prawne aspekty ochrony









Prawne aspekty ochrony własności intelektualnej w zasobach sieci Internet









1. Prawa autorskie- definicja

2. Dozwolony użytek prywatny i publiczny

3. Różnice w dozwolonym użytku w prawie polskim i amerykańskim.

4. Własność intelektualna.

5. Cenzura w internecie.

6. Cyfrowy znak wodny.

7. Kryptologia.

8. Bezpieczeństwo teleinformatyczne.

9. Przestępczość komputerowa.

10. Prywatność.









1.Prawa autorskie- definicja





Program komputerowy jest dziełem autorskim i przysługuje prawna ochrona z tego tytułu. Twórcy programu lub przejmującemu jego prawa właścicielowi(na ogół jest to firma lub organizacja) wolno ustalić zasady rozpowszechniania i użytkowania programu. Właśnie po to wprowadzono pojęcie prawa autorskiego. Prawo autorskie (ang. copyright, symbol: © ) jest to pojęcie prawnicze oznaczające ogół praw przysługujących autorowi utworu albo przepisy upoważniające autora do decydowania o użytkowaniu dzieła i czerpaniu z niego korzyści.


Powodem wprowadzenia praw autorskich było zabezpieczenie interesów twórców oraz wydawców. Efektem naruszenia tych właśnie praw są m.in. następujące szkody:


* utrata przez twórców zysków z tytułu rozpowszechniania utworów

* straty firm zajmujących się dystrybucją i promocją utworów

* straty państwa związane z nie odprowadzonymi podatkami


Pamiętać należy, że zbyt restrykcyjne prawa autorskie utrudniają rozwój dziedzin twórczości opartych na wolnych licencjach, a także realizację projektów, opartych na współpracy między grupami twórców.

Ochrona autorskich praw osobistych


Twórca, którego autorskie prawa osobiste zostały zagrożone cudzym działaniem, może żądać zaniechania tego działania. W razie dokonanego naruszenia może także żądać, aby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności, aby złożyła publiczne oświadczenie o odpowiedniej treści i formie. Jeżeli naruszenie było zawinione, sąd może przyznać twórcy odpowiednią sumę pieniężną tytułem zadośćuczynienia za doznaną krzywdę albo - na żądanie twórcy - zobowiązać sprawcę, aby uiścił odpowiednią sumę pieniężną na wskazany przez twórcę cel społeczny.




2.Dozwolony użytek prywatny i publiczny



Prywatny dozwolony użytek



Zasady dozwolonego użytku utworów objętych prawem autorskim są w Polsce określone przez ustawę o prawie autorskim i prawach pokrewnych w artykułach od 23 do 35. Polskie prawo wyraźnie rozgranicza dozwolony użytek w zakresie prywatnym i inne przypadki dozwolonego użytku. Z zasad dozwolonego użytku osobistego są całkowicie wyłączone wszelkie programy komputerowe, co oznacza, że kopii programów nie wolno wypożyczać czy odstępować nawet znajomym, chyba że licencja jego użycia na to wyraźnie zezwala. A jeśli nawet licencja na to zezwala to i tak występują ograniczenia. Dozwolony użytek jest niejasno ograniczony do "osób pozostających w związku osobistym, w szczególności pokrewieństwa, powinowactwa lub stosunku towarzyskiego". Trudne do interpretacji jest w szczególności pojęcie pozostawania w stosunku towarzyskim, zwłaszcza w przypadku dzielenia się utworami w formach elektronicznych przez internet i istnieją w tym zakresie liczne rozbieżności interpretacyjne.


Dozwolony użytek wykraczający poza zakres osobisty


Dozwolony użytek wykraczający poza zakres osobisty jest w polskim prawie unormowany w formie dość szczegółowej listy określającej kiedy i jak jest dopuszczalny, przy czym w niektórych sytuacjach jest on uwarunkowany przynajmniej próbami otrzymania zgody od właściciela praw autorskich lub może wiązać się z roszczeniami finansowymi z jego strony, nie jest to zatem ścisły odpowiednik angielskiego terminu fair use.


Prawo dozwolonego użytku wykraczającego poza zakres osobisty wymaga zawsze wymienienia źródła i nazwiska oraz imienia twórcy. O ile ustawa nie określa tego inaczej, właścicielowi majątkowych praw autorskich zawsze przysługuje prawo do roszczeń majątkowych z tytułu użycia jego utworu na zasadach dozwolonego użytku.




3.Różnice w dozwolonym użytku w prawie polskim i amerykańskim.




Fair use w prawie Stanów Zjednoczonych


W odróżnieniu od prawa polskiego, prawo USA nie rozróżnia dozwolonego użytku prywatnego i innego, oraz określa jego zakres nie w formie szczegółowej listy lecz ogólnych znamion "uzasadnionego", czy też "uczciwego" użycia utworu.


Prawo federalne USA definiuje zasady dozwolonego użytku (fair use) w paragrafie 107 "Copyright Act of 1976". Paragraf ten "zawiesza" penalizację i możliwość dochodzenia roszczeń z tytułu praw autorskich w przypadku "uczciwego" użycia kopii utworów w celu krytyki, komentarza, informacji o aktualnościach, nauczania, prowadzenia badań. "Uczciwe" użycie utworu jest wg tego zapisu rozpoznawane w oparciu o następujące kryteria:


1. Cel i charakter użycia dzieła, w szczególności kwestia czy zostało ono użyte w celu komercyjnym czy niekomercyjnym i edukacyjnym

2. Rodzaj i natura użytego dzieła

3. Proporcja objętości i znaczenia fragmentu użytego dzieła w stosunku do całej jego objętości a także objętości i znaczenia dzieła pochodnego, w którym ten fragment został użyty

4. Rezultaty wpływu użycia tego dzieła na jego sprzedaż oraz wartość na rynku


W odróżnieniu od polskiego prawa, w którym zasada dozwolonego użytku dotyczy wyłącznie już opublikowanego utworu, w prawie USA fakt opublikowania dzieła nie ma bezpośredniego wpływu na ocenę czy nie doszło do nadużycia zasady fair use.


Ze względu na to, że prawo amerykańskie ma charakter precedensowy, zasady fair use są stale uściślane przez orzeczenia sądów w konkretnych sprawach. Zbiór tych orzeczeń tworzy faktyczne granice dozwolonego użytku, które stale się zmieniają, w szczególności w stosunku do mediów elektronicznych i internetu. Np. orzeczenie Sądu Najwyższego USA z 2005 r, w stosunku do firmy Napster wyraźnie obciążyło operatów sieci wymiany plików typu P2P odpowiedzialnością za każde naruszenie zasad fair use dokonane przez ich użytkowników, co spowodowało bankructwo tej firmy.


Porównanie zasad dozwolonego użytku w prawie polskim i amerykańskim [edytuj]


* Prawo amerykańskie, w odróżnieniu od polskiego nie odróżnia dozwolonego użytku prywatnego od pozostałego.

* Fair use w prawie amerykańskim oznacza prawo do bezpłatnego korzystania z utworu, w polskim gdy dozwolony użytek wykracza poza zakres prywatny jest w olbrzymiej większości przypadków zagrożony możliwością roszczeń finansowych ze strony właściciela praw autorskich - prawo do dozwolonego użytku przekraczającego zakres prywatności chroni zatem tylko przed odpowiedzialnością karną i roszczeniami z tytułu autorskich praw osobistych.

* W prawie amerykańskim ciężar dowodu, że dane użycie utworu przekroczyło zasady fair use spoczywa na właścicielu praw autorskich lub jego prawnym reprezentancie - w polskim osoba która została oskarżona o naruszenie praw autorskich musi udowodnić, że albo mieściło się to w granicach dozwolonego użytku prywatnego, albo któregoś z nielicznych wyjątków użytku publicznego zwolnionego z opłat tytułem praw autorskich.

* W prawie amerykańskim nie ma znaczenia, czy dzieło zostało wcześniej opublikowane za zgodą właściciela praw autorskich - w polskim każda pierwsza publikacja utworu bez zgody jego twórcy jest automatycznie uważana za naruszenie jego praw autorskich - dozwolony użytek odnosi się wyłącznie do dzieł już wcześniej gdzieś opublikowanych.




4.Własność intelektualna.



Prawo własności intelektualnej (inaczej prawo na dobrach niematerialnych lub mniej ściśle - Prawo autorskie) jest to:


* dział prawa cywilnego, w którym zawarta została regulacja prawna dotycząca dóbr niematerialnych (intelektualnych)


Dobra niematerialne (intelektualne) to dobra występujące w obrocie cywilnoprawnym, nieposiadające postaci materialnej. Stanowią one wynik twórczości artystycznej, naukowej i wynalazczej. Problematykę dóbr niematerialnych regulują przepisy różnych gałęzi prawa np. prawa administracyjnego lub karnego. Cechą wspólną regulacji dotyczących poszczególnych dóbr niematerialnych jest ukształtowanie praw uprawnionych jako cywilnych praw podmiotowych bezwzględnych chroniących interesy osobiste i majątkowe.


Własność intelektualna jest uregulowana w różnych gałęziach prawa. Zawiera konstrukcje typowe dla regulacji prawa rzeczowego, zobowiązań, a normy części ogólnej i prawa spadkowego stosuje się wprost do stosunków uregulowanych przez prawo własności intelektualnej. Podstawowym jednak aktem prawnymi jest:


* Ustawa o prawie autorskim i prawach pokrewnych oraz ustawa o ochronie baz danych


Ochrona prawna:


Ochrona dóbr niematerialnych (intelektualnych) - Dobra te objęte są ochrona prawną od momentu ich ustalenia, bez konieczności dokonywania ich rejestracji. Ochrona prawna tych dóbr obejmuje na podstawie umów międzynarodowych prawie wszystkie kraje świata.






5. Cenzura w Internecie.




Cenzura w Internecie - rodzaj cenzury prewencyjnej. Prowadzona przez rządy niektórych krajów powoduje zablokowanie dostępu do pewnych informacji zawartych w Internecie obywatelom lub grupom obywateli.


Innym rodzajem występującym stosunkowo powszechnie jest cenzura na grupach dyskusyjnych rozmaitego typu, zarządzanych przez moderatorów, którzy decydują o akceptacji treści opinii wyrażanych przez dyskutantów lub ich zgodności z narzuconym lub przyjętym przez uczestników regulaminem. Uczestnicy forów muszą ograniczyć swoją wolność słowa zgodnie z regulaminem lub dowolną interpretacją osób zarządzających projektem.


W ramach powszechnych działań związanych z ograniczeniem dostępu do informacji w internecie można wyróżnić:


* powszechne blokowanie możliwości oglądania pewnych informacji

* usuwanie lub publiczne piętnowanie stron niezgodnych z oficjalną polityką rządu lub instytucji

* przekierowanie użytkownika na stronę z podmienioną treścią

* karne blokowanie dostępu pojedynczym użytkownikom do treści





6. Cyfrowy znak wodny.




Cyfrowy znak wodny- technologia służąca do oznaczania plików dźwiękowych oraz zawierających obrazy.

Przykład grafiki z widzialnym cyfrowym znakiem wodnym identyfikującym autora

Przykład grafiki z widzialnym cyfrowym znakiem wodnym identyfikującym autora


Metoda cyfrowego znaku wodnego polega na umieszczeniu cyfrowego sygnału znakującego wewnątrz cyfrowej treści. Taki zapis do pliku unikalnej kombinacji bitów identyfikującej twórcę lub właściciela majątkowych praw autorskich może stanowić trudne do wykrycia i usunięcia zabezpieczenie. Wiąże się to jednak z pogorszeniem jakości danych zapisanych w pliku. Co więcej, każda kopia oryginału posiada ten sam niewidoczny lub niemożliwy do usłyszenia dla człowieka znak wodny. W przypadku statycznego obrazu, znak zachowa się nawet po wydrukowaniu i ponownym zeskanowaniu. Metoda ta jest w dużym stopniu odporna na pakowanie plików algorytmami kompresji stratnej oraz ich modyfikacje (kadrowanie i obracanie obrazu, zmiana głębi kolorów, rozmiaru lub formatu pliku). Mimo iż cyfrowy znak wodny nie chroni przed kopiowaniem plików, oznakowana w ten sposób grafika lub plik muzyczny może pomóc w lokalizacji stron WWW bądź serwerów FTP, na których pliki te są bezprawnie udostępniane. W związku z tym w cyfrowym znaku wodnym pokładane są obecnie duże nadzieje na skuteczną walkę z piractwem w Internecie.




Korzystając z faktu, iż w przekazach multimedialnych występują szumy, na tym poziomie wstawia się cyfrowy znak wodny. Algorytm tworzenia cyfrowego znaku wodnego powinien spełniać kilka podstawowych wymagań:


* Jawny

* Zgodny ze standardem

* Gwarantujący nieusuwalność znaku

* Dający możliwość stosowania klucza prywatnego

* Zapewniający niezależność znaku cyfrowego od merytorycznej zawartości pliku


Technologia ta nie nadaje się do znakowania prostych plików graficznych obecnych na większości stron WWW - minimalny rozmiar obrazu, dla jakiego możemy zastosować cyfrowy znak wodny, to ok. 200x200 pikseli przy 256 kolorach. Spowodowane jest to dużą nadmiarowością zawartej w obrazie informacji - dzięki temu np. przy podziale zdjęcia na fragmenty, każdy z nich zachowa komplet danych.







Zastosowanie cyfrowego znaku



* Ochrona praw autorskich i monitorowanie dystrybucji danych


Cyfrowy znak wodny powinien być odporny na próby jego usunięcia. Ataki na oznaczone cyfrowo pliki mogą być zamierzone, świadome lub nie - np. można nieświadomie usunąć znak wodny podając oznaczony obraz kompresji JPEG. Tego typu ataki można podzielić na:


* Proste - proste próby usunięcia znaku wodnego poprzez manipulacje danymi np. poprzez zastosowanie filtrów liniowych i nieliniowych, dodanie szumu, wprowadzenie przesunięcia, obcięcie obrazu itd.

* Udaremniające detekcję znaku wodnego - za zadanie mają uniemożliwienie wykrycia bądź odczytania cyfrowego znaku wodnego. Najczęściej polega to na zniszczeniu synchronizacji między danymi wyjściowymi z kodera a danymi wejściowymi dekodera np. poprzez filtrowanie w dziedzinie transformaty, powiększanie lub pomniejszanie obrazu, przesuwanie w przestrzeniu lub w czasie (wideo) itd.

