Odpowiedzialność za „zapomnienie” hasła do routera i „przypadkowe” skasowanie ważnego użytkownika w systemie

A skoro parę dni temu było Radio Erewań („Sprzedając lub kupując laptop albo smartfona możesz być posądzony o hakerstwo”) to dziś kilka akapitów o starych dylematach informatyków poróżnionych z chlebodawcami: czy coś grozi jeśli — po zwolnieniu z roboty — zapomnę hasła do systemu, które tylko ja znałem? a jeśli „przez przypadek” usunę istotne konto użytkownika? słowem: czy odmowa podania hasła do systemu informatycznego wiąże się z jakąś odpowiedzialnością karną? (wyrok Sądu Okręgowego w Bydgoszczy z 13 maja 2015 r., sygn. akt IV Ka 141/15).


odmowa podania hasła do systemu

Linux oczywiście wyposażony jest w szereg chakierskich funkcji i poleceń, część z nich dostępna jest bezpośrednio po instalacji systemu — czy będą zabierać domy i samochody za instalacje dystrybucji?


Ex-informatyk szkolny został oskarżony o to, że po zwolnieniu z pracy nie udostępnił dyrektorowi placówki hasła do serwera szkolnego, co zostało zakwalifikowane jako utrudnianie dostępu do systemów informatycznych (art. 268a par. 1 kk), a także o nieuprawnione usunięcie konta jednego z nauczycieli w serwisie internetowym szkoły (art. 269a kk).

Sąd uznał oskarżonego winnym zarzucanego czynu i wymierzył mu karę grzywny w wysokości 500 złotych, a także zobowiązał do naprawienia szkody wyrządzonej szkole (ok. 3,3 tys. złotych, a był to koszt nadgodzin dla pracowników pracujących przy przywracaniu funkcjonalności).

art. 268a par. 1 kk
Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych,
podlega karze pozbawienia wolności do lat 3.
art. 269a kk
Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej,
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Zdaniem obrońcy wyrok nie wziął pod uwagę, że (i) problem nie dotyczył „serwera” lecz „routera”, który nie zawiera danych teleinformatycznych, nie ma związku z cyberprzestępczością i nie służy do otrzymania dostępu do danych szkoły, (ii) oskarżony mógł nie znać hasła do routera, a logi pozwalające na ustalenie, że jednak podał prawidłowe hasło — które było wpisywane pod jego nieobecność — zostały skasowane przez informatyka, (iii) szkoła nie miała dostępu do internetu nie przez to, że nie było hasła do routera, lecz ze względu na niezapłaconą fakturę, (iv) nie można mówić o nieuprawnionym dostępie, skoro w okresie wypowiedzenia informatyk był jeszcze pracownikiem szkoły, (v) a w dodatku szkoła nie poniosła żadnej szkody wskutek rzekomych przestępstw popełnionych przez informatyka.

Rozpatrując apelację sąd zauważył, że wszystkie okoliczności sprawy zostały prawidłowo wykazane i ocenione w I instancji, zaś żaden z dowodów nie budzi najmniejszych wątpliwości.

Przede wszystkim prawidłowa była kwalifikacja uniemożliwienia podłączenia się do routera, zwłaszcza, że sąd nie dał wiary, że ex-informatyk nie pamiętał już ustawionego przez siebie wcześniej hasła do urządzenia. Nietrafny okazał się także zarzut, iżby pracownicy szkoły nie umieli wpisać podanego hasła, tylko po to, by zaszkodzić zwolnionemu z pracy — zdaniem sądu to właśnie oskarżony dużo zrobił by utrudnić życie szkole w ramach retorsji za zwolnienie go z pracy.
Podobnie prawidłowo oceniono istnienie związku przyczynowego pomiędzy podaniem nieprawidłowego hasła do routera a niemożnością dostępu przez szkołę do internetu, na co nb. nałożyły się inne niedociągnięcia oskarżonego (związane ze zmianą dostawcy).

Nietrafne okazały się także „sofistyczne” rozważania odnoszące się do istoty urządzenia jakim jest router — prawdą jest, że odmowa podania hasła była skutkiem obstrukcji oskarżonego, przez co szkoła nie mogła podłączyć się do systemu (m.in. zmienić uprawnień użytkowników, prowadzić e-dzienniki, zarządzać biblioteką, prowadzić e-księgowość, etc).

W kontekście rzekomego uprawnienia do podejmowania takich działań z racji zatrudnienia sąd przypomniał, że w zakres obowiązków pracowniczych nie wchodzi przeszkadzanie pracodawcy w korzystaniu z jego zasobów teleinformatycznych.
Nie ma też znaczenia, że szkoła cały czas miała nieskrępowany dostęp do wewnętrznych danych — a utrudnienia dotyczyły tylko do systemu dostępnego przez internet, a to dlatego, iż:

Art. 268a kk chroni integralność (nienaruszalność zapisów informacji w postaci danych informatycznych), prawidłowość funkcjonowania programów komputerowych, a także dostępność informacji w postaci danych informatycznych (możliwość korzystania z nich przez osoby uprawnione). Przedmiotem oddziaływania sprawcy są dane informatyczne oraz procesy przetwarzania, gromadzenia lub przekazywania tych danych (…) Dane informatyczne oznaczają dowolne przedstawienie faktów, informacji lub pojęć w formie właściwej do przetwarzania w systemie komputerowym, łącznie z odpowiednim programem powodującym wykonanie funkcji przez system informatyczny.

Co do odpowiedzialności za usunięcie użytkownika systemu sąd podzielił ocenę, iż stanowiło to „istotne zakłócenie” jego pracy w rozumieniu art. 269a kk — a to dlatego, że szkoła musiała podjąć szereg dodatkowych czynności w celu odtworzenia konta użytkownika i odzyskania możliwości zarządzania tym serwisem.

Stąd też wyrok I instancji został utrzymany w mocy — z wyjątkiem odszkodowania, które nie mogło być zasądzone, a to dlatego, że szkoła nie zapłaciła pracownikom za nadgodziny, zaś art. 46 par. 1 kk nakazuje naprawienie szkody faktycznie powstałej.

Reasumując: nawet jeśli nie jest prawdą, że w Leningradzie na Newskim Prospekcie rozdają samochody, to jednak warto pamiętać, że odmowa podania hasła do systemu — przez pracownika, który z racji obowiązków zawodowych obsługiwał ten system — może stanowić przestępstwo.

18
Dodaj komentarz

avatar
6 Comment threads
12 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
keiran
Gość
keiran

Słabego następcę znalazła szkoła, skoro nie potrafił po prostu zresetować routera…

Olgierd Rudak
Gość

Być może chodziło o zasadę — jeśli ów człek faktycznie tak wszystkim dopiekł, może postanowili go nieco zmusztrować? ;-)

kjonca
Gość
kjonca

Byłbym ostrożny z takimi ocenami.
Nie wiemy co to za „router” był i ile „logiki” było zapisane w jego konfiguracji. I ile z tej logiki poszłoby do krainy wiecznych bitów „po resecie”

sjs
Gość

Kurcze, mamy w firmie takiego switch do którego nikt nie pamięta hasła. Nie resetujemy go bo jest w dość ważnym miejscu, a wszystko działa prawidłowo, a tak trzeba by go skonfigurować na nowo.

kjonca
Gość
Olgierd Rudak
Gość

Czyli być może szkoła chciała iść na taki rekord. To też jest wyjaśnienie — choćby z punktu widzenia marketingowego.

sjs
Gość

Z tym Radiem Erewań to jest śmieszne dopóki ktoś nie będzie musiał udowodnić, że nie jest wielbłądem.

Olgierd Rudak
Gość

Oczywiście, że może się to zdarzyć — niemniej problem byłby wówczas gdyby był to trend. Błędy się niestety zdarzają (niestety, bo błąd w sądzie to prawie jak błąd u lekarza — a czasem nawet gorzej).

Maho
Gość

strach się bać, jestem informatykiem który regularnie zapomina haseł (najważniejsze: nie zapisawać) – jeżeli mi sąd też kiedyś nie uwierzy że zapomniałem ….

Olgierd Rudak
Gość

Jeśli zawsze zapominałeś, to uwierzy :)

Bylebyś o tym pamiętał (prowadź notatki ;-)

Maho
Gość

czyli haseł nie zapisywac ale zapisywać incyndenty niepamiętania? wygodne, nie powiem.

Olgierd Rudak
Gość

Tak mi się wydaje — coś w rodzaju notatniczka z logami niepamięci ;-)

13 lutego 2017 r. — znów zapomniałem hasła do XYZ, muszę resetować urządzenie,
14 lutego 2017 r. — po wczorajszym resecie utworzyłem nowe hasło, oczywiście nie zapisałem — trudno je spamiętać,
(…)
1 kwietnia 2017 r. — no i masz, znów zapomniałem tego hasła, a było mi potrzebne…

sjs
Gość

Tylko czy taki log niezabezpieczony hasłem będzie wiarygodny dla sądu? ;)

sjs
Gość

W tej chwili to właściwie pamiętam tylko hasło do menedżera haseł, a inne staram się robić takie żeby nawet nie dało się ich zapamiętać.

Tervueren
Gość
Tervueren

Jak spojrzeć na to w bardzo ogólny sposób, to pierwsze co nasuwa się na myśl, to zabawa szkolnych „chakierów”. Dzieciaki często mają wiedzę informatyczną przewyższającą tzw. „informatyków” i dyrektorów szkół. Już na pierwszy rzut oka ten system wydaje się być zupełnie bezbronny, gdyż w normalnych warunkach standardem powinna być kopia zapasowa (dzienna, przyrostowa/różnicowa i okresowa, pełna). Również ustawienia routera powinny być „bekapowane” po każdej zmianie konfiguracji, tak żeby można było urządzenie zresetować i wgrać ustawienia. W tej historii przerażenie budzi naiwność obu stron: szkoły (brak spójnego zarządzania bezpieczeństwem danych) i „informatyka” (jeśli rzeczywiście dopuścił się tak „szczeniackiego” wybryku). Na to… Czytaj więcej »

Olgierd Rudak
Gość

Dokładnie rzecz ujmując art. 269a kk mówi o: systemie komputerowym (lub) sieci teleinformatycznej — aczkolwiek faktycznie pada zdanie „zwłaszcza, że pojęcie systemu komputerowego należy utożsamiać z pojęciem systemu informatycznego.

Co do router/serwer: z punktu widzenia przepisu jest to bez znaczenia, zaś prawdą jest, że zdaniem oskarżenia chodziło o serwer, a sprawca się bronił, że „to był tylko router”. Zdaniem sądu — przynajmniej ja to tak widzę — router jako element systemu komputerowego służący do umożliwienia pracy sieci teleinformatycznej jak najbardziej „łapie się” na przepis.

Patryk
Gość
Patryk

Czy Ty Olgierd masz jedno hasło do różnych rzeczy, różne hasła do różnych rzeczy, czy używasz jakiegoś menedżera haseł (czyli pamiętasz tylko 1 hasło)? Możesz polecić jakiegoś takiego menedżera?