Niedawna nowelizacja Kodeksu karnego z 23 marca b.r. porusza kwestie dotyczące tzw. prywatnego hakingu. W połączeniu z ubiegłorocznymi zmianami aktów regulujących uprawnienia służb ochrony porządku publicznego, stała się ona bodźcem do przeanalizowania kwestii stosowania przez te służby narzędzi hakerskich w celu realizacji ich ustawowych zadań. Prezentowany tekst tłumaczy niejasności i kontrowersje niektórych zapisów oraz obala mity funkcjonujące w środowisku internautów co do zakresu dopuszczalności działań hakerskich. Zwraca także uwagę na wady obowiązującego systemu, proponując rozwiązania, które mogą okazać się zasadne w kontekście powstającej ustawy o cyberbezpieczeństwie – piszą Wiesław Goździewicz oraz Paweł Opitek, eksperci Instytutu Kościuszki.
W świecie od kilku lat toczy się ożywiona dyskusja nad modelem legalnego hakingu, a więc realizowanego w granicach dopuszczalnych przez prawo. Kwestia ta pozostaje w żywym zainteresowaniu nie tylko organów ścigających przestępców, ale także instytucji prywatnych i entuzjastów Internetu, bowiem dotyczy wielu zagadnień natury etycznej, technicznej i regulacyjnej. Na omawianym polu ścierają się takie wartości, jak prawo do tajemnicy informacji i życia prywatnego z jednej strony, a skuteczność działania służb w zakresie ochrony bezpieczeństwa państwa i obywateli z drugiej. Nie przypadkowo więc temat stosowania przez służby środków umożliwiających dostęp do prywatnych danych zgromadzonych w systemach teleinformatycznych stanowił ważny punkt dyskusji w pracach nad przyjętą 15 stycznia 2016 r. nowelizacją ustawy o Policji oraz w trakcie procedowania nad ustawą z 10 czerwca 2016 r. o działaniach antyterrorystycznych. Szczególnie ostatni z wymienionych aktów prawnych wprowadził szereg zmian w funkcjonowaniu służb specjalnych, m.in. Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego. Podjęte przez ustawodawcę działania rodzą konieczność przeanalizowania na nowo możliwości i zakresu stosowania przez służby narzędzi i programów w celu realizacji ich ustawowych uprawnień. Dochodzi do tego uchwalona 23 marca 2017 r. zmiana art. 269b Kodeksu karnego. Nowe rozwiązania w zakresie tej nowelizacji dotyczą działań hakerskich podejmowanych przez podmioty prywatne.
Analiza powstała nieprzypadkowo jako studium wspomnianych wyżej ustaw, gdyż przyznają one organom państwowym najdalej idące uprawnienia „inwigilacji informatycznej”. Ma charakter ogólny i należy ją traktować jako wstęp do szerszej dyskusji. Szczegółowy opis tematu wymaga bowiem precyzyjnego przeglądu całości rozwiązań przyznanych służbom w zakresie czynności operacyjnych w kontekście prawa karnego procesowego i materialnego z uwzględnieniem orzecznictwa Trybunału Konstytucyjnego i Europejskiego Trybunału Praw Człowieka; warto byłoby przyjrzeć się także regulacjom innych państw w zakresie legalnego hakingu.
Okoliczności i cele wprowadzenia nowych rozwiązań
Zgodnie z treścią uzasadnienia projektu ustawy antyterrorystycznej, celem jej uchwalenia było podniesienie efektywności polskiego systemu antyterrorystycznego, a tym samym zwiększenie bezpieczeństwa wszystkich obywateli RP poprzez doprecyzowanie zadań poszczególnych służb i innych podmiotów oraz zasad współpracy między nimi, a także zintegrowanie rozproszonych przepisów regulujących funkcjonowanie systemu antyterrorystycznego. Ustawa wprowadziła również zmiany w funkcjonowaniu organów ochrony prawa, mające wpisywać się w „kierunkowe reformy poszczególnych służb i instytucji zmierzające do wzmocnienia możliwości koordynacyjnych i nadzorczych względem realizowanych przez nie zadań”. Na polu walki ze współczesnymi zagrożeniami, Szef ABW stał się organem odpowiedzialnym za zapobieganie aktom terrorystycznym, a na Agencję nałożono obowiązki w obszarze rozpoznawania, zapobiegania i zwalczania zagrożeń w cyberprzestrzeni oraz szczegółowych rozwiązań dotyczących jej ochrony. W tym zakresie, ABW przyznano m.in. prawo do stosowania urządzeń uniemożliwiających telekomunikację na określonym obszarze, prowadzenia ocen bezpieczeństwa oraz zarządzania tzw. blokowania dostępności.
Uchwaleniu ustawy o działaniach antyterrorystycznych towarzyszyły duże kontrowersje. Z uwagi na konieczność wdrożenia nowych regulacji przed Szczytem NATO w Warszawie (8-9 lipca 2016 r.), proces legislacyjny przeprowadzono w błyskawicznym tempie: 20 kwietnia 2016 r. Ministerstwo Spraw Wewnętrznych i Administracji przedłożyło projekt Komitetowi Stałemu Rady Ministrów; Rada Ministrów przyjęła go 16 maja 2016 r. i od razu skierowała do Kancelarii Sejmu. Ostatecznie, uchwalona 10 czerwca 2016 r. przez izbę niższą parlamentu ustawa weszła w życie 2 lipca 2016 r. Jej projektowanie nie zostało poprzedzone konsultacjami społecznymi, czego domagały się organizacje pozarządowe (np. Fundacja e-Państwo) i Generalny Inspektor Ochrony Danych Osobowych. Zapewne wspomniany pośpiech – w ocenie autorów – odbił się na nie najlepszej jakości niektórych regulacji, o czym będzie jeszcze mowa. Z drugiej strony, nigdy już nie dowiemy się, czy zmiana prawa bezpośrednio przyczyniła się do spokojnego przebiegu Szczytu NATO, który pod względem organizacyjnym zakończył się sukcesem Polski.
Zasadnicze przeobrażenia w zakresie dopuszczalnej „inwigilacji internetowej” zostały do polskiego prawodawstwa wprowadzone już wcześniej, tj. wspomnianą nowelizacją ustawy o Policji ze stycznia 2016 r. Podyktowane były koniecznością dostosowania przepisów do wyroku Trybunału Konstytucyjnego z 30 lipca 2014 r. (sygn. akt K 23/11), stwierdzającego niezgodność niektórych rozwiązań ustawy policyjnej z Konstytucją RP. Pomimo tego, organizacje pozarządowe i Rzecznik Praw Obywatelskich wyrazili krytyczne stanowisko o uchwalonych zmianach, odzwierciedlone w dwóch opiniach zamówionych przez Biuro Analiz Sejmowych (podniesiono m.in., że nowe regulacje tylko częściowo usunęły niezgodności wypunktowane przez Trybunał, a część przyjętych przepisów ponownie jest sprzeczna z aktem podstawowym). Podnosi się, że faktycznie zniesiono kontrolę sądową nad pozyskiwaniem przez służby danych telekomunikacyjnych i internetowych, bowiem duża liczba wniosków o udostępnienie takich danych wyklucza możliwość ich rzetelnej weryfikacji.
Pozostałe zarzuty dotyczą następujących kwestii:
- brak wymogu (w ramach tzw. procedury następczej) informowania podmiotów inwigilowanych o niejawnym pozyskaniu informacji na ich temat;
- brak procedury dającej prawo zaskarżania przez ww. podmioty czynności operacyjno-rozpoznawczych;
brak uzależnienia zgody na kontrolę operacyjną od niemożności uzyskania danych w inny, mniej „inwazyjny” sposób (zasada proporcjonalności).
Nasuwa się również pytanie o zakres czynności, jakie podjąć mogą służby w celu uzyskania informacji zawartych na informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, czy w systemach teleinformatycznych. Chodzi przede wszystkim o możliwości skorzystania z narzędzi hakerskich w kierunku prowadzenia kontroli operacyjnej lub innych czynności operacyjno-rozpoznawczych. Jeśli legalność stosowania takich narzędzi jest wątpliwa (o czym będzie jeszcze mowa), to jak traktować dość wiarygodne informacje o ich zakupie przez Centralne Biuro Antykorupcyjne?
W praktyce, największej grupy obywateli dotyczą rozwiązania prawne zawarte w ustawie o Policji. Stanowią one probierz dla innych służb, znajdują bowiem odzwierciedlenie w przepisach dotyczących funkcjonowania Centralnego Biura Antykorupcyjnego, Służby Celnej, Służby Kontrwywiadu Wojskowego, Straży Granicznej, Żandarmerii Wojskowej czy organów skarbowych. W zakresie kontroli operacyjnej związanej z danymi teleinformatycznymi, policja ma obecnie prawo do uzyskiwania i utrwalania:
- treści rozmów prowadzonych przy użyciu środków technicznych (m.in. sieci telekomunikacyjnych);
obrazu lub dźwięku osób z pomieszczeń lub miejsc innych, niż miejsca publiczne; - treści korespondencji (m.in. prowadzonej za pomocą komunikacji elektronicznej);
- danych zawartych w informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, systemach informatycznych i teleinformatycznych.
W praktyce, największej grupy obywateli dotyczą rozwiązania prawne zawarte w ustawie o Policji.
Jeśli chodzi o stronę techniczną realizacji wymienionych uprawnień, funkcjonujące regulacje nie przewidują wprost możliwości stosowania przez służby takich działań samodzielnie, ale nakładają obowiązek na operatorów systemów i sieci (dostawców usług) udzielenia im pomocy. O ile kwestie kontroli operacyjnej nie rozpalały dotychczas opinii publicznej, pomijając znaczną ilości wniosków o zwolnienie z tajemnicy zawodowej, to podczas prac nad nowelizacją ustawy o Policji rozgorzała debata na temat możliwości i zakresu uzyskiwania przez służby dostępu do tzw. danych internetowych. Zdefiniowano je zgodnie z ustawą o świadczeniu usług drogą elektroniczną jako dane niestanowiące treści odpowiednio, przekazu telekomunikacyjnego, przesyłki pocztowej albo przekazu w ramach usługi świadczonej drogą elektroniczną. Chodzi więc o bardzo szeroki katalog danych osobowych, a także innych informacji identyfikujących zakończenie sieci telekomunikacyjnej lub system informatyczny (np. adresów IP i MAC, logów internetowych czy informacji o skorzystaniu z usług). Wynika z tego, że chociaż służby nie mają bezpośredniego (tj. bez kontroli sądu i prokuratora) wglądu w szczegółowe treści przeglądane przez użytkownika Internetu, to na masową skalę mogą ustalać np. adresy odwiedzanych przez niego stron.
Zakres i rodzaj dopuszczalnych technik inwigilacyjnych
W przepisach dopuszczających różnego rodzaju formy kontroli operacyjnej można wyróżnić trzy grupy wymogów warunkujących jej przeprowadzenie:
- przesłanki materialne,
- przesłanki proceduralne,
- przesłanki techniczne.
Pierwsza grupa dotyczy m.in. katalogu przestępstw, których może dotyczyć kontrola operacyjna oraz wymogu nieadekwatności innych środków do uzyskania niezbędnych danych. Przesłanki formalne ustanawiają podmioty uprawnione do rozpoczęcia procedury kontroli oraz organy wydające zgodę na prowadzenie działań inwigilacyjnych. Dla niniejszego opracowania zasadnicze znaczenia ma trzecia grupa, a więc warunki techniczne przeprowadzenia kontroli. Chodzi o zastosowane metody i narzędzia, a więc o takie kwestie, jak: rodzaj użytego oprogramowania oraz skala jego zastosowania, usytuowanie (status) osób fizycznych wykonujących czynności techniczne czy miejsce ich faktycznego prowadzenia (siedziba firmy telekomunikacyjnej, biuro ABW, a może lokal zaadoptowany na potrzeby służb w innej części globu).
Ustawa o Agencji Bezpieczeństwa Wewnętrznego (uABW) przyjęła następujące rozwiązania: w celu realizacji zadań związanych ze zwalczaniem terroryzmu oraz innych zagrożeń godzących w bezpieczeństwo wewnętrzne państwa oraz jego porządek konstytucyjny, Szef ABW może zarządzić o zastosowaniu urządzeń uniemożliwiających telekomunikację na określonym obszarze, przez czas niezbędny do wykonywania wskazanych czynności (art. 26a uABW). Zastosowanie omawianego środka wymaga tylko niezwłocznego powiadomienia Prezesa Urzędu Komunikacji Elektronicznej. Powstaje pytanie, o jakie „urządzenia” chodzi i co kryje się pod sformułowaniem: „zastosowanie urządzeń uniemożliwiających telekomunikację”? Szczególnie, że art. 26a uABW nie odsyła do żadnego aktu wykonawczego, który doprecyzowałby omawiane kwestie. Wynika z tego, że Szef formacji ma dużą swobodę decyzyjną w wyznaczaniu rodzaju urządzeń i sposobu realizacji przyznanego ABW uprawnienia. Treść regulacji wskazuje, że chodzi o sytuacje nagłe, wymagające szybkiego wyłączenia połączeń realizowanych drogą radiową lub elektroniczną, a więc służba musi dysponować urządzeniami bezpośrednio ingerującymi w proces przetwarzania lub transmisji danych z pominięciem administratora systemu. Zagłuszanie transmisji może dotyczyć nie tylko sygnału telefonów komórkowych, ale także przekazu danych teleinformatycznych i odbywać się w sieci za pomocą specjalnego oprogramowania. Niedookreślony zwrot „na określonym obszarze” dotyczy np. pola przemieszczania się kolumny VIP, ale czy może obejmować rozleglejsze terytorium: miasto, powiat, województwo, a może całe państwo?
