Pentesterzy i bezpiecznicy – możecie już spać spokojnie, nie pójdziecie siedzieć

Wygląda na to, że Sejm przyjął wczoraj poprawki do zmian w kodeksie karnym, które pozwalają bezpiecznikom posiadać narzędzia do hakowania a pentesterom przeprowadzać testy bezpieczeństwa bez zagrożenia odpowiedzialnością karną.

Przez pewien czas przepisy kodeksu karnego nie wyglądały zbyt różowo dla bezpieczników i pentesterów. Przez wiele lat obowiązywał art. 269b, którego brzmienie narażało wiele osób na odpowiedzialność karną,

Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej,podlega karze pozbawienia wolności do lat 3.

Choć nie słyszeliśmy, by ktokolwiek został z tego artykuł skazany, to samo jego istnienie było sporym ryzykiem dla osób z branży bezpieczeństwa działających w Polsce. W ramach szykowanych zmian w kodeksie karnym niestety Sejm postanowił zaostrzyć brzmienie tego przepisu, między innymi zmieniając zakres sankcji na „od 3 miesięcy do lat 5.” Na szczęście mamy jednak dla Was dobre, a nawet bardzo dobre wiadomości.

Skuteczna interwencja

Minister Anna Streżyńska już od pewnego czasu obiecywała, że walczy o modyfikację przepisu tak, by możliwe było wykonywanie pracy związanej z bezpieczeństwem informacji bez ryzyka spędzenia kilku miesięcy w więzieniu. Słowa dotrzymała – Senat zaproponował odpowiednie poprawki, a jak sama pani minister napisała na Twitterze, zostały one wczoraj przez Sejm przyjęte.

Poprawki bug bounty i punkty karne online przyjęte przez Sejm. Dziękujemy! — Anna Strezynska (@AnnaStrezynska) March 23, 2017

Jak brzmią poprawki senackie? Oto pierwsza z nich:

w art. 1 w pkt 8 w poleceniu nowelizacyjnym po wyrazach „w art. 269b” dodaje się dwukropek, pozostałą treść oznacza się jako lit. a oraz dodaje się lit. b w brzmieniu: „b) po § 1 dodaje się § 1a w brzmieniu: „§ 1a. Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.”;”;

Jest to wprost wyłączenie odpowiedzialności osób zajmujących się zabezpieczaniem systemów w zakresie wytwarzania i posiadania „narzędzi hakerskich”. Zatem nikt nie powinien już być oskarżony o posiadanie nmapa czy przeglądarki na komputerze. Juppi! Ale to nie wszystko!

Senat zaproponował, a Sejm przyjął także kolejną poprawkę o treści:

w art. 1 dodaje się pkt 9 w brzmieniu: „9) po art. 269b dodaje się art. 269c w brzmieniu: „Art. 269c. Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.”.”;

Dla przypomnienia przywołane paragrafy:

Art. 269a. Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Art. 267. §2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

Oznacza to de facto „zgodę” na testy penetracyjne – pod warunkiem, że spełniają one kryteria opisane w poprawce – czyli:

działanie w celu zabezpieczenia systemu,

powiadomienie właściciela o wykrytych zagrożeniach,

brak wyrządzonej szkody.

Pewnie prawnicy pochylą się nad nowymi przepisami i rozwiną ich interpretację, ale tak czy inaczej jest to duży prezent dla całej branży – dziękujemy pani minister i wszystkim osobom zaangażowanym w przepchnięcie tych poprawek!