* Wprowadzające niejednoznaczność znaku wodnego - za zadanie mają zmylenie detektora lub uniemożliwienie jednoznacznego określenia własności poprzez utworzenie fałszywego obrazu oryginalnego bądź fałszywego znaku wodnego np. poprzez atak inwersyjny zwany „atakiem IBM” - odjęcie od podpisanego cyfrowo obrazu fałszywego znaku wodnego. W ten sposób złodziej może twierdzić, że to on pierwszy wstawił znak wodny, gdyż dysponuje (fałszywym) obrazem oryginalnym. Taka operacja uniemożliwia udowodnienie, kto jest prawowitym właścicielem obrazu, gdyż nie ma obiektywnej metody określenia, który obraz jest oryginalny, a który fałszywy.

* Usuwające znak wodny - próby oddzielenia znaku wodnego od obrazu oryginalnego np. metody z dziedziny kryptoanalizy, usuwanie szumu, filtry nieliniowe, ataki wykorzystujące kilka kopii obrazu z różnymi znakami wodnymi w celu otrzymania oryginalnego obrazu.




W celu ochrony prywatnej twórczości niezbędne jest oprogramowanie do tworzenia cyfrowych podpisów. Podstawowa wersja software'u dostępna jest za darmo na stronie internetowej firmy Digimarc Corporation. Podobne funkcje realizuje także większość nowych programów graficznych, takich jak Adobe Photoshop czy Corel PhotoPaint.



Podpis cyfrowy (podpis elektroniczny) to dodatkowa informacja dołączona do wiadomości służąca do weryfikacji jej źródła.







Umocowanie prawne


Pojęcia "podpis cyfrowy" i "podpis elektroniczny" w języku polskim są często mylone. W rzeczywistości ich znaczenie w kontekście prawnym i nazewnictwie unijnym jest odmienne. Pojęcie "podpisu cyfrowego" (digital signature) zostało zdefiniowane przez normę ISO 7498-2:1989 jako "dane dołączone do danych lub ich przekształcenie kryptograficzne, które pozwala odbiorcy danych udowodnić pochodzenie danych i zabezpieczyć je przed fałszerstwem".


Na podstawie tej definicji przyjmuje się, że pojęcie "podpis cyfrowy" jest stosowane wobec szerokiego spektrum mechanizmów matematycznych i technicznych związanych z podpisem elektronicznym. Podpis cyfrowy nie musi być generowany przez człowieka, do tej kategorii zaliczają się więc liczne zastosowania matematycznej operacji "podpisywania cyfrowego" wykorzystywane np. w protokołach kryptograficznych (np. IPSec), które "podpisują" np. tymczasowe liczby losowe w celu potwierdzenia posiadania klucza prywatnego.


Pojęcie podpis elektroniczny (electronic signature) jest natomiast wprowadzone przez unijną Dyrektywę 1999/93/EC i jednoznacznie określa, że jest to operacja podpisywania konkretnych danych (dokumentu) przez osobę fizyczną.


W polskiej terminologii prawniczej termin "podpis" jest przywiązany tylko i wyłącznie do osoby fizycznej, co również ogranicza stosowanie pojęcia "podpis elektroniczny". Z tego powodu w ustawie o podpisie elektronicznym operacje, które z technicznego punktu widzenia są "podpisem cyfrowym" ale nie są składane przez osobę fizyczną zostały zdefiniowane pod innymi nazwami. "Podpis" składany przez centrum certyfikacji pod certyfikatem osoby fizycznej nazywa się "poświadczeniem elektronicznym", zaś sam certyfikat centrum - "zaświadczeniem certyfikacyjnym".





7. Kryptologia.



Żeby skutecznie chronić własność intelektualną w dzisiejszych czasach korzystamy także z pomocy nauki. Jedną z takich nauk jest kryptologia.


Kryptologia (z gr. κρυπτός - kryptos - "ukryty" i λόγος - logos - "słowo") - nauka o przekazywaniu informacji w sposób zabezpieczony przed niepowołanym dostępem. Kryptologię dzieli się na: kryptografię (z gr. κρυπτός oraz γράφω gráfo "pisać"), czyli naukę o układaniu systemów kryptograficznych i kryptoanalizę (gr. kryptós oraz analýein - rozluźnić), czyli naukę o ich łamaniu.


Współcześnie kryptologia jest uznawana za gałąź zarówno matematyki, jak i informatyki; ponadto jest blisko związana z teorią informacji, inżynierią oraz bezpieczeństwem komputerowym. Kryptologia ma szerokie zastosowanie w społeczeństwach rozwiniętych technicznie; wykorzystuje się ją np. w rozwiązaniach zapewniających bezpieczeństwo kart bankomatowych, haseł komputerowych i handlu elektronicznego.









Uregulowania prawne dotyczące kryptografii

Kryptografia od dawna pozostawała w kręgu zainteresowań służb wywiadowczych i policyjnych. Ze względu na fakt, że jest ona pomocna w utrzymywaniu prywatności, a ewentualne prawne jej ograniczenia wiążą się z umniejszeniem możliwości zachowania prywatności, kryptografia przyciąga też uwagę obrońców praw człowieka. W związku z powyższym, można znaleźć we współczesnej historii kontrowersyjne zapisy prawne dotyczące kryptografii, szczególnie od momentu pojawienia się niedrogich komputerów, dzięki którym dostęp do kryptografii na zaawansowanym poziomie stał się powszechny.


