W parlamencie znajduje się obecnie projekt nowelizacji kodeksu karnego, dostosowujący rodzime prawo do standardów europejskich w dziedzinie zwalczania cyberprzestępczości. Jednym z najważniejszych założeń nowej regulacji jest wprowadzanie karalności obrotu tzw. narzędziami hakerskimi. Bliższa analiza nowych przepisów skłania jednak do obaw, iż mogą one stanowić zagrożenie nie tylko dla przestępców, ale również osób zajmujących się zawodowo bezpieczeństwem informatycznym.

Narzędzia przestępcy ery technologii informatycznej

Utrapieniem specjalistów zwalczających przestępczość internetową może być wykorzystywanie przez sprawców gotowych aplikacji i skryptów, przydatnych w trakcie ataków DoS (Denial of Service) i włamań hakerskich. Badania kryminologiczne wskazują, że jedynie niewielka część cyberprzestępców samodzielnie tworzy swoje narzędzia. Pozostali, ze względu na brak umiejętności lub lenistwo, posiłkują się gotowymi programami. Pobranie skryptu przydatnego w trakcie ataku DoS nie sprawia większych trudności - środowisko hakerów i krakerów lubi dzielić się swoimi osiągnięciami. Potwierdzają to internetowa codzienność i setki stron, będących skarbnicą wiedzy i programów dla domorosłych przestępców. Uzbrojeni w taki elektroniczny oręż ruszają oni na podbój sieci. W wielu publikacjach wprowadza się nawet termin "narzędzia hakerskie", pod którym kryje się olbrzymie spektrum programów przydatnych w trakcie popełniania przestępstw w Internecie. Do niedawna w kręgu zainteresowania prawa pozostawały jedynie skutki wykorzystania owych narzędzi, a nie wytwarzanie i obrót nimi. Zagrożenia związane z automatyzacją cyberprzestępczości skłoniły jednak do poszukiwania nowych metod rozwiązania tego problemu. Jedną z nich jest próba eliminowania narzędzi hakerskich w sieci za pomocą restrykcyjnych regulacji karnych. Koncepcja ta znajduje odbicie w postanowieniach Konwencji Rady Europy z 23 listopada 2001 r. dotyczącej cyberprzestępczości. Prace nad odpowiednikiem konwencyjnych regulacji w prawie polskim trwają.

Projektowany art. 269b kodeksu karnego zakłada karalność tworzenia, pozyskiwania, zbywania lub udostępniania innym osobom narzędzi lub oprogramowania przystosowanego do popełniania przestępstw skierowanych przeciwko bezpieczeństwu systemów informatycznych. Te ostatnie zostały w przepisie wymienione w sposób wyczerpujący (obejmują m.in. naruszenie integralności danych, sabotaż komputerowy; por. treść przepisu zawarta w ramce). Zakazem objęto również hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej. Artykuł 269b kodeksu karnego wprowadza de facto karalność za przygotowanie do części przestępstw popełnianych w sieciach komputerowych.

Mnóstwo wątpliwości

Wprowadzenie przepisu pozwoli z pewnością na efektywną walkę z wirusami komputerowymi. Jednocześnie art. 269 k.k. budzi pewne wątpliwości - jego zakres ma objąć wszelkie programy lub urządzenia przystosowane do popełnienia przestępstw przeciwko sieciowemu bezpieczeństwu.

Co w praktyce będzie oznaczać zwrot "przystosowane"? W wielu sytuacjach ten sam program może być wykorzystywany zarówno w celach zgodnych z prawem, jak i okazać się pomocny w trakcie dokonania przestępstwa. Aplikacje tego typu noszą często miano narzędzi o podwójnym zastosowaniu (dual-use). W praktyce może się okazać, że program stworzony z myślą o administrowaniu systemem znajdzie zastosowanie do popełniania przestępstw. Tak więc możliwości jednoznacznego i wyczerpującego wskazania grupy narzędzi, które będą objęte zakresem

nowych przepisów karnych, są mocno ograniczone. Zawsze znajdzie się aplikacja umykająca wszelkim kwalifikacjom. Narzędzia, takie jak nmap (http://www.insecure.org/nmap/ ), mogą służyć zarówno do ochrony systemu komputerowego, jak i popełniania przestępstw.

