Ataki APT w świetle polskich regulacji prawnych

Fundacja Bezpieczna Cyberprzestrzeń

AtakiAPTZagrożenia dla bezpieczeństwa w cyberprzestrzeni

Skala zagrożenia dla bezpieczeństwa w cyberprzestrzeni stale wzrasta ze względu na wzmożoną liczbę cyberataków, jaką odnotowuje się w ostatnich latach. Uzależnienie niemalże każdego sektora działalności państwa od prawidłowo funkcjonujących narzędzi wykorzystywanych w cyberprzestrzeni, czyli głównie sieci internetowej powoduje, że właśnie to zagrożenie staje się kluczowym.

Szczególnie groźne stały się ataki typu APT, a głównym powodem tego jest to, że niosą ze sobą zagrożenie dla prawidłowego funkcjonowania najważniejszych instytucji państwowych, prywatnych podmiotów gospodarczych oraz osób zajmujących wysokie stanowiska, w tym szczególnie dla polityków, prezesów największych firm czy celebrytów.

Ataki APT w świetle polskich regulacji prawnych Click To Tweet

Ataki typu APT (z ang. Advanced Persistent Threat) są złożonymi, długotrwałymi i wielostopniowymi działaniami kierowanymi przeciwko konkretnym osobom, organizacjom lub firmom. Nazywane są również atakami ukierunkowanymi. Stanowią zagrożenie, które wykorzystuje bardzo wyrafinowane metody i zaawansowane technologie do przeprowadzania sieciowych ataków na konkretne cele po to, aby wyłudzić poufne informacje. Za wzorcowy i najpopularniejszy przykład ataku typu APT uznaje się atak o nazwie Stuxnet.

Tego typu ataki stanowią bardzo trudny do wykrycia proces, gdyż przez długi czas do momentu ujawnienia ataku, sprawcy mogą działać bezkarnie, a skala podejmowanych działań jest dużo większa niż przy innych cyberatakach. Ponadto, charakterystyczne dla ataków typu APT jest to, że wiążą się one z ogromnymi nakładami finansowymi poczynionymi na jego przygotowanie i przeprowadzenie. W rzeczywistości tylko nieliczni są w stanie pomyślnie przeprowadzić taki atak.

Ataki typu APT są szczególnie popularne dla pozyskania poufnych informacji o obcych systemach obrony oraz danych dotyczących zaawansowanych technologii militarnych. Taki atak w większości przypadków ma za cel szpiegostwo oraz kradzież danych. Aktualnie grupy przestępcze działające w cyberprzestrzeni odchodzą od pojedynczych ataków. Przykładowo zamiast atakować indywidualnie klientów banków, teraz częściej atakują sam bank, uzyskując tym samym dostęp do znacznie większych środków finansowych.

Atak APT – od ogółu do szczegółu

Za atakami typu APT kryją się zwykle zasobni w finanse sprawcy. Najczęściej osoby przeprowadzające atak sponsorowane są przez państwa albo duże organizacje, choć trudno o potwierdzone informacje na ten temat. Ze względu na to, że głównym celem takich ataków jest zdobycie poufnych danych o znaczeniu strategicznym dla zaatakowanego podmiotu to wniosek nasuwa się jeden – atakującym jest organizacja, instytucja lub państwo, gdyż tylko te podmioty będą mogły wykorzystać zdobyte dane.

Każdy atak typu APT rozumiany jako złożony proces można podzielić następująco:

Faza przed atakiem:

       1. Reconnaissaince – stanowi rekonesans (rozpoznanie), czyli wybranie celu i zgromadzenie o nim wszelkich możliwych informacji, najczęściej po uzyskaniu dostępu do poczty e-mail albo profili na portalach społecznościowych.
       2. Weaponization – stanowi uzbrojenie, czyli stworzenie złośliwego oprogramowania w postaci Trojana, który zaatakuje wybrany komputer. Coraz częściej pliki w postaci dokumentów Microsoft Office czy Adobe PDF zostają użyte jako broń albo źródło ataku na inny komputer.
       3.Delivery stanowi dostarczenie złośliwego oprogramowania za pośrednictwem m.in. poczty e-mail, USB, strony internetowej itp. Wykorzystuje się informacje zdobyte podczas rekonesansu, a nadto socjotechnikę.

