Francuskie prawo przeciw wirusom

Klub informatyczny wielkich przedsiębiorstw francuskich (Club informatique des grandes entreprises fran‡aises - Cigref, 21 Avenue de Messine, 75008 Paris) opublikował raport na temat bezpieczeństwa systemów komputerowych.

Klub informatyczny wielkich przedsiębiorstw francuskich (Club informatique des grandes entreprises fran‡aises - Cigref, 21 Avenue de Messine, 75008 Paris) opublikował raport na temat bezpieczeństwa systemów komputerowych.

Określa on wszelkie próby celowego niszczenia danych lub zakłócenia ich przekazu jako "sabotaż niematerialny". Raport stwierdza, że złośliwe niszczenie danych jest zjawiskiem narastającym szybciej niż pirackie kopiowanie programów i powoduje "poważniejsze konsekwencje". Jest to znamienne odwrócenie proporcji zagrożeń w stosunku do prezentowanej zwykle w prasie i przez środowiska komputerowe.

Stanowisko Cigref nie musi oznaczać, że firmy francuskie ponoszą większe straty finansowe z powodu wirusów niż z powodu hackerów. Trudno o wiarygodne porównania na ten temat. Piractwo powoduje straty głównie wśród amerykańskich przedsiębiorstw softwarowych. Korzystają z niego natomiast drobni, prywatni użytkownicy komputerów. "Sabotaż niematerialny" powoduje z kolei straty w wielu przedsiębiorstwach, choć najmniejsze w komputerowych, które najlepiej potrafią się przed nim bronić. Jednocześnie jest ono ekonomicznie korzystne dla tych przedsiębiorstw softwarowych, które produkują środki chroniące systemy informatyczne przed "zakażeniem". Bagatelizowanie szkód i kosztów związanych z ochroną przed wirusami leży więc w interesie przedsiębiorstw komputerowych, natomiast podkreślanie strat wywoływanych przez "sabotaż niematerialny" leży w interesie wszystkich pozostałych przedsiębiorstw.

Cigref postuluje powołanie "neutralnej" organizacji, która zajmie się rozpoznawaniem wirusów, produkowaniem środków zaradczych i przekazywaniem informacji na ich temat. Raport zaleca też "integrację bezpieczeństwa mikroinformatycznego i ochrony przed infekcjami przez przyjęcie strategii globalnej". Głównym celem, które Cigref pragnie osiągnąć jest zresztą nie tyle ochrona przed wirusami, co przed każdą formą nieuprawnionego wykorzystania systemów informatycznych.

Od roku 1988 obowiązuje we Francji prawo dające nową podstawę dla takiej ochrony. We wcześniejszym okresie osoba lub przedsiębiorstwo, które poniosło szkody z powodu wirusa, mogło żądać odszkodowania tylko na drodze postępowania cywilnego. Oznaczało to, że strona poszkodowana mogła występować do sądu dopiero wtedy, gdy poniosła realne straty materialne z powodu wirusa, a nie tylko cierpiała na skutek zagrożenia lub musiała się przed nim zabezpieczać. Ponadto strona poszkodowana musiała sama odnaleźć autora wirusowego programu i udowodnić celowe wprowadzenie wirusa do systemu komputerowego. W praktyce więc postępowanie cywilne przeciwko autorom wirusów nie dawało się przeprowadzić.

Od roku 1988 możliwe jest ściganie osób produkujących i rozprzestrzeniających wirusy na podstawie kodeksu karnego. Możliwe więc jest wykorzystanie urzędu prokuratora i policji do uzyskania zeznań od świadków, przeprowadzenia dochodzenia, zdobycia dowodów materialnych, itp. Ponadto karane mogą być teraz także próby zniszczenia zbioru danych lub przesyłania informacji, nawet jeśli nie zakończą się one powodzeniem. Wreszcie kara nie musi być proporcjonalna do wyrządzonej szkody materialnej lecz może odpowiadać wielkości zagrożenia.

Ustawa z 5 stycznia 1988 r. szeroko określa systemy informatyczne, które bierze pod ochronę i zalicza do nich dane, programy, komputery i sieci komputerowe (Art. 462-4 Francuskiego Kodeksu Karnego). Karze podlega bezprawne podłączenie się i korzystanie z danych w obcym systemie informatycznym (Art. 462-2), celowe utrudnienie pracy systemu informatycznego (Art. 462-3), działanie wobec danych jak i systemu łączy (Art. 462-7) zakłócające ich normalne funkcjonowanie.

Prawo z 1988 r. przewiduje trzy poziomy sankcji w zależności od wielkości potencjalnej szkody oraz celowego lub nieumyślnego spowodowania zagrożenia. Celowe wtargnięcie i wykorzystanie systemu informatycznego zagrożone jest karą od 3 miesięcy do 3 lat więzienia oraz karą pieniężną w wysokości od 10 tys. do 100 tys. franków (Art. 462-3). Nieuprawniona modyfikacja danych, wprowadzenie danych lub ich skasowanie obłożone jest karą od 2 tys. do 500 tys. franków (Art. 462-4). Dodatkowo sąd może zasądzić odszkodowanie finansowe na rzecz strony pokrzywdzonej. Kary te odnoszą się nie tylko do skutecznych przypadków działania ale także do prób (Art. 462-7) i obejmują nie tylko bezpośredniego sprawcę, ale także osoby udzielające pomocy w dokonaniu przestępstwa (Art. 462-8). Na podstawie tego ostatniego przepisu można na przykład karać te osoby, które świadomie wprowadziły wirusa do systemu informatycznego, choć nie napisały programu wirusowego i bezpośrednio nie wtargnęły do systemu informatycznego.

Prawo z 1988 r. przewiduje te same kary niezależnie od tego, czy system informatyczny był, czy nie był chroniony przed celowym wtargnięciem z zewnątrz. Zdaniem rzecznika sądowego, Brigitte Van Dorsselaere, jest to niedopatrzenie utrudniające obecnie stosowanie art. 462. Systemy informatyczne nie posiadające żadnych zabezpieczeń są narażone na poważne szkody powstające w sposób przypadkowy. To utrudnia stosowanie prawa. Znaczna liczba zakażeń wirusem powodowana jest nieświadomie przez osoby, korzystające z usług rozmaitych systemów informatycznych lub jest wynikiem automatycznego przesyłania danych między sieciami. Trudno w takich przypadkach prowadzić dochodzenie. Za minimalny obowiązek użytkowania systemu informatycnego B.v. Dorsselaere uważa stałe przeglądanie zbiorów na twardych dyskach, przechowywanie co najmniej 2 kopii zapasowych dla każdego pliku, kontrolę programów przyjmowanych z zewnątrz, kontrolę każdej obcej dyskietki na osobnym komputerze przeznaczonym tylko do tego celu, formatowanie dyskietek na tym samym komputerze, automatyczne weryfikowanie objętości plików i fizyczne zabezpieczenie systemu przed osobami postronnymi. Względy te muszą być brane pod uwagę przez sędziego, powinny więc być objęte przepisami prawa.