4 lipca 2013 r. Parlament Europejski przyjął w pierwszym czytaniu rezolucję ustawodawczą w sprawie Dyrektywy Parlamentu Europejskiego i Rady dotyczącej ataków na systemy informatyczne. Po wejściu w życie dokument zastąpi obowiązujące przepisy z 2005 r. Warto przyjrzeć się jego treści także w kontekście stanu cyberbezpieczeństwa w Polsce oraz niewystarczających działań polskich władz w tym zakresie.
Celem Dyrektywy jest „zbliżenie prawa karnego państw członkowskich w dziedzinie ataków na systemy informatyczne, przez ustanowienie zasad minimalnych dotyczących definicji przestępstw i odpowiednich kar (…)[1]. Ponadto, w wyniku podjętych działań, wzmocnieniu winna ulec międzynarodowa współpraca między organami sądowymi i innymi właściwymi podmiotami.
Według Dyrektywy do czynów, które powszechnie powinny być zaklasyfikowane jako niezgodne z prawem należą: bezprawny dostęp do systemu informatycznego, bezprawne ingerowanie w system oraz w dane, jak również nielegalne ich przechwytywanie. Poza wyraźnym zidentyfikowaniem działań podlegających penalizacji, Dyrektywa wprowadziła wyższe kary za ich popełnienie. Są one szczególnie surowe, jeśli atak był wynikiem działania grupy przestępczej, był wymierzony w infrastrukturę krytyczną państwa lub UE bądź też, gdy przynosił poważne szkody. Warto nadmienić, że dokument zwraca szczególną uwagę na dwa rodzaje cyberzagrożeń: tworzenie i wykorzystywanie tzw. „botnetów” oraz przestępstwa związane z tożsamością (np. jej kradzieżą).
Należy zauważyć, że Dyrektywa w obecnej postaci ma kilka wad, które mogą negatywnie wpłynąć na efektywność osiągania zamierzonych celów. Do najważniejszych słabości należy wprowadzenie zbyt ogólnikowych zapisów, co może utrudniać prowadzenie międzynarodowej walki z atakami na systemy informatyczne oraz obecność elementów umożliwiających określonym podmiotom unikanie odpowiedzialności.
Egzemplifikacją pierwszego zastrzeżenia jest zapis mówiący, że penalizacji podlegają działania „co najmniej nie będące przypadkami mniejszej wagi”, przy czym to państwa członkowskie decydują o zdefiniowaniu powagi danego czynu. Takie sformułowanie niesie niebezpieczeństwo kontynuacji niejednolitego interpretowania zachowań bezprawnych i kontynuacji nieharmonijnego podejścia do problemu w różnych krajach.
Odnośnie drugiej uwagi, Dyrektywa uzależnia uznanie danego czynu za bezprawny od faktu umyślnego jego popełnienia. Wprowadzenie warunku świadomości i celowości niesie za sobą sporo utrudnień. Ilustracją tego problemu jest kwestia dotycząca nielegalnych „narzędzi” umożliwiających atak w cyberprzestrzeni. Dyrektywa przewiduje penalizację „wytwarzania, sprzedaży, dostarczania w celu użycia, przywozu, rozpowszechniania lub udostępniania w inny sposób (…) narzędzi” wykorzystywanych do dokonywania wcześniej wymienionych czynów przestępczych, wyłącznie jednak jeśli mają one mieć zamierzone przeznaczenie bezprawne. Powodem wprowadzenia takiego warunku jest uniknięcie sytuacji, w której ktoś stosuje owe narzędzia w celach legalnych (np. do testowania bezpieczeństwa systemu). Problem w tym, że czyni to przepis ten faktycznie zapisem martwym. W środowisku cyberprzestrzeni mamy do czynienia z dwuznaczną naturą narzędzi, które mogą mieć jednocześnie działania ofensywne jak i defensywne. Co za tym idzie mogą mieć zarówno przeznaczenie legalne jak i nielegalne. W wielu przypadkach, osoby podejrzane o złamanie przepisów o legalnym użytkowaniu narzędzi, będą mogły uniknąć kary, zasłaniając się uczciwymi motywami. Praktyczna użyteczność zapisu Dyrektywy będzie znikoma.
Pomimo powyższych niedoskonałości, wobec niewystarczających działań podejmowanych na poziomie państw członkowskich oraz w obliczu palącej potrzeby jeszcze lepszej współpracy między krajami i innymi podmiotami, należy pozytywnie ocenić zaangażowanie UE na rzecz wzmacniania cyberbezpieczeństwa.
