Wykrywanie cyberzagrożeń i zapobieganie im

Wykorzystanie komputerów, systemów informatycznych i technologii informacyjnych oraz ich integracja z niemal wszystkimi sektorami działalności człowieka jest zjawiskiem charakterystycznym dla naszych czasów. Można stwierdzić, że praktycznie niemożliwe jest znalezienie takiego obszaru działalności człowieka w którym informatyka, systemy informatyczne lub technologie informacyjne i komunikacyjne nie byłyby bezpośrednio lub pośrednio wykorzystywane.

Niestety, wraz z rosnącymi możliwościami korzystania z tych nowoczesnych udogodnień i postępem naukowo-technicznym, rosną też możliwości i częstotliwość ich nadużywania do popełniania przestępstw.

W latach 90. ubiegłego wieku ukuto termin "przestępczość komputerowa" (Computercrime, Computerkriminalität) na określenie przestępstw popełnianych z wykorzystaniem technologii informatycznych. W swojej publikacji Smejkal definiuje w połowie lat 90. przestępczość komputerową jako różnorodną mieszaninę przestępstw, których wspólnym czynnikiem jest komputer, program i dane. Termin przestępczość komputerowa "...należy rozumieć jako popełnianie czynów przestępczych z udziałem komputera jako zbioru sprzętu i oprogramowania, nie wyłączając danych, lub dużej liczby komputerów, zarówno oddzielnie, jak i połączonych w sieć komputerową, albo jako przedmiotu takich czynów przestępczych, z wyjątkiem jednak tych czynów przestępczych, których przedmiotem są opisane urządzenia jako mienie ruchome lub narzędzia przestępstwa. "[1] Z powyższej definicji jasno wynika, że przestępczość komputerowa odnosiła się wyłącznie do systemów komputerowych jako celów ataku.

Termin "przestępstwo komputerowe" kojarzy się z tym, że przestępstwo musi być popełnione na komputerze lub za jego pośrednictwem, najczęściej na komputerze osobistym (PC). Takie rozumienie jest obecnie uproszczone, a także w pewien sposób ogranicza ilościowo liczbę zjawisk, które można objąć terminem przestępstwa popełniane z wykorzystaniem technologii informacyjno-komunikacyjnych. Wiele współczesnych urządzeń technicznych, dzięki zastosowaniu mikroprocesorów i ich miniaturyzacji, już dawno przejęło funkcje komputerów osobistych (PC), nie nazywając ich jednak komputerami osobistymi. Są to urządzenia hybrydowe wykonujące różne funkcje, które wcześniej były wykonywane przez specjalne urządzenia. Współczesne urządzenia techniczne, które umożliwiają komunikację między sobą a użytkownikiem i których projektowaniu przyświeca idea ALL-IN-ONE, osiągają znacznie większą moc obliczeniową niż najnowocześniejsze jednostki obliczeniowe z pierwszej połowy lat 90. ubiegłego wieku. I nawet te urządzenia[2], choć nie nazywa się ich komputerami, mogą być celem przestępstw lub środkiem do ich popełnienia. Z tych powodów termin "przestępstwo komputerowe" lub "przestępczość komputerowa" jest obecnie rzadko używany w literaturze przedmiotu. Zamiast terminu "komputer" używa się obecnie terminu "technologia informacyjno-komunikacyjna" (ICT) lub "przestępczość teleinformatyczna"[3].

W 2000 r. Rada Europy opublikowała definicję przestępstwa komputerowego, zaczerpniętą ze Statutu Komisji Ekspertów ds. Przestępczości w Cyberprzestrzeni: "Przestępstwo skierowane przeciwko integralności, dostępności lub poufności systemów komputerowych lub przestępstwo w tradycyjnym rozumieniu, związane z wykorzystaniem nowoczesnych technologii informacyjnych i komunikacyjnych"[4].