Faza w trakcie ataku:

     4. Exploitation stanowi wykorzystanie luki, utworzenie dostępu do wybranego komputera i przeprowadzenie dalszego ataku. Najczęściej odbywa się to poprzez wymuszenie otwarcia załącznika albo reklamy i dzięki temu uzyskuje się dostęp do zasobów komputera.
     5Installstanowi rozpoczęcie procesu zagnieżdżania, co pozwoli na nieautoryzowany dostęp do jego zasobów i opuszczenie komputera albo sieci niezauważonym.

Faza po ataku:

     6Command and Control Action on the Objectivestanowi komunikację zwrotną (C&C), dzięki której atakujący przejmuje kontrolę nad wybranym komputerem, co pozwoli mu na przesyłanie instrukcji dotyczących przeprowadzanego cyberataku.
     7Action on Intentstanowi realizację celów (ostatni etap), który decyduje o tym czy atak został przeprowadzony z sukcesem. W razie powodzenia ataku dochodzi do nieautoryzowanego przekazania danych (kradzieży danych) czy też ataku na infrastrukturę krytyczną. Ponadto, atakujący może doprowadzić do zmian lub usunięć w zasobach komputera albo rozprzestrzenienia się tego ataku na inne komputery.

Typowy scenariusz ataku typu APT przebiega zwykle następująco: Na wstępie sprawcy ataku gromadzą i analizują informacje o podmiocie, który zamierzają zaatakować. Wykorzystują w tym celu ogólnodostępne dane, ale równie często tworzą fałszywe profile i konta pocztowe, a następnie podszywając się pod wykreowane przez siebie osoby pozyskują zaufanie wybranych osób współpracujących z podmiotem atakowanym. Po nawiązaniu relacji z wybranymi osobami, wykorzystują możliwość dotarcia do danych, do których dostęp te osoby posiadają. Wykorzystują dostrzeżone luki i w ten sposób kradną dane. Cały proces zwykle trwa miesiącami. Z punktu widzenia atakujących należy zaatakować osoby zajmujące, jak najwyższe stanowiska, a to ze względu na to, że zazwyczaj te osoby posiadają dostęp do pełnej bazy danych oraz niekiedy jako jedyni do tych kluczowych danych.

W tym miejscu należy wspomnieć o wzorcowym przykładzie ataku typu APT o nazwie Stuxnet, który został po raz pierwszy przeprowadzony w 2009 roku na elektrownię atomową w Iranie. Stuxnet to pierwszy znany robak komputerowy używany do szpiegowania i przeprogramowywania instalacji przemysłowych. W wyniku tego ataku zostały spalone wirówki jądrowe, pracujące w elektrowni nad wzbogaceniem uranu. Trudno o jakiekolwiek wiarygodne dane o przebiegu ataku i jego sprawcach ale powszechnie przyjmuje się, że atak został przygotowany i sfinansowany przez Stany Zjednoczone i Izrael, co po części potwierdziła administracji Prezydenta USA. W ostatnich dniach maja 2015 roku agencja prasowa Reuters podała informacje o kolejnym ataku Stuxnet, który tym razem wymierzony został w elektrownię jądrową w Korei Północnej. Ale tym razem zabezpieczenie okazało się niezawodne i atak zakończył się fiaskiem.

Polskie regulacje a atak typu APT

Przeprowadzając analizę ataku typu APT pod względem naruszeń obowiązującego w Polsce prawa należy uznać, że w razie przeprowadzenia ataku na wszystkich jego etapach doszłoby do popełnienia co najmniej kilku przestępstw. Zgodnie z obowiązującymi regulacjami prawnymi atak typu APT może zostać uznany za:

– na etapie rekonesansu – hacking z art. 267 § 1 kodeksu karnego (dalej: k.k.),
– na etapie uzbrajania – przestępstwo wytwarzania lub udostępniania urządzeń lub programów komputerowych, haseł i kodów z art. 269b k.k. (tzw. przestępstwo hackerskie)
– na etapie wykorzystania luki oraz komunikacji zwrotnej – oszustwo komputerowe z art. 287 kodeksu karnego

Natomiast na etapie realizacji celów dojść może do :

– sabotażu komputerowego z art. 269 k.k.,
– sprowadzenia niebezpieczeństwa dla życia, zdrowia lub mienia z art. 165 k.k.,
– niszczenia, uszkodzenia, usuwania danych informatycznych z art. 268a kodeksu karnego,
– zakłócenia pracy systemu komputerowego lub sieci teleinformatycznej z art. 269a.

Nadto, atak typu APT powszechnie utożsamiany jest również z przestępstwem szpiegostwa z art. 130§ 3  k.k. (z ang. espionage).

1. Przestępstwo bezprawnego uzyskania dostępu do informacji z art. 267 kodeksu karnego

Pierwszy z wyżej opisanych etapów ataku APT, czyli rekonesans nie zawsze obejmuje posłużenie się nielegalnymi metodami w uzyskaniu potrzebnych informacji. Ciągle jeszcze wiele osób udostępnia informacje o sobie w sieci, pomijając możliwości zabezpieczenia, ułatwiając tym samym do nich dostęp osobom nieuprawnionym. Ale w ramach ataku APT najczęściej dochodzi do przełamania zabezpieczenia dostępu do poczty elektronicznej, kont w serwisach internetowych, profili w portalach społecznościowych  czy też do innych miejsc w sieci zabezpieczonych, które przynajmniej potencjalnie mogą zawierać dane przydatne dla powodzenia ataku. Poprzez przełamanie zabezpieczeń i dostęp do informacji przez osobę nieuprawnioną dochodzi do popełnia przestępstwa z art. 267 k.k. (czyli tzw. hackingu).

Polski kodeks karny penalizuje zachowania polegające na bezprawnym uzyskaniu dostępu do informacji objętych ochroną oraz do systemu informatycznego. Przestępstwo to nazywane jest również naruszeniem tajemnicy korespondencji ze względu na treść art. 49 Konstytucji RP, który stanowi o prawie do zachowania tajemnicy komunikowania się oraz art. 8 ust. 1 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności, który nakazuje poszanowanie korespondencji. Prawo do dysponowania informacją stanowi dobro chronione przez tę kodeksową regulację. Przewidziane sposoby uzyskania dostępu do takiej informacji to:

1) otwarcie zamkniętego listu;
2) podłączenie się do sieci telekomunikacyjnej (np. do internetu);
3) przełamanie lub ominięcie elektronicznego, magnetycznego, informatycznego lub innego szczególnego jej zabezpieczenia (np. rozszyfrowanie kodu lub hasła dostępu do informacji znajdującej się w sieci.

Istotnym jest, że jako zabezpieczenie uznaje się każdą formę utrudnienia dostępu do informacji, której usunięcie wymaga wiedzy specjalistycznej lub zastosowanie szczególnego urządzenia bądź kodu.

Czyn zabroniony opisany w art. 267 § 1 k.k. może zostać popełniony tylko z zamiarem bezpośrednim i z winy umyślnej. Przestępstwo to ma charakter formalny i jest przestępstwem powszechnym.

