Facebook
Twitter
LinkedinCztery lata temu Sejm uchwalił nowelizację kodeksu karnego wprowadzającą niekaralność czynu polegającego na poszukiwaniu luk, czy błędów w systemach i sieciach informatycznych. Z rozwiązania tego mogą korzystać także i miasta.
Uchwalona 23 marca 2017 r. nowelizacja Kodeksu karnego dodała do tej ustawy art. 269c w brzmieniu: „Nie podlega karze (…), kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody”.
Przepis art. 269c został dodany do Kodeksu Karnego podczas prac w Senacie.
Co to jest bug bounty?
Dodany do Kodeksu karnego art. 269c może dotyczyć – co do zasady dwóch kategorii osób.
Pierwsza są to takie osoby, które z własnej inicjatywy (a więc bez wiedzy osób uprawnionych) i w dobrej wierze poszukują luk i błędów w systemach i sieciach teleinformatycznych, a po ich wykryciu informują o tym uprawnione osoby. Tych, którzy zajmują się tego rodzaju „testowaniem” systemów i sieci określa się mianem pentesterów.
| WAŻNE
Nie można przypisać dobrej wiary osobie, która działając z własnej inicjatywy i bez wiedzy osoby uprawnionej poszukuje luk i błędów w systemie, czy sieci informatycznej, a po ich wykryciu żąda zapłaty grożąc ich ujawnieniem. |
Druga, to uczestnicy programu bug bounty, czyli podejmowanych przez właściciela systemu lub sieci, albo innych osób uprawnionych, działań mających na celu poszukiwania luk i błędów. Programy takie prowadzą m.in. takie firmy jak Google, czy Microsoft, a uczestnicy programu bug bounty otrzymują – za znalezione luki i błędy – wynagrodzenie.
Rozwiązanie także dla miast
Coraz więcej miast tworzy (albo zleca stworzenie) różnego rodzaju aplikacji, czy programów, za pośrednictwem których świadczone są usługi dla mieszkańców.
Mogą to być aplikacje do sprzedaży biletów komunikacji miejskiej, obsługujące miejskie rowery czy hulajnogi, umożliwiające rezerwacje wizyty w urzędzie i inne.
Korzystanie z nich wiąże się z koniecznością podania danych osobowych. Czasem tylko tych najbardziej podstawowych, jak imię i nazwisko, czasem większego ich zakresu, np. związanych z realizacją płatności. Korzystając np. z programów bug bounty, miasto może w łatwy sposób przetestować, jak dobrze są one zabezpieczone przed cyberatakiem i np. kradzieżą danych.
Art. 269c Kodeksu karnego daje przy tym pewność, że za takie „testy” nie zostanie pociągnięty do odpowiedzialności karnej.
Poszukiwanie wsparcia.
Kwestia cyberbezpieczeństwa powoduje coraz więcej wyzwań. W samym Krajowym Planie Odbudowy jest cały dział środków przewidzianych np. na rozbudowę regionalnych SOC – centrów ochrony przed atakami. Działania centralne, budowanie usług wyłącznych oraz inne inicjatywy także na poziomie europejskim nie zastąpią jednak społeczności.
W przypadku Miasta Bydgoszczy – zdecydowano się na rozwiązanie w postaci zamówienia publicznego. Jest to jedna ze sposobów zwiększenie cyberbezpieczeństwa w miastach.
Innymi rozwiązaniami są wszelkiego rodzaju hackathony, konkursy a także budowanie wokół siebie społeczności ludzi zainteresowanych cyberbezpieczeństwem i wspierającej choćby poprzez bug bounty odporność systemów teleinformatycznych i aplikacji. W dużych miastach jest ku temu odpowiedni potencjał.
Czy wyłączenie karania było konieczne?
Dodany do Kodeksu karnego art. 269c od początku budzi kontrowersje. Część ekspertów uważa go wręcz za zbędny. Twierdzą, że ani uczestnictwo w programie bug bounty, ani podejmowane na własną rękę i w dobrej wierze działania polegające na poszukiwaniu luk i błędów w systemach i sieciach nie mogły być uznane za przestępstwo zdefiniowane w art. 269b Kodeksu karnego, który penalizuje tzw. bezprawne wykorzystanie programów i danych.
| CO MÓWIĄ PRZEPISY
Art. 269b [Bezprawne wykorzystanie programów i danych] § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, – podlega karze pozbawienia wolności od 3 miesięcy do lat 5. § 1a. Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia. § 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy. |
Przykładowo autorzy sporządzonej przez Krakowski Instytut Prawa Karnego oraz Fundację Frank Bold opinii wskazują, że „Zachowanie osoby zajmującej się wyszukiwaniem nieprawidłowości i luk działania systemu informatycznego nie godzi w dobro prawne właściciela systemu, jeśli podjęte jest w celu ochrony bezpieczeństwa danego systemu, tj. ujawnienia i przekazania informacji o stwierdzonych nieprawidłowościach osobie uprawnionej.” (patrz: dr Mikołaj Małecki, Bartosz Kwiatkowski “Opinia w sprawie odpowiedzialności karnej uczestnika programu bug bounty na gruncie polskiego Kodeksu karnego, Kraków, 9 grudnia 2016 r.).