Decyzja ramowa Rady UE 2002/584/WSiSW w sprawie europejskiego nakazu aresztowania definiuje "przestępstwa komputerowe" jako działania skierowane przeciwko komputerowi lub działania, w których komputer jest środkiem do popełnienia przestępstwa. Definicja cyberprzestępczości opiera się wówczas na treści europejskiego nakazu aresztowania.

W konwencjach międzynarodowych termin "cyberprzestępczość" jest najczęściej używany w odniesieniu do przestępstw popełnianych za pomocą technologii informatycznych, a stosowanie tego terminu zostało przeniesione ze sfery normatywnej do słownictwa społeczności zawodowej. Termin "cyberprzestępczość" jest podobny do terminów "przestępstwa z użyciem przemocy", "przestępstwa młodocianych", "przestępstwa gospodarcze" itp. Nazwy takie stosuje się w odniesieniu do grup przestępstw, które mają pewien wspólny czynnik, np. sposób wykonania, osobę sprawcy (przynajmniej pod względem rodzaju) itp. W gruncie rzeczy mogą one stanowić bardzo zróżnicowany zestaw przestępstw powiązanych wspólnym czynnikiem (komputer, program, dane)"[5].

Definiując treść terminu cyberprzestępczość, należy zauważyć, że wraz ze wzrostem możliwości wykorzystania środków informacyjno-komunikacyjnych rośnie również możliwość ich użycia (nadużycia) do popełniania przestępstw. Dlatego też w zasadzie nie istnieje uniwersalna, ogólnie przyjęta definicja, która w pełni oddawałaby zakres i głębię tego pojęcia.

Jedną z możliwych definicji przestępstwa komputerowego lub cyberprzestępstwa można znaleźć w Interpretive Dictionary of Cybersecurity[6]:

Cyber crime

„Criminal activity in which a computer appears in some way as an aggregate of hardware and software (including data), or only some of its components may appear, or sometimes a larger number of computers either standalone or interconnected into a computer network appear, and this either as the object of interest of this criminal activity (with the exception of such criminal activity whose objects are the described devices considered as immovable property) or as the environment (object) or as the instrument of criminal activity (See Computer crime).“

Przestępstwa komputerowe / cyberprzestępczość

"Przestępstwo popełnione przy użyciu systemu przetwarzania danych lub sieci komputerowej albo bezpośrednio z nimi związane".

W tych dwóch definicjach widać próbę zdefiniowania wszystkich aspektów cyberprzestępczości, ale autorzy popełnili pewne nieścisłości. Po pierwsze, używa się tych dwóch terminów synonimicznie, ale w definicji cyberprzestępczości pomija się fakt, że komputer jest zarówno celem, jak i środkiem ataku. Podobne problemy związane z faktycznym zdefiniowaniem cyberprzestępczości można znaleźć w innych miejscach. 

Biorąc pod uwagę wysiłki zmierzające do zdefiniowania pojęcia cyberprzestępczości, należy posłużyć się Konwencją Rady Europy nr 185 o cyberprzestępczości z 23 listopada 2001 r. [7] Konwencja ta nie definiuje jednak faktycznego pojęcia cyberprzestępczości. Określa ona jedynie środki, które powinny zostać podjęte przez stronę ratyfikującą na poziomie krajowym. Te środki w dziedzinie prawa karnego materialnego określają następnie przybliżone ramy przestępstw uznawanych za cyberprzestępstwa. Ta ramowa definicja (wraz z innymi przestępstwami zawartymi w Protokole dodatkowym nr 189 Rady Europy do Konwencji o cyberprzestępczości[8]) stanowi podstawową przestrzeń dla ujednolicenia prawnego przestępstw, które można uznać za cyberprzestępstwa w różnych krajach. Rzeczywista, często bardzo ścisła, definicja omawianych przestępstw jest raczej na korzyść, ponieważ nie ogranicza ona krajowej (bardziej szczegółowej lub rozbudowanej) implementacji tych przestępstw, ale jednocześnie zapewnia spełnienie minimalnych wymagań (standardów) przez wszystkie strony ratyfikujące.

