Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Czy nowela art. 269b Kodeksu Karnego będzie dobra dla branży security?

20 kwietnia 2017, 22:01 | Aktualności | komentarzy 17
Tym razem wpis gościnny – pisany przez prawniczkę – Beatę Marek.

Każdy pentester, bezpiecznik i osoba, która choć raz miała styczność z security zetknęła się z art. 267 KK (naruszenie tajemnicy korespondencji) lub art. 269a KK (sabotaż komputerowy) lub art. 269b KK (bezprawne wykorzystanie danych lub systemów teleinformatycznych).

Przepisy te od lat wzbudzały kontrowersje dla branży, bo na dzień dobry ktoś kto np. tworzył zainfekowaną próbkę malware po to by sprawdzić później na testach u klientów czy przechwyci dane czy nie – był uważany, w świetle prawa, niemalże za przestępcę – bo jednak takie zainfekowane oprogramowanie tworzył a później jeszcze z niego korzystał.

Oczywiście później by się wybronił i powołał na odpowiedni kontratyp, ale wymagałoby to czasu i dowodów.

W jeszcze gorszej sytuacji byli pentesterzy, którzy np. przy okazji testów systemu A przejmowali dostęp nad systemem B choć w umowie nie było o tym ani słowa. Tu już nie było kolorowo i znam przypadki gdzie wzywana była prokuratura …

Kilka miesięcy temu pojawiło się światełko w tunelu dla art. 269b KK.  Branża miała świetną okazję do tego by jej głos został usłyszany i ucywilizować na poziomie kontratypu ustawowego kto i w jakich okolicznościach czynu zabronionego nie popełnienia (czyli w jakich sytuacjach przepis nie obowiązuje, do jakich przypadków się go nie stosuje).  Były zapewnienia Minister Cyfryzacji Anny Strzeżyńskiej i … nagle pojawił się projekt Ministerstwa Sprawiedliwości  (treść uzasadnienia), który postawił wszystkich na nogi. Otóż nie przewidywał on żadnych wyłączeń, a wręcz penalizował, tj. podnosił odpowiedzialność karną z dolnej granicy do 3 miesięcy (z 1 miesiąca) pozbawienia wolności, a górnej granicy do 5 lat (z 3 lat).

Całe szczęście, że jednak w Senacie wprowadzono zmiany, a dokładniej 16 marca i to w drodze uchwały. Pani Minister Anna Strzeżyńska też pilotowała by tzw. bug bounty wprowadzić.  Choć mogłoby być lepiej to i tak jest całkiem nieźle.

Jakie zmiany zaproponował Senat i podpisał Prezydent?

Otóż takie, że w takim brzmieniu jak zaproponował w swojej uchwale Senat weszły w życie przepisy bo Prezydent podpisał nowelę. Nowe przepisy możecie znaleźć w Dzienniku Ustaw tutaj. Wejdą w życie 27 kwietnia 2017r.

A w jakim brzmieniu?

„§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

  • 1a. Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.
  • 2. W razie skazania za przestępstwo określone w paragrafie 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.
  • 3. Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.”

Zmiana jest istotna z kilku powodów:

  1. Wprowadzono kontratyp ustawowy czyli uznano, że czyn z art. 269b §1 nie jest popełniony w sytuacji gdy zaistnieje co najmniej jedna przesłanka z art. 269b §1a. Co prawda pozostawiono dziwnie brzmiące określenie „wyłącznie” co może dać pewne pole manewru, ale generalnie zmianę należy uznać za dobrą.
  2. Jednak nie wprowadzono, że czynu zabronionego nie popełnia pentester jeśli np. przełamując zabezpieczenia systemu A dostanie się do danych w systemie B choć działa w dobrej wierze. Wprowadzono zamiast tego, że czyn zabroniony jest popełniony, ale sprawca nie ponosi kary. Nie jest to zbyt satysfakcjonujące, ale jak to mówią lepszy rydz niż nic.
  3. § 3 bardzo ostrożnie precyzuje w jakich okolicznościach sprawca nie podlega karze i to może budzić wątpliwości interpretacyjne. Zwłaszcza termin „niezwłocznie” czy „nie wyrządziło szkody” to pojęcia nieostre.