2. Przestępstwo wytwarzania lub udostępniania urządzeń lub programów komputerowych, haseł i kodów z art. 269b kodeksu karnego

Do przestępstwa wytwarzania lub udostępniania urządzeń lub programów komputerowych, haseł i kodów opisanego w art. 269b k.k. może dojść na etapie uzbrajania w ramach ataku typu APT. Przedmiotem ochrony w przypadku tego przestępstwa są informacje oraz dane informatyczne znajdujące się w systemach informatycznych lub sieciach informatycznych. Strona przedmiotowa przestępstwa określonego w art. 269b k.k. polega na wytwarzaniu, pozyskiwaniu, zbywaniu, udostępnianiu innym osobom urządzenia lub programu komputerowego. Wystarczy jedno zachowanie, np. wytworzenie czy udostępnienie jednego urządzenia czy kodu. Strona podmiotowa przestępstwa określonego w art. 269b kodeksu karnego polega na umyślności w obu postaciach zamiaru, z wyjątkiem wytwarzania i pozyskiwania, które mogą być zrealizowane wyłącznie z zamiarem bezpośrednim i ma charakter skutkowy. Przestępstwo z art. 269b k.k. jest przestępstwem materialnym, może zostać popełnione zarówno przez działanie, jak i przez zaniechanie. Stanowi przestępstwo ścigane z oskarżenia publicznego.

Dopuszcza się możliwość kumulatywnego zbiegu art. 269b kodeksu karnego z różnymi przepisami dotyczącymi przestępstw gospodarczych (nielegalne wytwarzanie), przepisami zawartymi w ustawie o prawie autorskim i prawach pokrewnych lub w ustawie – Prawo własności przemysłowej, w zależności od konkretnej sytuacji.

3. Przestępstwo oszustwa komputerowego z art. 287 kodeksu karnego

Na etapie wykorzystania luki i komunikacji zwrotnej dochodzi do posłużenia się programem lub aplikacją, które pozwolą na nawiązanie połączenia z wybranym komputerem. Przekładając to zachowanie na czyn zabroniony uregulowany w Kodeksie karnym dochodzimy do wypełnienia znamion przestępstwa oszustwa komputerowego, które polega na nieuprawnionej ingerencji w urządzenie lub system służący do gromadzenia lub przetwarzania danych. Tutaj działanie sprawcy ukierunkowane jest na ingerencję w „maszynę”, a nie w psychikę innej osoby, jak przy klasycznym oszustwie.

Doprowadzenie do szkody w cudzym mieniu, nie należy do znamion oszustwa komputerowego, czyli w związku z tym czyn ten jest dokonany z chwilą wprowadzenia zmian lub dokonania innej ingerencji w cudzy, komputerowy nośnik informacji. Przestępstwo to jest przestępstwem powszechnym.

4. Przestępstwo sabotażu komputerowego z art. 269 kodeksu karnego

Na etapie realizacji celów może dojść do wypełnienia znamion szeregu różnych przestępstw. Jednym z nich jest przestępstwo sabotażu komputerowego uregulowanego w art. 269 Kodeksu karnego. Przestępstwo to nazywane jest umownie sabotażem komputerowym i używane jest również określenie przestępstwa informatycznego.

Przedmiotem ochrony art. 269 k.k. jest zabezpieczenie zapisu o szczególnym znaczeniu na nośniku komputerowym.

Przyjmuje się również, że głównym przedmiotem ochrony czynu zabronionego określonego w art. 269 k.k. są dane informatyczne o szczególnym znaczeniu dla obronności, komunikacji lub działalności instytucji państwowych, a także prawidłowe funkcjonowanie systemu informatycznego. Ponadto przestępstwo sabotażu komputerowego godzi w obronność kraju, bezpieczeństwo w komunikacji, oraz prawidłowe funkcjonowanie instytucji państwowych i samorządu terytorialnego.

Strona przedmiotowa przestępstwa określonego w art. 269 § 1 k.k. polega na niszczeniu, uszkodzeniu lub zmianie danych informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego.

Natomiast strona przedmiotowa przestępstwa określonego w art. 269 § 1 in fine k.k. polega na zakłóceniu lub uniemożliwieniu automatycznego przetwarzania, gromadzenia bądź przekazywania danych wymienionych w tym przepisie.

Przestępstwo określone w art. 269 § 2 k.k. polega na dopuszczeniu się czynu określonego w § 1 przez niszczenie lub wymianę informatycznego nośnika danych bądź niszczenie lub uszkodzenie urządzenia służącego do automatycznego przetwarzania, gromadzenia bądź przekazywania danych informatycznych.

Przestępstwa określone w art. 269 k.k. mają charakter materialny, mogą zostać popełnione tylko przez działanie i stanowią przestępstwa powszechne. We wszystkich postaciach są przestępstwami umyślnymi, mogą zostać popełnione z zamiarem bezpośrednim, jak i ewentualnym. Przestępstwa z art. 269 k.k. ścigane są z oskarżenia publicznego.

5. Przestępstwo zakłócenia pracy systemu komputerowego lub sieci teleinformatycznej z art. 269a kodeksu karnego

Kolejnym przykładem przestępstwa będącego realizacją celów atakującego może być przestępstwo zakłócenia pracy systemu komputerowego lub sieci teleinformatycznej z art. 269a k.k., będącego jedną z form sabotażu komputerowego. Przedmiotem ochrony przepisu art. 269a k.k. jest gwarancja bezpiecznego funkcjonowania systemu komputerowego oraz poufność, integralność oraz dostępność danych i systemów informatycznych, a zarazem bezpieczeństwo informacji przetwarzanych elektronicznie.

Zakłócenie pracy systemu komputerowego lub sieci teleinformatycznej w istotnym stopniu musi zostać dokonane w wyniku następujących czynności podejmowanych wobec danych informatycznych: transmisji, zniszczenia, usunięcia, uszkodzenia, utrudnienia dostępu lub zmiany takich danych. Jest to wyliczenie wyczerpujące. Zakłócenie pracy systemu ma zostać dokonane w istotnym stopniu. Podkreśla się, że pojęcie istotnego zakłócenia jest pojęciem nieostrym, a stopień zakłócenia może być różnie oceniany, ale chodzi tu nie tylko o ocenę subiektywną, lecz także o ocenę obiektywną.

Słusznie uważa się, że do spełnienia znamion przestępstwa z art. 269a k.k. dochodzi wówczas, gdy następuje kwalifikowane zakłócenie automatycznego przetwarzania, gromadzenia i przekazywania danych informatycznych, odnoszące się do całości funkcjonowania i wyodrębnionego systemu lub sieci. Przestępstwo z art. 269a k.k. jest przestępstwem materialnym z działania, niektórzy przedstawiciele doktryny uważają, że także z zaniechania. Przestępstwo to stanowi przestępstwo powszechne i umyślne w obu postaciach zamiaru, a ścigane jest z oskarżenia publicznego.

6. Przestępstwo sprowadzenia niebezpieczeństwa dla życia, zdrowia lub mienia z art. 165 kodeksu karnego

W ramach realizacji celów ataku typu APT może również dojść do popełnienia przestępstwa sprowadzenia niebezpieczeństwa dla życia, zdrowia lub mienia z art. 165 k.k.. Główny przedmiot ochrony stanowi w tym przypadku bezpieczeństwo powszechne, a dodatkowy – życie i zdrowie oraz mienie w wielkich rozmiarach. Przestępstwo to należy do grupy przestępstw narażenia konkretnego na niebezpieczeństwo. Zachowanie sprawcy musi wywołać określone, konkretne i dające się udowodnić niebezpieczeństwo dla chronionego dobra prawnego.