W niektórych państwach nawet wewnątrzkrajowe użycie technik kryptograficznych podlega ograniczeniom. We Francji było ono w znacznym stopniu ograniczone do 1999 roku; w Chinach w dalszym ciągu wymagana jest licencja. Wśród krajów z najbardziej restrykcyjnymi uregulowaniami są: Białoruś , Kazachstan, Mongolia, Pakistan, Rosja, Singapur, Tunezja, Wenezuela i Wietnam.


W Stanach Zjednoczonych kryptografia w zastosowaniach wewnętrznych jest legalna, ale wokół uregulowań prawnych wiążących się z kryptografią było wiele konfliktów. Jedną ze szczególnie istotnych kwestii był eksport kryptografii, oprogramowania i urządzeń kryptograficznych. Ze względu na znaczenie kryptoanalizy podczas II wojny światowej i prognoz, że kryptografia pozostanie istotna dla bezpieczeństwa narodowego, wiele państw zachodnich w pewnym momencie ustanowiło rygorystyczne rozwiązania prawne związane ze eksportem technologii kryptograficznych. W Stanach Zjednoczonych po II wojnie światowej za nielegalne uznawane były sprzedaż lub rozpowszechnianie technologii szyfrujących poza granice państwa; szyfrowanie było traktowane jako uzbrojenie, tak jak czołgi czy broń jądrowa.


Przed nastaniem ery komputerów osobistych i Internetu było to rozwiązanie zupełnie nieproblematyczne; dla większości użytkowników różnica między dobrą i złą kryptografią jest niedostrzegalna, a w owym czasie dodatkowo zdecydowana większość ogólnie dostępnych technik kryptograficznych była powolna i podatna na błędy. Jednakże wraz z rozbudową sieci Internet i upowszechnieniem komputerów, techniki szyfrujące wysokiej jakości stały się dobrze znane na całym świecie. W rezultacie postępu technologicznego, kontrola eksportu zaczęła być postrzegana jako bariera dla handlu i nauki.





8. Bezpieczeństwo teleinformatyczne.





Bezpieczeństwo teleinformatyczne - zbiór zagadnień z dziedziny informatyki związany z szacowaniem i kontrolą ryzyka wynikającego z korzystania z komputerów i sieci komputerowych, rozpatrywany z perspektywy poufności, integralności i dostępności danych.


Budowanie bezpiecznych systemów i aplikacji jest celem starań programistów, a także przedmiotem studiów teoretycznych, zarówno w dziedzinie informatyki, jak i ekonomii. Zaowocowało to opracowaniem metod oceny bezpieczeństwa i kontrolowania zagrożeń, których przegląd znajduje się poniżej. Mimo tych starań, ze względu na złożoność i czasochłonność wielu spośród proponowanych procesów, luki zabezpieczeń stanowią jednak poważny i wymierny problem dla użytkowników sieci informatycznych.



Zarządzanie bezpieczeństwem



Jedną ze strategii zapewnienia bezpieczeństwa systemów teleinformatycznych jest budowanie ich w sposób, który ogranicza ewentualne problemy wynikające z naruszenia zabezpieczeń lub niepożądanej aktywności uprawnionego użytkownika. Takie podejście staje się szczególnie istotne w przypadku utrzymywania dużej infrastruktury o zastosowaniu komercyjnych, na przykład w firmach i organizacjach rządowych. Celem zarządzania bezpieczeństwem jest tam zminimalizowanie potencjalnych strat i umożliwienie szybkiej i sprawnej identyfikacji problemów.


Istnieje wiele standardów dotyczących tego procesu. Jednym z bardziej popularnych i szczegółowych przykładów jest dwuczęściowa brytyjska norma BS-7799, Information technology - Code of practice for information security management oraz Information Security Management Systems - Specification with guidance for use. Norma ta została później zaadoptowana przez ISO jako ISO/IEC 17799:2003 oraz ISO/IEC 27001:2005. Polskimi odpowiednikami są PN-ISO/IEC 17799:2003 oraz PN-I-07799-2:2005.


Poniżej znajduje się omówienie podstawowych zagadnień technicznych poruszanych przy zarządzaniu bezpieczeństwem.





Ograniczanie interakcji



Zapora sieciowa ogranicza dostęp do usług sieciowych

Zapora sieciowa ogranicza dostęp do usług sieciowych


Jednym z ważniejszych narzędzi w zarządzaniu bezpieczeństwem jest ograniczanie do niezbędnego minimum zakresu możliwej interakcji między użytkownikami i systemami, oraz pomiędzy poszczególnymi komponentami platformy. Istnieją dwa argumenty przemawiające za taką praktyką: pierwszy mówi, że im mniejsza jest objętość kodu, z którą użytkownik lub inny system może bezpośrednio oddziaływać, tym statystycznie mniej błędów programistycznych może zostać wykorzystane. Drugi wskazuje, że gdy dojdzie do przełamania zabezpieczeń jednego z komponentów systemu, ogranicza to zbiór systemów, które mogłyby bezpośrednio paść ofiarą dalszych ataków, więc muszą stać się przedmiotem kosztownej i czasochłonnej analizy.


