Wykrywanie cyberzagrożeń i zapobieganie im

Przede wszystkim należy wspomnieć o Konwencji o cyberprzestępczości i jej protokole dodatkowym, ponieważ są to dwa najważniejsze dokumenty prawne, które przyczyniają się do ochrony społeczeństwa przed cyberprzestępczością, określając podstawowe ramy kryminalne cyberprzestępczości oraz ustanawiając środki wykrywania cyberprzestępstw i prowadzenia dochodzeń w ich sprawie. Przedstawione zostaną również dokumenty prawne UE i WE dotyczące cyberprzestępczości.

  

3.1.1    Konwencja Rady Europy nr 185 o cyberprzestępczości

Konwencja o cyberprzestępczości jest najważniejszym dokumentem prawnym dotyczącym cyberprzestępczości, a jej głównym celem jest ujednolicenie przepisów krajowych w dziedzinie cyberprzestępczości. Świadczy o tym fakt, że Konwencja o cyberprzestępczości zobowiązuje umawiające się strony do wprowadzenia do swoich krajowych systemów prawnych takich instrumentów, które umożliwią karanie określonych przestępstw cybernetycznych. To właśnie dokładne określenie okoliczności przestępstwa jest warunkiem wstępnym stosowania norm prawa karnego w cyberprzestrzeni. Ponadto Konwencja o cyberprzestępczości ustanawia ramy prawne dla jednolitego i wspólnego podejścia wobec sprawców tych przestępstw, niezależnie od miejsca ich popełnienia.

Konwencja o cyberprzestępczości została zatwierdzona przez Komitet Ministrów Rady Europy na 109. sesji w dniu 8 listopada 2001 r. Konwencja o cyberprzestępczości została otwarta do podpisu w dniu 23 listopada 2001 r. w Budapeszcie.[1] Konwencja weszła w życie 1 lipca 2004 r. 

Republika Czeska podpisała Konwencję o cyberprzestępczości 9 lutego 2005 r., a ratyfikowała ją 22 sierpnia 2013 r., przy czym Konwencja weszła w życie 1 grudnia 2013 r. Państwa członkowskie UE zobowiązały się do ratyfikacji Konwencji o cyberprzestępczości oraz do wprowadzenia do swoich systemów prawnych przepisów, które umożliwią wyjaśnianie i ściganie tego przestępstwa.[2] Konwencja o cyberprzestępczości została również podpisana i ratyfikowana przez takie kraje, jak Stany Zjednoczone Ameryki, Japonia i inne.

 Konwencja o cyberprzestępczości[3] składa się z preambuły i 48 artykułów, które podzielono na 4 rozdziały:

1.     Stosowanie terminów (Stosowanie terminów)

2.       Środki, które należy podjąć na poziomie krajowym

Część 1 - Prawo karne materialne (Prawo karne materialne. Art. 2 -13)

Część 2 - Prawo proceduralne (art. 14-21)

Część 3 - Jurysdykcja (Judrisdiction. Art. 22)

3.     Współpraca międzynarodowa (International Co-operation)

Część 1 - Zasady ogólne (Zasady ogólne. Art. 23-28)

Część 2 - Postanowienia szczegółowe (art. 29-35)

4.     Postanowienia końcowe

Ważnym krokiem w kierunku ujednolicenia prawa jest zdefiniowanie czterech podstawowych grup przestępstw (zob. Rozdział II; art. 2-13) oraz włączenie innych ogólnych instytucji prawa karnego materialnego. To właśnie jednolita definicja (nazewnictwo) cyberataków pozwoli na ich skuteczniejsze ściganie w krajach, które ratyfikowały Konwencję o cyberprzestępczości. W szczególności:

1)    Przestępstwa przeciwko poufności, integralności i dostępności danych i systemów komputerowych. Art. 2-6),

2)    Przestępstwa komputerowe (Przestępstwa komputerowe. Art. 7-8),

3)    Przestępstwa związane z treścią (art. 9),

4)    Przestępstwa związane z naruszeniem praw autorskich i praw pokrewnych (art. 10).

Jeśli chodzi o ogólne zasady prawa materialnego, bardziej szczegółowo określono odpowiedzialność karną za usiłowanie i pomocnictwo (art. 11)[4] oraz odpowiedzialność karną osoby prawnej (odpowiedzialność korporacyjna)[5] za przestępstwo w ramach konwencji o cyberprzestępczości.

3.1.2    Protokół dodatkowy nr 189 Rady Europy do Konwencji o cyberprzestępczości

Protokół dodatkowy Rady Europy nr 189 do konwencji o cyberprzestępczości[6] , przyjęty 28 stycznia 2003 r.[7] , określa szereg przestępstw nieobjętych konwencją o cyberprzestępczości. W konwencji o cyberprzestępczości nie ma przestępstw polegających na rozpowszechnianiu pewnych "szkodliwych materiałów".[8] Protokół dodatkowy definiuje przestępstwa, które polegają przede wszystkim na rozpowszechnianiu materiałów o treści rasistowskiej, ksenofobicznej lub w inny sposób naruszającej tolerancję rasową. Głównym powodem nieuwzględnienia omawianych przestępstw w Konwencji o cyberprzestępczości było podpisanie, a następnie przyjęcie Konwencji o cyberprzestępczości przez USA.[9]

Protokół dodatkowy składa się z preambuły i 16 artykułów, które podzielono na 4 rozdziały:

1.     Postanowienia ogólne (Postanowienia wspólne)

2.     Środki, które należy podjąć na poziomie krajowym

·       Artykuł 3 - Rozpowszechnianie materiałów rasistowskich i ksenofobicznych za pośrednictwem systemów komputerowych

·       Artykuł 4 - Groźba motywowana rasizmem i ksenofobią

·       Artykuł 5 - Zniewaga motywowana rasizmem i ksenofobią

·       Artykuł 6 - Zaprzeczanie, rażące pomniejszanie, aprobata lub usprawiedliwianie ludobójstwa lub zbrodni przeciwko ludzkości

3.     Relacje między Konwencją o cyberprzestępczości a niniejszym protokołem

4.     Postanowienia końcowe

W rozdziale pierwszym zmodyfikowano cel Protokołu dodatkowego i zdefiniowano pojęcie materiałów rasistowskich i ksenofobicznych. Zgodnie z art. 1 ust. 1 Protokołu dodatkowego, materiały rasistowskie i ksenofobiczne oznaczają "wszelkie materiały pisemne, obrazy lub inne formy wyrażania idei lub teorii, które propagują, popierają lub podżegają do nienawiści, dyskryminacji lub przemocy wobec jakiejkolwiek osoby lub grupy osób, ze względu na rasę, kolor skóry, pochodzenie albo przynależność narodową lub etniczną, lub religię, jeśli są używane jako pretekst zamiast któregokolwiek z tych atrybutów".

3.1.3    Dokumenty UE/WE mające na celu harmonizację ram prawnych w zakresie zwalczania cyberprzestępczości

W szczególności specyfika cyberprzestępczości i potrzeba skutecznej współpracy międzynarodowej sprawiają, że UE stara się ujednolicić przepisy poszczególnych państw członkowskich, aby skuteczniej walczyć z tym negatywnym zjawiskiem. Środkami konwergencji prawa unijnego są przede wszystkim decyzje ramowe, dyrektywy i inne dokumenty UE/WE. Z punktu widzenia zwalczania cyberprzestępczości najważniejsze są następujące dokumenty:

·       Dyrektywa Rady 91/250/EWG w sprawie ochrony prawnej programów komputerowych

·       Decyzja Rady 92/242/EWG w sprawie bezpieczeństwa systemów informacyjnych

·       Dyrektywa 98/34/WE Parlamentu Europejskiego i Rady ustanawiająca procedurę udzielania informacji w zakresie norm i przepisów technicznych, zmieniona dyrektywą 98/48/WE

·       Dyrektywa 2000/31/WE w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego, w ramach rynku wewnętrznego ("dyrektywa o handlu elektronicznym")