Jest to przestępstwo skutkowe, a skutkiem jest niebezpieczeństwo dla życia lub zdrowia wielu osób albo dla mienia w wielkich rozmiarach. Niebezpieczeństwo to musi być realne, a nie abstrakcyjne. Dla bytu tego przestępstwa nie jest konieczne, by niebezpieczeństwo to było bezpośrednie. Jako urządzenia użyteczności publicznej oraz urządzeń ochronnych uznaje się urządzenia dostarczające wodę, światło, ciepło, gaz lub energię, koleje, tramwaje, autobusy, urządzenia telegraficzne, telefoniczne, nadawcze, stacje radiowe lub telewizyjne, urządzenia pocztowe, szpitale.

Zakłócenie automatycznego przetwarzania danych informatycznych, o którym mowa w § 1 pkt 4 tegoż artykułu polega na negatywnym oddziaływaniu na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych, mogące powodować zakłócenie, uniemożliwienie lub w inny sposób utrudnienie wykonania tych czynności. Zakłócenia polegać mogą na wprowadzeniu, transmisji, niszczeniu, wykasowaniu, uszkodzeniu, dokonywaniu zmian lub usuwaniu danych informatycznych. Czyn opisany w § 1 można popełnić umyślnie, a w § 2 nieumyślnie. Przestępstwo może być popełnione we wszystkich formach stadialnych, a przygotowanie jest karalne tylko co do § 1 tego przepisu.

7. Przestępstwo niszczenia, uszkodzenia, usuwania danych informatycznych z art. 268a kodeksu karnego

Realizacja celów może nastąpić również w drodze popełnienia przestępstwa niszczenia, uszkodzenia, usuwania danych informatycznych uregulowanego w art. 268a k.k. Przedmiotem ochrony jest dostępność, integralność i poufność danych informatycznych. W przepisie art. 268a § 1 k.k. określono dwa ujęte zbiorczo rodzaje zachowania się sprawcy. Pierwszy rodzaj zabronionego zachowania się sprawcy godzi w dostęp do danych informatycznych i polegać może na: niszczeniu, uszkadzaniu, usuwaniu, zmienianiu takich danych, utrudnianiu tego dostępu. Drugi rodzaj zabronionego zachowania godzi w proces prawidłowego automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych i polegać może na: zakłócaniu w istotnym stopniu tego procesu, uniemożliwianiu tego procesu. W przepisie art. 268a § 1 k.k. można wyodrębnić dwa przedmioty czynności wykonawczej: po pierwsze, dostęp do danych informatycznych i – po drugie – zagwarantowanie możliwości prawidłowego automatycznego przetwarzania, gromadzenia lub przekazywania takich danych.

W przepisie art. 268a § 1 k.k. występuje jeszcze pojęcie automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych, które nie zostało zdefiniowane w przepisach przywołanej konwencji. Przetwarzanie danych ma charakter automatyczny, jeśli jakaś część tego procesu odbywa się za pomocą urządzeń sterujących, bez ingerencji człowieka lub z jego ograniczonym udziałem. Pojęcie zakłócenia automatycznego przetwarzania, przekazywania lub gromadzenia danych informatycznych obejmuje wszelkie oddziałujące na te procesy czynności, których skutkiem jest ich nieprawidłowy przebieg lub spowolnienie, a także zniekształcenie czy modyfikacja przetwarzanych, przekazywanych lub gromadzonych danych informatycznych. Przestępstwo z art. 268a k.k. jest przestępstwem materialnym, czyn zabroniony może zostać popełniony zarówno przez działanie, jak i przez zaniechanie. Typ kwalifikowany występuje w razie wyrządzenia znacznej szkody. Przestępstwo to jest przestępstwem powszechnym i umyślnym, a ścigane jest na wniosek pokrzywdzonego.