Dyrektywa, jest jednym z wielu ostatnio podjętych, ważnych działań unijnych na rzecz budowy bezpiecznej cyberprzestrzeni. Do bardzo istotnych inicjatyw należy powołanie w styczniu br. Europejskiego Centrum ds. Walki z Cyberprzestępczością (EC3), ogłoszenie Strategii bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń oraz propozycji Dyrektywy w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii. Warto zauważyć, że zwłaszcza ten ostatni dokument może mieć bardzo pozytywne efekty, szczególnie że obok samej penalizacji nielegalnych czynów, kluczową rolę we wzmacnianiu cyberbezpieczeństwa odgrywa zapobieganie, wykrywanie, edukacja i zwiększanie odporności systemów informatycznych.
Przykład Polski pokazuje, że wspólnotowa interwencja w krajową działalność związaną ze zwiększaniem cyberbezpieczeństwa może być kluczowa. Analizując wyżej wymienione inicjatywy unijne wyraźnie widać, że nawet te niedoskonałe działania mogą zmobilizować polskie władze do udoskonalania prawnych i instytucjonalnych rozwiązań w tej dziedzinie. Niedawno przyjęta, subtelnie rzecz ujmując, nienajlepsza, "Polityka ochrony cyberprzestrzeni RP" jest doskonałym dowodem na to, że potrzebujemy dobrych wzorców. Być może nawet twardo narzuconych. Dokument ten nie odpowiada bowiem na skalę, rozmiar i specyfikę zagrożeń płynących z cyberprzestrzeni. Efektywne i skuteczne działania – m.in. prawne i instytucjonalne – potrzebne są w Polsce jak najszybciej to możliwe. Szczególnie wobec tak niepokojących informacji jak ta, że według Raportu o zagrożeniach bezpieczeństwa w internecie firmy Symantec „Polska zajmuje 2 miejsce w regionie EMEA (Europa, Bliski Wschód i Afryka) pod względem ilości komputerów-zombie, oraz jest 7. państwem na świecie pod względem liczby zagrożeń komputerowych”[2].
Obok dobrych wzorców, z pewnością polscy decydenci potrzebują motywacji do działania. Warto bowiem zauważyć, że pomimo upływu bez mała 12 lat od podpisania Konwencji Rady Europy o cyberprzestępczości – fundamentalnego dokumentu, który wyznacza prawne ramy odniesienia dla zwalczania tego rodzaju nielegalnych działań, Polska nadal go nie ratyfikowała! To tylko przykład działań, w których mamy opóźnienia.
Miejmy nadzieję, że międzynarodowe inicjatywy będą katalizatorem pozytywnych zmian również w naszym kraju.
Instytut Kościuszki aktualnie bierze udział w międzynarodowym projekcie „CSV4” analizującym m.in. działania dotyczące zapewniania cyberbezpieczeństwa podejmowane w krajach Grupy Wyszehradzkej, w kontekście wymagań jakie nałożone zostaną przez unijne inicjatywy. Efekty prac już niedługo dostępne będą na naszej stronie.
Ponadto, Instytut Kościuszki przygotował i przekazał MAC uwagi do polskiej Polityki ochrony cyberprzestrzeni RP. Uwagi dostępne są tutaj:http://ik.org.pl/pl/publikacja/nr/7648/projekt-polityki-ochrony-cyberprzestrzeni-rp-nowa-jakosc-czy-stare-problemy/
Zapraszamy do śledzenia naszej aktywności w tematyce cyberbezpieczeństwa na bieżąco!
Instytut Kościuszki aktualnie realizuje projekt Cel: cyberbezpieczeństwo. Nowoczesne technologie teleinformatyczne zmieniły środowisko bezpieczeństwa międzynarodowego. Pojawiły się nowe wyzwania i zagrożenia, którym współczesne państwa i inne podmioty muszą stawić czoła. Projekt Instytutu Kościuszki ma na celu zwiększenie cyberbezpieczeństwa tak aby minimalizować niebezpieczeństwa i w pełni wykorzystać szansę jakie daje „era informacji”. Jednym z elementów naszych działań jest przygotowanie we współpracy ze specjalistami z branży IT, ekspertami ds. bezpieczeństwa i przedstawicielami podmiotów zajmujących się walką z cyberzagrożeniami, zestawu rekomendacji stanowiących wskazówki dla decydentów prowadzących do podniesienia poziomu cyberbezpieczeństwa.
Inne tematy w dziale Technologie