 

Podsumowując martwi tempo legsilacyjnch prac. Wydaje się, że kwestia bug bounty nie była omawiana ze środowiskiem security tak jak powinna. Ten chwilowy epizod z projektem Ministerstwa Sprawiedliwości pokazuje, że o mały włos wprowadzone byłyby przepisy, które w zasadzie nawet w uzasadnieniu do projektu zostały opisane tak zdawkowo i niepokojąco – przyp. argumentacja była taka, że chodziło wyłącznie o możliwość orzeczenia przepadku mienia a to możliwe byłoby tylko przy penalizacji czynu zabronionego zgodnie ze zmienianym art. 45 §2 KK. Pomijając celowość, to jednak nie świadczy zbyt dobrze o jakości tworzenia prawa. Trochę na myśl przywołuje to zasadę „cel uświęca środki“ (treść  uzasadnienia ).

Czy nowela będzie dobra dla security? Z pewnością tak, mając na uwadze to jak przepisy brzmiały wcześniej. Nie jest to może ideał, ale ułatwi życie tym, którzy np. chcą zgłaszać błędy adminom (uwaga: będą musiałyby zgłaszane niezwłocznie, tj. w możliwe krótkim czasie. Nie np. po miesiącu) i też nie będzie można oczywiście tych danych przechowywać tylko po to by za miesiąc znowu się próbować do kogoś włamać.

Te przepisy umożliwią firmom próby przełamywania zabezpieczeń dla celów oczywiście poinformowania o słabych punktach, ale też do opracowania rozwiązań zabezpieczających o ile oczywiście działanie nie naruszy interesu publicznego lub prywatnego i nie wyrządziło szkody.

Natomiast stawia to mocno pod znakiem zapytania etykę działania niektórych firm. Nietrudno sobie wyobrazić, że firma X będzie testować zabezpieczenia Y by móc przedstawić im krok po kroku co jest u nich źle i jak mogą to z nimi naprawić.  Może to i lepiej, że jednak uznano mimo wszystko, że czyn zabroniony jest popełniony bez względu na okoliczności i odstraszy to przed takim działania niektóre osoby czy firmy.

A wy jak sądzicie?

Autorka: Beata Marek, Cyberlaw.pl

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Janusz

    Czyli mogę hakować kogokolwiek ale jeśli znajdę błąd i go o tym powiadomię to nie pójdę za #? Jeśli tak, to mogę hakować kogokolwiek i jeśli nie znajdę błędu, ale w systemach zalogują się moje próby ataków to też nie pójdę za #?

    Odpowiedz
    • pamiętaj że są restrykcje = m.in. nie możesz wyrządzić szkód i niezwłocznie zgłosić problem

      Odpowiedz
      • Borys

        Przy czym ciężko jest ocenić czy będzie miało miejsce „wyrządzenie szkód” PRZED wykonaniem testów, a PO będzie już trochę za późno. Wiele razy widziałem pozornie bezpieczne zapytania, które całkowicie blokowały aplikacje – i co wtedy?

        IMHO bez zgody firmy (BugBounty, pentest z umową) lepiej nie ryzykować.

        Odpowiedz
        • Blokowanie to raz. Mój ulubiony przykład do path traversal który kasował odczytywany plik. I nikt tego się nie spodziewał.
          Z drugiej strony ktoś może naparzać przez tora i „co mi zrobicie” ?

          Odpowiedz
  2. Alojzy

    Taka firma pentestująca powinna sporządzić odpowiednią umowę z zapisami, które chroniłyby ją od następstw niezrównoważonego klienta, który zaraz będzie wzywał prokuraturę. Rozumiem, że umowa nie może zawierać punktów niezgodnych z polskim prawem ale to są testy bezpieczeństwa ludzie muszą być świadomi, że albo do wrażliwych danych dostanie się wynajęta firma albo ktoś z zewnątrz :)

    Odpowiedz
    • Cześć, no właśnie z umowami na testy bywa różnie i w większości, które analizuje nie ma odpowiednich zapisów chroniących pentesterów.

      Odpowiedz
      • Darek

        Tu problem jest inny. Nie można zawrzeć umowy, która będzie prowadziła do przestępstwa – patrz art. 58 §1 Kodeksu Cywilnego. Czy można zawrzeć umowę na dokonania zabójstwa?

        Odpowiedz
  3. wk

    Mi, z punkt widzenia głównie admina a czasem testera, zmiana się podoba. Na pewno mogło być jeszcze lepiej, ale mogło też być znacznie gorzej (np. jak w wersji przed poprawkami Senatu). Dzięki za punkt widzenia Prawnika. Mogłoby być więcej artykułów tego typu. Na przykład z omówieniem konkretnego przykładu.

    Odpowiedz
  4. damian

    Z kontratypem dla 267 to jak dla mnie trochę przegięcie, tak jakby było pozwolenie na wchodzenie komuś oknem do domu, żeby mu pokazać, że nie zamknął. Nie powinno chodzić tylko o wyrządzone szkody, ale o sam szacunek do własności.

    Odpowiedz
    • kili

      Czyli skazywałbyś jak leci pentesterów i wszystkich tych, co chcą sprawdzić, czy systemy są bezpieczne?
      To tak, jakbyś zdelegalizował tworzenie więcej niż jednego kompletu kluczy do: drzwi, samochodu, kłódek, blokad rowerowych… a jak zgubisz klucz, to nie możesz przeciąć np. blokady rowerowej, bo >>KRADNIESZ<< swój rower i podlegasz karze zapisanej w prawie…

      Co więcej, zdelegalizowałbyś przez to testy, czy drzwi antywłamaniowe są odporne na włamania… i wtedy by ludziom zaczęli sprzedawać drzwi z np. papieru, twierdząc, że to antywłamaniowe – nie mógłbyś podjąć nawet próby udowodnienia, że te drzwi nie spełniają obietnic producenta.

      Takiego świata chciałbyś?

      Odpowiedz
    • #PP#

      Czyli jak np. Notariusz trzyma na niezabezpieczonym serwerze FTP umowy i skany dowodów osobistych swoich klientów, to o nieposzanowaniu czyjej własności tu piszesz i przez kogo?

      Odpowiedz
  5. Jakub

    Cała ta nowela jest tyle warta, ile pozostałe „osiągnięcia” tego rządu. Zdumiony jestem, że ludzie od security i prawnicy uważają tą zmianę za sukces. O ile poprzedni przepis nie był szczęśliwy, to nie znam przypadku, gdzie ktoś zleciłby testy penetracyjne, a później pociągnął do odpowiedzialności wykonawcę za ich zrealizowanie. Przestępstwa, o których mowa nie były ścigane z urzędu, tylko na wniosek pokrzywdzonego. Trudno chyba było pozwać kogoś za wykonanie testów, jeśli wcześniej podpisało się z nim umowę w tym zakresie (chyba, że umowa była wadliwie skonstruowana, ale to już inny temat).

    Wprowadzona zmiana natomiast wprowadza furtkę, dzięki której każdy potencjalny intruz będzie mógł „testować” nasze systemy bez zlecenia i tłumaczyć się później, że robił to w dobrej wierze bo zamierzał nas o ewentualnych podatnościach poinformować. To tak, jakby chcąc chronić ślusarzy zezwolić złodziejowi na włamanie do naszego mieszkania pod warunkiem, że poinformuje nas po fakcie, w jaki sposób tego dokonał i jak się zabezpieczyć na przyszłość. Każdemu, kto jest odpowiedzialny za bezpieczeństwo jakichkolwiek systemów powinien się teraz jeżyć włos na głowie.

    Jakby tego było mało zapis ten jest niezgodny z Konwencją Rady Europy o Cyberprzestępczości (Art. 6.). A wystarczyło, tak jak to jest w Konwencji dodać do poprzedniej treści „kto wytwarza, pozyskuje… itd.” proste sformułowanie: „z zamiarem wykorzystania do celów popełnienia przestępstwa”. Ale jak się chroni środowisko przez wycinkę puszczy to można i chronić pentesterów przez legalizację ataków.

    Odpowiedz
  6. Mateusz

    „Oczywiście później by się wybronił i powołał na odpowiedni kontratyp, ale wymagałoby to czasu i dowodów.” – o jakich kontratypach mowa?

    Odpowiedz
    • Najprościej wykazanie działanie w ramach uprawnienia (dobra umowa wystarczy ), zgoda dysponenta (dobra umowa wystarczy) może się zdarzyć też stan wyższej konieczności (okoliczności faktyczne mogą na to wskazywać), eksperyment (np. związane z prowadzeniem badań na dany temat).

      Odpowiedz
      • Mateusz

        Ale wskazane kontratypy odnosiłyby się do potencjalnego przestępstwa z artykułu 267 (przełamywanie zabezpieczeń), ew 268. Nie widzę jednak w jaki sposób mogłoby to pomóc w przypadku artykułu 269.

        Odpowiedz
  7. ERTGF

    wow

    Odpowiedz

Odpowiedz