Odpowiedzialność prawna a ochrona sieci WLAN

Wzrastająca popularność sieci bezprzewodowych rodzi pytania o odpowiedzialność związaną z zaniechaniem wdrażania zabezpieczeń chroniących przed nieuprawnionym dostępem. Szczególnie dotyczy to sankcjonowania działań określanych mianem wardriving, czyli wyszukiwania sieci bezprzewodowych.

Wzrastająca popularność sieci bezprzewodowych rodzi pytania o odpowiedzialność związaną z zaniechaniem wdrażania zabezpieczeń chroniących przed nieuprawnionym dostępem. Szczególnie dotyczy to sankcjonowania działań określanych mianem wardriving, czyli wyszukiwania sieci bezprzewodowych.

Zabezpieczanie sieci WLAN

Nie każda sieć WLAN jest chroniona przed nieuprawnionym dostępem. To od administratora sieci głównie zależy, jaki poziom zabezpieczeń zostanie zastosowany do ochrony zasobów sieci. Tam gdzie nie zabezpieczono WLAN, trzeba liczyć się co najmniej z przypadkowym uzyskiwaniem dostępu do niej przez osoby postronne. Co więcej, zaniechanie ograniczenia dostępu może stwarzać potencjalne problemy, związane z wykorzystywaniem sieci dla celów sprzecznych z prawem.

Kwestią rozważaną w niemieckim orzecznictwie w 2008 r. była odpowiedzialność dysponenta sieci WLAN za przypadek nieautoryzowanego wykorzystania sieci dla celów aplikacji peer to peer. Sąd Regionalny we Frankfurcie w orzeczeniu z 1 lipca 2008 r. [sprawa 11 U 52/07] wskazał, że operator niezabezpieczonego WLAN może ponosić odpowiedzialność prawną jedynie, gdy jest świadomy dokonywanych w sieci nadużyć. Dla ewentualnej odpowiedzialności nie będzie wystarczający sam fakt, iż potencjalnie sieć może być wykorzystywana przez osoby nieuprawnione.

Analogiczne spostrzeżenia można przenieść na polskie prawo. Z racji umożliwiania dostępu do sieci bezprzewodowej, nie można automatycznie wyprowadzać odpowiedzialności cywilnej lub karnej jej dysponenta. Warto zaznaczyć, że w niemieckim orzecznictwie problem niezabezpieczonych sieci WLAN należy jednak do spornych. Rodzime sądy, jak dotąd, nie miały możliwości wypowiedzenia się w tej kwestii.

W przypadku korporacyjnych sieci bezprzewodowych, bierność administrującego nimi może być uznana za naruszenie obowiązków pracowniczych. Jednakże brakuje ogólnego prawnego obowiązku stosowania protokołów WEP czy WPA w ramach sieci bezprzewodowych. Paradoksalnie, począwszy od grudnia 2008 r., prawo karne przewiduje odpowiedzialność za uzyskanie samego nieuprawnionego dostępu do niezabezpieczonej sieci komputerowej [art. 267 § 3 kk]. Dotychczas, jedynie przełamanie zabezpieczeń systemu i uzyskanie w konsekwencji zastrzeżonej informacji uznawano za przejaw hackingu. Zmiana przepisu niesie wzmożoną restrykcyjność w zakresie ochrony sieci komputerowych, nawet tych, które nie zostały prawidłowo zabezpieczone. Wszystko za sprawą ustawy z dnia 24 października 2008 r., nowelizującej przepisy kodeksu karnego.

Oznaczanie sieci bezprzewodowych

Do innych zmian należy wprowadzenie nowego brzmienia art. 269b kodeksu karnego, który stanowi obecnie, iż: kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej podlega karze pozbawienia wolności do 3 lat.

Wskazane w przepisie przestępstwa odnoszą się do czynów godzących w bezpieczeństwo elektronicznie przetwarzanych informacji. Co istotne, konstrukcja przepisu nie jest precyzyjna, jeśli chodzi o dane umożliwiające dostęp do informacji przechowywanych w sieci. Ma to istotne znaczenie dla sieci bezprzewodowych.

Biorąc pod uwagę wykładnię językową art. 269b kk, oznaczanie wielu z niezabezpieczonych sieci bezprzewodowych stanowiłoby czyn zabroniony. Stawiałoby to pod znakiem zapytania sens wardrivingu w przestrzeni rodzimego internetu. Warunkiem odpowiedzialności karnej sprawcy jest jego umyślne działanie, co w przypadku wardrivingu nie byłoby trudne do wykazania. Sedno problemu tkwi w tym, że niezbędne jest rozróżnienie pomiędzy publicznymi sieciami bezprzewodowymi a zamkniętymi rozwiązaniami WLAN, które nie zostały tylko prawidłowo zabezpieczone. Wiedzy takiej nie musi mieć osoba sięgająca po wardriving bądź kierująca się mapą dostępnych sieci WLAN.

Aktualne brzmienie art. 269b kk ingeruje zbyt daleko w kwestie stricte techniczne. Weźmy pod uwagę choćby partycypację w serwisie Wireless Geographic Logging Engine [http://www.wigle.pl ], stanowiącego mapę sieci bezprzewodowych na całym świecie. Dodatkowo jest to przestępstwo ścigane z urzędu, zaś przykładowo hacking pozostaje ścigany na wniosek pokrzywdzonego.

Rozrastające się sieci WLAN wymagają stosownych zabezpieczeń. Choć przepisy nie przewidują bezpośrednio obowiązków w tym względzie, wzmożone zainteresowanie administratora sieci ochroną przed ingerencją osób trzecich pozwoli uniknąć kłopotliwych z prawnego punktu widzenia sytuacji. W szczególności, jeśli chodzi o kontrowersje związane z używaniem niezabezpieczonych sieci dla celów naruszeń praw autorskich. Z kolei, mimo aktualnego brzmienia art. 269b kk, mało prawdopodobne jest to, iż zahamuje ona rodzimy wardriving. Byłoby to sprzeczne z celami prawa karnego w zakresie ochrony elektronicznie przetwarzanej informacji, gdzie prymat powinien być przyznany mechanizmom stricte technicznym. Dodatkowo, w każdym przypadku trzeba oceniać stopień społecznej szkodliwości takich zachowań.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200