Za kraty za blokowanie sieci
Za czasowe blokowanie i celowe utrudnianie dostępu do witryn internetowych będzie groziła kara więzienia. Karane ma być nie tylko wykradanie danych z cudzego systemu, ale także bezprawny dostęp do nich. Eksperci twierdzą, że trzeba poprawić skuteczność ścigania przestępstw komputerowych, a nie zaostrzać sankcje.
W Sejmie trwają prace nad rządowym projektem nowelizacji kodeksu karnego (Dz.U. z 1997 r. nr 88, poz. 553 z późn. zm.). Ministerstwo Sprawiedliwości proponuje zaostrzenie kar dla hakerów, którzy coraz częściej paraliżują pracę systemów komputerowych należących nie tylko do internautów, ale także firm i instytucji państwowych.
- Największe szkody wywołują ataki Denial of Service (odmowa usługi) czy blokowanie przepustowości serwerów. Obiektem takiego ataku była nawet strona Komendy Głównej Policji - mówi nadkomisarz Zbigniew Urbański z KGP.
Czasowe blokowanie sieci
Nowelizacja ma także poszerzyć katalog czynów dokonywanych przez hakerów, które, mimo że wywołują poważne szkody w systemach informatycznych, nie mogą być dziś ścigane przez policję. Chodzi tutaj m.in. o czasowe blokowanie witryn internetowych.
- W wyniku takiego ataku hakera nie można korzystać z całego systemu. Celem ingerencji nie jest włamanie się do środka i kradzież informacji, tylko samo uniemożliwienie jego funkcjonowania - wyjaśnia Piotr Baranowski, specjalista od wdrażania zabezpieczeń informatycznych z firmy Altkom.
Zdaniem ekspertów takie zakłócenia niosą za sobą bardzo poważne szkody i powinny być karane.
- Załóżmy, że obiektem ataku jest instytucja, która czerpie zyski z działalności internetowej. Jest to np. wirtualne wydanie gazety, która zostaje wyłączona na tydzień. Nie dość, że nie będą mogli korzystać z niej czytelnicy, to jeszcze firma nie może wykonywać zakontraktowanych świadczeń reklamowych i musi płacić odszkodowania - mówi Tomasz Grzegory z Onet.pl.
Każdy system można złamać
Przestępstwem będzie także nielegalne podłączanie się do sieci bezprzewodowych, a nie tylko przewodów, za pomocą których działają systemy komputerowe.
- Nie ma wątpliwości co do tego, że zdecydowanie łatwiej jest się podłączyć do sieci bezprzewodowej. Nie ma tutaj najważniejszej bariery, jaką jest bariera fizyczna. Żeby wykraść dane włamując się do sieci bezprzewodowej, wystarczy znajdować się na parkingu czy w sąsiednim budynku - tłumaczy Piotr Baranowski.
Niezależnie od sposobu nielegalnego podłączenia się do systemu, dobry haker i tak będzie mógł go pokonać.
- W każdym miesiącu są wykrywane jakieś błędy w oprogramowaniu. Nie od dzisiaj wiadomo, że informacje o strategicznym znaczeniu nie powinny znajdować się na serwerach publicznie dostępnych. Jeżeli zbierze się kilku napastników z odpowiednią wiedzą, dysponujących zaawansowaną technologią i będą chcieli zaatakować daną instytucję rządową czy finansową, to prawdopodobnie im się to uda - tłumaczy Michał Bućko, specjalista do spraw bezpieczeństwa systemów informatycznych z firmy Eleytt.com.
Dane to łakomy kąsek
Przełamanie lub obejście zabezpieczeń informatycznych to zabieg służący najczęściej do kradzieży danych osobowych.