Inna sytuacja ma miejsce w przypadku zarządzenia kontroli operacyjnej przy zastosowaniu środków technicznych umożliwiających uzyskiwanie w sposób niejawny informacji i śladów cyfrowych przekazywanych za pomocą sieci telekomunikacyjnych lub utrwalonych na informatycznych nośnikach danych (art. 27 uABW). Chodzi m.in. o rejestrowanie i utrwalanie rozmów telefonicznych oraz obrazu z pomieszczeń prywatnych czy przeszukania „na odległość” pamięci komputerów i urządzeń mobilnych. W tym przypadku, warunki organizacyjne i techniczne realizacji kontroli ma obowiązek zapewnić „przedsiębiorca telekomunikacyjny, operator pocztowy oraz usługodawca świadczący usługi drogą elektroniczną”. Co do zasady, Agencja powinna więc realizować opisane zadanie, korzystając z zaplecza logistycznego i wiedzy technicznej podmiotu zobowiązanego. Można wyobrazić sobie jednak sytuację, że urządzenia i metody pozostające w dyspozycji przedsiębiorcy są niewystarczające do realizacji zaplanowanych czynności. Czy w takim razie ABW, wykorzystując infrastrukturę firmy prywatnej, może zaimplementować własne narzędzia informatyczne do realizacji kontroli operacyjnej? Czy służba ma w ogóle prawo do jej przeprowadzenia bez angażowania firm prywatnych? Odpowiedź na tak postawione pytanie wydaje się twierdząca, bowiem regulacje art. 27 ust. 12 i 12a uABW stanowi jedynie charakter pomocniczy, tj. wymienione w nich podmioty powinny ułatwić realizację kontroli, nie są natomiast gwarantami legalności podjętych przez Agencję działań. Inna rzecz, że do podsłuchów czy przeszukania systemów teleinformatycznych „na własną rękę”, ABW musiałaby stosować zabronione przez prawo narzędzia hakerskie, do czego nie jest uprawniona – takich działań nie obejmują, opisane w dalszej części analizy, kontratypy z art. 269b § 1a k.k. i art. 32a ust. 7 uABW.
Czy w takim razie ABW, wykorzystując infrastrukturę firmy prywatnej, może zaimplementować własne narzędzia informatyczne do realizacji kontroli operacyjnej? Czy służba ma w ogóle prawo do jej przeprowadzenia bez angażowania firm prywatnych?
Najbardziej oczywista sytuacja wydaje się w przypadku tzw. oceny bezpieczeństwa (art. 32a uABW), kiedy ustawodawca wprost określił, że ABW może wytwarzać, pozyskiwać i używać nielegalne urządzenia lub programy komputerowe w celu określenia podatności ocenianego systemu na możliwość popełnienia przestępstw oraz uzyskać dostęp do informacji nieprzeznaczonej dla Agencji, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, bądź może uzyskać dostęp do całości lub części systemu teleinformatycznego. Wprowadzono zatem ustawowy kontratyp polegający na tym, że pomimo realizacji znamion czynu zabronionego, nie spełnia się koniecznych warunków do zaistnienia przestępstwa i przyjęcia odpowiedzialności karnej konkretnej osoby. Dodatkowo, ustawodawca zobowiązał Radę Ministrów do określenia w drodze rozporządzenia trybu i warunków przeprowadzania oceny bezpieczeństwa, widząc konieczność doprecyzowania ustawowych uprawnień. W rozporządzeniu tym nie ma jednak mowy o metodach i narzędziach hakerskich.
„Blokada dostępności” to kolejne narzędzie przyznane Agencji Bezpieczeństwa Wewnętrznego na gruncie walki z cyberprzestępczością (art. 32c uABW). W celu zapobiegania, przeciwdziałania i wykrywania przestępstw o charakterze terrorystycznym oraz ścigania ich sprawców, sąd, na wniosek Szefa ABW, może zarządzić zablokowanie przez usługodawcę świadczącego usługi drogą elektroniczną dostępności w systemie teleinformatycznym określonych danych informatycznych mających związek ze zdarzeniem o charakterze terrorystycznym lub określonych usług teleinformatycznych służących lub wykorzystywanych do spowodowania zdarzenia o charakterze terrorystycznym. W przypadkach niecierpiących zwłoki, Szef ABW może zarządzić blokadę dostępności, zwracając się jednocześnie do sądu z wnioskiem o wydanie postanowienia w tej sprawie. Jeśli chodzi o techniczne aspekty realizacji „blokady”, podmiot świadczący usługi drogą elektroniczną jest obowiązany do natychmiastowego dokonania czynności określonych w postanowieniu sądu lub żądaniu Szefa ABW. Podobnie, jak w przypadku art. 27 uABW, pojawia się pytanie, co zrobić, gdy wspomniany podmiot nie jest w stanie lub uchyla się od realizacji decyzji lub żądania i czy Agencja może własnymi środkami dokonywać blokad?
Regulacja art. 269b Kodeksu karnego
Podjęte rozważania muszą uwzględniać regulacje Kodeksu karnego dotyczące posiadania nielegalnych narzędzi hakerskich. Zgodnie z art. 269b § 1 k.k., podlega karze pozbawienia wolności, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia enumeratywnie wymienionych w tym przepisie działań kryminalnych o charakterze terrorystycznym i „komputerowym”. Paragraf 1a stanowi natomiast, że nie popełnia przestępstwa określonego w art. 269b § 1 k.k., kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie, albo opracowania metody takiego zabezpieczenia. Wynika z tego, że kontratyp opisany w paragrafie 1a dotyczy tylko i wyłącznie wytwarzania i obrotu zakazanym oprogramowaniem, ale nie depenalizuje jego stosowania w momencie, gdy sprawca wypełnia swoim działaniem znamiona któregoś z przestępstw dotyczących ochrony systemów i sieci teleinformatycznych przed nieuprawnioną ingerencją.
Treść przepisu art. 269b § 1 k.k. budzi spore wątpliwości. Błędem ustawodawcy było na przykład wskazanie wąskiej grupy czynów zabronionych, których dotyczy wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie nielegalnych urządzeń lub programów komputerowych, skoro tego typu urządzenia lub programy mogą posłużyć do dokonania niemal każdego czynu zabronionego. Można wyobrazić sobie narzędzie informatyczne ukierunkowane na wykonanie zlecenia zabójstwa. Zleceniodawca zobowiązuje się przelać określoną sumę bitcoinów do „portfela” płatnego mordercy, jeśli zleceniobiorca zabije ustalonego polityka. Narzędziem realizacji umowy będzie autonomiczny, „żyjący” w sieci program oparty na technologii blockchain, w którego algorytmie zapisano polecenie wypłaty BTC do zindywidualizowanego portfela po stwierdzeniu, że w Internecie ukazało się co najmniej 20 tysięcy informacji o zabójstwie zakontraktowanej osoby (stosowna procedura policzy i wyłapie z sieci stosowne frazy). Funkcjonowanie takiego projektu samo w sobie nie spowoduje bezprawnego wykorzystania innych programów lub danych. Wyjęcie spod regulacji art. 269b § 1 k.k. przypadków wytwarzania tak niebezpiecznego oprogramowania jest błędnym rozwiązaniem.
Błędem ustawodawcy było na przykład wskazanie wąskiej grupy czynów zabronionych, których dotyczy wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie nielegalnych urządzeń lub programów komputerowych, skoro tego typu urządzenia lub programy mogą posłużyć do dokonania niemal każdego czynu zabronionego.
Ponadto, omawiany przepis penalizuje następujące czynności związane z urządzeniami lub programami komputerowymi przystosowanymi do popełnienia przestępstwa: ich wytwarzanie, pozyskiwanie, zbywanie i udostępnianie. Nie ma mowy o ich „użytkowaniu”, a jest to czynność innego rodzaju, aniżeli wspomniane wcześniej cztery znamiona czasownikowe. Jeśli osoba posłuży się hakerskimi programami lub urządzeniami i uzyska bez uprawnienia dostęp do systemu informatycznego, to nadal będzie odpowiadać karnie na podstawie art. 267 k.k. Kontratyp zamieszczony w art. 269b § 1a k.k. depenalizuje tylko zachowania wskazane w paragrafie 1 tego artykułu i nie zwalnia od odpowiedzialności za użycie takiego urządzenia/programu i uzyskanie informacji poprzez przełamanie jej zabezpieczenia, jak czyni to art. 32a ust. 7 uABW.
