Zgodnie z obecnie obowiązującym polskim prawem, możemy zostać ukarani za znalezienie i zgłoszenie luki bezpieczeństwa. Nawet, jeśli robimy to w dobrej wierze (por. Poniedziałek z Prawnikiem: (nie)autoryzowane testy bezpieczeństwa). O zmiany w prawie od dawna starali się aktywiści, ale dopiero teraz minister cyfryzacji postanowiła ich wysłuchać i …zaproponowała rozwiązanie!

Zgłaszasz lukę? Możesz beknąć!

Polskie prawo dotyczące “hackingu” nie bierze pod uwagę wszystkich sytuacji. Problemem dla ekspertów od bezpieczeństwa jest zwłaszcza ten jeden przepis:

Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

Jeśli chcesz wykryć i/lub nagłośnić lukę bezpieczeństwa, to najczęściej musisz zrobić dokładnie to, o czym mowa w tym przepisie. Problem znany jest nie od dziś i teoretycznie można liczyć na to, że mądre sądy i prokuratury nie będą ścigać eksperta, który po prostu chciał ostrzec przed luką, który działał w dobrej wierze i który nie szantażował w żaden sposób “ofiary”. W praktyce… no cóż, gwarancji nie ma. Poza tym wszyscy znamy te historie, gdy ktoś wie o luce od dłuższego czasu, zgłosił ją już dawno właścicielowi systemu, ale zgłoszenie jest ignorowane. Wreszcie odkrywca luki decyduje się więć na tzw. “full-disclosure”, czyli ogłasza to wszystkim publicznie i mówi “stop, tak dalej być nie może”. Obecnie, taka osoba może narazić się właścicielom systemy i władzom, gdyż te mają do dyspozycji gotowe narzędzie do ukarania “testera”.

A zresztą, co tu dużo mówić. Zajrzyjcie do naszego tekstu z 2013 roku o tym, jak to odkrywcę luki zatrzymała policja. Czy trzeba coś dodawać?

Karol Breguła wkracza do akcji…

Ostatnio aktywista Karol Breguła postanowił znów przypomnieć o tej sprawie Ministerstwu Cyfryzacji.

Warto odnotować, że Breguła już w roku 2013 pisał do Prokuratury Generalnej i Rzecznika Praw Obywatelskich i otrzymał ciekawą odpowiedź, ale sprawa — choć Karol doczekał się odpowiedzi od Prokuratury — ciągle nie wzbudzała większego zainteresowania, bo właściwie kogo to miałoby obchodzić?

Obecnie mamy minister cyfryzacji, która rozumie i przejmuje się kwestiami bezpieczeństwa. Rozważa się nawet rządowe bug-bounty (2 dni temu bug-bounty uruchomiła armia USA). Czy zatem nie nadszedł właściwy moment, aby poprawić prawo?

Konkretna propozycja Pani Minister

Minister Streżyńska przyznała, że trzeba to zrobić. Na Facebooku pod wpisem Karola Breguły napisała:

Po konsultacjach z Ministerstwem Sprawiedliwości dostrzegamy zasadność zmiany art. 269b Kodeksu karnego (…) Po rozmowach z MS czekamy na propozycję ze strony MS w zakresie wprowadzenia do tego przepisu „kontratypów” ww. przestępstw, czyli przepisów wyłączających karalność wytwarzania i posiadania ww. urządzeń lub programów komputerowych w celach prowadzenia badań naukowych związanych z cyberbezpieczeństwem (pierwszy kontratyp) oraz w celu testowania systemów komputerowych za zgodą ich administratora (drugi kontratyp).

Redakcja Niebezpiecznika została dołączona do korespondencji e-mail między Karolem Bregułą, a Anną Streżyńską. Pani minister była w komunikacji rozbrajająco szczera:

Panowie, zajmujemy się tym, bo to się okazało jednym z najciekawszych tematów ostatnich miesięcy, a jednocześnie kompletnie nie ruszonych, wymagających zarówno dokładnej analizy prawa jak i pogłówkowania nad wykonaniem takiego rozwiązania (…) ale wolę odpowiedzieć Wam coś konkretnego jak będzie już wiadomo, co możemy z tym zrobić, niż odpisywać jakieś dyrdymały w stylu „głębokiej troski MC”.

No i właśnie teraz mamy ten konkret! Trwają rozmowy między Ministerstwem Sprawiedliwości i Ministerstwem Cyfryzacji. Jest pomysł co i jak zrobić. Ba! Przygotowano już nawet ekspertyzę prawną, którą Karol Breguła może ujawnić jako informację publiczną i na której ujawnienie się zgodził. Oto jej treść.

Co wynika z ekspertyzy “Analiza Bug Bounty”

Polecamy zapoznać się z pełną treścią analizy. Na stronie 5. i dalszych możecie poczytać o tym jak do obecnego prawa i odpowiedzialności za przestępstwa komputerowe mają się programy typu “bug bounty”.

Z uwagi na powyższe wydaje się, iż nie dojdzie do przestępstwa w sytuacji, gdy uczestnik programu „bug bounty” wyłącznie zidentyfikuje błąd systemu i podejmie próbę jego wykorzystania, lecz jednocześnie nie doprowadzi do istotnych zmian w systemie lub zniszczenia danych. Zawsze jednak należy mieć na uwadze, iż polskie prawo karne odpowiada wprowadza penalizację nie tylko „dokonania” przestępstwa, lecz także jego „usiłowania”. W tym miejscu zwrócić należy uwagę na dodatkową okoliczność jaką jest ewentualne rozważenie przez organy wymiaru sprawiedliwości wystąpienia przesłanki „znikomej szkodliwości czynu”, która wyłącza karalność zachowania zabronionego ustawą karną. Zgodnie bowiem z art. 1 § 2 kodeksu karnego nie stanowi przestępstwa czyn zabroniony, którego społeczna szkodliwość jest znikoma. Należy jednak zauważyć, iż orzecznictwo i literatura wskazuje na wyjątkowość ww. przesłanki i jej ograniczone zastosowanie w praktyce. (…) Należy też wskazać na art. 9 Kodeksu karnego, zgodnie z którym czyn zabroniony popełniony jest umyślnie, jeżeli sprawca ma zamiar jego popełnienia, to jest chce go popełnić albo przewidując możliwość jego popełnienia, na to się godzi. Tym samym intencja sprawcy w postaci dokonania przełamania zabezpieczenia lub jego ominięcia a następnie ewentualnego wskazania dysponentowi systemu informatycznego ww. skutków swojej działalności (w dobrej wierze) i w celu poprawienia stanu bezpieczeństwa systemu nie wyłącza odpowiedzialności karnej. Wskazana „intencja” może mieć wyłącznie znaczenie do ewentualnego określenia zakresu odpowiedzialności.

I właśnie dlatego dobrze będzie zmienić obowiązujące prawo… Czy niebawem doczekamy się nowelizacji kodeksu karnego w zakresie tzw. “prawa komputerowego”?

Przeczytaj także: