Wirusy komputerowe a przepisy karne

Eliminacja wirusów komputerowych to nie tylko prewencja techniczna. Nie można zapominać o tym, że regulacje prawne pozwalają na ściganie osób tworzących lub rozpowszechniających złośliwe programy.

Eliminacja wirusów komputerowych to nie tylko prewencja techniczna. Nie można zapominać o tym, że regulacje prawne pozwalają na ściganie osób tworzących lub rozpowszechniających złośliwe programy.

Wirusy komputerowe stanowią nieodłączną część internetowego krajobrazu. Walka z nimi, podobnie jak ze spamem, jawi się niczym zmagania z wiatrakami. Każdy rok obfituje bowiem w kolejne nowinki, pozwalające na bardziej wyrafinowane infekowanie komputerów. Z drugiej strony pojawiają się innowacje firm antywirusowych, które pozwalają części internautów spać spokojniej.

Specjaliści próbują czasem porównywać wirusy komputerowe z mikroorganizmami infekującymi ciało człowieka. Zestawienie takie nie powinno nikogo dziwić. Wirus komputerowy tak jak chorobotwórczy rozprzestrzenia się szybko, czasem pozostając przez długi czas w ukryciu. Zaraża kolejne maszyny, tak jak choroba zakaźna - najlepiej widać to na przypadkach infekcji poprzez e-mailowe załączniki. Na zetknięcie ze złośliwymi programami w chwili obecnej mają największe szanse internauci, a zwłaszcza ci, którzy aktywnie korzystają z zasobów sieci peer-to-peer.

Wirusy w ciągu kilkunastu lat przebyły głęboką ewolucję. Obecnie nikt nie traktuje ich już jako przejawu elektronicznego wandalizmu, a straty wywołane ich działaniem sięgają miliardów dolarów. Raport CERT Polska odnoszący się do analizy incydentów naruszających bezpieczeństwo teleinformatyczne w 2004 r. wskazuje na nowe trendy w dziedzinie wirusów komputerowych. Uwagę zwrócono na wzrost aktywności aplikacji powodujących ataki DDOS. Co ciekawe, zanotowano też przypadki konkurencji pomiędzy wirusami. Oznacza to, ni mniej ni więcej, iż wirusy infekujące maszyny pozbywały się swoich poprzedników - deinstalując je.

Twórczość zakazana

Szerokie spektrum skutków działania wirusów nie pozwala na wskazanie przepisu karnego, który swoim zakresem obejmuje rozpowszechnianie wszelkich złośliwych programów. Konieczne jest odwoływanie się do analizy konkretnych przypadków, a raczej konsekwencji zainfekowania maszyny przez wirusa. Prostsza jest odpowiedź na pytanie o odpowiedzialność karną osoby tworzącej tego typu oprogramowanie.

Art. 269b kk (dotyczący tzw. narzędzi hakerskich, a omówiony szczegółowo w NetWorld 5/2004) jednoznacznie pozwala na karanie osób parających się tworzeniem wirusów - zakazuje bowiem tworzenia, a nawet pozyskiwania programów przystosowanych do osiągania destrukcyjnych skutków w postaci usuwania danych z systemu komputerowego lub paraliżowania jego pracy. Na wiele nie zda się przy tym obrona sprowadzająca się do tego, iż wirus miał pozostać "w zamknięciu", czy "warunkach laboratoryjnych". Autor nie musi też samodzielnie wprowadzić swojego dzieła do sieci. Co więcej, warunkiem odpowiedzialności karnej nie jest spowodowanie szkody przez ów program. Wystarczy, że został on potencjalnie przystosowany do popełnienia przestępstw takich jak sabotaż komputerowy czy naruszenie integralności danych. Wyjątkiem pozostanie powołanie się autora złośliwego programu na działanie w ramach eksperymentu, czyli okoliczność wyłączającą bezprawność czynu w świetle kodeksu karnego.

Jest to jednak trudne zadanie. Nie wystarczy bowiem gołosłowne zapewnienie, iż wirus miał służyć godnym pochwały celom. Przepisy kodeksu karnego wymagają, by eksperyment zmierzał do osiągnięcia celu istotnego m.in. z gospodarczego czy poznawczego punktu widzenia. Jednocześnie oczekiwania osiągnięcia takiego rezultatu, celowość oraz sposób przeprowadzenia eksperymentu muszą być zasadne w świetle aktualnego stanu wiedzy. Udowodnienie spełnienia powyższych przesłanek podczas procesu kreowania kodu źródłowego wirusa będzie zadaniem niezmiernie trudnym. Na marginesie dodać trzeba, że generalnie problem traktowania wirusów jako użytecznych wywołuje kontrowersje. Twórcy złośliwych programów próbują bronić się nieraz tym, iż efekty ich pracy mają też pozytywne strony. Ponoć przejawiają się one w wykrywaniu luk systemowych i napędzaniu ewolucji zabezpieczeń informatycznych. Mało kto podziela jednak ten pogląd, a ostre sprzeciwy wywołują nawet próby tworzenia wirusów jedynie na potrzeby laboratoryjne.

Różne skutki - różne kwalifikacje prawne

Zainfekowanie systemu komputerowego wiąże się z reguły z utratą danych. Destrukcyjne skutki funkcjonowania wirusa prowadzą do rozważenia zastosowania art. 268 lub art. 268a kodeksu karnego. Jednakże sprawca, by został pociągnięty do odpowiedzialności karnej, musi działać umyślnie. Zgodnie z pierwszym ze wspomnianych przepisów - Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Z wyższym zagrożeniem ustawowym musi liczyć się osoba, która podejmuje wspomniane czynności w stosunku do zapisu na nośniku komputerowym lub swoim zachowaniem wyrządza znaczną szkodę majątkową. Trzeba dodać przy tym, że warunkiem koniecznym podjęcia czynności zmierzających do pociągnięcia do odpowiedzialności sprawcy przestępstwa jest złożenie wniosku o ściganiu przez pokrzywdzonego. W jakim związku z działaniem wirusów pozostaje ów przepis? Na pierwszy rzut oka powinien stanowić skuteczne narzędzie pozwalające na karanie osób umyślnie rozpowszechniających wirusy. Niestety, ma on kilka wad. Po pierwsze, nie precyzuje, co należy uznać za informację istotną. To dość niefortunny zabieg ustawodawcy, bo może utrudniać stosowanie art. 268 kodeksu karnego w praktyce.

Teoretycy i sądy będą musiały zająć się odpowiedzią na pytanie, czy chodzi o wagę informacji jedynie dla jej dysponenta, czy też dla przeciętnego użytkownika, biorąc pod uwagę obiektywne kryteria. Z kolei linia obrony sprawcy przestępstwa może opierać się między innymi na wskazywaniu, iż nie przechowywano w systemie komputerowym "istotnych informacji". Po drugie, skutkiem skasowania lub modyfikacji informacji musi być udaremnienie lub utrudnienie dostępu osoby uprawnionej do określonych informacji. A co jeśli użytkownik zainfekowanego systemu posiada kopie zapasowe przechowywanych danych na innej, "zdrowej" partycji? Choćby wirus niósł ze sobą najbardziej niszczycielskie skutki, w tym przypadku nie dojdzie do udaremnienia zapoznania się z nimi. Można mówić więc co najwyżej o karalnym usiłowaniu.

Począwszy od 1 maja 2004 r. w kodeksie karnym zaczęły obowiązywać nowe przepisy odnoszące się do ochrony elektronicznie przetwarzanych informacji. Wśród nich znalazł się między innymi art. 268a. Stanowi on dostosowanie do przepisów Konwencji Rady Europy dotyczącej cyberprzestępczości z listopada 2001 r., która wymaga wprowadzenia karalności zachowań polegających na "nielegalnej ingerencji w dane". Rodzimy przepis zakłada, iż kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. Z wyższym zagrożeniem ustawowym musi liczyć się osoba, która dopuszczając się tego czynu wyrządza znaczną szkodę majątkową. Ponadto, tak jak w przypadku art. 268 kk, i tutaj wymagane jest złożenie wniosku o ściganie. Niestety, także w tym przypadku regulacja nie grzeszy jasnością, a założenie dostosowania w tym względzie kodeksu karnego do standardów europejskich spaliło nieco na panewce.

Zachowania wymienione w przepisie odnoszą się bowiem do dostępu do danych informatycznych, a nie do samych danych, jak ma to miejsce w konwencyjnym pierwowzorze. Niemniej jednak art. 268a może pozwolić na pociągnięcie do odpowiedzialności karnej sprawcy wprowadzenia wirusa do systemu. Problem tkwi w tym, iż organy prowadzące postępowanie przygotowawcze, a następnie sąd, będą musiały zastosować dość złożoną interpretację przepisu, odwołując się nie tylko do jego brzmienia gramatycznego. A i w tym wypadku oznacza to pole do popisu dla obrony.