Czy haking „prywatny” jest legalny?
Dlatego w zakresie legalności działań, polegających na ocenie zagrożeń w systemach lub sieciach teleinformatycznych, podejmowanych przez pentesterów i bugbounterów, nic się po nowelizacji Kodeksu nie zmieni (zmiany wchodzą w życie 27 kwietnia 2017 r.), oprócz tego, że legalnie będą mogli wytwarzać i nabywać oprzyrządowanie hakerskie do pentestów. Nadal, przede wszystkim na podstawie art. 267 k.k., karalne będzie szukanie dziur w architekturze IT, nawet jeśli sprawca kieruje się szlachetnymi intencjami, tj. działa w celu zabezpieczenia sieci lub systemu przed popełnieniem przestępstw i powiadomi o stwierdzonych lukach właściciela sieci/systemu. Inną sytuacją jest, jeśli osoba uprawniona do zarządzania siecią/systemem wyrazi zgodę na prowadzenie testów. Odpada wtedy jeden z elementów konstytuujących przestępstwo, tj. jego bezprawność. Nawet gdyby już po fakcie został złożony wniosek o ściganie pentestera, jego zachowanie nie będzie nosiło znamion czynu zabronionego. Można to porównać do sytuacji uszkodzenia mienia: jeśli wbrew woli właściciela pojazdu zniszczę całą karoserię, wybiję szyby i poprzecinam opony w jego samochodzie, zostanę skazany z art. 288 k.k. Jeśli jednak sam dysponent samochodu poda młot i poprosi o dokonanie uszkodzeń, moje zachowanie nie będzie nosiło cech bezprawności.
Przypadki tzw. etycznego hakingu, prowadzonego przez hakera na własną rękę, nie będą podlegać wyłączeniu odpowiedzialności karnej. Ocenie prokuratora lub sądu podlegałaby kwestia ewentualnej znikomej społecznej szkodliwości czynu i umorzenia sprawy lub warunkowego umorzenia. Ostatnio w kwestii tej pojawiło się wiele nieporozumień, a Internet obiegła błędna informacja, że po nowelizacji Kodeksu karnego hakowanie w sieci będzie dozwolone, jeśli tylko haker robi to wyłącznie w celu zabezpieczenia systemu/sieci przed popełnieniem przestępstwa. W tym duchu entuzjastycznie wypowiedziała się nawet Minister Cyfryzacji Anna Streżyńskia, zamieszczając tweeta: „Poprawki bug bounty /…/ przyjęte przez Sejm. Dziękujemy!”. Inne, skądinąd wiarygodne zazwyczaj portale, donosiły, że „znalezienie i zgłoszenie luki bezpieczeństwa” nie będzie przestępstwem (niebezpiecznik.pl), a zmiany w Kodeksie karnym pozwalają „pentesterom przeprowadzać testy bezpieczeństwa bez zagrożenia odpowiedzialnością karną” (zaufanatrzeciastrona.pl).
Przypadki tzw. etycznego hakingu, prowadzonego przez hakera na własną rękę, nie będą podlegać wyłączeniu odpowiedzialności karnej. Ocenie prokuratora lub sądu podlegałaby kwestia ewentualnej znikomej społecznej szkodliwości czynu i umorzenia sprawy lub warunkowego umorzenia.
Faktem jest, że nieprecyzyjna interpretacja wprowadzonych zmian była po części usprawiedliwiona sprowokowaną przez ustawodawcę sytuacją, kiedy prawo pozwala na wytwarzanie i obrót narzędziami hakerskimi, a kara za ich efektywne stosowanie. To tak, jakby pozwolić każdemu na wytwarzanie i obrót bronią palną, ale penalizować tylko jej użycie. Jedyne sensowne wytłumaczenie wprowadzenia art. 269b § 1a k.k. to konotacja, że odtąd nie będą karane za posiadanie nielegalnych urządzeń lub narzędzi osoby, które zawodowo realizują pentesty na zlecenie właściciela/administratora systemu informatycznego. Tutaj znowu pojawia się kolejna wątpliwość: z uwagi na brzmienie art. 269b § 1 k.k., do którego odwołuje się paragraf 1a, bezkarność gwarantuje tylko posiadanie urządzeń i programów przystosowanych do popełniania enumeratywnie wymienionych w tym przepisie przestępstw. Zatem osoby wytwarzające lub udostępniające oprogramowanie przeznaczone do walki z przestępczością internetową w postaci oszustwa (art. 286 § 1 k.k.) czy tzw. oszustwa komputerowego (art. 287 § 1 k.k.) – nadal podlegają odpowiedzialności karnej na podstawie art. 269b § 1 k.k. Co więcej, konstrukcja tego przepisu nie rozgranicza jednoznacznie, jakiego typu urządzenia i programy komputerowe mogą być wykorzystywane w celach całkowicie legalnych, a które służą do popełniania przestępstw i są zabronione. Tymczasem kwestia oprogramowania o podwójnym zastosowaniu była podnoszona wielokrotnie w toku konsultacji społecznych. Wskazywano m.in. na fakt, że właściwie każdy komputer czy smartfon może zostać uznany za przystosowany do popełniania przestępstw teleinformatycznych, bo nawet najbardziej niebezpieczne oprogramowanie wymaga przecież standardowej platformy sprzętowej.
Czy haking „państwowy” jest legalny?
Kodeksowy kontratyp z art. 269b § 1a k.k. ma zakres węższy aniżeli kontratyp ustawowy z art. 32a ust. 7 uABW. Ostatni z wymienionych, oprócz wytwarzania i pozyskiwania nielegalnych urządzeń lub programów komputerowych do tzw. ocen bezpieczeństwa, depenalizuje ponadto ich użycie nawet w sposób powodujący dostęp do informacji prawnie chronionej bez zgody dysponenta systemu. W tym przypadku legislator nie zapomniał o tym, że decydujące znaczenie ma możliwość zastosowania wspomnianych narzędzi w działaniu. Dwa zwolnienia mają ponadto różny zakres przedmiotowy. Podczas, gdy paragraf 1a dotyczy przestępstw opisanych w art. 269b § 1 k.k. bez żadnych dodatkowych ograniczeń, to w przypadku art. 32a ust. 7 uABW trzeba mieć na uwadze, że nielegalne narzędzia hakerskie mogą być wykorzystywane przez ABW, po pierwsze – tylko do ścisłego katalogu czynów zabronionych, po drugie – tylko w celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń o charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów i sieci teleinformatycznych infrastruktury krytycznej. W tym stanie rzeczy inwigilowanie przez Agencję systemu komputerowego zwykłego obywatela wydaje się sytuacją zupełnie wyjątkową.
Nielegalne narzędzia hakerskie mogą być wykorzystywane przez ABW, po pierwsze – tylko do ścisłego katalogu czynów zabronionych, po drugie – tylko w celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń o charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów i sieci teleinformatycznych infrastruktury krytycznej.
Wynika z tego, że dopuszczalność pozyskiwania i obrotu przez ABW zabronionymi urządzeniami i programami komputerowymi jest znacznie ograniczona i tylko w jednym przypadku Agencja może wykorzystać je do bezpośrednich działań (testy bezpieczeństwa). Służbie nie przyznano natomiast uprawnień – w ramach kontroli operacyjnej i przy wykorzystaniu własnych narzędzi hakerskich – do przeszukiwania komputerów, telefonów, czy rejestrowania obrazu lub dźwięku. Gdyby tak było, ustawodawca zamieściłby w art. 27 uABW podobny kontratyp, jak zrobił to w art. 32a ust. 7 uABW. Dlatego tego typu czynności służba musi praktycznie realizować przy pomocy odpowiednich przedsiębiorstw, operatorów i usługodawców, którzy z racji prowadzonej działalności mają dostęp do systemów i sieci przechowujących informacje chronione.
