Zákony a předpisy upravující kybernetickou bezpečnost

Řada uživatelů informačních a komunikačních systémů si neuvědomuje svoji případnou odpovědnost za zneužití těchto technologií.[1] Informační a komunikační systémy jsou věcí a ten, kdo s nimi disponuje, je povinen si počínat při svém konání tak, aby nedošlo k nedůvodné újmě na svobodě, životě, zdraví nebo na vlastnictví jiného.[2]

Pokud škůdce způsobí poškozenému újmu, úmyslným porušením dobrých mravů, je povinen ji nahradit; vykonává-li však své právo, je škůdce povinen škodu nahradit, jen sledoval-li jako hlavní účel poškození jiného.[3]

Z této dikce občanského zákoníku tak jednoznačně vyplývá jednak povinnost řádně spravovat informační a komunikační systémy, stejně jako povinnost předcházet škodám, které by z jeho činnosti (tedy i užívání ICT v prostředí Internetu) mohla vzniknout.

Řada běžných uživatelů podceňuje ochranu a zabezpečení prostředků ICT, jimiž disponují, ať již z nedbalosti či úmyslně.

Určení formy zavinění u jednání koncového uživatele má rozhodující význam pro možnou občansko, či trestněprávní odpovědnost. Toto tvrzení je možné demonstrovat na třech ilustrativních případech z praxe.

Smyslem činnosti výše popsaného uživatele bylo zprostit se případné trestněprávní odpovědnosti za útok provedený prostřednictvím takto připraveného počítače jinou osobou (např. počítač je úmyslně součástí sítě botnet).

V praxi je možné se setkat právě s útočníky, kteří svoji obhajobu staví na faktu, že oni nebyli tou osobou, která provedla prostřednictvím daného počítače konkrétní útok.

Vyvinění se tvrzením, že daná osoba není přímým útočníkem a svým jednáním konkrétní útok nezpůsobila, není dle mého názoru možné, respektive není možné toto tvrzení přijmout absolutně.

Z hlediska trestního práva by v úvahu mohlo přicházet minimálně uplatnění institutu účastenství a zásady akcesority účastenství[4], neboť jednání osoby, která umožnila nebo usnadnila jinému spáchání trestného činu (zejména opatřením prostředků, odstraněním překážek, vylákáním poškozeného na místo činu, hlídáním při činu, radou, utvrzováním v předsevzetí nebo slibem přispět po trestném činu) je možné subsumovat pod ustanovení o pomocníkovi.[5] Opatřením prostředků by se v tomto případě rozumělo i zpřístupnění počítačového systému, či jeho části ke spáchání úmyslného trestného činu.

Pokud by byla prokázána vyšší míra přímé účasti uživatele na protiprávním jednání jiné osoby, bylo by možné takovéhoto uživatele považovat případně i za spolupachatele[6] trestného činu. Rozhodující by byla míra informovanosti o využívání daného počítače k protiprávnímu činu a dále pak srozumění s tím, že touto činností může dojít k porušení nebo ohrožení zájmů chráněného trestním zákonem.[7]

Z hlediska občanského práva by pak jednání takového uživatele bylo jednak možné subsumovat pod § 2909 OZ, případně by bylo možné využít i § 2915 OZ, který upravuje případ, kdy je škoda způsobena několika osobami. Toto ustanovení stanoví, že: „je-li k náhradě zavázáno několik škůdců, nahradí škodu společně a nerozdílně; je-li některý ze škůdců povinen podle jiného zákona k náhradě jen do určité výše, je zavázán s ostatními škůdci společně a nerozdílně v tomto rozsahu. To platí i v případě, že se více osob dopustí samostatných protiprávních činů, z nichž mohl každý způsobit škodlivý následek s pravděpodobností blížící se jistotě, a nelze-li určit, která osoba škodu způsobila.“ Právě větu druhou § 2915 odst. 1) OZ lze, dle mého názoru, velmi dobře aplikovat na výše popsaný případ.

V praxi se jedná o nejčastější případ, při němž dochází ke zneužití počítače bez vědomí jeho oprávněného uživatele, i když tento svým protiprávním jednáním (zejména porušování práva autorského) či z prosté neznalosti výpočetní techniky zapříčinil stav, že jeho počítač je zneužit k útoku na třetí osoby.

Z hlediska trestního práva není v tomto případě možné využít institutu účastenství a zásady akcesority účastenství, neboť jednání osoby, která umožnila nebo usnadnila jinému spáchání trestného činu, nebylo úmyslné, tudíž nesměřovalo k pomoci hlavnímu pachateli trestného činu.

Z hlediska zavinění by bylo na uživatele takto napadeného počítače možné aplikovat ustanovení týkající se nedbalosti nevědomé, neboť pachatel nevěděl, že svým jednáním může způsobit porušení nebo ohrožení zájmu chráněného trestním zákonem, ač o tom vzhledem k okolnostem a k svým osobním poměrům vědět měl a mohl.[9]

Vzhledem k tomu, že v trestním zákoníku neexistuje nedbalostní skutková podstata trestného činu dle § 230 TZK: Neoprávněný přístup k počítačovému systému a nosiči informací, nebude možné využít v tomto konkrétním případu institutů trestního práva.

Z hlediska občanského práva by pak jednání takového uživatele, bylo možné subsumovat pod § 2912 odst. 1 OZ: „Nejedná-li škůdce, jak lze od osoby průměrných vlastností v soukromém styku důvodně očekávat, má se za to, že jedná nedbale.“ V této souvislosti je třeba připomenout, že ten, kdo škodu způsobil (škůdce), je povinen škodu nahradit, a to bez ohledu na své zavinění v případech stanovených zvlášť zákonem.[10]

Domnívám se, že z hlediska zavinění by v tomto případě nebylo možné na uživatele takto napadeného počítače aplikovat ani ustanovení týkající se nedbalosti nevědomé. Vzhledem k proaktivní činnosti uživatele pak nepřichází v úvahu ani aplikace § 232 TZK: Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti, neboť v tomto ustanovení je vyžadována hrubá nedbalost.[11]

 Z hlediska občanského práva by pak jednání takového uživatele dle mého názoru nebylo možné subsumovat pod dříve uvedený § 2912 odst. 1 OZ, neboť v tomto případě jednal uživatel tak, jak od něj lze spravedlivě požadovat. Toto je však třeba chápat šířeji, neboť pokud se uživatel dozví, že jeho prostředky ICT jsou zneužity k protiprávnímu útoku na jiného, je povinen toto bez zbytečného odkladu oznámit osobě, které z toho může újma vzniknout[12], a upozornit ji na možné následky. Splní-li oznamovací povinnost, nemá poškozený právo na náhradu té újmy, které mohl po oznámení zabránit.[13]

V konkrétním případu vždy bude záležet na všech okolnostech případu a povinnost náhrady škody je oprávněn stanovit pouze soud.

Na druhou stranu, pokud se uživatel o počítač „nestará“ (tj. nezabezpečí jej, neprovádí údržbu aj.) a ten bude následně zneužit, je reálné, že soud v řízení o náhradě škody určí takovémuto uživateli povinnost částečně či zcela (např. dojde k využití výpočetního výkonu jednoho datového centra) saturovat poškozenému škodu, která mu byla prostřednictvím počítače uživatele způsobena.