Jedną z konsekwencji działania wirusa może być też atak DDoS sprowadzający się do sparaliżowania pracy systemu komputerowego. Skutecznie przeprowadzony atak tego typu może doprowadzić do całkowitego zastopowania systemu. Warto dodać, że w przypadku trojanów, z reguły odróżnianych od wirusów, ich funkcjonowanie często sprowadza się do przejęcia kontroli nad maszyną, z której zostanie przeprowadzony właściwy atak. Skutek zawirusowania systemu w postaci ataku Denial of Service może być rozpatrywany jako przejaw sabotażu komputerowego, o którym mowa w art. 269a kodeksu karnego. Zgodnie z nim do odpowiedzialności karnej może zostać pociągnięty ten, kto nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Odpowiedzialność nie tylko karna

Administrator, który doprowadza do zainfekowania systemu, powinien liczyć się z nieprzyjemnymi konsekwencjami. Skoro w zakresie jego obowiązków pozostaje zarządzanie systemem informatycznym i utrzymywanie go w należytym stanie, to uchybienie w zakresie stosowania ochrony antywirusowej może być traktowane jako naruszenie obowiązków pracowniczych. Daje to pracodawcy wiele możliwości postępowania. W skrajnych sytuacjach nie sposób wykluczyć nawet rozwiązania umowy o pracę bez wypowiedzenia, z winy pracownika. Kodeks pracy zakłada dopuszczalność tego rodzaju kroków w sytuacji, gdy podwładny dopuścił się ciężkiego naruszenia obowiązków pracowniczych. Niemniej istotna pozostaje możliwość pociągnięcia do odpowiedzialności odszkodowawczej osoby, która dopuściła do zawirusowania systemu informatycznego.

W praktyce prowadzi to do wielu różnorodnych sytuacji. Umyślne wprowadzenie wirusa do systemu jako podstawa zasądzenia odszkodowania nie budzi wątpliwości. Jednocześnie wysokość odszkodowania nie musi być utożsamiana jedynie z wartością zniszczonych danych, ale stratami wynikającymi ze sparaliżowania pracy systemu informatycznego. Bardziej skomplikowane jest rozważanie odpowiedzialności firmy odszkodowawczej, która zobowiązała się do zapewnienia nam ochrony antywirusowej. Wspomniane sytuacje nie należą do rzadkości, a najlepszym przykładem są e-mailowe skrzynki. Dostawca usługi z reguły wskazuje na stosowanie mechanizmów nastawionych na wykrywanie wirusów. Nie ma przy tym znaczenia, czy chodzi o darmowe, czy też wykupywane w ramach abonamentu konto. Jak dotychczas sądy nie miały możliwości zmierzenia się z odpowiedzią, czy zawirusowanie skrzynki jest równoznaczne z nienależytym wykonaniem zobowiązania przez ISP. Nie oznacza to jednak, iż problem ten nie istnieje i nie może w najbliższym czasie stać się przedmiotem precedensowych żądań odszkodowawczych i procesów.

Trzeba pamiętać przy tym, że dopuszczenie do umyślnej infekcji będzie we wspomnianych przypadkach należeć do rzadkości. O wiele częściej może chodzić o nowy wirus, który nie został prawidłowo zidentyfikowany przez internetowe skanery bądź wykorzystywanie luk.

Zdarza się, że operatorzy stron WWW zaniedbują swoje obowiązki. W efekcie witryna zostaje zainfekowana wirusem, a odwiedzający ją użytkownicy są narażeni na infekcję. Jeszcze większe zagrożenie tkwi w udostępnianiu na stronie WWW zawirusowanych programów do ściągnięcia. Wydaje się, że brak należytej staranności w przedstawionych wyżej przypadkach nie powinien pozostawać bez znaczenia z punktu widzenia regulacji prawnych odnoszących się do odpowiedzialności odszkodowawczej.

Dystrybucja pocztą elektroniczną niewiele zmienia

Pomimo wykazanych wątpliwości interpretacyjnych, osoba rozpowszechniająca wirus komputerowy w Internecie musi liczyć się z odpowiedzialnością karną. W przypadku złośliwych programów przesyłanych za pośrednictwem e-maila, to faktycznie dysponent konta pocztowego przyczynia się do ich dalszej dystrybucji. Kliknięcie w zainfekowaną przesyłkę w wielu przypadkach uruchamia proces przesyłania wiadomości na wszystkie adresy ze skrzynki kontaktowej internauty. Niemniej jednak jest to zachowanie osoby, która nie zdaje sobie sprawy z obecności wirusa. Ze względu na to zasadne jest uznanie, że tego rodzaju przyczynianie się użytkowników-pokrzywdzonych do rozsyłania zainfekowanych danych nie powinno umniejszać odpowiedzialności karnej bądź cywilnej osoby umyślnie rozpowszechniającej wirusy w Internecie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200