Bezkarne szukanie luki w systemie informatycznym

Od wielu lat w środowisku osób zajmujących się bezpieczeństwem IT funkcjonuje mit o rzekomym ryzyku ponoszenia odpowiedzialności karnej przez osoby szukające luk w systemach informatycznych. Mit ten jest obecnie na tyle silny, że Ministerstwo Cyfryzacji zaczęło rozważać możliwość zmiany treści Kodeksu karnego – czytamy na blogu Fundacji Frank Bold.

Razem z Bartoszem Kwiatkowskim staramy się obalić ten mit w najnowszej ekspertyzie dla Ministerstwa Cyfryzacji i Ministerstwa Sprawiedliwości. W opinii prawnej przygotowanej we współpracy Krakowskiego Instytutu Prawa Karnego i Fundacji Frank Bold wskazujemy, że tego rodzaju działalność w aktualnym stanie prawnym nie pociąga za sobą odpowiedzialności karnej.


Kontrowersje bug bounty

Problem oceny prawnej zjawiska poszukiwania luk w działaniu systemu informatycznego był przedmiotem licznych kontrowersji i dyskusji, np. na portalu Niebezpiecznik. W sprawie zabrała również głos Minister cyfryzacji Anna Streżyńska, podkreślając wagę problemu i dostrzegając potrzebę zmian w prawie karnym.


Źródło: Niebezpiecznik

Działalność polegająca na znajdowaniu błędów i luk w systemach/sieciach teleinformatycznych lub informatycznych (tzw. testy penetracyjne) w celu zwrócenia uwagi ich właścicielowi, iż system bądź sieć posiada wady i luki, przybiera w praktyce dwie główne postacie:
1) tzw. program bug bounty, w ramach którego testerzy wyszukują błędy i luki za zgodą, a nawet na zlecenie dysponenta systemu/sieci,
2) własna inicjatywa testera, który działa na własną rękę z uczciwym zamiarem poinformowania osoby uprawnionej o ewentualnie wykrytych błędach bądź lukach w działaniu systemu/sieci.

Naszym zdaniem w żadnej z tych sytuacji nie dochodzi do wyczerpania znamion czynu zabronionego pod groźbą kary.

Sprowadzając rzecz do samej istoty należy stwierdzić, że zgoda dysponenta systemu/sieci dezaktualizuje zakaz poszukiwania luk i błędów w działaniu danego systemu czy sieci informatycznej, sprawiając, że mamy do czynienia z działalnością w pełni legalną i dozwoloną, a wobec tego zachowanie testera nie jest w ogóle bezprawne. Natomiast osoba działająca z własnej inicjatywy w uczciwym celu (tzw. dobrej wierze), z zamiarem przekazania osobie uprawnionej informacji o ujawnionych lukach bądź błędach, nie dopuszcza się zachowania społecznie szkodliwego i nie zagraża dobru prawnemu w postaci nienaruszalności i zachowania w tajemnicy danych zgromadzonych w systemie/sieci informatycznej. Z tego powodu jej czyn nie może zostać uznany za przestępstwo.

Wszyscy są przestępcami?

W przygotowanej ekspertyzie staraliśmy się uwypuklić, że przepisy Kodeksu karnego należy odczytywać normatywnie, tzn. merytorycznie, a nie czysto formalnie, tj. deskryptywnie (literalnie). Szczególne kontrowersje wywołuje pod tym względem art. 269b § 1 k.k., penalizujący działania przygotowawcze do ataku na bezpieczeństwo informacji, polegające np. na pozyskiwaniu czy udostępnianiu urządzeń przystosowanych do hackingu:
Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.
Właściwa interpretacja art. 269b § 1 k.k. to być albo nie być dla osób szukających w dobrej wierze dziur w systemach teleinformatycznych. Przepis ten jest doskonałą okazją do zilustrowania wspomnianej zasady, zgodnie z którą przepisy czyta się kompleksowo, kontekstowo i normatywnie, a nie powierzchownie, bezkontekstowo i literalnie. Odczytanie przytoczonego przepisu w sposób formalny (literalny, czyli powierzchowny i w pewnym sensie naiwny) prowadzi do następujących rezultatów:
Kto kupuje smartfon, podlega karze pozbawienia wolności do lat 3.
Kto pożycza koledze tablet, podlega karze pozbawienia wolności do lat 3.
Kto podaje koleżance hasło do swojej skrzynki mailowej, podlega karze pozbawienia wolności do lat 3.
Kupienie smartfonu jest pozyskaniem urządzenia, a pożyczenie tabletu jest udostępnieniem urządzenia w rozumieniu art. 269b k.k., natomiast o haśle komputerowym mowa jest wprost w końcowej części tego przepisu. Większość smartfonów, tabletów czy komputerów jest technologicznie przystosowana do popełnienia przestępstwa przeciwko bezpieczeństwu informacji, np. włamania się do bazy danych i wykradzenia informacji w celu szantażowania innej osoby, a zatem w momencie kupienia czy pożyczenia tabletu zostaje spełnione również znamię „przystosowania” tych urządzeń do popełnienia przestępstwa.

Co to oznacza? Otóż powierzchowna wykładnia wskazanego przepisu prowadzi do rozlania się kryminalizacji na zwykłe czynności dnia codziennego, podejmowane przez większość członków społeczeństwa. Gdyby odczytywać art. 269b k.k. literalnie, trudno byłoby odnaleźć osobę, która nie popełniła tego przestępstwa. Taka wykładnia omawianej regulacji powinna więc zostać odrzucona jako niekoherentna systemowo (sprzeczna z Konstytucją RP) i sprzeczna z ratio legis przestępstwa opisanego w art. 269b k.k., służącego do ochrony informacji na tzw. przedpolu zagrożenia dla dobra prawnego.

Nieuczciwy zamiar

Inaczej należy potraktować zachowanie osoby, która celowo wchodzi w posiadanie określonych urządzeń, aby popełnić za ich pomocą przestępstwo, a inaczej trzeba ocenić czyn osoby wyszukującej luki w działaniu systemu informatycznego, aby uczciwie powiadomić o tym administratora, bez zamiaru wykorzystania posiadanej wiedzy w innym, nagannym celu. Przystosowanie urządzeń, programów komputerowych lub haseł, o których mowa w art. 269b § 1 k.k., powinno być zatem rozumiane w sposób subiektywny jako przystosowanie ich w celu popełnienia przestępstwa godzącego w bezpieczeństwo informacji.

Zgodnie z większościowym stanowiskiem komentatorów Kodeksu karnego, art. 269b § 1 k.k. wprowadza karalność klasycznych czynności przygotowawczych do przestępstwa, co sprawia, że mają do niego zastosowanie wszystkie warunki odpowiedzialności karnej określone w art. 16 k.k., np. warunek złego zamiaru towarzyszącego sprawcy czynu (cel dokonania określonego przestępstwa), który nie jest spełniony w wypadu testera działającego w dobrej wierze.

W szczegółowym i bogatym w odesłania do literatury wywodzie zaznaczamy również, że regulacje prawa międzynarodowego dają możliwość uwzględnienia, w procesie wykładni i stosowania polskiego prawa karnego, dodatniego społecznie celu działania osoby testującej system informatyczny. Powołujemy się na m.in. na konwencję Rady Europy o cyberprzestępczości sporządzoną w Budapeszcie dnia 23 listopada 2001 r. (Dz.U. 2015, poz. 728), która wyraźnie wskazuje, iż dozwolone testowanie systemu i działania zmierzające do ochrony systemu informatycznego powinny pozostawać poza zakresem kryminalizacji (art. 6 ust. 2 konwencji).

Grafikę możesz udostępnić na swojej stronie lub forum

W konsekwencji podejmowanie czynności opisanych w art. 269b § 1 k.k. bez celu popełnienia przestępstwa, lecz w dobrym zamiarze testowania systemu w ramach programu bug bounty bądź w uczciwym zamiarze wskazania osobie uprawnionej dostrzeżonych luk pozostaje całkowicie wolne od odpowiedzialności karnej. Omawiany przepis powinien być więc odczytywany mniej więcej w następujący sposób:
Kto chcąc zagrozić bezpieczeństwu informacji, w celu popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe celowo przystosowane do popełnienia takiego przestępstwa, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.
 Przeciwko kontratypom

W ekspertyzie nawiązujemy również do ministerialnej propozycji wprowadzenia do Kodeksu karnego swoistych kontratypów towarzyszących art. 269b k.k., o których wzmiankowała na Facebooku Minister Anna Streżyńska (zob. grafika powyżej).

Stoimy na stanowisku, że koncepcja wprowadzenia kontratypów jest w tym przypadku chybiona, ponieważ testowanie systemu za zgodą osoby uprawnionej jest od początku całkowicie legalne i w ogóle nie wyczerpuje znamion czynu zabronionego, natomiast testowanie systemu w dobrym zamiarze, np. w ramach badań naukowych czy w celu przekazania osobie uprawnionej informacji o wykrytych błędach bądź lukach nie zagraża dobru prawnemu, nie jest społecznie szkodliwe i w związku z tym również nie wyczerpuje znamion czynu zabronionego, którego istotą ma być atak na bezpieczeństwo informacji.

Instytucja kontratypu ma sens, jeżeli zachowanie sprawcy realizuje znamiona czynu zabronionego, ale z uwagi na szczególną kolizję dóbr poświęcenie jednego z dóbr prawnych jest obiektywnie usprawiedliwione (np. zabicie napastnika w obronie koniecznej). W opisywanych przypadkach nie zachodzi kolizja dóbr, charakterystyczna dla sytuacji kontratypowej; wprowadzenie tego rodzaju instytucji jest zatem bezprzedmiotowe.

Negatywnie opiniujemy więc koncepcję dokładania do art. 269b k.k. kolejnych konstrukcji normatywnych w postaci swoistych kontratypów, sugerując, by uporządkować jedynie treść samego art. 269b § 1 k.k., wpisując w znamiona tego czynu zabronionego wyraźny – a wynikający z kompleksowej, wertykalno-horyzontalnej interpretacji prawnej – wymóg działania sprawcy w celu popełnienia określonego przestępstwa lub cel zagrożenia bezpieczeństwu informacji. Tego rodzaju doprecyzowanie z pewnością uspokoiłoby działających w dobrej wierze informatyków, polepszając komunikatywność polskiej ustawy karnej.

2 komentarze:

  1. Bardzo ciekawa ekspertyza, wiele rzeczowych i merytorycznych argumentów. Przedmiotowy dokument ma charakter wywodu akademickiego, nie obejmuje kwestii praktycznych tj. realiów procesowych. Moje wątpliwości dotyczą argumentacji zachowania pkt. 2 tj. własna inicjatywa testera. Zastanawia mnie, przy zastosowaniu wykładni przepisu prezentowanego w ekspertyzie, że mogą mieć miejsce przypadki, iż sprawca przestępstwa nie zostanie pociągnięty do odpowiedzialności karnej ponieważ organy ścigania nie będą w stanie wykazać zamiaru sprawcy. Zły zamiar jest niezwykle trudno ustalić (w przypadku nieszczerych wyjaśnień, brak wyjaśnień, brak świadków). Biorąc pod uwagę, iż sprawcy takiego rodzaju przestępstw działają w pojedynkę i bez udziału osób postronnych, to należy stwierdzić, iż może dochodzić do sytuacji braku wystarczającego materiału dowodowego. Wielokrotnie w literaturze przedmiotu i orzecznictwie wskazuje się na potrzebę zwrócenia uwagi na stronę przedmiotowa czynu, co omawianym przykładzie wydaje się zasadne. Podsumowując, obawiam się, że taka interpretacja pkt. 2 będzie sprzyjać nieprawidłowemu kształtowaniu postępowania karnego tj. art. 2 par. 1 pkt. 1 kpk. - sprawca przestępstwa został wykryty i pociągnięty do odpowiedzialności karnej, a osoba niewinna nie poniosła tej odpowiedzialności.

    OdpowiedzUsuń
    Odpowiedzi
    1. Dziękuję za komentarz. Przede wszystkim trzeba zauważyć, że wątpliwości należy tłumaczyć na korzyść podejrzanego/oskarżonego. Nie ma znaczenia, z jakim przestępstwem i z jakim dobrem prawnym mamy do czynienia. Nawet w sprawie o zabójstwo ta zasada obowiązuje. Nie można więc domniemywać, że haker miał na celu kradzież danych bądź inne, nieuczciwe postępowanie, szantaż, upublicznienie informacji o luce itd. W tych wypadkach, gdy naganność czynu zależna jest od zamiaru sprawcy (a tak jest w opisywanych przez nas sytuacjach), zamiaru nie można domniemać; nie można go prosto wywnioskować z faktu, że ktoś coś zrobił. O ile jeszcze jesteśmy w stanie uzasadnić, że z faktu uderzenia kogoś kijem w głowę wynika, w prostej sytuacji życiowej, to, że sprawca chciał wywołać jakiś uszczerbek na zdrowiu, o tyle z faktu "szperania" w systemach informatycznych nie wynika, że tester ma nieuczciwe intencje. Z faktu kupienia komputera nie wynika chęć włamania się do systemu informatycznego i skradzenia danych. On chce znaleźć tę lukę, ale to nie znaczy, że chce w ten sposób popełnić dalsze, bardziej karygodne przestępstwa. Z pewnością natomiast nie może być tak, że tester sam zgłosi się do firmy, wskazując znalezioną lukę, i wówczas będziemy go ścigać, bo sam się "przyznał do winy". Otóż tego rodzaju zachowanie jest wyraźnym dowodem na brak złego zamiaru. Gdyby odrzucić proponowaną przez nas wykładnię, kładącą nacisk na intencje sprawcy, to ja nie jestem w stanie odróżnić legalnego od nielegalnego kupienia smartfonu. Bo to urządzenie jest przystosowane do kradzieży informacji. Sytuacje te różnicuje zamiar danej osoby i z tego powodu musi on być przedmiotem skrupulatnego postępowania dowodowego.

      Usuń

Proszę o komentarze ściśle związane z tematem. Proszę o komentarze merytoryczne i zgodne z prawdą. Będę wdzięczny za uzasadnianie wypowiedzi, choćby w dwóch-trzech zdaniach. Z uwagi na to, że gospodarz bloga ponosi odpowiedzialność za treści, które się na nim znajdują, usuwane będą wszelkie komentarze naruszające prawo lub dobre obyczaje. Tematy, o których chciałbyś przeczytać na blogu, możesz przesłać mailem albo przez Facebooka