Oczywiście, celem omawianych regulacji prawnych nie jest propagowanie idei computer security i zachęcanie użytkowników komputerów do jej stosowania. Ustawodawca wyszedł z założenia, że prawo powinno chronić wyłącznie te kategorie informacji, które zostały przez ich dysponenta zastrzeżone, a więc i zabezpieczone. Zabezpieczenia te, jak wynika z treści art. 267 §1 k.k., powinny jednak stanowić realną, a nie symboliczną przeszkodę, mającą uniemożliwiać osobom nieuprawnionym zapoznanie się z chronionymi w ten sposób informacjami. Przepis mówi bowiem o przełamywaniu zabezpieczeń, co oznacza bezpośrednie nań oddziaływanie w celu ich usunięcia. Wymienia też rodzaje zabezpieczeń ("elektroniczne, magnetyczne albo inne szczególne..."), nie pozostawiając tym samym wątpliwości co do tego, że umieszczanie w systemie "powitalnych" napisów informacyjno-ostrzegawczych typu "nie upoważnionym wstęp wzbroniony" nie spełnia kryterium zabezpieczenia, o którym mówi prawo.

Przepisy kodeksu karnego nie nakładają na użytkowników i administratorów sieci komputerowych obowiązku stosowania zabezpieczeń. Nie przewidują w związku z tym sankcji za zaniechanie ich stosowania, oczywiście z wyjątkiem odmowy udzielenia ochrony prawnej osobom (instytucjom), które zostały pokrzywdzone zamachem na poufność przechowywanej w systemie informacji w następstwie braku jej zabezpieczeń¹.

Prawo do dostępności

Możliwość korzystania z przetwarzanej informacji przez osoby do tego uprawnione zawsze, gdy zajdzie tego potrzeba (dostępność), jest elementem decydującym o zaufaniu do techniki komputerowej.

Prawo do dostępności elektronicznie przetwarzanej informacji jest także chronione przepisami nowego kodeksu karnego. Podstawowe - w intencji ustawodawcy - znaczenie ma w tym zakresie art. 269 §1 i 2 k.k., który przewiduje karalność tzw. sabotażu komputerowego. W świetle europejskich standardów normatywnych, istota tego przestępstwa polega na sparaliżowaniu działania albo spowodowaniu zakłóceń w funkcjonowaniu systemu komputerowego lub telekomunikacyjnego - bez względu na to, czy akt sabotażu dotyczy sektora publicznego, czy prywatnego².

Zakres karalności sabotażu komputerowego w k.k. został ujęty węziej niż to postuluje Komitet Ekspertów Rady Europy.

Ograniczenia mają przede wszystkim charakter "sektorowy" i dotyczą rodzaju chronionej informacji. W mniejszym stopniu odnoszą się natomiast do rodzajów systemów służących gromadzeniu lub przekazywaniu informacji. Mimo że art. 269 §1 i 2 k.k. nie wspomina wprost o systemie telekomunikacyjnym jako przedmiocie ataku, należy przyjąć, że wskazane przepisy chronią także jego prawidłowe funkcjonowanie. Mówią one bowiem o automatycznym gromadzeniu lub przesyłaniu informacji, co może być funkcją zarówno lokalnej sieci komputerowej, jak i sieci rozległej - wykorzystującej do transmisji danych urządzenia telekomunikacyjne.

Interpretacja przepisów k.k. uzasadnia stwierdzenie, że polska ustawa karna chroni również interesy sektora prywatnego w zakresie prawa do dostępności informacji i pozwala na inkryminowanie ataków typu denial of service lub e-mail bomb skierowanych nie tylko przeciwko serwerom domen rządowych (gov), lecz także serwerom komercyjnym (com). Wniosek taki nasuwa lektura art. 287 §1 k.k. Jest to przepis, który w zasadzie ma służyć ściganiu sprawców tzw. oszustw komputerowych. Ze względu jednak na stopień ogólności opisu czynu zabronionego pozwala on objąć karalnością znacznie więcej stanów faktycznych niż to zakładał ustawodawca.

Cytowany przepis - oprócz ochrony interesów np. banków przed nie uprawnionym kredytowaniem w trybie on-line rachunków przez ich posiadaczy - może zapewniać ochronę prawną np. dostawcom dostępu do Internetu przed atakami polegającymi na przeciążeniu serwera w celu narażenia konkurenta na szkodę. Może być także użytecznym instrumentem prawnym w przypadku naruszenia trzeciego z omawianych tu praw.

Prawo do integralności

Usuwanie plików, modyfikacja lub uszkodzenie zasobów systemu stanowić mogą zarówno cel, jak i środek działania sprawców przestępstw komputerowych. Motywy ich postępowania są bardzo zróżnicowane i oprócz wandalizmu lub chęci wyrządzenia szkody majątkowej byłemu pracodawcy, obejmować mogą np. zatarcie śladów dokonanego włamania przez usunięcie logów systemowych.

Każde z tych zachowań godzi w integralność zapisu informacji i jako ingerencja nie uprawniona i dokonana umyślnie prowadzi do kolizji z prawem, które w zależności od rodzaju towarzyszącej sprawcy motywacji, a także innych okoliczności może jego czyny różnie kwalifikować.

Jeżeli sprawcą kieruje chęć odniesienia korzyści majątkowej lub wyrządzenia innej osobie szkody, to za zmienianie, usuwanie albo wprowadzanie nowego zapisu na komputerowym nośniku informacji grozi mu kara pozbawienia wolności od 3 miesięcy do lat 5, jaką przewiduje art. 287 §1 k.k. Zagrożenie karne wzrasta do 10 lat pozbawienia wolności, jeżeli wartość wyrządzonej przez sprawcę szkody lub osiągniętej korzyści majątkowej przekracza dwustukrotną wysokość najniższego w Polsce miesięcznego wynagrodzenia (art. 294 §1 k.k.). Sąd może jednak karę nadzwyczajnie złagodzić, a nawet odstąpić od jej wymierzenia w wypadku, gdy sprawca dobrowolnie naprawi szkodę (art. 295 k.k.).