "własne" serwisy internetowe administracji publicznej działają legalnie?, o witrynę Prezydenta pytałem również w tekście Gruzja: Wojna elektroniczna - potwierdzono atak na infrastrukturę teleinformatyczną, w kontekście zasad, na jakich na witrynie Prezydenta RP pojawiają się notatki gruzińskiego MSZ). Być może kolejne rozstrzygnięcia sądowe mogłyby pozwolić na formułowanie wniosku, że potencjalnym znieważeniem Prezydenta RP byłoby również pozycjonowanie innych witryn "o Prezydencie RP", niekoniecznie tych "oficjalnych" (np. wypozycjonowanie "neutralnej" witryny na temat publicznej działalności Prezydenta RP, którą to witrynę prowadziłaby np. jakaś organizacja pozarządowa; warto pamiętać, że np. abonentem domeny prezydent.com.pl jest osoba prywatna).
Oczywiście znieważenie Prezydenta i zasady, na których działa "oficjalny serwis Prezydenta" to dwie sprawy, które należy analizować oddzielnie, ale może wyrok Sądu Okręgowego, który zapadłby w sprawie 24-latka z Cieszyna, mógłby odpowiedzieć na pytanie w sprawie podstaw prawnych funkcjonowania witryny dostępnej pod domeną prezydent.pl (kiedy jakaś witryna administracji publicznej staje się "oficjalną" witryną?; witryna i domena to również dwie sprawy). Warto przy tym pamiętać, że dopiero tuż przed ukończeniem drugiej kadencji Prezydenta Kwaśniewskiego domena prezydent.pl, zarejestrowana wcześniej na prywatną osobę została przerejestrowana na Kancelarię Prezydenta RP (kto podjął decyzję? Czy wcześniej również była tam "oficjalna strona prezydenta"?).
Warto też pamiętać o doniesieniach sprzed wejścia Polski do Unii Europejskiej, gdy w Internecie przekazywano sobie spreparowany link (wykorzystujący Cross site scripting, XSS), który prowadził do serwisu prezydent.pl i - dzięki błędom konstrukcji witryny dostępnej pod tą domeną - prezentował odwiedzającemu komunikat, przekazywany w tym linku, czyli:
Wszyscy obywatele będący kibicami Lecha Poznań zostaną wydaleni z kraju w ciągu najbliższych trzech dni. Jest to kolejny krok w stronę dostosowania praw obowiązujących w Unii Europejskiej, do której Polska wchodzi już 1 maja 2004
Oczywiście wyżej pokazałem jedynie przykład, bo mechanizm XSS pozwalał na zaprezentowanie na witrynie dostępnej wówczas pod domeną prezydent.pl dowolnego komunikatu, dowolnej grafiki (por. Nareszcie ktoś zauważył i nagłośnił..., A serwis prezydenta nadal dziurawy...). Czy sposób, w jaki wykonana została witryna Prezydenta RP (gdy już ustalimy mechanizm, dzięki któremu można powiedzieć, że jakaś witryna jest właśnie witryną "oficjalną"), sam w sobie może być uznany za znieważenie Prezydenta i - w związku z tym - podlegać karze pozbawienia wolności do lat trzech? Czy pracownicy Kancelarii Prezydenta RP, którzy "opiekują się" witryną, również mogą być uznani winnymi publicznego znieważenia Prezydenta, jeśli wiedząc o błędach ich nie poprawiają (por. Uwagi do serwisu prezydent.pl)?
Źródła:
http://lpstudent.lexpolonica.pl/
http://prawo.vagla.pl/
http://www.digit.pl/artykuly/44743/Prawo.a.Internet.html