Jak więc traktować wspomniane narzędzia? Nowe przepisy karne nie przyniosą odpowiedzi na to pytanie. W praktyce rozstrzygnięciu sądów zostanie pozostawione uznanie, czy rozpowszechnianie określonych programów narusza art. 269b kodeksu karnego. Wątpliwości związane z regulacją "narzędzi hakerskich" można mnożyć. Rodzime przepisy nie wprowadzają zakazu posiadania narzędzi. W uzasadnieniu do projektu nowelizacji kodeksu karnego podkreślono, że zakres tej regulacji byłby zbyt szeroki. Jednocześnie zapis mógłby pozostać martwy w praktyce. Jak udowodnić internaucie posiadającemu na dysku twardym skrypty pozwalające na popełnienie przestępstwa zamiar popełnienia przestępstwa? Konwencja zakłada bowiem karalność posiadania "narzędzi hakerskich" w celu popełnienia przestępstwa. Trudno jednak oprzeć się wrażeniu, iż brak owego zakazu w polskim kodeksie karnym w praktyce może zostać zastąpiony pociąganiem do odpowiedzialności osób pozyskujących narzędzia. Warto zauważyć przy tym, że rodzime przepisy będą wchodziły w grę, gdy sprawca "przewiduje możliwość popełnienia czynu zabronionego i godzi się na to". Nie wdając się w szczegóły: jest to wynikiem obecnej konstrukcji art. 269b k.k. i przyjęcia w niej tzw. zamiaru ewentualnego. W rezultacie niemal każdemu udostępniającemu "narzędzia hakerskie" można będzie postawić zarzut naruszenia przepisów karnych. Co w takim razie mają zrobić osoby tworzące i udostępniające zbiory aplikacji przeznaczonych do testowania systemów przez administratorów? I w tym przypadku projekt nowej regulacji nie przypomina do końca swojego pierwowzoru.

Na gruncie rodzimej propozycji traci sens nawet samo określenie "narzędzia hakerskie". Wśród przestępstw wymienionych w art. 269b nie znalazł się haking. Oznacza to, że przepis nie obejmuje oprogramowania i urządzeń pozwalających na nieuprawniony dostęp do systemu komputerowego. Najwidoczniej umknęło to ustawodawcy, z czym mogą się wiązać kolejne problemy. Dlaczego prawo karne miałoby stawiać w uprzywilejowanej sytuacji sprawców włamań do systemów komputerowych? Zwłaszcza że pierwowzór rodzimych przepisów - Konwencja Rady Europy - zakłada objęcie zakazem również oprogramowania hakerskiego w ścisłym tego słowa znaczeniu. Wbrew wypowiadanym czasem poglądom przepis nie będzie również rozwiązaniem problemu wszechobecnych kraków i numerów seryjnych (tzw. seriali). Numery seryjnego oprogramowania nie są przecież samym oprogramowaniem! Trudno przy tym uznać je za kod dostępu lub hasło do systemu komputerowego.

Administrator systemu - zawód o podwyższonym ryzyku

Największe wątpliwości budzą jednak ewentualne skutki wprowadzenia regulacji z punktu widzenia osób zajmujących się zawodowo analizą bezpieczeństwa systemów komputerowych. Problem dotyczy w szczególności administratorów systemów i badaczy naukowych. Efektywną metodą zabezpieczania systemu komputerowego jest poddanie go kontrolowanemu atakowi. W ten sposób można ocenić stopień odporności na ataki hakerskie, a nawet próby przeciążenia systemu. Wykładnia przepisu regulującego "narzędzia hakerskie", oparta na jego literalnym brzmieniu, mogłaby prowadzić do postawienia ich w co najmniej kłopotliwej sytuacji. Po protestach środowiska informatycznego, w finalnym tekście Konwencji znalazł się dodatkowy zapis, mający za zadanie rozstrzygnąć ten problem. Wskazywał, iż przepisów odnoszących się do narzędzi hakerskich nie należy interpretować w sposób mogący prowadzić do pociągnięcia do odpowiedzialności karnej osób wykorzystujących oprogramowanie w celu dozwolonego testowania lub ochrony systemu komputerowego. Rodzimy projekt pomija tę kwestię, w jego uzasadnieniu nie znalazło się ani jedno słowo na ten temat.

Regulowanie dostępności narzędzi hakerskich za pomocą przepisów prawa może budzić wątpliwości. Nigdy nie będzie można ze stuprocentową pewnością oddzielić narzędzi informatycznych służących do popełniania przestępstw od programów pomocnych w pracy administratora. W wielu przypadkach analogiczne oprogramowanie znajduje zwolenników po obu stronach barykady. Narzędzia wykorzystywane przez hakera mogą okazać się pomocne przy jego tropieniu. Skrypty pozwalające na przeciążenie systemu w niektórych sytuacjach pozwolą na uchronienie się przed takim atakiem. Z kolei nieprecyzyjne zapisy prawne mogą okazać się bardzo kontrowersyjne w praktyce działania organów ścigania.

Odnośniki:

http://www.vagla.pl/skrypts/cybercrime_konwencja.htm - tekst Konwencji Rady Europy z 23 listopada 2001 r. dotyczącej cyberprzestępczości.

http://orka.sejm.gov.pl/Druki4ka.nsf/0/396c30af85542441c1256db1004d49e9/$FILE/2031.pdf - projekt nowelizacji kodeksu karnego.