Również z powodu znacznej różnicy zdań na temat tego, co jest, a co nie jest cyberprzestępstwem, w dalszej części tego rozdziału zdefiniujemy to pojęcie, zarówno w sensie pozytywnym, jak i negatywnym.

W najbardziej ogólnym ujęciu cyberprzestępczość można zdefiniować jako czyn skierowany przeciwko komputerowi lub sieci komputerowej albo czyn, w którym komputer jest wykorzystywany jako narzędzie do popełnienia przestępstwa. Fakt, że sieć komputerowa lub cyberprzestrzeń jest środowiskiem, w którym odbywa się ta działalność, jest niezbędnym elementem, aby definicja cyberprzestępstwa miała zastosowanie.

Definiując pojęcie cyberprzestępczości, należy przede wszystkim zdefiniować pojęcie przestępstwa w ogóle. W związku z funkcjonowaniem systemów informatycznych, technologii komputerowej lub środków komunikacji dochodzi do szeregu działań, które z pewnością są niepożądane, ale nie są karalne z punktu widzenia prawa karnego, mimo że mogą być bardzo niebezpieczne (szkodliwe) dla społeczeństwa. Czyny takie nie mogą być a priori kwalifikowane jako przestępstwa komputerowe, informacyjne lub jakiekolwiek inne - nie są one w ogóle przestępstwami. Definiując pojęcie przestępstwa (które może być definiowane z kilku perspektyw - socjologicznej, prawnokarnej itd.), opieramy się na definicji przestępstwa jako ogółu czynów, które można zakwalifikować do określonego przestępstwa regulowanego przez prawo karne. Tak więc zgodnie z tą definicją nie są przestępstwem czyny, które nie spełniają żadnego z elementów przestępstwa, czyli nawet wykroczenia lub innego przestępstwa administracyjnego. Taka definicja przestępczości jest dość precyzyjna i może być stosowana nawet w dziedzinie technologii informacyjno-komunikacyjnych.

Charakterystyczne dla popełniania przestępstw w dziedzinie ICT jest jednak to, że przy ich popełnianiu wykorzystywane są takie procedury lub środki, których użycie nie wypełnia żadnego z elementów przestępstwa, ale które stanowią integralną część lub warunek wstępny innych czynów, które są już karalne na mocy prawa karnego. [9] Ponadto te niekaralne procedury lub środki stanowią ważne elementy w procesie wykrywania i wyjaśniania działalności przestępczej, których identyfikacja i zrozumienie odgrywa istotną rolę w wykrywaniu sprawców tego typu przestępstw.[10]

Cyberprzestępczość stanowi swego rodzaju najszerszy zbiór wszystkich działań przestępczych, które mają miejsce w środowisku technologii informacyjnych i komunikacyjnych. Przestępstwa popełnione w ramach tego zestawu można dalej klasyfikować i określać różnymi terminami w zależności od różnych aspektów. Na przykład "przestępstwa internetowe", "e-przestępstwa", "cyberterroryzm" lub "piractwo" mogą stanowić podzbiory cyberprzestępczości, a wyliczenie to nie wyczerpuje możliwych podzbiorów zachowań, które można objąć terminem cyberprzestępczość.

Termin cyberprzestępczość najczęściej odnosi się do czynów przestępczych związanych z technologiami informacyjnymi i komunikacyjnymi:

(a) wykorzystywane jako narzędzie do popełnienia przestępstwa,

(b) jest celem ataku sprawcy, przy czym atak ten stanowi przestępstwo.