8. Przestępstwo szpiegostwa z art. 130§ 3  kodeksu karnego

Na etapie realizacji celów dochodzi często do popełnienia przestępstwa szpiegostwa, co najczęściej kojarzone jest z atakami typu APT. Szpiegostwo uznawane jest za jedną z podstawowych form działania wywiadu i realizacji jego zadań, wykonywanie sposobami nielegalnymi przy pomocy agentów lub środków technicznych w czasie wojny, jak i w czasie pokoju, polega na gromadzeniu w celu przekazania lub na przekazywaniu wiadomości dotyczących danego państwa będącego przedmiotem zainteresowania obcego wywiadu. Dobrem chronionym jest bezpieczeństwo zewnętrzne RP.

Przestępstwo szpiegostwa określone w art. 130 k.k. może zostać popełnione przez:

1) branie udziału w działalności obcego wywiadu RP,
2) branie udziału w obcym wywiadzie albo działanie na rzecz obcego wywiadu przez udzielenie mu wiadomości, których przekazanie może wyrządzić szkodę RP,
3) gromadzenie lub przechowywanie wiadomości w celu udzielenia obcemu wywiadowi,
4) wchodzenie do systemu informatycznego w celu uzyskania wiadomości,
5) zgłoszenie gotowości działania na rzecz obcego wywiadu przeciwko RP,
6) organizowanie lub kierowanie działalnością obcego wywiadu.

Powyższe wyliczenie jest wyliczeniem taksatywnym.

Z perspektywy omawianego tematu, szczególnie należy się skupić nad postaciami szpiegostwa opisanym w art. 130 § 3 k.k. W tym przepisie ustawodawca wprowadził dwie nowe postacie szpiegostwa:

1) wchodzenie do systemu informatycznego w celu uzyskania wiadomości oraz
2) zgłaszanie gotowości działania na rzecz obcego wywiadu przeciwko RP.

Wchodzenie do systemu informatycznego, o którym mowa w art. 130 § 3 k.k. nie może być utożsamiane ze szpiegostwem komputerowym o charakterze ekonomicznym, popełnianym wyłącznie na szkodę indywidualnych przedsiębiorców, gdyż indywidualnym przedmiotem ochrony art. 130 k.k. są podstawy ustroju i suwerennego bytu RP, stanowisko dotyczy pierwotnego brzmienia art. 130 § 3, ale zachowuje aktualność.

Zdaniem A. Adamskiego „włączenia się” do sieci komputerowej nie można utożsamiać z nawiązaniem logicznego połączenia z dowolnym komputerem pracującym w danej sieci. Zwrot ten należy interpretować szeroko, obejmując nim wszelkie formy zachowań umożliwiających zarówno przechwytywanie informacji przesyłanych siecią (np. na skutek fizycznego włączenia się do któregokolwiek z jej segmentów), jak i uzyskanie dostępu do danych, które są przechowywane w pamięci komputerów włączonych do sieci. Artykuł 130 § 3 k.k. nie uzależnia karalności „włączenia się” do sieci komputerowej od określonej metody działania sprawcy. Będzie on więc, jak zauważa A. Adamski, odpowiadać karnie zarówno w razie złamania lub obejścia istniejących zabezpieczeń, jak i w przypadku uzyskania podstępem lub na skutek wykorzystania nierównowagi lub lekkomyślności innych osób hasła umożliwiającego włączenie się do sieci. Jego zdaniem, teoretycznie, wiadomości stanowiące przedmiot wykonawczy czynu, określonego w art. 130 § 2 k.k., powinny być przechowywane w pamięci komputerów pracujących w szczególnie chronionych sieciach lokalnych bez zewnętrznych połączeń modemowych i dostępu do Internetu. Przy takim założeniu „włączenia się” do sieci mogłaby dokonać wyłącznie osoba działająca „od wewnątrz” danej instytucji, a więc np. jej pracownik, który wykorzystuje bądź przekracza posiadane prawa dostępu do określonych plików lub katalogów. W praktyce, jak podkreśla, zdarzają się jednak przypadki przechowywania ściśle poufnych informacji w źle zabezpieczonych systemach komputerowych, do których istnieje możliwość dostępu z zewnątrz, co jest najczęściej równoznaczne z możliwością penetracji znajdujących się w nich zasobów informacyjnych za pośrednictwem Internetu.