- Mogą one być wykorzystane następnie przez firmy, które zawodowo zajmują się wysyłaniem spamu albo do phishingu, czyli podszywania się np. pod dostawcę usług bankowości elektronicznej. Taki haker może wysłać maila od rzekomego banku z prośbą o zalogowanie się na wysłanym linku z uwagi na konieczność zmiany hasła. Po wykradzeniu danych konto internauty może zostać wówczas bez jego wiedzy opróżnione - mówi Tomasz Grzegory.
Dlatego w projekcie nowelizacji przewidziano karę więzienia już za samo nielegalne uzyskanie możliwości dostępu do takich informacji. Obecnie za przestęps two uznawana jest wyłącznie sytuacja, w której haker bezprawnie uzyskuje dane z systemu.
Problemy z wykrywaniem
- Już od dawna oczywiste jest, że zaostrzenie kary nie wpływa na spadek liczby popełnianych przestępstw. Czynnikiem, który może doprowadzić do takiego spadku, jest skuteczność wykrywania sprawców przestępstw - mówi Artur Piechocki, prawnik z NASK.
Taką bezwzględnością ścigania może pochwalić się polska policja. Wykrywalność wszystkich sprawców przestępstw internetowych sięga 90 proc.
- Większość hakerów jest przez nas namierzana i zatrzymywana. Problem tylko w tym, że tego rodzaju czyny są rzadko zgłaszane, a możemy ścigać je tylko na wniosek - argumentuje Zbigniew Urbański.
Dodaje, że najwięcej zgłoszeń pochodzi od właścicieli firm, z których odszedł pracownik znający luki w systemach zabezpieczeń.
- Później wykradał dane dotyczące klientów albo wykradał dane dotyczące ofert przetargowych i próbował te dane sprzedać konkurencyjnej firmie - uzupełnia nadkomisarz.
Nie każdy haker zły
Z jednej strony można myśleć o zaostrzaniu kar dla hakerów, ale z drugiej należy pamiętać o zasięgu terytorialnym ich działań. Czym innym jest podszywanie się pod stronę internetową elektronicznej obsługi konta bankowego, a czym innym jest zmasowany atak hakerów jednego państwa na drugie państwo.
- Penalizacja czynów hakerów niewiele da, gdy działania przestępcze pochodzą spoza granic Polski, a drugie państwo nie chce współpracować w ustaleniu sprawcy. Nawet jeśli chce współpracować, pozostaje jeszcze kwestia ekstradycji - mówi Aleksander Skrzypiński, radca prawny w Kancelarii Prawniczej Seneka.
Hakerzy, którzy mają bardzo dobrą wiedzę, mogą wpłynąć nawet na poziom bezpieczeństwa banków i instytucji państwowych.
- Należy jednak pamiętać, że sam hacking nie jest czymś złym. Jest to szukanie nowych rozwiązań, wzbogacanie umiejętności, po to, by być najlepszym. Hakera można nazwać dopiero przestępcą, gdy wykorzystuje wiedzę w celu popełnienia przestępstwa - podsumowuje Rafał Pawlak, redaktor naczelny serwisu Hacking.pl.
Szersza perspektywa
Na dziewięć lat więzienia za włamanie do systemu komputerowego firmy Lowe's Home Improvement został skazany przez amerykański sąd Brian Salcedo. Wraz z dwoma wspólnikami usiłował on wykraść dane o kartach kredytowych klientów firmy. Z kolei pięć i pół roku spędził w więzieniu Kevin David Mitnick. Został oskarżony o włamanie na terenie USA do kilku ważnych systemów komputerowych. Był jedną z najintensywniej poszukiwanych osób w historii FBI.
Słownik
Wardriving - ataki na niezabezpieczone sieci bezprzewodowe
Cracking - łamanie zabezpieczeń komputerowych
Sniffing - przechwytywanie informacji, które nie są adresowane do danego komputera
Phishing - oszukańcze pozyskanie poufnej informacji osobistej, jak szczegóły karty kredytowej, przez udawanie osoby godnej zaufania, której te informacje są pilnie potrzebne
Adam Makosz