Skoro przepis art. 296b § 1a k.k. nie zwalnia od odpowiedzialności karnej za wytwarzanie, pozyskiwanie, zbywanie i udostępnianie urządzeń i narzędzi innych niż przeznaczone do testów bezpieczeństwa, należy zakwestionować legalność produkcji pozostałych narzędzi hakerskich na zlecenie służb specjalnych. Chodzi m.in. o instrumenty służące wykradaniu danych na potrzeby wywiadu kryminalnego czy innych czynności realizowanych w ramach kontroli operacyjnej. Zasadność lub niedoskonałość takiego rozwiązania trudno ocenić w sposób jednoznaczny bez pogłębionych studiów problemu. Należy natomiast wątpić w skuteczność wspomnianego zakazu, o czym świadczą pojawiające się co jakiś czas informacje o nabyciu przez Agencję oprogramowania hakerskiego dedykowanego typowym działaniom inwigilacyjnym. Ich zakup jest tym łatwiejszy, że realizowany w ramach tajnego funduszu operacyjnego, do którego nie stosuje się przepisów dotyczących finansów publicznych. Sprzyja temu także praktyczne odrzucenie w całości, na gruncie obowiązującej procedury karnej, koncepcji „owoców zatrutego drzewa”. Aktualne brzmienie art. 168a k.p.k., nie licząc kilku wyjątkowych sytuacji, wręcz nakazuje sądom uwzględnianie dowodów pozyskanych nielegalnie. Dlatego z zainteresowaniem oczekiwany jest wyrok Trybunału Konstytucyjnego, przed którym konstytucyjność art. 168a k.p.k. zakwestionowali Rzecznik Praw Obywatelskich i Krajowa Rada Sądownictwa. Rozwiązaniem problemu mogłoby być określenie szerszego katalogu uprawnień służb do stosowania narzędzi i programów hakerskich, wyznaczając jednocześnie bardzo ścisłe przesłanki użycia wyjątkowych środków. Wydaje się to uzasadnione wobec osób podejrzanych o przygotowanie zamachu terrorystycznego lub udział w zorganizowanej grupie przestępczej, ale już niekoniecznie w odniesieniu do sprawców pospolitych przestępstw.
Podsumowanie i wnioski
W świetle zaprezentowanych rozważań, krytycznie ocenić należy:
- konstrukcję i treść art. 269b k.k., z powodu m.in. niedookreśloności jego znamion, zbyt wąskiego ujęcia katalogu przestępstw oraz irracjonalnego rozdźwięku pomiędzy dopuszczeniem do obrotu narzędziami hakerskimi, a całkowitym zakazem ich używania bez zgody osoby uprawnionej;
- chaotyczne i momentami niejasne unormowania instytucji prawnych dotyczących teleinformatycznych działań inwigilacyjnych ABW, Policji i pozostałych służb m.in. poprzez niedoprecyzowanie warunków i środków technicznych prowadzenia kontroli operacyjnej.
W związku z tym, rekomenduje się:
- ustalenie dotychczasowego wykorzystania art. 269 k.k. w sprawach karnych i zaproponowanie zmian w jego konstrukcji (wiele wskazuje, że jest to przepis martwy);
- całościową analizę przepisów regulujących kontrolę operacyjną w kierunku wypracowania ścisłych i klarownych zasad techniczno-prawnych jej realizacji przez służby;
ustalenie, czy pozyskiwanie i wykorzystanie urządzeń i programów hakerskich przez służby mogłoby być, - przynajmniej częściowo, oparte na kooperacji publiczno-prywatnej w zakresie ich bezpiecznej produkcji, dystrybucji i użytkowania.
Autorzy:
Wiesław Goździewicz – Ekspert Instytutu Kościuszki. Komandor porucznik. Radca prawny w NATO Joint Force Training Centre w Bydgoszczy. Ukończył studia na Wydziale Prawa i Administracji Uniwersytetu Gdańskiego. Służył w 43. Bazie Lotniczej Marynarki Wojennej i w Oddziale Prawa Międzynarodowego Publicznego Departamentu Prawnego Ministerstwa Obrony Narodowej. Poza codzienną obsługa prawną JFTC, prowadzi szkolenia na temat praktycznych aspektów międzynarodowego prawa humanitarnego i prawnych aspektów operacji wojskowych, zarówno w kontekście działań konwencjonalnych jak i operacji cybernetycznych oraz operacji w przestrzeni kosmicznej. Wykładał na Akademii Obrony Narodowej w Warszawie, Akademii Marynarki Wojennej w Gdyni, Uniwersytecie Kazimierza Wielkiego w Bydgoszczy oraz Szkole NATO w Oberammergau.
Paweł Opitek – Ekspert Instytutu Kościuszki. Doktor nauk prawnych i absolwent studiów dziennikarskich. Prokurator Prokuratury Rejonowej Kraków-Podgórze. Członek: Polskiego Towarzystwa Kryminalistycznego, zespołu „Blockchain i Kryptowaluty” przy Ministerstwie Cyfryzacji oraz Centrum Technologii Blockchain przy Uczelni Łazarskiego. Autor publikacji z zakresu cyberprzestępczości, statusu i roli kryptowalut w prawie karnym oraz przestępczości w bankowości elektronicznej.
Instytut Kościuszki