W doktrynie zgodnie stwierdza się, że art. 130 § 3 k.k. przewiduje odpowiedzialność za zachowanie będące w istocie przygotowaniem (sui generis przygotowaniem) do zbrodni z § 2 art. 130 k.k., choć jest określona nie wprost. Można stwierdzić, że szpiegostwo określone w art. 130 § 3 k.k. jest przestępstwem z zagrożenia, gdyż to zagrożenie wynika z możliwości przekazania wiadomości obcemu wywiadowi, które sprawca gromadzi lub przechowuje, włączenia się do sieci komputerowej czy zgłoszenia gotowości działania na rzecz obcego wywiadu przeciwko RP. Sprawca przed przystąpieniem do gromadzenia lub przechowywania, włączenia do sieci komputerowej czy zgłoszenia gotowości kieruje się celem określonym w art. 130 § 3 k.k. („w celu udzielenia obcemu wywiadowi wiadomości, których przekazanie może wyrządzić szkodę RP”).

To przestępstwo charakteryzuje trwanie pewnego stanu wywołanego jednym aktem woli i postępowaniem sprawcy. Czyny te nazywane są niekiedy szpiegostwem samorzutnym, samorodnym, czy też inicjatywnym.

 Podsumowanie

Wraz z odnotowaniem pierwszego ataku typu APT pojawiło się ogromne zagrożenie dla cyberbezpieczeństwa zarówno na płaszczyźnie państwowej, jak i w sektorze prywatnym. Zalecenia specjalistów z zakresu ochrony cyberbezpieczeństwa w odniesieniu do tego nowego zagrożenia przewidują przede wszystkim stosowanie wielopoziomowego zabezpieczenia w użytkowanych systemach, przeprowadzanie skutecznych akcji informacyjnych o skali zagrożenia oraz przedsięwzięcie szeregu innych środków ochrony przed skutkami ataków, zależnych od konkretnej sytuacji.

Atak Stuxnet pokazał jak bardzo poważne, zagrażające strategicznym interesom państw i instytucji prywatnych, mogą być skutki takich działań. Zyskując w ostatnim czasie kolejne doświadczenie w postaci ataku Stuxnet na Koreę Północną, doświadczamy skutecznego oporu dla takich działań. Potwierdzone zostało tym samym, że Korea Północna wyjątkowo dba o swoje bezpieczeństwo w cyberprzestrzeni i stanowi jednocześnie jedno z największych zagrożeń dla cyberbezpieczeństwa.

Trudno zatem o katalog rad i wskazówek pomocnych dla uniknięcia ataku typu APT. Z całą pewnością należy jednak dbać o cyberbezpieczeństwo stosując się chociażby do podstawowych reguł tj. zabezpieczanie podwójnym hasłem dostępu do sieci czy też regularna aktualizacja oprogramowania. Pomocnym może okazać się kontrolowany atak na własne cyberbezpieczeństwo, tak aby móc usunąć mogące się pojawić luki w systemach.

Dbanie o cyberbezpieczeństwo zalecane jest w stosunku do wszystkich użytkowników, gdyż podstawę dla jego zapewnienia stanowi skuteczna ochrona każdego ogniwa.

Autor: Judyta Kasperkiewicz
adwokat (Izba Adwokacka w Krakowie), doktorantka (Uniwersytet Śląski w Katowicach, WPIA). Zajmuje się głównie zagadnieniami związanymi z prawem własności intelektualnej oraz cyberbezpieczeństwa. Posiada doświadczenie zawodowe w zakresie prawa cywilnego, karnego oraz obsługi podmiotów prawnych zdobyte w Polsce, Wielkiej Brytanii oraz Stanach Zjednoczonych. Autorka kilkunastu recenzowanych i opublikowanych artykułów naukowych.

Share Button