·       Decyzja ramowa Rady 2000/375/WSiSW w sprawie zwalczania pornografii dziecięcej w Internecie

·       Decyzja ramowa Rady 2001/413/WSiSW w sprawie zwalczania fałszowania i oszustw związanych z bezgotówkowymi środkami płatniczymi

·      Dyrektywa 2002/21/WE Parlamentu Europejskiego i Rady w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa)

·      Dyrektywa 2002/19/WE Parlamentu Europejskiego i Rady w sprawie dostępu do sieci łączności elektronicznej i urządzeń towarzyszących oraz wzajemnych połączeń (dyrektywa o dostępie)

·      Dyrektywa 2002/20/WE Parlamentu Europejskiego i Rady w sprawie zezwoleń na udostępnienie sieci i usług łączności elektronicznej (dyrektywa o zezwoleniach)

·      Dyrektywa 2002/22/WE Parlamentu Europejskiego i Rady w sprawie usługi powszechnej i związanych z sieciami i usługami łączności elektronicznej praw użytkowników (dyrektywa o usłudze powszechnej)

·      Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady dotycząca przetwarzania danych osobowych i ochrony prywatności w dziedzinie łączności elektronicznej (dyrektywa o ochronie danych w łączności elektronicznej)

·      Dyrektywa Komisji 2002/77/WE w sprawie konkurencji na rynkach sieci i usług łączności elektronicznej (dyrektywa o konkurencji)

·      Decyzja ramowa Rady UE 2002/584/WSiSW w sprawie europejskiego nakazu aresztowania i procedury wydawania osób między państwami członkowskimi

·      Decyzja ramowa Rady 2004/68/WSiSW dotycząca zwalczania seksualnego wykorzystywania dzieci i pornografii dziecięcej

·      Decyzja ramowa Rady 2005/222/WSiSW w sprawie ataków na systemy informatyczne

·      Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów - Zwalczanie spamu, oprogramowania szpiegującego i złośliwego z dnia 15.11.2006 r.

·      Komunikat Komisji do Parlamentu Europejskiego, Rady i Europejskiego Komitetu Regionów w sprawie ogólnej strategii zwalczania cyberprzestępczości z 22.5.2007 r.

·      Konkluzje Rady w sprawie wspólnej strategii roboczej i konkretnych środków zwalczania cyberprzestępczości z 27.11.2008 r.

·      Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów w sprawie ochrony krytycznej infrastruktury informatycznej "Ochrona Europy przed zakrojonymi na szeroką skalę atakami i zakłóceniami cybernetycznymi: zwiększenie gotowości, bezpieczeństwa i odporności" z 30.3.2009 r.

·      Komunikat Komisji do Rady i Parlamentu Europejskiego, Zwalczanie przestępczości w erze cyfrowej: ustanowienie europejskiego centrum ds. walki z cyberprzestępczością. 2012.

·      Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 526/2013 z dnia 21 maja 2013 r. w sprawie Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) i uchylające rozporządzenie (WE) nr 460/2004

·      Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. w sprawie ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW

·      Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 513/2014 ustanawiające, w ramach Funduszu Bezpieczeństwa Wewnętrznego, instrument finansowy na rzecz wspierania współpracy policyjnej, zapobiegania i zwalczania przestępczości oraz zarządzania kryzysowego, a także uchylające decyzję Rady 2007/125/WSiSW z dnia 16 kwietnia 2014 r.

·      Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (eIDAS lub rozporządzenie eIDAS)

·      Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/794 w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol) oraz uchylające i zastępujące decyzje 2009/371/WSiSW, 2009/934/WSiSW, 2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW, z dnia 11 maja 2016 r.

·      Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

·      Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków zapewniających wysoki wspólny poziom bezpieczeństwa sieci i systemów informatycznych w Unii (dyrektywa NIS)[10]

·       Konkluzje Rady w sprawie wspólnej strategii roboczej i konkretnych środków zwalczania cyberprzestępczości z dnia 27 listopada 2008 r.

