Zagrożenie atakami hakerskimi w internecie rośnie z roku na rok, a Sejm przyjął właśnie przepisy, które utrudnią wyłapywanie dziur i luk w sieci

Sejm zaostrzył przepisy karzące hakerów, którzy tworzą i wykorzystują programy do ataków w internecie. Problem polega na tym, że w ten sam sposób działają specjaliści legalnie działających firm zajmujących się bezpieczeństwem sieci i systemami informatycznymi. Teraz za zgłoszenie luki w systemie będzie mogło im grozić do pięciu lat więzienia. - Nikt z branży bezpieczeństwa informatycznego nie weźmie na siebie takiego ryzyka – mówi w rozmowie z WP Tech Leszek Tasiemski z F-Secure.

Jeśli informatyk zajmujący się zawodowo bezpieczeństwem sieci i tzw. łataniem dziur, znajdzie przypadkiem podatność w jakimś popularnym serwisie czy stronie i ją zgłosi, to zgodnie z polskim prawem może być za to pociągnięty do odpowiedzialności. Taki przypadek miał miejsce w 2013 roku. Mężczyzna zgłosił dziurę, która pozwoliła mu włamać się na serwer Świętokrzyskiego Urzędu Wojewódzkiego w Kielcach. 28-latkiem zajęła się policja, rekwirując jednocześnie jego dwa laptopy i ponad 100 płyt CD i DVD.

- To jest bardzo krótkowzroczne myślenie – mówi Leszek Tasiemski. – Gdy uczciwa osoba jest pociągana do odpowiedzialności, to już nigdy nie zgłosi kolejnej luki, a dodatkowo zniechęci to innych researcherów. To tak jakby winić lekarza za wyniki badań.

Leszek Tasiemski pracuje w F-Secure, firmie zajmującej się m.in. testowaniem szczelności systemów informatycznych dużych korporacji, banków czy instytucji finansowych. W praktyce jego zespół wykorzystuje takie same techniki i narzędzia, jakich używają przestępcy. Robi to jednak „na zamówienie”, więc nie grożą mu konsekwencje ze strony klienta, którego atakuje. Ale co, jeśli w swoim wolnym czasie znajdzie lukę np. na stronie urzędulub innej instytucji? Jako porządny obywatel, któremu zależy na ogólnie pojętym bezpieczeństwie informatycznym, chciałby ją zgłosić. Ale prawdopodobnie tego nie zrobi.

- Jeśli spotka mnie taka sama sytuacja jak tego 28-latka z Kielc, to mogę pożegnać się ze swoim zawodem. Żadna firma zajmująca się bezpieczeństwem nie zatrudni osoby, która miała problem z prawem, nawet jeśli dziłała w dobrej wierze – mówi Tasiemski.

Jak pisze portal niebezpiecznik.pl, problem z przepisami w tym zakresie zauważyła już w zeszłym roku minister cyfryzacji, Anna Streżyńska, a jej ministerstwo miało rozmawiać o możliwych zmianach w prawie z Ministerstwem Sprawiedliwości. Jednak wygląda na to, że rozmowy nie przyniosły planowanego rezultatu, bo jedyna zmiana, jaka zaszła w ustawie, to zaostrzenie kar.

Chodzi głównie o artykuł 269 kodeksu karnego, który obecnie brzmi następująco:

Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

Czyli np. za stworzenie tzw. exploitu, który da nieuprawniony dostęp do serwera, grozi obecnie do 3 lat więzienia. Natomiast nowelizacja, która trafiła do Senatu zwiększa karę do 5 lat.

Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Jak zatem powinno wyglądać prawo, które dba zarówno o bezpieczeństwo sieci, jak również o osoby, które się tym zajmują? Według Leszka Tasiemskiego na początku należałoby wdrożyć dwa oczywiste wręcz wyjątki dopuszczające szeroko pojęte działania hakerskie w określonych przypadkach. Pierwszym jest działanie „na zamówienie” klienta, a drugim jest działanie w ramach tzw. „Bug Bounty”. Jest to popularna idea, stosowana m.in. przez Facebooka, w ramach której, jeśli ktoś znajdzie lukę w systemie, to nie tylko nie zostanie pociągnięty do odpowiedzialności, ale otrzyma też nagrodę finansową.

- Zdaję sobie jednak sprawę, że napisanie odpowiedniej ustawy nie jest tak proste. Dopuszczenie bowiem szukania dziur w dobrych intencjach otwierałoby furtkę dla przestępców. Haker złapany na gorącym uczynku mógłby zasłaniać się tym, że włamywał się tylko po to, aby zgłosić podatność właścicielowi – dodaje Tasiemski.

Co nie zmienia faktu, że obecny stan rzeczy jest daleki od ideału. Dziś los przyłapanego „testera” zależy tak naprawdę od dobrej woli organów ściągania i sądu. Należy liczyć na stosowanie wykładni celowościowej.

- W środowisku pentesterów panuje niepisana zasada, że po wykryciu podatności w systemie zgłasza się ją administratorowi i umawia na termin, do którego ten ją załata – mówi Tasiemski. – Po tym czasie pentester wypuszcza w świat informację o załatanej już luce. Ludzie nie biorą za to pieniędzy, zyskują jedynie uznanie i szacunek w branży.

Taka niepisana zasada może działać w świecie hakerów i pentesterów, jednak nie da się na nią powołać w sądzie. Tutaj potrzebne są konkretne przepisy, które ochronią tych, którzy działają na rzecz wspólnego bezpieczeństwa.

- Próby ukarania przestępców i podwyższenie kar są właściwe – mówi Tasiemski. - Chodzi o to, aby przy okazji nie zaszkodzić osobom, które są po tej samej stronie co organy ścigania.

Jeśli Senat nie zgłosi poprawek do nowelizacji ustawy, to wejdzie ona w życie najpóźniej w maju. Zapytaliśmy Ministerstwo Cyfryzacji i Ministerstwo Sprawiedliwości, dlaczego w nowelizacji nie dodano przpisów chroniących legalnie działających testerów, jednak dotychczas nie otrzymaliśmy odpowiedzi.