(6): Sabotaż komputerowy (art. 269a k.k.)

O sabotażu komputerowym…

W art.269a k.k. uregulowano przestępstwo sabotażu komputerowego. Przepis ten chroni bezpieczeństwo systemów informatycznych i teleinformatycznych oraz sieci teleinformatycznej. 

Kim jest sprawca tego przestępstwa i jak się zachowuje? 

Sprawcą przestępstwa sabotażu komputerowego może być każdy. Przestępstwo można popełnić poprzez działanie, jak i zaniechanie. Charakteryzuje je umyślność. 

Oprócz wskazanych już w art. 268a k.k. czynności – zniszczenia, usunięcia, uszkodzenia lub zmiany danych informatycznych, w omawianym przepisie dodano jeszcze zakłócenie pracy systemu komputerowego lub sieci telekomunikacyjnej. 

Aby można było uznać, że doszło do popełnienia omawianego przestępstwa musi wystąpić skutek w postaci istotnego zakłócenia pracy systemu komputerowego lub sieci teleinformatycznej. 

Jaka kara grozi za popełnienie przestępstwa sabotażu komputerowego? 

Przestępstwo sabotażu komputerowego zagrożone jest karą pozbawienia wolności od 3 miesięcy do lat 5. Ściganie odbywa się z oskarżenia publicznego. 

Czym różni się przestępstwo sabotażu komputerowego z art. 269a k.k. od przestępstwa niszczenia baz danych z art. 268a k.k.?

W przypadku tych przestępstw należy postawić wyraźnie granicę ze względu na istotne podobieństwa między nimi oraz odmienny tryb ścigania i zagrożenie karą. Niektórzy z przedstawicieli doktryny (np. A. Adamski) optują za usunięciem art. 268a z kodeksu karnego.  

Jedno z podejść do problemu zastosowania przepisów art. 269a, 268a i 268 k.k. wskazuje, że należy przyjąć kwalifikację z art. 269a i wyłączyć pozostałe dwa przepisy. 

Drugie z podejść do tego problemu wskazuje na kwalifikowane zakłócenie automatycznego przetwarzania, gromadzenia i przekazywania danych informatycznych w art. 269a k.k.. W sytuacji jedynie zakłócenia automatycznego przetwarzania danych znaleźć może zastosowanie art. 268a k.k., a w przypadku, gdyby oprócz zakłócenia automatycznego przetwarzania danych doszło dodatkowo do ingerencji w funkcje systemu, zastosowany powinien zostać art. 269a k.k. 

Przykłady z orzecznictwa polskich sądów w sprawach dotyczących sabotażu komputerowego:

  1. Wyrok Sądu Okręgowego w Świdnicy z dnia 9.01.2018 r. sygn. akt IV K 720/17; w okresie od października 2013 r. do kwietnia 2014 r. w J. i w K., województwa (…), nie będąc do tego uprawnionym, poprzez składanie fałszywych zamówień oraz transmisję danych informatycznych utrudnił dostęp do sytemu komputerowego obsługującego pracę sklepu internetowego na stronie (…) w istotnym stopniu zakłócając jego pracę, działając na szkodę A. L. K., to jest czynu z art. 269a k.k. w zw. z art. 12 k.k.;
  2. Wyrok Sądu Okręgowego w Bydgoszczy z dnia 13 maja 2015 r., sygn. akt IV Ka 141/15: w dniu 10 października 2012 r. o godz. 18:17 nie będąc do tego uprawnionym, po uprzednim zalogowaniu się w serwisie internetowym (…), do którego podłączony jest Zespół Szkół Ogólnokształcących Nr (…) w B., dokonał w nim zmian poprzez usunięcie konta użytkownika przypisanego do jednego z nauczycieli, tj. P. D., tj. o czyn z art. 269a k.k.;
  3. Wyrok Sądu Okręgowego w Elblągu z dnia 12.02.2015 r., sygn. akt IV Ka 11/15: w dniu 31 maja 2013 r. w miejscowości Z. nie będąc do tego uprawnionym przy pomocy karty (…) oraz oprogramowania znajdującego się na dysku laptopa (…) wysyłał pakiety SYN blokując pracę systemu komputerowego oraz strony internetowej (…) w istotnym stopniu zakłócając pracę systemu komputerowego, czym działał na szkodę M. Ż., tj. o czyn z art. 269a k.k.

Stan prawny na dzień: 31 stycznia 2022 roku;

(4): Niszczenie informacji, destruction of information (art. 268 k.k.) | Cykl „35 cyberprzestępstw w polskim prawie karnym”


Art. 268 Kodeksu karnego

§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolności do lat 3.

§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego

I. Na czym polega przestępstwo niszczenia informacji?  

Przepis art. 268 Kodeksu karnego chroni istotną informację, jej integralność, dostęp do niej oraz interesy osoby nią dysponującej. Przestępstwo niszczenia informacji może popełnić każdy, o ile nie jest uprawniony do podejmowanych działań. 

Przestępstwo niszczenia informacji popełnić można poprzez przykładowo wymienione w tym przepisie:

  1. Niszczenie zapisu istotnej informacji;
  2. Uszkodzenie zapisu istotnej informacji;
  3. Usuwanie zapisu istotnej informacji;
  4. Zmienianie zapisu istotnej informacji;
  5. Inny sposób udaremnienia lub znacznego utrudnienia zapoznania się z nią; 

Istotna informacja może zostać zapisana w różnoraki sposób:

  • jako notatka,
  • na taśmie magnetofonowej,
  • na płycie,
  • na fotografii,
  • jako nagranie na kamerze. 

Jeśli taka istotna informacja zapisana została na nośniku danych zastosowanie znajdzie kwalifikacja prawna z § 2 art. 268 k.k. Zapis może zostać usunięty lub zniszczony w sposób fizyczny lub elektronicznie. Do popełnienia takiego przestępstwa dochodzi najczęściej w sytuacji, gdy sprawca wykorzystuje do usunięcia lub zniszczenia zapisu program w postaci (A. Adamski, Przestępstwa komputerowe, s. 71):

  • wirus komputerowy;
  • robaka komputerowego
  • „bomby logiczne”
  • „bomby czasowe” (rodzaj bomby logicznej)

Czyn z § 1 zagrożony jest karą grzywny, karą ograniczenia wolności albo karą pozbawienia wolności do lat 2. Natomiast surowsza kara grozi w przypadku obu postaci kwalifikowanych czynu z § 2 i 3. Przestępstwo ścigane jest wyłącznie na wniosek pokrzywdzonego. 

II. Przykłady czynów polegających na niszczeniu informacji 

Przykład nr 1: Oskarżona stanęła pod zarzutem popełnienia przestępstwa z art. 268 § 1 i 2 k.k. polegającego na tym, że w dniu 3 sierpnia 2015 roku w G. w siedzibie firmy (…) s.c. J. Ż., K. Ż., G. Ż., nie będąc osobą uprawnioną, a także działając umyślnie i wykorzystując mechanizm kosza systemowego, w ustalonym czasie pomiędzy godziną 11.39.56 i 11.42.02 usunęła z informatycznych nośników danych w postaci dwóch dysków twardych S. istotne informacje w postaci co najmniej 231 plików. (SO Gliwice, VI Ka 1076/17)

Przykład nr 2: Sąd Rejonowy (…) wyrokiem z dnia 23 czerwca 2016 r., sygn. akt VI K 727) 15, uznał oskarżone za winne tego, że w dniu 15 kwietnia 2015 r. w S. przy ul. (…), działając wspólnie i w porozumieniu, dokonały zniszczenia laptopa marki A. o wartości deklarowanej 1.000 zł na szkodę M. B. (1) w celu usunięcia zapisów na informatycznym nośniku danych, kwalifikując ten czyn z art. 268 § 2 k.k.

Problemy natury prawne

1. Osoba uprawniona

Osobą uprawnioną do działań opisanych w tym przepisie jest często osoba fizyczna wykonująca pracę lub czynności w organach państwowych, organach samorządowych oraz osoby prawne i jednostki organizacyjne niemające osobowości prawnej, które przetwarzają dane w związku z prowadzoną działalnością.

2. Istotność informacji

Pojęcie istotnej informacji jest pojęciem ocennym i dlatego dokonując analizy należy wziąć pod uwagę czynniki kulturowe i zwyczajowe, a owa istotność oceniana powinna być z punktu widzenia ogółu. 

Zdjęcie: pixabay.com

Stan prawny na dzień: 23 sierpnia 2021 roku

(1) Przestępstwo hackingu w polskim prawie karnym | Cykl „35 cyberprzestępstw w polskim prawie karnym”

HACKING W UJĘCIU Z ART. 267 § 1 Kodeksu karnego

CZYM JEST HACKING?

Myśląc zwykle o hackingu na myśl przychodzi zachowanie hackera, który wykorzystując swoje umiejętności techniczne bez uprawnienia przełamuje zabezpieczenie i uzyskuje dostęp do systemu lub informacji. Hackera charakteryzuje różnoraka motywacja, ale zwykle nie jest to uzyskanie korzyści majątkowej albo nie stanowi to jego głównego celu. 

JAK PRAWO CHRONI PRZED HACKINGIEM?

Polskie prawo karne nie przewiduje jednej kwalifikacji prawnej, która odnosiłaby się do przestępstwa hackingu. 

Najczęściej czynom dokonywanym przez hackerów odpowiada art. 267 Kodeksu karnego i zgodnie z jego § 1 „kto bez uprawnienia uzyskuje dostęp do informacji dla niego nie przeznaczonej (…), przełamując albo omijając elektroniczne, informatyczne jej zabezpieczenie (…)”. Uznać można, że hacking stanowi współczesne przestępstwo naruszenia tajemnicy korespondencji. 

Przypuszcza się, że skala tego przestępstwa nie znajduje odzwierciedlenia w oficjalnych statystykach. 

PRZESŁANKI POPEŁNIENIA PRZESTĘPSTWA HACKINGU

Aby móc przyjąć, że doszło do popełnienia „klasycznego” przestępstwa hackingu z art. 267 § 1 k.k. muszą zostać spełnione następujące przesłanki:

  • brak upoważnienia do uzyskania dostępu do tych informacji;
  • samo uzyskanie dostępu wystarczy;
  • informacje nie są przeznaczone dla osoby, która uzyskała do nich dostęp;
  • uprzednie ustanowienie zabezpieczeń
  • działanie poprzez przełamanie lub ominięcie zabezpieczeń.

JAK DZIAŁA SPRAWCA HACKINGU? 

W dużym uproszczeniu przepis art. 267 § 1 Kodeksu karnego odnosi się do ochrony tajemnicy korespondencji, czyli nieprzeznaczonej dla sprawcy informacji, z którą, aby popełnić przestępstwo wcale nie musi się zapoznać czy też jej zrozumieć. Wystarczy, że sprawca uzyska do niej dostęp i to już naraża go na odpowiedzialność.

Hacker może działać:

  • przełamując,
  • omijając,

– elektroniczne, magnetyczne, informatyczne lub inne szczególne zabezpieczenia informacji.

W tym kontekście zabezpieczenie rozumiane jest jako wszelka forma utrudniania dostępu do informacji, których usunięcie wymaga wiedzy specjalnej lub posiadania szczególnego urządzenia lub kodu czy np. szyfrowania danych, zapory ogniowe i programy antywirusowe.

JAKA KARA GROZI ZA HACKING?

Czytaj dalej (1) Przestępstwo hackingu w polskim prawie karnym | Cykl „35 cyberprzestępstw w polskim prawie karnym”

Książka „Cyfrodziewczyny. Pionierki polskiej informatyki”

IMG_4038

Przeczytana jednym tchem.

Gratulacje dla autorki!

Książka „Cyfrodziewczyny. Pionierki polskiej informatyki” to opowieść o kobietach, idealistkach, które marzyły, aby w Polsce czasów PRL-u stworzyć maszyny cyfrowe (komputery), które mogłyby konkurować z tymi produkowanymi na Zachodzie. Osiągnięcie tego celu było wyjątkowo trudne, gdyż w czasach PRL-u dostęp do wszelkich zachodnich innowacyjnych rozwiązań był niemożliwy ze względu na politykę władz oraz nałożone przez USA embargo. Pomimo tego one poświęcały swój czas na tak słabo opłacaną, aczkolwiek, prestiżową pracę.

Już wcześniej interesowałam się historią wrocławskich Zakładów Elektronicznych ELWRO i wyprodukowaną tam serią komputerów Odra, ale nigdy nie udało mi się dotrzeć do tak ciekawych informacji. Ukłony dla autorki za wykonaną pracę i cieszę, że historie polskich programistek Jowity Koncewicz, Krystyny Pomaski czy Wandy Rutkiewicz (w wolnej chwili zdobywającej najwyższe szczyty górskie świata) nie zostaną zapomniane.

#PolskaInformatyka #Cyfrodziewczyny #GirlsGoneTech

Zdalne nauczanie i bezpieczeństwo danych osobowych

computer-5130405_1280

W związku z pandemią koronawirusa poczta elektroniczna i inne elementy pracy grupowej, takie jak narzędzia konferencyjne lub komunikatory internetowe stały się wsparciem dla wielu uczniów i nauczycieli, wykorzystujących zdalne metody nauczania. Korzystając z nich, warto pamiętać o bezpiecznym przetwarzaniu danych.

Jeśli jesteś dyrektorem szkoły…

─ Szkoły znalazły się obecnie w wyjątkowej sytuacji, w której muszą stawić czoła nowym wymaganiom związanym z pracą zdalną. Nowe przepisy dotyczące realizacji zajęć szkolnych w formie pracy zdalnejdają szeroką możliwość realizowania przez nauczycieli zajęć z wykorzystaniem metod i technik kształcenia na odległość lub innego sposobu kształcenia, w tym z wykorzystaniem środków komunikacji elektronicznej. Pozostawiają zatem szkołom dużą swobodę odnośnie do wyboru właściwego narzędzia przy uwzględnieniu wszystkich aspektów związanych z możliwościami placówki, nauczycieli, a przede wszystkim, biorąc pod uwagę możliwości techniczne i organizacyjne rodziców i uczniów.

─ Szkoła ma obowiązek poinformować nauczycieli, rodziców oraz uczniów o sposobie realizacji nauki zdalnej. Informacja ta powinna zostać przekazana w prosty sposób, tak aby była zrozumiała dla wszystkich, do których skierowany jest komunikat. Jeżeli szkoła w celu realizacji nauki zdalnej będzie korzystać z nowych narzędzi lub usług świadczonych przez podmioty zewnętrzne, to musi także poinformować o tym, jak w tym zakresie będą przetwarzane dane osobowe.

─ Szkoła powinna zapewnić narzędzia umożliwiające nauczycielom prowadzenie zajęć zdalnych oraz bezpieczną komunikację z uczniami i rodzicami, wdrażając je kompleksowo w całej placówce. Czytaj dalej Zdalne nauczanie i bezpieczeństwo danych osobowych

Działalność nierejestrowana (nieewidencjonowana)

city-4991094_1280

Z dobrodziejstwa działalność nierejestrowanej mogą skorzystać jedynie osoby fizyczne. Działalność taka nie jest traktowana jak działalność gospodarcza i nie wymaga uiszczania składek na ubezpieczenia społeczne. Natomiast jej prowadzenie nie zwalnia  z obowiązku odprowadzania podatku.

Warunki prowadzenia działalności nierejestrowanej

Należy spełnić następujące warunki, aby móc skorzystać z dobrodziejstwa prowadzenia działalności nierejestrowanej:

  • jeżeli nie wykonywałeś w ciągu ostatnich 60 miesięcy działalności gospodarczej,
  • przychody z działalności nie przekroczą w żadnym miesiącu 50% kwoty minimalnego wynagrodzenia (w 2020 roku wynosi ono 2600 zł, więc miesięczny przychód nie może przekroczyć 1300 zł).

Pamiętaj o tzw. okresie przejściowym Czytaj dalej Działalność nierejestrowana (nieewidencjonowana)

Praca zdalna. Zatrudnienie cudzoziemca jako freelancera.

office-1500461_1280

Freelancer to osoba pracująca bez etatu, realizująca projekty na zlecenie, najczęściej specjalizująca się w danej dziedzinie.  Freelancerami są zwykle dziennikarze, graficy, copywriterzy, fotografowie, korektorzy, psychologowie, trenerzy personalni czy programiści.  Freelancer prowadzi działalność gospodarczą albo rozlicza się na podstawie zawieranych umów cywilnoprawnych (umowy o dzieło). Przy poszukiwaniu zleceń korzysta z portali ze zleceniami. Na polskim rynku największa liczba freelancerów to copywriterzy.

Praca zdalna a pozwolenie o pracę w Polsce

Kwestię zasad wykonywania pracy przez cudzoziemców w Polsce reguluje ustawa o promocji zatrudnia i instytucjach rynku pracy. Jej regulacje nie odnoszą się do wykonywania pracy zdalnie, a więc bez fizycznej obecności na terytorium RP.

Zasady zatrudnienia freelancera

Należy rozróżnić dwa rodzaje sytuacji, z którymi może się spotkać polski przedsiębiorca zatrudniający freelancera z zagranicy.

Po pierwsze, gdy freelancer prowadzi działalność gospodarczą, to w takim wypadku po wykonanej pracy wystawia polskiemu przedsiębiorcy fakturę. Czytaj dalej Praca zdalna. Zatrudnienie cudzoziemca jako freelancera.

Zatrudnienie freelancera

office-581131_1280

W ostatnich latach a w szczególności w czasie epidemii wzrasta znaczenie Internetu. Ale od lat istnieje grupa osób, którzy już wcześniej wykorzystywali to narzędzie w swojej codziennej pracy i tymi osobami są freelancerzy.

FREELANCER

Freelancer (z ang. wolny strzelec) to osoba pracująca bez etatu, realizująca projekty na zlecenie, najczęściej specjalizująca się w danej dziedzinie.  Freelancerami są m.in. dziennikarze, graficy, copywriterzy, fotografowie, korektorzy, psychologowie, trenerzy personalni czy programiści.  Freelancer prowadzi działalność gospodarczą albo rozlicza się na podstawie zawieranych umów cywilnoprawnych (umowy o dzieło). Przy poszukiwaniu zleceń korzysta z portali ze zleceniami. Na polskim rynku największa liczba freelancerów to copywriterzy.

Inne znaczenie mają pojęcia „home Office”, „wirtualne biuro” czy „praca zdalna”: Czytaj dalej Zatrudnienie freelancera

System automatycznego rozpoznawania twarzy (facial recognition) a luka prawna

flat-3252983_1280

Czym jest system rozpoznawania twarzy?

System rozpoznawania twarzy (z ang. facial recognition) to technologia oparta na sztucznej inteligencji (AI), która wykorzystuje dane biometryczne do identyfikacji osoby na podstawie jej rysów twarzy.

Początki technologii rozpoznawania twarzy sięgają lat 60. XX wieku. Po raz pierwszy taki system opracowany został przez Bell Labs w Stanach Zjednoczonych. Natomiast w roku 1973 po raz pierwszy taki system został wykorzystany.

Jak prawo odnosi się do technologii rozpoznawania twarzy?

Nie obowiązują żadne przepisy, które odnosiłby się szczegółowo do funkcjonowania tej technologii.

RODO nie wprowadza bezwzględnego zakazu wykorzystania technologii przetwarzających dane biometryczne, a umożliwia to organom publicznym w przypadku, gdy są w stanie to uzasadnić (np policja przy poszukiwaniach osób podejrzanych). Unia Europejska planowała wprowadzenie zakazu wykorzystania tej technologii w kolejnych 5 latach, ale ostatecznie odeszła od tego pomysłu.

Testy systemów rozpoznawania twarzy

Jak wynika z testów wykonanych przez Narodowy Instytut Standardów i Technologii (NIST) Stanów Zjednoczonych na 200 programach do rozpoznawania twarzy, największe problemy tym programom sprawiają twarze kobiet i osób o innym kolorze skóry niż kaukaska. Systemy w małym stopniu radzą sobie z twarzami ciemnoskórych kobiet i w ten sposób mogą stanowić narzędzie do dyskryminacji.

Zgodnie z raportem amerykańskiej fundacji Carnegie Endowment for International Peace w co najmniej 75 państwach na świecie korzysta się ze sztucznej inteligencji przy rozpoznawaniu twarzy, w tym w takich państwach jak Stany Zjednoczone, Francja, Niemcy, Włochy, Hiszpania, Szwajcaria i Czechy. Technologia ta wykorzystywana jest do inwigilowania społeczeństwa przez organy ścigania np. na stadionach, przejściach granicznych, lotniskach, uczelniach itd.

Zagrożenia dla praw podstawowych

System rozpoznawania twarzy stanowi niebezpieczne narządzie mogące zagrozić  prawu do prywatności, którego ochrona zagwarantowana jest w krajowym i unijnym porządku prawnym. Czytaj dalej System automatycznego rozpoznawania twarzy (facial recognition) a luka prawna