Jednak taka definicja cyberprzestępczości nie jest już dziś aktualna. Obejmowałby on również przestępstwa, w których technologia informatyczna jest wykorzystywana, ale nie w kontekście jej normalnego użycia lub przeznaczenia (np. przypadki, w których sprawca wyrządza ofierze szkodę, uderzając monitor lub inną część komputera w tył głowy z zamiarem spowodowania obrażeń ciała; kradzież ciężarówki przewożącej podzespoły komputerowe itp.) Są to przestępstwa, w których ICT są używane niezgodnie z ich przeznaczeniem - np. jako broń, przedmiot o pewnej wartości pieniężnej, niezależnie od celu, jakiemu służą lub mają służyć. Do wykrywania i wyjaśniania takich przestępstw będą stosowane inne metody dochodzeniowe (np. metodyka dochodzeń w sprawie kradzieży itp.), a nie metodyka dochodzeń w sprawie cyberprzestępczości.

Aby można było mówić o cyberprzestępczości, należy umieścić technologie informacyjno-komunikacyjne, które zostały wykorzystane do popełnienia przestępstwa lub były jego celem, w określonym kontekście. W związku z tym do dwóch powyższych punktów należy dodać kolejny, zawierający ten warunek. Cyberprzestępczość to przestępczość, w której wykorzystuje się środki technologii informacyjnej i komunikacyjnej:

(a) wykorzystywane jako narzędzie do popełnienia przestępstwa,

(b) są celem ataku ze strony sprawcy, który to atak stanowi przestępstwo, pod warunkiem, że środki te są wykorzystywane lub nadużywane w środowisku informatycznym, systemowym, programowym lub komunikacyjnym (tj. w cyberprzestrzeni).

Taka definicja cyberprzestępczości jest jednak wciąż niewystarczająca. Stosując ustalone w ten sposób kryteria określania, czy dany czyn można uznać za cyberprzestępstwo, stwierdzamy, że na przykład w rozumieniu definicji udziału (organizacja, instrukcja i pomoc) w rozumieniu art. 24 ustawy nr 40/2009 Sb., Kodeks karny, z późniejszymi zmianami[11], każde przestępstwo umyślne można popełnić za pomocą informacji (np. osoba nakłania inną osobę do popełnienia umyślnego przestępstwa zabójstwa za pomocą wiadomości e-mail). Podobnie będą miały zastosowanie inne formy współpracy przestępczej (np. podżeganie, przyzwolenie na popełnienie czynu zabronionego). Można je również realizować za pomocą technologii informacyjnej. Takie działania nie mogą być jednak klasyfikowane jako cyberprzestępczość. W związku z tym przyjęcie przeciwnego poglądu prowadziłoby do jedynego możliwego wniosku - cyberprzestępstwem jest każde przestępstwo, w popełnieniu którego sprawca w jakikolwiek sposób wykorzystał technologie informacyjno-komunikacyjne. Z tego punktu widzenia trudno byłoby znaleźć przestępstwa, których nie można by uznać za cyberprzestępstwa.

Z powyższego wynika, że nie wystarczy zdefiniować cyberprzestępstwo tylko w kategoriach pozytywnych, ale trzeba je również zdefiniować poprzez wymienienie czynów, które z zasady nie mogą być uznane za cyberprzestępstwo.

W tym duchu możliwe będzie sklasyfikowanie trzech różnych kategorii przestępstw pod pojęciem cyberprzestępczości:

1) przestępstw, których indywidualnym przedmiotem charakteryzującym przestępstwo jest bezpośrednio ochrona systemu komputerowego, jego sprzętu i komponentów przed określonymi rodzajami ataków lub uzasadnione interesy osób w niezakłóconym korzystaniu z tych środków technicznych,

2) przestępstw, w przypadku których sposób popełnienia za pomocą technologii informacyjno-komunikacyjnych stanowi jedną z cech charakterystycznych przestępstwa,

3) inne istotne przestępstwa, które nie należą do pierwszej lub drugiej kategorii, ale które w konkretnym przypadku mogą być również popełnione z wykorzystaniem technologii informacyjnej i które odpowiadają powyższej definicji, ponieważ przy ich wykrywaniu i wyjaśnianiu można stosować procedury podobne do tych stosowanych w dochodzeniach w sprawie przestępstw z kategorii 1 i 2 (np. podobnie ukierunkowane ekspertyzy).

-----------------