Przestępców działających w cyberprzestrzeni, wykorzystujących nowe technologie do prowadzenia swojej „działalności”, polegającej najczęściej na włamywaniu się do zabezpieczonych systemów komputerowych, potocznie nazywa się hakerami. Czy słusznie? Co kryje się pod pojęciem hackingu z informatycznego i prawnego punktu widzenia?

Wśród czynów zabronionych zaliczanych do tzw. cyberprzestępstw wyróżnić możemy działania mające na celu bezprawne uzyskanie dostępu do informacji. Jeśli działania te mają miejsce w sieci, wiążą się z przełamywaniem elektronicznych lub informatycznych zabezpieczeń albo nielegalnym uzyskaniem dostępu do całości lub części systemu informatycznego, prawnicy najczęściej zakwalifikują je jako przestępstwo tzw. hacking. Niemniej jednak, z informatycznego i kulturowego punktu widzenia określenie to jest dla przedstawicieli środowiska hakerów bardzo krzywdzące. Kultura hakerska, w której wartościami nadrzędnymi są wolność, technika (technologia informatyczna) i jej wykorzystanie,  sprzeciwia się bowiem wszelkim działaniom niezgodnym z prawem. Działania polegające na bezprawnym łamaniu zabezpieczeń to tzw. cracking i takim określeniem będę się posługiwał.

Cracking regulują dwa przepisy kodeksu karnego, dostarczając niezliczoną ilość problemów interpretacyjnych, których kilka postaram się zasygnalizować. Zgodnie z art. 267 § 1 kodeksu karnego przestępstwo popełnia kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie. Popełnienie przestępstwa crackingu zagrożone jest karą  grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

Uzyskanie dostępu do informacji będzie stanowić przestępstwo jedynie w przypadku, gdy będzie mieć charakter bezprawny, a więc gdy sprawca naruszy prawo innej osoby do dysponowania informacją i uzyska do niej dostęp, nie będąc do tego uprawnionym. Nie popełni przestępstwa osoba, która uzyska informacje wprawdzie dla niego nieprzeznaczone, jednak w sposób zgodny z prawem, np. policjant w przypadku prowadzenia podsłuchu zgodnie z obowiązującymi w tym zakresie przepisami, czy tez pentester zaangażowany przez właściciela systemu.

Dla popełnienia przestępstwa wystarczające jest uzyskanie dostępu do informacji, a więc doprowadzenie do sytuacji, w której zapoznanie się z informacją jest możliwe, nie jest natomiast konieczne samo zapoznanie się z nią. Kwestia ta nie była oczywista przed nowelizacją z 2008 r. (wcześniej redakcja przepisu brzmiała: Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną…). Nie jest istotne również to, czy informacja do której dostęp uzyskał sprawca jest tą, której szukał, jak i to, czy informacja jest dla niego w jakikolwiek sposób przydatna. Zatem przestępca poszukujący informacji o klientach banku i numerach ich kart kredytowych, który po przełamaniu zabezpieczeń uzyska dostęp do danych zupełnie innych, mających jednak charakter niepubliczny, zrealizuje przesłankę bezprawnego uzyskania dostępu do informacji, pomimo nieznalezienia tych, których szukał.

Podłączenie się do sieci telekomunikacyjnej, celem uzyskania dostępu do informacji, polega na wykorzystaniu urządzenia odbiorczego, umożliwiającego pozyskanie przekazywanych za jej pośrednictwem danych. Definicje „sieci telekomunikacyjnej” znajdziemy  w ustawie Prawo telekomunikacyjne (art. 2 pkt. 35), zgodnie z którą to systemy transmisyjne oraz urządzenia komutacyjne lub przekierowujące, a także inne zasoby, w tym nieaktywne elementy sieci, które umożliwiają nadawanie, odbiór lub transmisję sygnałów za pomocą przewodów, fal radiowych, optycznych lub innych środków wykorzystujących energię elektromagnetyczną, niezależnie od ich rodzaju. Prosta sprawa.

Z kolei przełamanie albo omijanie zabezpieczeń należy rozumieć szeroko, jako każdą czynność, która ma umożliwić sprawcy dostęp do informacji. Różnica pomiędzy przełamaniem, a ominięciem zabezpieczenia sprowadza się do tego, czy sprawca ingeruje w system zabezpieczeń, czy też uzyskuje dostęp bez jakichkolwiek ingerencji w nie. Obok elektronicznych i informatycznych zabezpieczeń przepis wspomina również o przełamywaniu innych  szczególnych zabezpieczeń informacji, a więc takich, których usunięcie/ominięcie wymaga umiejętności ponad przeciętnych.

Zgodnie z art. 267 § 2 kodeksu karnego tej samej karze podlega ten kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. W tym przypadku już sam fakt uzyskania dostępu do systemu, bez konieczności przełamania lub ominięcia zabezpieczeń, stanowi przestępstwo, jeśli sprawca nie jest uprawniony, aby taki dostęp uzyskać. Jak należy rozumieć pojęcie systemu informatycznego? W prawie europejskim i międzynarodowym znajdziemy kilka krzyżujących się definicji. Również na gruncie prawa polskiego odmiennie definiuje się to pojęcie, czy to w ustawie o ochronie danych osobowych, czy też w ustawie o świadczeniu usług drogą elektroniczną.

Spotkać się można z głosami, iż skoro przepis penalizuje również dostęp do systemu niezabezpieczonego, to odpowiedzialność karna może dotknąć właściciela telefonu ustawionego na automatyczne łączenie się z niezabezpieczonymi sieciami WiFi. Prawdą jest, że brak zabezpieczeń nie oznacza „zaproszenia do korzystania”, jednak wszystkie omawiane wyżej przestępstwa mogą być popełnione jedynie umyślnie i to z zamiarem bezpośrednim, zatem nieświadome uzyskanie dostępu do systemu nie będzie stanowiło przestępstwa.

***

artykuł pojawił się na łamach Magazynu Informatyki Śledczej