Czterema podstawowymi metodami ograniczenia zakresu interakcji są:


1. dobrane do zastosowania, minimalistyczne projektowanie protokołów, unikanie łączenia diametralnie różnych funkcjonalności w ramach jednego rozwiązania;

2. separacja komponentów logicznych platformy tak, by zdobycie uprawnień administratora na jednym komputerze nie oznaczało całkowitej utraty kontroli nad systemami;

3. wyłączanie zbędnych usług sieciowych na platformach.

4. Stosowanie zapór sieciowych do segmentacji sieci.




Ograniczanie uprawnień



Inną istotną zasadą jest ograniczanie uprawnień nadawanych użytkownikom i innym systemom do najniższego, uzasadnionego realizowanymi celami poziomu, oraz taki podział kompetencji, by sfinalizowanie istotnych procesów biznesowych (na przykład: zarejestrowanie nowego dostawcy towaru, wprowadzenie faktury, czy autoryzowanie przelewu) wymagało współpracy kilku osób. Cel ten można osiągnąć między innymi za pomocą mechanizmów ACL.


Taka architektura redukuje ryzyko celowych nadużyć, zmniejsza szkody spowodowane przez naruszenie bezpieczeństwa pojedynczego konta lub systemu i wymaga spisku ze strony kilku pracowników w przypadku woli działania na szkodę operatora systemu, co jest zdecydowanie mniej prawdopodobne, niż indywidualne próby nadużyć.




Zagrożenia sieciowe - potencjalne możliwości nieuprawnionego działania w sieci, zarówno przez legalnych jak i nieuprawnionych użytkowników danej sieci.


Kryteria podziału zagrożenia:


wg. Andrzeja Barczaka i Tadeusza Sydoruka ("Bezpieczeństwo systemów informatycznych zarządzania", Warszawa: Dom Wydawniczy Bellona, 2003)


* Ze względu na źródło pochodzenia:

o zagrożenia zewnętrzne

o zagrożenia wewnętrzne.


* Ze względu na świadomości użytkownika:

o zagrożenia przypadkowe

o zagrożenia celowe


* Ze względu na możliwość modyfikacji systemu:

o zagrożenia aktywne

o zagrożenia pasywne.Zagrożenie wyróżni również zagrożeniem sprzętowym i programowym.





9. Przestępczość komputerowa.





Międzynarodowa Organizacja Policji Kryminalnych "Interpol" określa przestępczość komputerową jako przestępczość w zakresie czynów skierowanych przeciwko systemowi komputerowemu i czynów dokonanych przy użyciu komputera jako narzędzia.


Według byłego specjalisty ds. przestępczości informatycznej przy Komendzie Głównej Policji, pojęcie przestępczości komputerowej jest nieprecyzyjne i wieloznaczne: "W szerokim rozumieniu, przestępczość ta obejmuje wszelkie zachowania przestępcze związane z funkcjonowaniem elektronicznego przetwarzania danych, polegające zarówno na naruszaniu uprawnień do programu komputerowego, jak i godzące bezpośrednio w przetwarzaną informację, jej nośnik i obieg w komputerze oraz cały system połączeń komputerowych, a także w sam komputer. (komputer jako narzędzie do popełnienia przestępstwa), jak i skierowane przeciwko takiemu systemowi".


Zjawisko to pojawiło się wraz z rozwojem komputeryzacji i od tej pory towarzyszy mu nieustannie. Choć "przestępstwo przeciwko danym" jest takim samym przestępstwem jak każde inne, jest ono trudne do wykrycia. Sprawca może być trudny do ustalenia, a ilość śladów z nim związana może być znikoma. Specyfika systemów komputerowych powoduje niejednokrotnie ich całkowite zatarcie.


Według ekspertów Rady Europy przestępstwa komputerowe dzielą się na grupy:


* oszustwo związane z wykorzystaniem komputera,

* fałszerstwo komputerowe,

* zniszczenie danych lub programów komputerowych,

* sabotaż komputerowy,

* "wejście" do systemu komputerowego przez osobę nieuprawnioną (patrz: cracking, haker),

* "podsłuch" komputerowy,

* bezprawne kopiowanie, rozpowszechnianie lub publikowanie programów komputerowych prawnie chronionych,

* bezprawne kopiowanie topografii półprzewodników,

* modyfikacja danych lub programów komputerowych,

* szpiegostwo komputerowe,

* używanie komputera bez zezwolenia,

* używanie prawnie chronionego programu komputerowego bez upoważnienia.


Choć świadomość istnienia i powagi przestępczości informatycznej jest nikła, to istotne jest, iż zjawisko to nie dotyczy tylko zasobów wielkich organizacji, danych objętych tajemnicą, czy związanych z działalnością organizacji państwowych. Samo jej ściganie również nie musi być tylko domeną prokuratury i służb śledczych. Przestępczość informatyczna dotyczy również osób prywatnych i firm, które mogą być zainteresowane w ich udowodnieniu nie tylko w aspekcie prawnym, ale i finansowym.


Najgroźniejszymi przestępcami występującymi w sieci Internet są hakerzy.



Haker (ang. hacker) - osoba, która szuka i ewentualnie wykorzystuje dziury bezpieczeństwa w oprogramowaniu komputerowym. Może też dzięki nim uzyskiwać dostęp do zabezpieczonych zasobów.


Osoby łamiące zabezpieczenia nazywa się też crackerami. Hakerzy skupieni w społeczności hakerskiej używają terminu cracker dla odróżnienia się od przestępców, z kolei crackerzy terminu haker używają na określenie włamywaczy sieciowych.


Umiejętności


Najwyższym poziomem umiejętności cechują się ci spośród hakerów lub crackerów, którzy opracowują nowe, nieznane dotąd metody ataków. Często jednak ataków dokonują osoby, które nie posiadają większej wiedzy o zabezpieczeniach, a jedynie korzystają z gotowych narzędzi. Wśród osób związanych z bezpieczeństwem komputerowym funkcjonuje dla nich pejoratywne określenie script kiddies (skryptowe dzieciaki).


Autorzy internetowych robaków, wirusów oraz koni trojańskich często są nazywani w mediach "hakerami". Ze względu na to, że działanie wirusów rozsyłanych e-mailem opiera się głównie na niskim poziomie wiedzy użytkowników, którzy nie przestrzegają podstawowych zasad bezpieczeństwa, a nie na włamywaniu, określenie "haker" bywa w ich przypadku kwestionowane. Podobne zastrzeżenia podnosi się wobec ludzi wykradających poufne dane nie metodą przełamywania technicznych zabezpieczeń, lecz za pomocą inżynierii społecznej.


Niezbędna wiedza oraz zainteresowania


Szczególnym zainteresowaniem hakerów/crackerów cieszą się następujące zagadnienia:


* luki (dziury) w:

o systemach operacyjnych,

o programach,

o sieciach komputerowych (systemy zabezpieczeń),

o urządzeniach (głównie podłączonych do sieci, ale również m.in. w telefonii),

o systemach autoryzacji (kontrola dostępu do zasobów);

* (zdalne) przejmowanie kontroli nad danym systemem (zdobywanie uprawnień nadzorcy systemu - superużytkownika)

* techniki (elektronicznego) kamuflażu oraz zacierania śladów (zobacz też: maskowanie operacyjne w wojsku);

* zaawansowana znajomość technik agresji teleinformatycznej (np. sniffing, podszywanie się, cracking, tworzenie koni trojańskich , exploitów itp.)

* budowa i funkcjonowanie systemów operacyjnych;

* systemy UNIX i Linux:

o jądro systemu operacyjnego

o wirtualny system plików proc

o wiele innych


Podział ze względu na stosowaną etykę wyróżnia się następujący podział hakerów zabezpieczeń:


* black hat (czarne kapelusze) - są to hakerzy działający na granicy lub poza granicami prawa. Znalezionych błędów albo nie publikują w ogóle, wykorzystując je w nielegalny sposób, albo publikują od razu w postaci gotowych programów (tzw. exploitów), które mogą zostać użyte przez osoby o niższych umiejętnościach (np. script kiddies). Niektóre osoby kwestionują w tym przypadku użycie słowa "haker", zastępując je wyrazem "cracker".

* white hat (białe kapelusze) - hakerzy działający zupełnie legalnie lub też starający się nie popełniać szkód. Odkryte przez siebie dziury w bezpieczeństwie zwykle podają w formie, w której mogą zostać łatwo załatane przez autorów oprogramowania, lecz trudne do wykorzystania w celu zaszkodzenia komuś (zobacz: full disclosure). Wśród nich często się spotyka audytorów bezpieczeństwa.

* grey hat (szare kapelusze) - hakerzy/crackerzy, którzy przyjmują po części metody działania obu wyżej wymienionych grup.


Kapelusze pochodzą ze starych czarno-białych westernów, gdzie na podstawie koloru kapelusza odróżniano tych dobrych od tych złych. Klasyfikacja powyższa nie przyjęła się szeroko i często wywołuje kontrowersje w środowisku informatycznym.


Cele


Hakerzy-włamywacze i crackerzy działają z różnych pobudek: dla niektórych jest to chęć zysku możliwego do uzyskania przy pomocy wykradzionych danych, dla innych: uzyskanie rozgłosu i wywołanie zamieszania. Część z nich twierdzi, że włamując przyczynia się do zwiększenia dbałości administratorów o zabezpieczenia. Ten argument odrzuca większość społeczeństwa informatycznego. Specjaliści wskazują, że włamywacz może dokonać szkód nawet mimowolnie, wskutek błędu lub niedostatecznej wiedzy.


Hakerzy z grupy "białych kapeluszy" starają się odkryć potencjalne zagrożenia, zanim zostaną odkryte przez włamywaczy. Niektórzy spośród "czarnych" uważają jednak, że wobec opieszałości producentów oprogramowania w publikowaniu łatek poprawiających bezpieczeństwo, jedynie bezpośrednia groźba w postaci exploita może ich skłonić do energiczniejszego działania.


Kolejną negatywną formą przestępczości jest piractwo medialne.


Piractwo medialne - potoczne, negatywnie nacechowane emocjonalnie, określenie działalności polegającej na łamaniu praw autorskich poprzez nielegalne kopiowanie i posługiwanie się własnością intelektualną (programami komputerowymi, muzyką, filmami itp.) bez zgody autora lub producenta i bez uiszczenia odpowiednich opłat.


Według Richarda Stallmana termin ten ma wpływać na świadomość i oceny moralne użytkowników przekonując, że dzielenie się informacją z innymi jest złe i moralnie równoważna napadaniu na okręty, porywaniu oraz mordowaniu załogi i pasażerów.


Stallman proponuje zamiast tego określenia używać neutralnych pojęć takich jak, zabronione kopiowanie (ang. prohibited copying) czy nieautoryzowane kopiowanie (ang. unauthorized copying).


Termin ten jest stale lansowany przez Business Software Alliance.


Wcześniejszy przykład użycia słowa w podobnym kontekście to pirackie stacje radiowe.








10. Prywatność.






Prywatność to termin, który - w najszerszym znaczeniu - określa możliwość jednostki lub grupy osób do utrzymania swych osobistych zwyczajów i zachowań z dala od widoku publicznego.




W prawie


Prywatność często rozpatrywana jest jako prawo przysługujące jednostce. Prawo do prywatności funkcjonuje w niemal wszystkich współczesnych jurysdykcjach, chociaż w wielu sytuacjach może być ograniczane. W Polsce wynika między innymi z artykułu 47 ustawy zasadniczej, oraz z przepisów prawa cywilnego.



W informatyce


W informatyce, prywatność stanowi pokrewny do anonimowości problem z zakresu bezpieczeństwa teleinformatycznego. Oprócz unormowań prawnych, podlega także ochronie metodami technologicznymi, takimi jak kryptografia.



Polityka prywatności


Polityka prywatności to dokument umieszczany na witrynie internetowej w celu poinformowania użytkowników o tym jakie dane osobowe są o nich zbierane i jak będą wykorzystywane.


Polityka Prywatności z reguły zawiera informacje na temat:


* Jakie dane są zbierane od użytkowników. Mogą to być dane zbierane automatycznie przez serwer lub podowane przez użytkownika podczas np. rejestracji.

* W jaki sposób są wykorzystywane, a w sczególności czy są przekazywane innym firmom.

* W jaki sposób właściciel witryny internetowej będzie się kontaktował z użytkownikiem.

* W jaki sposób można dokonać zmian w danych osobowych użytkownika.

* W jaki sposób są zabezpieczane dane pobierane od użytkowników.


W Polsce nadzór nad przetwarzaniem danych osobowych sprawuje Generalny Inspektor Ochrony Danych Osobowych.




Szukasz gotowej pracy ?

To pewna droga do poważnych kłopotów.

Plagiat jest przestępstwem !

Nie ryzykuj ! Nie warto !

Powierz swoje sprawy profesjonalistom.






Wyszukiwarka

Podobne podstrony:
Prawne aspekty, Studia TOŚ, prawne aspekty ochrony środowiska
Prawne aspekty ochrony gleb w Polsce
Karolak, Mateusz Prawne aspekty ochrony dóbr własności intelektualnej w ramach modelu zarządzania r
Drabiński A , Sobota M Prawne aspekty relacji architektura krajobrazu – ochrona środowiska
Prawnokarne aspekty ochrony tajemnicy zawodowej radcy prawnego
Prawne aspekty konserwacji zieleni, Studia, 1-stopień, inżynierka, Ochrona Środowiska, Konserwacja t
Drabiński A , Sobota M Prawne aspekty relacji architektura krajobrazu – ochrona środowiska
Formalno prawne aspekty dzialalnoości geologiczno górniczej klasyfikacja zasobów
Prawne aspekty pracy pediatry
Zasady prawne dotyczące ochrony warstwy ozonowej
Admin prawne aspekty inwestycji budowlanych (2)
Niektóre prawne aspekty włamań do systemu komputerowego
05 Ustawa o stowarzyszeniach WYCIAG, Kulturoznawstwo UAM, Prawne aspekty zarządzania kulturą
Prawne uwarunkowania ochrony informacji niejawnych, nauka administracji
prawne aspekty ruchu turystycznego, Turystyka i Rekreacja, Obsługa Imprez Turystycznych
IT Miekkie Aspekty Ochrony w Internecie
i fałat kilijańska prawne aspekty tworzenia i funkcjonowania funduszy private equity pte 2011
Admin prawne aspekty inwestycji budowlanych (3)