·       Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów w sprawie ochrony krytycznej infrastruktury informatycznej "Ochrona Europy przed zakrojonymi na szeroką skalę atakami i zakłóceniami cybernetycznymi: zwiększenie gotowości, bezpieczeństwa i odporności" z 30.3.2009 r.[11]

3.1.4    Normy prawne obowiązujące w Republice Czeskiej

W związku z cyberprzestępczością i cyberbezpieczeństwem należy wspomnieć o normach prawnych Republiki Czeskiej, które bezpośrednio odnoszą się do tego zagadnienia:

·       Ustawa nr 40/2009 Dz.U., Kodeks karny

·       Ustawa nr 141/1961 Zb., o postępowaniu przed sądem karnym

·       Ustawa nr 218/2003 Zb., ustawa o sądownictwie dla nieletnich

·       Ustawa nr 121/2000 Dz.U., Ustawa o prawie autorskim

·       Ustawa nr 127/2005 Sb. o łączności elektronicznej

·       Ustawa nr 480/2004 Zb. o niektórych usługach społeczeństwa informacyjnego

·       Ustawa nr 273/2008 Sb. o policji Republiki Czeskiej

·       Ustawa nr 89/2012 Dz.U., Kodeks cywilny

·       Ustawa nr 110/2019 Dz.U. o przetwarzaniu danych osobowych

·       Ustawa nr 14/1993 Zb. o środkach ochrony własności przemysłowej

·       Ustawa nr 441/2003 Dz.U. o znakach towarowych

·       Ustawa nr 527/1990 Sb. o wynalazkach, wzorach przemysłowych i propozycjach ulepszeń

·       Ustawa nr 300/2008 Dz.U., o aktach elektronicznych i dozwolonej konwersji dokumentów, z późniejszymi zmianami

·       Ustawa nr 297/2016 Dz.U. o usługach zaufania dla transakcji elektronicznych

·       Ustawa nr 160/1999 Sb. o swobodnym dostępie do informacji

·       Ustawa nr 181/2014 Dz.U. o cyberbezpieczeństwie i zmianach w powiązanych ustawach (ustawa o cyberbezpieczeństwie)

3.1.5. Normy prawne obowiązujące w Polsce

W polskim prawie główne przepisy dotyczące cyberprzestępczości to:

- Nielegalny dostęp do systemu (hacking) - Art. 267 § 1 i 2 Kodeksu karnego. Przestępstwo to jest ścigane na wniosek pokrzywdzonego. Są one zagrożone karą grzywny, ograniczenia wolności lub pozbawienia wolności do 2 lat.

- Naruszenie tajemnicy komunikowania się (sniffing) - art. 267 § 3 Kodeksu karnego. Ten typ przestępstwa polega na uzyskaniu zastrzeżonych informacji, np. poprzez sniffery, czyli programy przechwytujące dane (hasła i identyfikatory użytkowników). Taki czyn jest zagrożony karą do 2 lat pozbawienia wolności.

- Naruszenie integralności danych (wirusy, trojany), 268 Kodeksu Karnego, Art. 268a Kodeksu Karnego Przestępstwo to dotyczy m.in. kradzieży danych osobowych, udostępniania ich osobom trzecim bez zgody właściciela, a także wykorzystywania ich w sposób nieuprawniony. Za popełnienie tych czynów grożą sankcje finansowe (do 100.000 zł).

- Naruszenie integralności systemu - Art. 269 Kodeksu Karnego 269 Kodeksu karnego Przykładem takiego przestępstwa są np. ataki typu Ping flood, które polegają na przeciążeniu łącza internetowego. Mogą one prowadzić np. do niedostępności niektórych usług. Polski ustawodawca przewidział za ten czyn maksymalną karę do 8 lat pozbawienia wolności (w przypadku naruszenia bezpieczeństwa państwa).

- Tworzenie "narzędzi hakerskich" - Art. 269a Kodeksu karnego, Art. 269b Kodeksu karnego 269b Kodeksu karnego Popełnienie tego przestępstwa jest zagrożone karą od 3 miesięcy do 5 lat pozbawienia wolności.

- Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa