Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Prawo do bezpiecznej sieci

Prawo do bezpiecznej sieci

Złamanie zabezpieczenia serwera, spenetrowanie systemu i kradzież danych to zachowania, które dotychczas określano mianem 'incydentów sieciowych' albo 'nadużyć komputerowych'. Od pierwszego września br. są to przestępstwa.

Złamanie zabezpieczenia serwera, spenetrowanie systemu i kradzież danych to zachowania, które dotychczas określano mianem 'incydentów sieciowych' albo 'nadużyć komputerowych'. Od pierwszego września br. są to przestępstwa.

Obowiązujący od 1 września 1998 r. nowy kodeks karny zabrania dokonywania zamachów na bezpieczeństwo elektronicznie przetwarzanej informacji i przewiduje surowe kary dla tych, którzy zakazów tych nie respektują.

Przyznanie przez nowy kodeks karny (w rozdz. XXXIII) ochrony prawnej informacji, w tym w szczególności przetwarzanej elektronicznie - o czym może świadczyć wyższe zagrożenie karą za zniszczenie zapisu informacji na dyskietce niż na papierze (por. art. 268 §1 i 2 k.k.), jest bez wątpienia wydarzeniem doniosłym. Oto bowiem do rangi społecznie uznanych wartości, dóbr prawnie chronionych przez państwo podniesione zostały trzy podstawowe atrybuty bezpieczeństwa danych i systemów komputerowych: ich dostępność, poufność i integralność. Tym samym istotne interesy użytkowników, dysponentów i administratorów systemów komputerowych znalazły się pod ochroną prawa, a oni uzyskali formalne podstawy do domagania się ochrony swych praw przez pociągnięcie do odpowiedzialności karnej osób dopuszczających się nie uprawnionych ingerencji w funkcjonowanie systemów komputerowych.

Dostępność, poufność i integralność

Organizacja Rozwoju i Współpracy Gospodarczej (OECD), zrzeszająca 29 najbardziej uprzemysłowionych krajów świata, której Polska jest członkiem od 1996 r., w przyjętych w 1992 r. Wytycznych w sprawie bezpieczeństwa systemów informacyjnych zdefiniowała podstawowe atrybuty bezpieczeństwa tych systemów w sposób następujący:

dostępność (availability) - właściwość danych, informacji oraz systemów informatycznych, dzięki której są one osiągalne i mogą być używane w każdym czasie i w wymagany sposób;

poufność (confidentiality) - właściwość danych i informacji polegająca na ujawnianiu ich wyłącznie uprawnionym podmiotom i na potrzeby określonych procedur, w dozwolonych przypadkach i w dozwolony sposób;

integralność (integrity) - cecha danych i informacji oznaczająca ich dokładność i kompletność oraz utrzymywanie ich w tym stanie.

Przykładem naruszenia dostępności systemu są ataki destrukcyjne i przez przeciążenie (np.typu e-mail bomb czy denial-of-service), które powodują uniemożliwienie działania systemu lub blokadę usługi. Z naruszeniem poufności mamy do czynienia w przypadku uzyskania nie uprawnionego dostępu do danych, określanego potocznie mianem hackingu. Z kolei zawirusowanie systemu, jego rekonfiguracja, wprowadzenie konia trojańskiego, instalacja "tylnych drzwi" oraz wszelkie inne nie uprawnione manipulacje danymi stanowią formy naruszenia ich integralności.

Ochrona dostępności, poufności i integralności elektronicznie przetwarzanej informacji jest przede wszystkim domeną zabezpieczeń techniczno-organizacyjnych, takich jak stosowanie haseł dostępu, izolacja sieci przy użyciu ścian ogniowych, szyfrowanie informacji, używanie programów antywirusowych, sporządzanie zapasowych kopii danych, regularny audyting systemu, zobowiązanie użytkowników systemu do przestrzegania regulaminu określającego ich uprawnienia i obowiązki. Wszystkie te środki spełniają przede wszystkim funkcje prewencyjne, chroniąc zarówno przed zagrożeniami o charakterze przypadkowym (np. błąd operatora) i niezależnymi od człowieka (np. wyładowania atmosferyczne), jak i od niego zależnymi i mającymi charakter intencjonalny.

Przepisy prawa karnego odnoszą się przede wszystkim do tej ostatniej kategorii zagrożeń. Są one stosowane ex post i stanowią swego rodzaju "drugą linię obrony" uruchamianą w sytuacji, gdy zawiodą wspomniane zabezpieczenia i dojdzie do zagrożenia bezpieczeństwa systemu lub wyrzą-dzenia szkody.

Prawo niekiedy uzależnia ochronę poufności informacji od stosowania przez jej dysponenta odpowiednich zabezpieczeń. Warunek ten stawia art. 267 §1 k.k., który odpowiedzialność karną za naruszenie poufności informacji przechowywanej w systemie uzależnia od przełamania zabezpieczeń broniących dostępu do danych.

Prawo do poufności

Zasada: "Chcesz korzystać z prawnej ochrony poufności informacji, musisz ją najpierw zabezpieczyć", która wynika z treści art. 267 &##167;1 k.k., dotyczy informacji przechowywanej w systemie. Zasada ta nie ma natomiast zastosowania w przypadku podsłuchu danych, które wprowadza się do systemu albo przesyła. Przepis art. 267 k.k. nie wymaga w takich sytuacjach stosowania "szczególnych zabezpieczeń" informacji i nie uzależnia karalności przechwycenia informacji przez sprawcę od "przełamania" zabezpieczeń, np. kryptograficznych.

Z prawa do poufności nie będzie mógł zatem korzystać ten użytkownik lub administrator sieci, który pozostawia konto(a) nie zabezpieczone hasłem. Na ochronę prawną może natomiast liczyć ten, którego hasło dostępu zostanie przechwycone snifferem.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas