Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

PISM 23.04.20081 Prawne i prawnomiędzynarodowe aspekty przeciwdziałania zagrożeniom bezpieczeństwa państw w sferze teleinformatycznej Dr hab.Andrzej Adamski,

Podobne prezentacje


Prezentacja na temat: "PISM 23.04.20081 Prawne i prawnomiędzynarodowe aspekty przeciwdziałania zagrożeniom bezpieczeństwa państw w sferze teleinformatycznej Dr hab.Andrzej Adamski,"— Zapis prezentacji:

1 PISM 23.04.20081 Prawne i prawnomiędzynarodowe aspekty przeciwdziałania zagrożeniom bezpieczeństwa państw w sferze teleinformatycznej Dr hab.Andrzej Adamski, prof.UMK, Toruń

2 PISM 23.04.20082 Plan prezentacji Bezpieczeństwo teleinformatyczne jako przedmiot ochrony prawnej Funkcje prawa w sferze BT Konwencja Rady Europy o cyberprzestępczości Implementacja Konwencji w Polsce Retencja danych transmisyjnych – Dyrektywa UE Bezpieczeństwo a wolność Wnioski

3 PISM 23.04.20083 Przedmiot ochrony prawnej Bezpieczeństwo narodowe: stan, w którym nie są zagrożone byt, suwerenność, przetrwanie państwa oraz istnieją warunki do realizacji interesów narodowych i osiągania celów strategicznych Rzeczypospolitej Polskiej  / Bezpieczeństwo teleinformatyczne (BT) : stan w którym nie jest zagrożone korzystanie z komputerów i sieci komputerowych, rozpatrywany z perspektywy poufności, integralności i dostępności danych  /  / BBN: Strategia bezpieczeństwa narodowego (2003)  / A. Jóźwiak, Znaczenie telekomunikacji i teleinformatyki w systemie bezpieczeństwa państwa http://www.bbn.gov.pl/dokumenty/znaczenie_telekomunikacji.pdf http://www.bbn.gov.pl/dokumenty/znaczenie_telekomunikacji.pdf

4 PISM 23.04.20084 Funkcja ochronno-prewencyjna prawa w sferze BT  prawna reglamentacja bezpieczeństwa teleinformatycznego określająca cele, środki, podmioty odpowiedzialne i procedury postępowania w odniesieniu do krytycznych sektorów funkcjonowania państwa. Standardy międzynarodowe –OECD (1992, 2002) Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security Ustawodawstwo narodowe (USA) –The Computer Security Act of 1987 –The Federal Information Security Management Act of 2002 (FISMA) Polska – regulacja sektorowa (np. w pr. bankowym, uodo)

5 PISM 23.04.20085 Funkcja ochronno-represyjna prawa w sferze BT  reakcja karna na naruszenia BT stanowiące przedmiot kryminalizacji i ścigania przez powołane do tego organy, domena prawa karnego, („druga linia obrony”) Standardy międzynarodowe –Konwencja Rady Europy o cyberprzestępczości (2001), –Decyzja ramowa Rady w sprawie ataków na systemy informatyczne (2005) Prawo karne –Kodeks karny z 1997 r. (rozdz. XXXIII), –regulacje pozakodeksowe (np. przepisy karne ustawy o ochronie danych osobowych).

6 PISM 23.04.20086 Konwencja RE o cyberprzestępczości  jedyny akt międzynarodowego prawa karnego dotyczący współpracy międzynarodowej w zakresie ścigania cyberprzestępstw i określający jej podstawy –21.11.2001 otwarta do podpisu, podpisana przez Polskę; –01.07.2004 weszła w życie; –ratyfikowana przez 22 państwa,w tym USA (29.09.2006) Polska ? –stanowisko prezydenta Putina (27.03.2008) Eng.cnews.ru Eng.cnews.ru podstawy współpracy międzynarodowej: –instrumenty prawnomaterialne (typy przestępstw) –instrumenty proceduralne (środki procesowe) –zasady i instrumenty międzynarodowej pomocy prawnej w sprawach cyberprzestępstw.

7 PISM 23.04.20087 Instrumenty współpracy międzynarodowej w zakresie ścigania cyberprzestępstw Wniosek o niezwłoczne zabezpieczanie danych, przechowywanych w systemie komputerowym, Wniosek o przeszukanie, zajęcie lub ujawnienie zabezpieczonych danych, Ujawnienie danych umożliwiajacych identyfikację dostawców usług sieciowych w państwie trzecim, pośredniczących w transmisji przekazów informacji, których dotyczy nakaz zabezpieczenia danych ruchowych, Uzyskanie danych przechowywanych na terytorium innego państwa za zgodą dysponenta danych (art. 32):art. 32 Strona, bez zezwolenia drugiej Strony, może: uzyskać dostęp lub otrzymać przy pomocy systemu informatycznego znajdującego się na własnym terytorium dane informatyczne przechowywane na terytorium innego państwa, jeżeli Strona uzyska prawnie skuteczną i dobrowolną zgodę osoby upoważnionej do ujawnienia Stronie tych danych przy pomocy tego systemu informatycznego.

8 PISM 23.04.20088 Przestępstwa konwencyjne I.P-ko bezpieczeństwu danych i systemów  nielegalny dostęp do systemu komputerowego  nielegalne przechwytywanie transmisji/emisji  ingerencja w dane  ingerencja w system  wytwarzanie, sprzedaż, oferowanie, etc. “narzędzi hakerskich” II.Związane z komputerem  fałszerstwo komputerowe  oszustwo komputerowe III.Związane z treścią informacji  Pornografia dziecięca: wytwarzanie, rozpowszechnianie, przesyłanie, udostępnianie, posiadanie - w systemie komputerowym lub na nośnikach danych. IV.P-ko własności intelektualnej  Kopiowanie i rozpowszechnianie przy pomocy systemów komputerowych utworów prawnie chronionych w celach handlowych.

9 PISM 23.04.20089 Decyzja Ramowa Rady 2005/222/WSiSW z 24 lutego 2005 o atakach na systemy informatyczne Zawiera wyłącznie przepisy materialne. Ma na celu harmonizację prawa karnego MS i usprawnienie współpracy między organami procesowymi w sprawach o haking ( unauthorised access ), ingerencję w system ( disruptive attacks ) oraz rozpowszechnianie wirusów komputerowych ( the introduction of malicious software ). termin implementacji 16 marca 2007. częściowo implementowana do prawa polskiego.

10 PISM 23.04.200810 Nieuprawniony dostęp (hacking) Rada Europy umyślny, bezprawny dostęp do całości lub części systemu informatycznego, z naruszeniem zabezpieczeń, z zamiarem pozyskania danych informatycznych lub innym nieuczciwym zamiarem ( opcja ), lub w odniesieniu do systemu informatycznego, który jest połączony z innym systemem informatycznym Unia Europejska umyślny, bezprawny dostęp do całości lub części systemu informatycznego, karalny jako przestępstwo, przynajmniej w przypadkach, które nie są przypadkami mniejszej wagi. przestępstwo popełniane jest z naruszeniem zabezpieczenia (opcja).

11 PISM 23.04.200811 Ingerencja w dane Rada Europy umyślne, bezprawne niszczenie, kasowanie, uszkadzanie, dokonywanie zmian lub usuwanie danych informatycznych. poważna szkoda jako skutek (opcja) Unia Europejska umyślne bezprawne usunięcie, uszkodzenie, pogorszenie, zmiana, zatajanie lub uczynienie niedostępnymi danych komputerowych w systemie informatycznym; karalne jako przestępstwo, przynajmniej w przypadkach, które nie są przypadkami mniejszej wagi.

12 PISM 23.04.200812 Ingerencja w system Rada Europy umyślne, bezprawne poważne zakłócanie funkcjonowania systemu informatycznego poprzez wprowadzanie, transmisję, niszczenie, wykasowywanie, uszkadzanie, dokonywanie zmian lub usuwanie danych informatycznych. Unia Europejska umyślne poważne naruszenie lub przerwanie funkcjonowania systemu informatycznego poprzez wprowadzanie, przekazywanie, uszkadzanie, usuwanie, niszczenie, zmienianie, zatajanie lub uczynienie niedostępnymi danych komputerowych; karalne jako przestępstwo, przynajmniej w przypadkach, które nie są przypadkami mniejszej wagi.

13 PISM 23.04.200813 Implementacja do ustawodawstwa polskiego 1.Nowelizacja kk z 18 marca 2004 –nowe przepisy - 268a, 269a, 269b –odchylenia od standardów konwencyjnych : in plus (nadkryminalizacja) – ochrona dostępności 268a in fine i 269a, – 269b (zamiar ewentualny, brak kontratypu) in minus - brak kryminalizacji nieuprawnionego dostępu - wadliwa ochrona integralności danych 268 i 268a - wadliwa definicja dokumentu (elektronicznego)115§14 - brak definicji ustawowych np. danych informatycznych

14 PISM 23.04.200814 Narzędzia hakerskie (art. 269 b kk) § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.  casus „szkoły hakerów” http://szkolahakerow.pl/index.php?what=film http://szkolahakerow.pl/index.php?what=film

15 PISM 23.04.200815 Implementacja do ustawodawstwa polskiego 2. Projekty nowelizacji kk (z 24.04.2007 i 16.02.2008) Zdublowany zakaz uzyskania nieuprawnionego dostępu (267 § 1 i 2), oficjalne motywy ( spyware, zombie ) i skutki uboczne: nielogiczna typizacja ( por. np. regulacja rumuńska) „nieuprawniony dostęp” ??? piggybacking (267 § 2) – karalność korzystania z cudzej sieci bezprzewodowej bez zgody jej dysponenta.

16 PISM 23.04.200816 „Kradzież” danych /haking Art. 267 § 1 k.k. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Projekt nowelizacji art.267 Art. 267. § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nie przeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

17 PISM 23.04.200817 Konwencja RE - nowe środki przymusu procesowego Konwencja RE przeszukanie systemu przez sieć, zatrzymanie danych przez ich kopiowanie oraz blokowanie, zobowiązanie dysponenta systemu do wydania danych przez sporządzenie kopii lub wydruku, nakaz niezwłocznego zabezpieczenia danych, obowiązek zabezpieczenia do celów dowodowych danych transmisyjnych przez dostawców usług sieciowych. Kodeks postępowania karnego  nie ma (art.218a) Zasada analogii (art. 236a): „przepisy niniejszego rozdziału stosuje się odpowiednio do użytkownika systemu informatycznego...”

18 PISM 23.04.200818 Zabezpieczenie danych a retencja danych preservation of data v. retention of data Zabezpieczenie danych (art. 16 i 17 Cyberkonwencji RE, art. 218a kpk): - dane „historyczne”, - konkretne sprawy (postępowania), osoby podejrzane. Retencja danych ( art. 3 i 6 Dyrektywy 2006/24/WE) : - dane „przyszłe”, - generowane przez wszystkich użytkowników usług telekomunikacyjnych i internetowych, - przechowywane od 6 do 24 miesięcy od daty połączenia.

19 PISM 23.04.200819 Dyrektywa 2006/24/WE Dane: dane o ruchu i lokalizacji oraz powiązane dane niezbędne do identyfikacji abonenta lub użytkownika: 1)Źródło połączenia, 2)Odbiorca połączenia, 3)Data, godzina i czas trwania połączenia, 4)Rodzaj połączenia, 5)Narzędzie komunikacji, 6)Identyfikacja lokalizacji urządzenia komunikacji ruchomej.

20 PISM 23.04.200820 Bezpieczeństwo i wolność Retencja danych łamie zasady celowości i proporcjonalności, Prewencyjne działania w imię bezpieczeństwa obywateli stanowią zagrożenie dla ich praw i wolności. Zwiększenie kontroli kontrolerów? Czy art.10 Dyrektywy jest krokiem w dobrym kierunku? Shift from the transparent government to the transparent citizen – nieuchronna tendencja?

21 PISM 23.04.200821 Bezpieczeństwo i wolność Maj 2007 - skandal Online-Durchsuchungen – rząd RFN ujawnia, że od dwóch lat tajne służby przeszukują przez Internet twarde dyski komputerów obywateli stanowiących zagrożenie dla "bezpieczeństwa narodowego" : –potajemnie, –bez wiedzy ich właścicieli –bez nakazu sądowego. Luty 2008 – Sąd Konstytucyjny RFN uznaje krajową ustawę zezwalającą na stosowanie Online-Durchsuchungen za sprzeczną z konstytucją. Marzec 2008 - Sąd Konstytucyjny RFN stwierdza niezgodność z konstytucją części przepisów ustawy implementującej Dyrektywę UE o retencji danych.

22 PISM 23.04.200822 Wnioski Prewencyjna ochrona prawna bezpieczeństwa teleinformatycznego państwa w Polsce –ma charakter wycinkowy i dotyczy wybranych sektorów, –legislacja na wzór amerykański nie wydaje się obecnie potrzebna ani możliwa. Represyjna ochrona prawna bezpieczeństwa teleinformatycznego państwa w Polsce wykazuje liczne niedociągnięcia i braki, –wykazuje odchylenia od standardów RE mimo kolejnych nowelizacji, –szczególnie w dziedzinie prawa procesowego, –proces tworzenia prawa w Polsce wymaga zmian, –aktualny styl prac legislacyjnych jest archaiczny i niedostosowany do realiów społeczeństwa informacyjnego. Udział Polski w pracach Rady Europy i Komisji Europejskiej nad aktualizacją standardów prawnych w dziedzinie bezpieczeństwa teleinformatycznego wymaga większego zaangażowania.


Pobierz ppt "PISM 23.04.20081 Prawne i prawnomiędzynarodowe aspekty przeciwdziałania zagrożeniom bezpieczeństwa państw w sferze teleinformatycznej Dr hab.Andrzej Adamski,"

Podobne prezentacje


Reklamy Google