I jeszcze trochę teorii...

Zajrzyjmy teraz do najbardziej kryminalnej części polskiego prawa - do Kodeksu Karnego z 1997 r. (wraz z późniejszymi zmianami). Posłuży on jako przykład dla kilku rodzaju spraw, w których ważną rolę odegrają ślady elektroniczne.

Artykuł 267 § 1 to bodajże najbardziej charakterystyczne uregulowanie, które miało dopasować polski kodeks do nowych warunków. Mniej więcej określa ono hacking. Dlaczego mniej więcej? Aby na podstawie tego artykułu możliwe było ściganie komputerowych włamywaczy, muszą zostać spełnione pewne warunki. Po pierwsze, musimy udowodnić, że sprawca uzyskał informację. Po drugie, informacja ta nie powinna być dla niego przeznaczona. Po trzecie, nikt nie wyraził zgody na dostęp do niej przez tegoż osobnika. I wreszcie po czwarte, uzyskanie dostępu do informacji nastąpiło w wyniku przełamania zabezpieczeń.

Jeden z problemów polega na tym, że dość trudno udowodnić uzyskanie informacji przez hakera - być może włamał się z chęci udowodnienia swoich umiejętności? Warto spróbować ustalić, czy haker nie udostępnił zdobytej informacji. Wówczas widoki na wygraną zdecydowanie się poprawią. Jeżeli uda nam się pokonać te trudności, możemy posłać dowcipnisia za kratki na maksymalnie 2 lata (przy pierwszym wyroku zazwyczaj w zawieszeniu).

Nieco lepiej wyglądają nasze szanse, jeżeli oprych dopuścił się wandalizmu i zniszczył, zmienił, usunął lub uszkodził dane. Takie działanie dużo łatwiej udowodnić i możemy wyciągnąć z rękawa artykuły 268 i 268a KK. Dotyczą one właśnie ingerencji w dane albo zakłócania ich przetwarzania, gromadzenia lub przekazywania. W tym przypadku nasza brutalność może być odrobinę większa, bo jeżeli dane znajdowały się na "komputerowym nośniku informacji", to czas odsiadki może zwiększyć się do 3 lat.

A już szczytem sadyzmu wobec włamywacza popiszemy się, jeżeli wykażemy, że doznaliśmy znacznej szkody majątkowej. Wtedy najmniejszym wymiarem kary są 3-miesięczne "wakacje" w zakładzie karnym, największym 5-letnie.

Dalej na warsztat możemy wziąć artykuł 267 § 2 KK. Przewiduje on odpowiedzialność karną za podsłuch komputerowy. Definiowany jest on jako naruszenie poufności informacji przez nieuprawnioną osobę, która "zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym". W świecie informatyki takimi urządzeniami podsłuchowymi mogą być wszelkiego rodzaju sniffery czy keyloggery. Tutaj, mimo że ustawodawca znów postawił wymóg uzyskania informacji w sposób nieuprawniony, znacznie łatwiej jest dowieść swoich racji. Trudno bowiem twierdzić, że ot tak zainstalowany jest keylogger. Zawsze za jego pośrednictwem uzyskuje się informacje, a raczej mało prawdopodobne, żeby właściciel takiego komputera chciał się z kimkolwiek dzielić loginem i hasłem do konta w banku internetowym.

W takiej sprawie prawidłowe zebranie i udokumentowanie śladów elektronicznych będzie bezcenne.

Powiedzmy, że pracujemy w biurze projektowym, w którym tworzone są nowatorskie systemy komunikacji wykorzystywane w armii. Nasze prace są niezwykle istotne dla kraju, a ich kradzież zagraża obronności Polski. Może się zawsze zdarzyć, że ktoś z konkurencji postanowi przejąć kontrakt albo przynajmniej zniweczyć wieloletnie badania. A z historii walki partyzanckiej wiemy, że znakomitym sposobem osiągnięcia takiego celu jest sabotaż. I tutaj znowu przychodzi z pomocą Kodeks Karny, a konkretnie artykuł 269 § 1 i 2 opisujący sabotaż komputerowy. Na jego podstawie sabotażystą jest każdy, kto "niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub administracji samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji".

Ofiarą przestępcy niekoniecznie musi paść sam zapis informacji. Wystarczy, że uszkodzeniu ulegnie nośnik albo urządzenie służące do przetwarzania, gromadzenia lub przesyłania informacji, czyli np. macierz dyskowa, router itp. W takim przypadku wykorzystując nic innego, jak tylko ślady elektroniczne, możemy wykazać, że faktycznie miał miejsce sabotaż. Sprawca wówczas znajdzie się w opałach, ponieważ przestępstwo to zagrożone jest karą pozbawienia wolności od pół roku do 8 lat. A to już nie przelewki...

Skoro jesteśmy przy poważniejszych sprawach, warto jeszcze wspomnieć o artykule 130 § 3 KK. Przenosi on nas w świat Jamesa Bonda, penalizując szpiegostwo komputerowe. Przepis ten odnosi się do informacji, których ujawnienie obcemu wywiadowi może wyrządzić szkodę Rzeczypospolitej. Jeżeli więc ktoś wtargnie do systemu komputerowego np. Sztabu Generalnego Wojska Polskiego, niech będzie świadomy, że grozi za to dokładnie taka sama kara, jak za sabotaż. Po prostu nie warto.

Wróćmy teraz do świata zwykłych śmiertelników. Dosyć popularne ostatnio są przypadki manipulowania przesyłanymi danymi, jak choćby wprowadzenie takich zmian w systemie księgowym, które powodują zaokrąglanie sum na kontach. W takich sprawach można rzucić okiem na art. 287 § 1 KK. Odnosi się on do oszustwa komputerowego, które polega na tym, że osoba w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia wpływa na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji, lub zmienia, usuwa albo wprowadza nowy zapis na komputerowym nośniku informacji.

Innym ciekawym przepisem jest art. 266 § 1 KK mówiący o nieuprawnionym ujawnieniu informacji komputerowej. Chodzi tutaj o to, że pracownik może zostać ukarany, jeżeli "wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową". Mówiąc zupełnie skrótowo - jeżeli podpisałeś tzw. lojalkę, lepiej nie dziel się informacjami na temat firmy, w której pracujesz.

Warto też wiedzieć, że istnieje artykuł (276), który opisuje odpowiedzialność za zniszczenie, ukrycie lub usunięcie dokumentu (w tym elektronicznego), którym nie mamy prawa wyłącznie rozporządzać, oraz artykuł 278 § 2 KK dotyczący piractwa komputerowego.

Powyższy zarys to tylko wybrane zagadnienia z Kodeksu Karnego. Pamiętać należy, że kwestie prawa komputerowego i spraw, w których można wykorzystać ślady elektroniczne są regulowane także w innych źródłach. Przykład mogą stanowić: Ustawa o Ochronie Danych Osobowych z 1997 r., Ustawa Prawo Bankowe z tego samego roku, przepisy dotyczące praw autorskich i patentowych, czy wreszcie przepisy Kodeksu Cywilnego pozwalające wykorzystać ślady elektroniczne w niemalże każdym typie spraw (rozwody, odszkodowania, zniesławienia itp.).