Zagrożenie atakami hakerskimi w internecie rośnie z roku na rok, a Sejm przyjął właśnie przepisy, które utrudnią wyłapywanie dziur i luk w sieci

Zagrożenie atakami hakerskimi w internecie rośnie z roku na rok, a Sejm przyjął właśnie przepisy, które utrudnią wyłapywanie dziur i luk w sieci03.03.2017 11:53
Źródło zdjęć: © Fotolia

Sejm zaostrzył przepisy karzące hakerów, którzy tworzą i wykorzystują programy do ataków w internecie. Problem polega na tym, że w ten sam sposób działają specjaliści legalnie działających firm zajmujących się bezpieczeństwem sieci i systemami informatycznymi. Teraz za zgłoszenie luki w systemie będzie mogło im grozić do pięciu lat więzienia. - Nikt z branży bezpieczeństwa informatycznego nie weźmie na siebie takiego ryzyka – mówi w rozmowie z WP Tech Leszek Tasiemski z F-Secure.

Jeśli informatyk zajmujący się zawodowo bezpieczeństwem sieci i tzw. łataniem dziur, znajdzie przypadkiem podatność w jakimś popularnym serwisie czy stronie i ją zgłosi, to zgodnie z polskim prawem może być za to pociągnięty do odpowiedzialności. Taki przypadek miał miejsce w 2013 roku. Mężczyzna zgłosił dziurę, która pozwoliła mu włamać się na serwer Świętokrzyskiego Urzędu Wojewódzkiego w Kielcach. 28-latkiem zajęła się policja, rekwirując jednocześnie jego dwa laptopy i ponad 100 płyt CD i DVD.

- To jest bardzo krótkowzroczne myślenie – mówi Leszek Tasiemski. – Gdy uczciwa osoba jest pociągana do odpowiedzialności, to już nigdy nie zgłosi kolejnej luki, a dodatkowo zniechęci to innych researcherów. To tak jakby winić lekarza za wyniki badań.

Leszek Tasiemski pracuje w F-Secure, firmie zajmującej się m.in. testowaniem szczelności systemów informatycznych dużych korporacji, banków czy instytucji finansowych. W praktyce jego zespół wykorzystuje takie same techniki i narzędzia, jakich używają przestępcy. Robi to jednak „na zamówienie”, więc nie grożą mu konsekwencje ze strony klienta, którego atakuje. Ale co, jeśli w swoim wolnym czasie znajdzie lukę np. na stronie urzędulub innej instytucji? Jako porządny obywatel, któremu zależy na ogólnie pojętym bezpieczeństwie informatycznym, chciałby ją zgłosić. Ale prawdopodobnie tego nie zrobi.

- Jeśli spotka mnie taka sama sytuacja jak tego 28-latka z Kielc, to mogę pożegnać się ze swoim zawodem. Żadna firma zajmująca się bezpieczeństwem nie zatrudni osoby, która miała problem z prawem, nawet jeśli dziłała w dobrej wierze – mówi Tasiemski.

Jak pisze portal niebezpiecznik.pl, problem z przepisami w tym zakresie zauważyła już w zeszłym roku minister cyfryzacji, Anna Streżyńska, a jej ministerstwo miało rozmawiać o możliwych zmianach w prawie z Ministerstwem Sprawiedliwości. Jednak wygląda na to, że rozmowy nie przyniosły planowanego rezultatu, bo jedyna zmiana, jaka zaszła w ustawie, to zaostrzenie kar.

Chodzi głównie o artykuł 269 kodeksu karnego, który obecnie brzmi następująco:

Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

Czyli np. za stworzenie tzw. exploitu, który da nieuprawniony dostęp do serwera, grozi obecnie do 3 lat więzienia. Natomiast nowelizacja, która trafiła do Senatu zwiększa karę do 5 lat.

Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Jak zatem powinno wyglądać prawo, które dba zarówno o bezpieczeństwo sieci, jak również o osoby, które się tym zajmują? Według Leszka Tasiemskiego na początku należałoby wdrożyć dwa oczywiste wręcz wyjątki dopuszczające szeroko pojęte działania hakerskie w określonych przypadkach. Pierwszym jest działanie „na zamówienie” klienta, a drugim jest działanie w ramach tzw. „Bug Bounty”. Jest to popularna idea, stosowana m.in. przez Facebooka, w ramach której, jeśli ktoś znajdzie lukę w systemie, to nie tylko nie zostanie pociągnięty do odpowiedzialności, ale otrzyma też nagrodę finansową.

- Zdaję sobie jednak sprawę, że napisanie odpowiedniej ustawy nie jest tak proste. Dopuszczenie bowiem szukania dziur w dobrych intencjach otwierałoby furtkę dla przestępców. Haker złapany na gorącym uczynku mógłby zasłaniać się tym, że włamywał się tylko po to, aby zgłosić podatność właścicielowi – dodaje Tasiemski.

Co nie zmienia faktu, że obecny stan rzeczy jest daleki od ideału. Dziś los przyłapanego „testera” zależy tak naprawdę od dobrej woli organów ściągania i sądu. Należy liczyć na stosowanie wykładni celowościowej.

- W środowisku pentesterów panuje niepisana zasada, że po wykryciu podatności w systemie zgłasza się ją administratorowi i umawia na termin, do którego ten ją załata – mówi Tasiemski. – Po tym czasie pentester wypuszcza w świat informację o załatanej już luce. Ludzie nie biorą za to pieniędzy, zyskują jedynie uznanie i szacunek w branży.

Taka niepisana zasada może działać w świecie hakerów i pentesterów, jednak nie da się na nią powołać w sądzie. Tutaj potrzebne są konkretne przepisy, które ochronią tych, którzy działają na rzecz wspólnego bezpieczeństwa.

- Próby ukarania przestępców i podwyższenie kar są właściwe – mówi Tasiemski. - Chodzi o to, aby przy okazji nie zaszkodzić osobom, które są po tej samej stronie co organy ścigania.

Jeśli Senat nie zgłosi poprawek do nowelizacji ustawy, to wejdzie ona w życie najpóźniej w maju. Zapytaliśmy Ministerstwo Cyfryzacji i Ministerstwo Sprawiedliwości, dlaczego w nowelizacji nie dodano przpisów chroniących legalnie działających testerów, jednak dotychczas nie otrzymaliśmy odpowiedzi.

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA