PISM Prawne i prawnomiędzynarodowe aspekty przeciwdziałania zagrożeniom bezpieczeństwa państw w sferze teleinformatycznej Dr hab.Andrzej Adamski, prof.UMK, Toruń

PISM Plan prezentacji Bezpieczeństwo teleinformatyczne jako przedmiot ochrony prawnej Funkcje prawa w sferze BT Konwencja Rady Europy o cyberprzestępczości Implementacja Konwencji w Polsce Retencja danych transmisyjnych – Dyrektywa UE Bezpieczeństwo a wolność Wnioski

PISM Przedmiot ochrony prawnej Bezpieczeństwo narodowe: stan, w którym nie są zagrożone byt, suwerenność, przetrwanie państwa oraz istnieją warunki do realizacji interesów narodowych i osiągania celów strategicznych Rzeczypospolitej Polskiej  / Bezpieczeństwo teleinformatyczne (BT) : stan w którym nie jest zagrożone korzystanie z komputerów i sieci komputerowych, rozpatrywany z perspektywy poufności, integralności i dostępności danych  /  / BBN: Strategia bezpieczeństwa narodowego (2003)  / A. Jóźwiak, Znaczenie telekomunikacji i teleinformatyki w systemie bezpieczeństwa państwa

PISM Funkcja ochronno-prewencyjna prawa w sferze BT  prawna reglamentacja bezpieczeństwa teleinformatycznego określająca cele, środki, podmioty odpowiedzialne i procedury postępowania w odniesieniu do krytycznych sektorów funkcjonowania państwa. Standardy międzynarodowe –OECD (1992, 2002) Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security Ustawodawstwo narodowe (USA) –The Computer Security Act of 1987 –The Federal Information Security Management Act of 2002 (FISMA) Polska – regulacja sektorowa (np. w pr. bankowym, uodo)

PISM Funkcja ochronno-represyjna prawa w sferze BT  reakcja karna na naruszenia BT stanowiące przedmiot kryminalizacji i ścigania przez powołane do tego organy, domena prawa karnego, („druga linia obrony”) Standardy międzynarodowe –Konwencja Rady Europy o cyberprzestępczości (2001), –Decyzja ramowa Rady w sprawie ataków na systemy informatyczne (2005) Prawo karne –Kodeks karny z 1997 r. (rozdz. XXXIII), –regulacje pozakodeksowe (np. przepisy karne ustawy o ochronie danych osobowych).

PISM Konwencja RE o cyberprzestępczości  jedyny akt międzynarodowego prawa karnego dotyczący współpracy międzynarodowej w zakresie ścigania cyberprzestępstw i określający jej podstawy – otwarta do podpisu, podpisana przez Polskę; – weszła w życie; –ratyfikowana przez 22 państwa,w tym USA ( ) Polska ? –stanowisko prezydenta Putina ( ) Eng.cnews.ru Eng.cnews.ru podstawy współpracy międzynarodowej: –instrumenty prawnomaterialne (typy przestępstw) –instrumenty proceduralne (środki procesowe) –zasady i instrumenty międzynarodowej pomocy prawnej w sprawach cyberprzestępstw.

PISM Instrumenty współpracy międzynarodowej w zakresie ścigania cyberprzestępstw Wniosek o niezwłoczne zabezpieczanie danych, przechowywanych w systemie komputerowym, Wniosek o przeszukanie, zajęcie lub ujawnienie zabezpieczonych danych, Ujawnienie danych umożliwiajacych identyfikację dostawców usług sieciowych w państwie trzecim, pośredniczących w transmisji przekazów informacji, których dotyczy nakaz zabezpieczenia danych ruchowych, Uzyskanie danych przechowywanych na terytorium innego państwa za zgodą dysponenta danych (art. 32):art. 32 Strona, bez zezwolenia drugiej Strony, może: uzyskać dostęp lub otrzymać przy pomocy systemu informatycznego znajdującego się na własnym terytorium dane informatyczne przechowywane na terytorium innego państwa, jeżeli Strona uzyska prawnie skuteczną i dobrowolną zgodę osoby upoważnionej do ujawnienia Stronie tych danych przy pomocy tego systemu informatycznego.

PISM Przestępstwa konwencyjne I.P-ko bezpieczeństwu danych i systemów  nielegalny dostęp do systemu komputerowego  nielegalne przechwytywanie transmisji/emisji  ingerencja w dane  ingerencja w system  wytwarzanie, sprzedaż, oferowanie, etc. “narzędzi hakerskich” II.Związane z komputerem  fałszerstwo komputerowe  oszustwo komputerowe III.Związane z treścią informacji  Pornografia dziecięca: wytwarzanie, rozpowszechnianie, przesyłanie, udostępnianie, posiadanie - w systemie komputerowym lub na nośnikach danych. IV.P-ko własności intelektualnej  Kopiowanie i rozpowszechnianie przy pomocy systemów komputerowych utworów prawnie chronionych w celach handlowych.

PISM Decyzja Ramowa Rady 2005/222/WSiSW z 24 lutego 2005 o atakach na systemy informatyczne Zawiera wyłącznie przepisy materialne. Ma na celu harmonizację prawa karnego MS i usprawnienie współpracy między organami procesowymi w sprawach o haking ( unauthorised access ), ingerencję w system ( disruptive attacks ) oraz rozpowszechnianie wirusów komputerowych ( the introduction of malicious software ). termin implementacji 16 marca częściowo implementowana do prawa polskiego.

PISM Nieuprawniony dostęp (hacking) Rada Europy umyślny, bezprawny dostęp do całości lub części systemu informatycznego, z naruszeniem zabezpieczeń, z zamiarem pozyskania danych informatycznych lub innym nieuczciwym zamiarem ( opcja ), lub w odniesieniu do systemu informatycznego, który jest połączony z innym systemem informatycznym Unia Europejska umyślny, bezprawny dostęp do całości lub części systemu informatycznego, karalny jako przestępstwo, przynajmniej w przypadkach, które nie są przypadkami mniejszej wagi. przestępstwo popełniane jest z naruszeniem zabezpieczenia (opcja).

PISM Ingerencja w dane Rada Europy umyślne, bezprawne niszczenie, kasowanie, uszkadzanie, dokonywanie zmian lub usuwanie danych informatycznych. poważna szkoda jako skutek (opcja) Unia Europejska umyślne bezprawne usunięcie, uszkodzenie, pogorszenie, zmiana, zatajanie lub uczynienie niedostępnymi danych komputerowych w systemie informatycznym; karalne jako przestępstwo, przynajmniej w przypadkach, które nie są przypadkami mniejszej wagi.

PISM Ingerencja w system Rada Europy umyślne, bezprawne poważne zakłócanie funkcjonowania systemu informatycznego poprzez wprowadzanie, transmisję, niszczenie, wykasowywanie, uszkadzanie, dokonywanie zmian lub usuwanie danych informatycznych. Unia Europejska umyślne poważne naruszenie lub przerwanie funkcjonowania systemu informatycznego poprzez wprowadzanie, przekazywanie, uszkadzanie, usuwanie, niszczenie, zmienianie, zatajanie lub uczynienie niedostępnymi danych komputerowych; karalne jako przestępstwo, przynajmniej w przypadkach, które nie są przypadkami mniejszej wagi.

PISM Implementacja do ustawodawstwa polskiego 1.Nowelizacja kk z 18 marca 2004 –nowe przepisy - 268a, 269a, 269b –odchylenia od standardów konwencyjnych : in plus (nadkryminalizacja) – ochrona dostępności 268a in fine i 269a, – 269b (zamiar ewentualny, brak kontratypu) in minus - brak kryminalizacji nieuprawnionego dostępu - wadliwa ochrona integralności danych 268 i 268a - wadliwa definicja dokumentu (elektronicznego)115§14 - brak definicji ustawowych np. danych informatycznych

PISM Narzędzia hakerskie (art. 269 b kk) § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.  casus „szkoły hakerów”

PISM Implementacja do ustawodawstwa polskiego 2. Projekty nowelizacji kk (z i ) Zdublowany zakaz uzyskania nieuprawnionego dostępu (267 § 1 i 2), oficjalne motywy ( spyware, zombie ) i skutki uboczne: nielogiczna typizacja ( por. np. regulacja rumuńska) „nieuprawniony dostęp” ??? piggybacking (267 § 2) – karalność korzystania z cudzej sieci bezprzewodowej bez zgody jej dysponenta.

PISM „Kradzież” danych /haking Art. 267 § 1 k.k. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Projekt nowelizacji art.267 Art § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nie przeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

PISM Konwencja RE - nowe środki przymusu procesowego Konwencja RE przeszukanie systemu przez sieć, zatrzymanie danych przez ich kopiowanie oraz blokowanie, zobowiązanie dysponenta systemu do wydania danych przez sporządzenie kopii lub wydruku, nakaz niezwłocznego zabezpieczenia danych, obowiązek zabezpieczenia do celów dowodowych danych transmisyjnych przez dostawców usług sieciowych. Kodeks postępowania karnego  nie ma (art.218a) Zasada analogii (art. 236a): „przepisy niniejszego rozdziału stosuje się odpowiednio do użytkownika systemu informatycznego...”

PISM Zabezpieczenie danych a retencja danych preservation of data v. retention of data Zabezpieczenie danych (art. 16 i 17 Cyberkonwencji RE, art. 218a kpk): - dane „historyczne”, - konkretne sprawy (postępowania), osoby podejrzane. Retencja danych ( art. 3 i 6 Dyrektywy 2006/24/WE) : - dane „przyszłe”, - generowane przez wszystkich użytkowników usług telekomunikacyjnych i internetowych, - przechowywane od 6 do 24 miesięcy od daty połączenia.

PISM Dyrektywa 2006/24/WE Dane: dane o ruchu i lokalizacji oraz powiązane dane niezbędne do identyfikacji abonenta lub użytkownika: 1)Źródło połączenia, 2)Odbiorca połączenia, 3)Data, godzina i czas trwania połączenia, 4)Rodzaj połączenia, 5)Narzędzie komunikacji, 6)Identyfikacja lokalizacji urządzenia komunikacji ruchomej.

PISM Bezpieczeństwo i wolność Retencja danych łamie zasady celowości i proporcjonalności, Prewencyjne działania w imię bezpieczeństwa obywateli stanowią zagrożenie dla ich praw i wolności. Zwiększenie kontroli kontrolerów? Czy art.10 Dyrektywy jest krokiem w dobrym kierunku? Shift from the transparent government to the transparent citizen – nieuchronna tendencja?

PISM Bezpieczeństwo i wolność Maj skandal Online-Durchsuchungen – rząd RFN ujawnia, że od dwóch lat tajne służby przeszukują przez Internet twarde dyski komputerów obywateli stanowiących zagrożenie dla "bezpieczeństwa narodowego" : –potajemnie, –bez wiedzy ich właścicieli –bez nakazu sądowego. Luty 2008 – Sąd Konstytucyjny RFN uznaje krajową ustawę zezwalającą na stosowanie Online-Durchsuchungen za sprzeczną z konstytucją. Marzec Sąd Konstytucyjny RFN stwierdza niezgodność z konstytucją części przepisów ustawy implementującej Dyrektywę UE o retencji danych.

PISM Wnioski Prewencyjna ochrona prawna bezpieczeństwa teleinformatycznego państwa w Polsce –ma charakter wycinkowy i dotyczy wybranych sektorów, –legislacja na wzór amerykański nie wydaje się obecnie potrzebna ani możliwa. Represyjna ochrona prawna bezpieczeństwa teleinformatycznego państwa w Polsce wykazuje liczne niedociągnięcia i braki, –wykazuje odchylenia od standardów RE mimo kolejnych nowelizacji, –szczególnie w dziedzinie prawa procesowego, –proces tworzenia prawa w Polsce wymaga zmian, –aktualny styl prac legislacyjnych jest archaiczny i niedostosowany do realiów społeczeństwa informacyjnego. Udział Polski w pracach Rady Europy i Komisji Europejskiej nad aktualizacją standardów prawnych w dziedzinie bezpieczeństwa teleinformatycznego wymaga większego zaangażowania.