Prehaking - przedmiot ochrony

O nieokreśloności pojęcia włączenia się do urządzenia telekomunikacyjnego wspomniałem już wcześniej, traktując to zjawisko jako obarczone istotną luką w obowiązującym kodeksie karnym. Na tym tle rodzi się kilka wyraźnych zastrzeżeń wynikających między innymi z nieprecyzyjności granic, kiedy następuje włączenie do urządzenia telekomunikacyjnego, oraz tego, czy do takiego włączenia niezbędne jest podjęcie manipulacji technicznych. Rozważając powyższą kwestię, należałoby wskazać zakres naruszeń, w których nie tylko poprzez fizyczną manipulację przy urządzeniu telekomunikacyjnym dochodzi do bezprawnego wyrządzenia szkody w majątku poszkodowanego (abonenta bądź operatora). Dla przykładu:

1. Po przeprowadzeniu kontroli okazało się, że jeden z pracowników firmy sprzątającej regularnie dzwonił wieczorami za granicę.

2. Jedna z pracownic operatora dokonywała za drobną opłatą zasileń kont telefonów komórkowych pre paid dla rodziny. Wysokości jednorazowych zasileń wynosiły od 30 do 100 zł.

3. W trakcie czynu zabronionego (rozboju) sprawca wszedł w posiadanie włączonego aparatu komórkowego, a następnie zestawił szereg rozmów telefonicznych.

4. Trzech obywateli Wietnamu w wynajętym warszawskim mieszkaniu udostępniało usługi telekomunikacyjne swoim rodakom dzwoniącym w interesach do Azji.

5. Sprawca dzwoniąc do firmy prywatnej wprowadzał w błąd pracowników centrali (recepcji), prosząc o pilne połączenie z podanym numerem zagranicznym.

6. Sprawca po uzyskaniu dostępu do pomieszczeń przeznaczonych tylko dla administratorów sieci wykonał szereg połączeń międzymiastowych.

7. Zestawianie telekonferencji (dla rodziny).

Jak widać bezpodstawne jest zatem definiowanie występku z art. 285 § 1 k.k. jako jedynie dokonania manipulacji technicznej przy włączeniu do urządzenia telekomunikacyjnego. Należy dokonać redakcji tego przepisu poprzez określenie charakteru działania sprawcy oraz jego skutków.

Stosując kryterium charakteru działania sprawcy, należy zastanowić się przede wszystkim nad problemem jego oddziaływania na sferę interesów abonenta i operatora. Szkoda wywołana jest swoistego rodzaju dysonansem pomiędzy interesami abonenta zobligowanego do uregulowania rachunku a operatorem ponoszącym koszty związane z realizacją połączenia. Dlatego też można przyjąć, iż pracownik łamiący pewne standardy bezpieczeństwa firmy i przynoszący jej znaczną szkodę powinien ponieść odpowiedzialność karną - choć można się zastanawiać, czy przestępstwo z art. 285 § 1 k.k. powinno stanowić używanie telefonu służbowego do celów prywatnych. Przedmiotem czynności wykonawczej w tym przypadku jest również uruchomienie impulsów telekomunikacyjnych na cudzy koszt. Jednakże nie można utożsamiać występku z art. 285 § 1 k.k. z przekroczeniem uprawnień pracowniczych określonych przez prawo pracy bądź regulamin pracy (aczkolwiek bezsprzecznie możliwe jest zastosowanie powyższej kwalifikacji prawnej, jeśli pracownik swoim działaniem celowo wyrządza znaczną szkodę pracodawcy, do naprawienia której nie wystarczy zastosowanie zwykłej odpowiedzialności materialnej). Za przyjęciem takiej kwalifikacji przemawiają dodatkowo głośne przypadki werbowania przez zorganizowane grupy przestępcze pracowników firm prywatnych w celu umożliwiania dokonywania włączeń do sieci wewnętrznych, a następnie wykonywania połączeń telekomunikacyjnych (charakterystyczne przypadki pomocnictwa z art. 285 § 1 k.k. polegają przede wszystkim na zaniechaniu i dotyczą głównie administratorów sieci, gdy poprzez niedopełnienie swojego obowiązku ułatwiają popełnienie czynu zabronionego). W tym celu pracownicy:

• udostępniają bądź sprzedają kody dostępu do "darmowych" połączeń. Poszkodowana firma poprzez działania pracownika często nie zauważa rosnącej kradzieży impulsów;
• konfigurują PBX w ten sposób, by przekierowywać połączenia na uprzednio podane numery na koszt właściciela centrali;
• odbierają ze służbowego telefonu prywatne połączenia, za które trzeba zapłacić, np. Poland Direct na koszt pracodawcy;
• działają, by celowo wyrządzić szkodę pracodawcy, przeprowadzając rekonfigurację systemu IVR, która prowadzi do utraty odporności systemu i umożliwienia wybrania takiej kombinacji cyfr, po której dzwoniący uzyskiwał wyjście na linie miejskie i darmowe połączenia;
• działając w porozumieniu z operatorami telekomunikacyjnymi konfigurują PBX w ten sposób, by sztucznie generować ruch w sieci wybranego operatora (z reguły droższego).

Należy w tym miejscu zauważyć, że dwa ostatnie przykłady nie wyczerpują jedynie dyspozycji z art. 285 § 1 k.k., pozostając również w zbieżności z oszustwem komputerowym określonym w art. 287 § 1 k.k. O tym, czy wyrządzona szkoda jest wyrazem celowego działania przestępczego, decyduje ocena obiektywnego obserwatora.

Wobec działań nierzetelnych pracowników należy podejmować przede wszystkim kroki wiążące się z odpowiedzialnością materialną. Konieczne wydaje się wyznaczenie kryteriów oceny stanu faktycznego, których spełnienie kwalifikuje takie działanie jako przestępcze i prowadzi do pociągnięcia pracowników do odpowiedzialności karnej.

Zastanawiając się nad kosztem społecznym prehakingu, można wskazać obszary, w których ponoszą go zarówno abonenci, jak i operatorzy - czasem chodzi o konieczność podejmowania działań prewencyjnych:

• ustanawianie polityki bezpieczeństwa w firmach prywatnych;
• częste zmiany oprogramowania i rekonfiguracja systemów;
• poprawna konfiguracja systemów;
• zabezpieczenia technologiczne;
• edukacja personelu;
• zadbanie o fizyczne bezpieczeństwourządzeń;
• przygotowanie systemu wewnętrznej kontroli nadużyć;
• dochodzenia w postępowaniach reklamacyjnych.

Do zaistnienia przestępstwa wcale nie jest konieczne działanie sprawcy polegające na manipulacji urządzeniem telekomunikacyjnym - wystarczy jedynie szkoda materialna, polegająca najczęściej na zobowiązaniu prawowitego abonenta do zapłaty za usługę, z której de facto skorzystał przestępca.

Jakiekolwiek rozwiązanie powstałego konfliktu pomiędzy abonentem i operatorem musi doprowadzić do powstania straty po jednej czy obu stronach. Przestępstwa prehakingu ze względu na przedmiot ochrony są szczególnie niebezpieczne ze społecznego punktu widzenia. W tym kontekście prawo karne stanowić powinno istotny element bezpieczeństwa ekonomicznego ruchu telekomunikacyjnego.

Transponując to na grunt prawa karnego można zaproponować, by owo "włączenie do urządzenia telekomunikacyjnego" było takim działaniem sprawcy, które jest nieautoryzowanym ruchem sieciowym prowadzącym do powstania szkody w majątku osób trzecich. Decydować powinno kryterium ekonomiczne, a nie takie czy inne techniczne działanie sprawcy.

Autor jest pracownikiem naukowym Wyższej Szkoły Handlu i Prawa w Warszawie, aplikantem prokuratorskim oraz certyfikowanym audytorem zarządzania ryzykiem teleinformatycznym. Zajmuje się standardami ochrony praw człowieka w komunikacji elektronicznej.