Nowy kontratyp: szukanie luk w systemach informatycznych (art. 269b par. 1a kk oraz art. 269c kk)

Wchodząca wkrótce w życie nowelizacja kodeksu karnego to nie tylko karkołomna konfiskata rozszerzona mienia (por. „Przepadek rozszerzony i wyłączenie bezpiecznika z art. 4 par. 1 kk”), to także oceniane jako kontrowersyjne zaostrzenie sankcji za przestępstwo zakłócenia funkcjonowania systemów teleinformatycznych (art. 269a kk) oraz wytwarzanie lub sprzedaż sprzętu i oprogramowania hakerskiego (art. 269b par. 1 kk) — ale i nowe kontratypy wyłączające bezprawność czynów, które mogłyby być zakwalifikowane jako przestępstwa przeciwko bezpieczeństwu informatycznemu.


nowy kontratyp art. 269b kk art. 269c kk

W kodeksie karnym pojawia się kontratyp działania w celu wykrycia błędów w zabezpieczeniach systemów informatycznych (art. 269b par. 1 kk oraz art. 269c kk)


Rozchodzi się o dwa nowe przepisy — art. 269b par. 1 kk oraz art. 269c kk — zgodnie z którymi nie stanowią przestępstwa:

  • wytwarzanie, pozyskiwanie, zbywanie urządzeń lub oprogramowania służącego m.in. do przestępstw podsłuchu (art. 267 par. 3 kk), niszczenia, usuwania danych informatycznych lub zakłócania ich przetwarzania (art. 268a kk, art. 269 par. 2 kk), nieuprawnione zakłócanie pracy systemu informatycznego lub sieci teleinformatycznej (znowelizowany art. 269a kk) — jeśli sprawca skądinąd nieuprawnionej ingerencji w systemy działa wyłącznie w celu zabezpieczenia systemu przed popełnieniem jednego z tych przestępstw lub w celu opracowania metody takiego zabezpieczenia (art. 269b par. 1a kk);
  • nieuprawnione uzyskanie dostępu do części lub całości systemu informatycznego (art. 267 par. 2 kk) oraz nieuprawnione zakłócenie pracy systemu (ten sam art. 269a kk) — jeśli sprawca dopuścił się czynu w celu wskazanym powyżej — ale pod dodatkowym warunkiem, że jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody, a sprawca niezwłocznie powiadomił właściciela o wykrytych lukach i błędach w systemie lub sieci (art. 269c kk).

art. 269b § 1a kk
Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.
art. 269c kk
Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.

Dla jasności (chociaż temat pewnie będzie wracał nie raz):

  • nowy kontratyp nie obejmuje wszystkich działań wymierzonych w bezpieczeństwo systemów: pod pozorem rozpracowywania luk w systemach nadal nie będzie można m.in. podsłuchiwać i ujawniać podsłuchanych informacji (art. 267 par. 4 kk), niszczyć zapisów istotnych danych (art. 268 kk);
  • „niezamówione pentesty” nie dotyczą danych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji i funkcjonowania organów państwa (art. 269 par. 1 kk);
  • zawsze warunkiem kwalifikacji czynu pod kątem kontratypu jest wyłączne działanie w celu wykrycia błędów w systemie i zapewnienia im bezpieczeństwa — warto też zwrócić uwagę, że kontratyp z art. 269c kk obwarowany jest dodatkowymi warunkami, z których podkreślić należy „przejrzystość” działań — które nie tylko nie mogą powodować szkody w systemach, ale i sprawca powinien powiadomić osoby uprawnione (nie ujawniając informacji ogółowi) o wykrytych lukach;
  • dla przypomnienia: zgoda uprawnionego — czyli przeprowadzenie testów na zlecenie administratora systemu — wyłącza karalność zawsze. Jeśli gdzieś przeczytacie, że dotąd szukanie luk w systemach było przestępstwem — to nieprawda.

Dla przypomnienia: nowelizacja kodeksu karnego (Dz.U. z 2017 r. poz. 768) wchodzi w życie po upływie 14 dni od promulgacji, czyli 27 kwietnia 2017 r.

Dodaj komentarz

avatar

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
Powiadom o