Prawa i przepisy regulujące bezpieczeństwo cybernetyczne

Wielu użytkowników systemów informacyjnych i komunikacyjnych nie zdaje sobie sprawy z potencjalnej odpowiedzialności za niewłaściwe korzystanie z tych technologii.[1] Systemy informacyjne i komunikacyjne są rzeczami, a ci, którzy z nich korzystają, są zobowiązani do postępowania w taki sposób, aby uniknąć nieuzasadnionej szkody dla wolności, życia, zdrowia lub mienia innych osób.[2]

Jeśli krzywdziciel wyrządzi szkodę poszkodowanemu, naruszając umyślnie dobre obyczaje, jest zobowiązany do jej naprawienia; jeśli jednak skorzysta ze swojego prawa, krzywdziciel jest zobowiązany do naprawienia szkody tylko wtedy, gdy jego głównym celem było wyrządzenie szkody drugiemu człowiekowi.[3]

Z tego dictum kodeksu cywilnego wynika więc wyraźnie zarówno obowiązek właściwego zarządzania systemami teleinformatycznymi, jak i obowiązek zapobiegania szkodom, które mogłyby powstać w wyniku ich działalności (w tym korzystania z technologii teleinformatycznych w środowisku internetowym).

Wielu zwykłych użytkowników lekceważy ochronę i bezpieczeństwo zasobów TIK, którymi dysponują, czy to przez zaniedbanie, czy celowo.

Określenie rodzaju winy w postępowaniu użytkownika końcowego ma decydujące znaczenie dla ewentualnej odpowiedzialności cywilnej lub karnej. Stwierdzenie to można udowodnić na przykładzie trzech przykładów z praktyki.

Użytkownik komputera osobistego korzystał z nielegalnej kopii systemu operacyjnego Windows 7 i celowo nie aktualizował systemu. Użytkownik świadomie instalował na komputerze programy,
które umożliwiały osobom trzecim manipulowanie komputerem bez jego dalszej współpracy.

Celem opisanego powyżej działania użytkownika było zwolnienie się z ewentualnej odpowiedzialności karnej za atak przeprowadzony przez inną osobę przy użyciu tak przygotowanego komputera (np. komputer ten celowo wchodzi w skład botnetu).

W praktyce można spotkać napastników, którzy opierają swoją obronę na fakcie, że nie byli osobą, która przeprowadziła konkretny atak za pośrednictwem danego komputera.

Moim zdaniem, nie jest możliwe powołanie się na to, że dana osoba nie jest bezpośrednim napastnikiem i nie spowodowała swoim działaniem konkretnego ataku, a raczej nie jest możliwe całkowite zaakceptowanie tego twierdzenia.

Z perspektywy prawa karnego można by rozważyć przynajmniej zastosowanie instytucji współudziału i zasady pomocnictwa[4] , ponieważ zachowanie osoby, która umożliwiła lub ułatwiła innej osobie popełnienie przestępstwa (w szczególności przez dostarczenie środków, usunięcie przeszkód, zwabienie ofiary na miejsce przestępstwa, pilnowanie przestępstwa, doradzanie, zachęcanie lub obiecywanie pomocy po popełnieniu przestępstwa), można objąć przepisami dotyczącymi pomocnictwa.[5] Środki w tym przypadku obejmowałyby udostępnienie systemu komputerowego lub jego części w celu popełnienia przestępstwa umyślnego.

Jeśli udowodniony zostanie wyższy poziom bezpośredniego udziału użytkownika w bezprawnym działaniu innej osoby, użytkownik taki może zostać uznany za współwinnego[6] przestępstwa. Czynnikiem decydującym byłby stopień świadomości wykorzystania danego komputera do czynu zabronionego oraz świadomość, że działanie to może naruszyć lub zagrozić interesom chronionym przez prawo karne.[7]

Z punktu widzenia prawa cywilnego działania takiego użytkownika mogłyby być objęte art. 2909 kodeksu cywilnego lub można by zastosować art. 2915 kodeksu cywilnego (numeracja artykułów wg kodeksu Republiki Czeskiej), który reguluje przypadek, gdy szkoda jest wyrządzona przez kilka osób. Przepis ten stanowi, że: "jeżeli kilka osób jest zobowiązanych do odszkodowania, są one zobowiązane solidarnie do naprawienia szkody; jeżeli jedna z osób jest zobowiązana na podstawie innego prawa do odszkodowania tylko do pewnej wysokości, jest ona zobowiązana solidarnie z innymi osobami do naprawienia szkody w tym zakresie". Dotyczy to również sytuacji, gdy kilka osób popełniło odrębne czyny bezprawne, z których każdy mógł spowodować szkodliwe następstwa z prawdopodobieństwem bliskim pewności, i gdy nie można ustalić, która osoba spowodowała szkodę. "Moim zdaniem drugie zdanie sekcji 2915(1) KK można bardzo dobrze zastosować do opisanego powyżej przypadku.

Użytkownik komputera osobistego korzystał z nielegalnej kopii systemu operacyjnego Windows 7 i celowo nie aktualizował systemu. Zainstalował on na swoim komputerze szereg gier i innych
aplikacji, które naruszały prawa autorskie, w szczególności poprzez obchodzenie lub tłumienie elementów ochrony praw autorskich oraz poprzez wykorzystanie keygenów lub cracków[8] , które zawierały złośliwe
oprogramowanie pochodzące od innych atakujących. Użytkownik nie był świadomy, że jego komputer jest używany przez innych użytkowników.

W praktyce jest to najczęstszy przypadek nadużycia komputera bez wiedzy jego uprawnionego użytkownika, nawet jeśli ten ostatni swoim bezprawnym zachowaniem (w szczególności naruszeniem praw autorskich) lub zwykłą nieznajomością techniki komputerowej spowodował sytuację, w której jego komputer jest nadużywany do atakowania osób trzecich.

Z punktu widzenia prawa karnego instytucja współuczestnictwa i zasada pomocnictwa nie mogą być zastosowane w tym przypadku, ponieważ zachowanie osoby, która umożliwiła lub ułatwiła popełnienie przestępstwa przez inną osobę, nie było umyślne, a zatem nie miało na celu udzielenia pomocy głównemu sprawcy przestępstwa.

Z punktu widzenia zawinienia do użytkownika zaatakowanego w ten sposób komputera można by zastosować przepisy dotyczące zaniedbania bez wiedzy, ponieważ sprawca nie wiedział, że jego działania mogą spowodować naruszenie lub narażenie na niebezpieczeństwo dobra chronionego prawem karnym, chociaż powinien i mógł o tym wiedzieć, biorąc pod uwagę okoliczności i jego sytuację osobistą.[9]

Ponieważ Kodeks karny nie zawiera przestępstwa zaniedbania z paragrafu 230 Kodeksu karnego: nieuprawniony dostęp do systemu komputerowego i nośnika informacji, w tym konkretnym przypadku nie będzie możliwe skorzystanie z instytucji prawa karnego.

Z punktu widzenia prawa cywilnego zachowanie takiego użytkownika można by objąć paragrafem 2912(1) kodeksu cywilnego: "Jeżeli sprawca nie postępuje tak, jak można by tego oczekiwać od osoby o przeciętnym charakterze w życiu prywatnym, uważa się, że dopuścił się zaniedbania". W tym kontekście należy przypomnieć, że osoba, która wyrządziła szkodę (szkodnik), jest zobowiązana do jej naprawienia, niezależnie od swojej winy, w przypadkach wyraźnie przewidzianych przez prawo.[10]

Użytkownik odpowiednio "dbał" o swój komputer (ma legalne oprogramowanie, aktualizuje je na bieżąco itp.) i rozsądnie go zabezpieczył (stosuje ochronę i kontrolę antywirusową, antyspamową i antymalware), a mimo to komputer ten został zaatakowany z zewnątrz (np. włączony do botnetu), a następnie użyty do ataku na inny.

Uważam, że w tym przypadku, z punktu widzenia zawinienia, nawet przepisy dotyczące zaniedbania bez wiedzy nie mogłyby być zastosowane wobec użytkownika zaatakowanego w ten sposób komputera. Wobec aktywnej postawy użytkownika nie wchodzi również w rachubę zastosowanie paragrafu 232 Kodeksu karnego: Uszkodzenie zapisu w systemie komputerowym i na nośniku informacji oraz nieumyślna ingerencja w sprzęt komputerowy, ponieważ przepis ten wymaga rażącego niedbalstwa.[11]

 Moim zdaniem, z punktu widzenia prawa cywilnego, zachowanie takiego użytkownika nie może być objęte wspomnianą wyżej sekcją 2912(1) KK, ponieważ w tym przypadku użytkownik działał tak, jak można było od niego wymagać. Należy to jednak rozumieć szerzej, ponieważ jeśli użytkownik dowie się, że jego zasoby teleinformatyczne są wykorzystywane do bezprawnego atakowania innych osób, ma obowiązek bez zbędnej zwłoki zgłosić ten fakt osobie, której może to zaszkodzić[12] , i ostrzec ją o możliwych konsekwencjach. Jeżeli poszkodowany wywiąże się z obowiązku powiadomienia, nie przysługuje mu prawo do odszkodowania za szkodę, której można było zapobiec po powiadomieniu.[13]

W konkretnym przypadku zawsze będą miały znaczenie wszystkie okoliczności sprawy i tylko sąd jest uprawniony do określenia obowiązku wypłaty odszkodowania.

Z drugiej strony, jeśli użytkownik nie "dba" o komputer (tj. nie zabezpiecza go, nie przeprowadza konserwacji itp.), a następnie jest on niewłaściwie wykorzystywany, realne jest, że sąd w postępowaniu o naprawienie szkody nałoży na takiego użytkownika obowiązek częściowego lub całkowitego (np. wykorzystana zostanie moc obliczeniowa jednego centrum danych) naprawienia szkody wyrządzonej poszkodowanemu przez komputer użytkownika.