W Polsce można być ukaranym za tworzenie narzędzi weryfikujących bezpieczeństwo systemów IT lub za znalezienie i zgłoszenie luki bezpieczeństwa, nawet jeśli zrobiono to w dobrej wierze. Prawo w tym zakresie miało być poprawione, ale stanie się inaczej. Przepisy będą jeszcze surowsze!

W listopadzie obiecywano złagodzenie przepisów…

W listopadzie w radosnym tonie pisaliśmy, że w Polsce zmieni się prawo dotyczące szukania dziur. Obecnie każde zgłoszenie dziury (nawet w dobrej wierze) może się skończyć zgłoszeniem sprawy do prokuratury. Wynika to z treści z art. 269b Kodeksu karnego.

Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

Ten przepis jest do zmiany “na wczoraj”. Minister Anna Streżyńska ujawniła, że były rozmowy z Ministerstwem Sprawiedliwości w tej sprawie i ustalono, że prawo będzie złagodzone. Planowano wprowadzenie tzw. kontratypów przestępstw, czyli przepisów wyłączających karalność “szukania dziur” w określonych okolicznościach.

Konfiskata rozszerzona – kontrowersyjny projekt

Jak dotąd nie widzieliśmy żadnego projektu ustawy, który wprowadzałby wspomniane kontratypy. Niestety do Sejmu wpłynął projekt ustawy, który… zaostrzy odpowiedzialność za przestępstwo opisane w art. 269b. Wspomniany projekt to druk sejmowy nr 1186. Ma on wprowadzić tzw. konfiskatę rozszerzoną, czyli będzie można skazanemu zabrać majątek jakiego dorobił się na przestępstwach. Projekt wzbudza kontrowersje od dawna za sprawią proponowanych zmian w art. 237 Kodeksu postępowania karnego.

§ 3a. Kontrola i utrwalanie treści rozmów telefonicznych są dopuszczalne również w celu ujawnienia mienia zagrożonego przepadkiem, o którym mowa w art. 4 5 § 2 Kodeksu karnego albo art. 3 2 § 2 Kodeksu karnego skarbowego.

Czyli stosowanie podsłuchów będzie możliwe w sytuacjach, w których dotąd nie było możliwe. Prokurator będzie mógł o tym zdecydować jeśli tylko uzna, że podsłuch jest konieczny do zidentyfikowania mienia zagrożonego przepadkiem. O zagrożeniach związanych z takim prawem donosiła już m.in. Fundacja Panoptykon, ale oprócz zagrożeń wskazanych przez fundację jest jeszcze coś istotnego dla naszej społeczności.

Niespodzianka dla łowców dziur

Ten sam projekt proponuje zmiany w przytoczonym na początku artykułu i niesławnym art. 296b. Po nowelizacji przepis ma brzmieć tak (zmiany wytłuściliśmy).

„§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego zw art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej,

podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Projekt uściśla, że w przypadku haseł i kodów dostępu, chodzi o nieuprawniony dostęp (dalej więc będzie można się dzielić tym samym hasłem roota z innymi kolegami w pracy, choć to zła praktyka). Ale — i to jest najgorsze — proponuje zwiększenie wymiaru kary. Dlaczego ministerstwo to zrobiło? Odpowiedź znajdziemy w uzasadnieniu.

Projekt zakłada zmianę granic odpowiedzialności karnej przewidzianej w art. 269b kk. Zmiany te są niezbędne do pełnej implementacji dyrektywy 2014/42/UE (…) obligującego państwa członkowskie do stosowania przepadku rozszerzonego wobec przestępstwa umyślnego wytwarzania, sprzedaży dostarczania narzędzi do popełniania przestępstw komputerowych, który to czyn zabroniony został opisany w art. 269b k.k. Tym samym górna granica kary grożącej za to przestępstwo winna zostać podwyższona do wysokości odpowiadającej przesłankom zastosowania przepadku rozszerzonego przewidzianym w projektowanym art. 45 § 2 k.k.

Tak! Dobrze przeczytaliście! Podniesiono próg kary aby móc zastosować także konfiskatę mienia. Dodajmy, że uzupełniono również katalog przestępstw, których popełnieniu mogą służyć urządzenia i programy wymienione w art. 269b. Będzie wśród nich przestępstwo sabotażu komputerowego, którego przedmiotem są systemy lub dane istotne dla bezpieczeństwa państwa, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego.

Oczywiście rozumiemy, że minister Streżyńska nie musi mieć wpływu na pomysły Ministerstwa Sprawiedliwości. Nie możemy jednak przemilczeć tego, że ryzyko płynące z szukania dziur jest właśnie w Polsce zwiększane, nie — jak obiecywano — zmniejszane. Teraz jeszcze bardziej potrzebujemy tych kontratypów! Jeśli ich nie będzie, niewykluczone że za parę miesięcy będziemy opisywali przypadek polskiego pentestera, który znalazł błąd, zgłosił go instytucji, a potem nie tylko nie dostał za to żadnego wynagrodzenia, ale skonfiskowano mu cały majątek…

Przeczytaj także: