Cyberbezpieczeństwo
#CyberMagazyn: Cyberprzestępczość a haktywizm. Jak prawo podchodzi do hakerów w białych kołnierzykach?
Z jednej strony hakerzy walczą na rzecz Ukrainy, a z drugiej – Rosji. Od czego zależy etyczna ocena ich działań? Czy jedynie od tego, za kim zdecydowali się opowiedzieć? Gdzie znajduje się granica między haktywizmem a cyberprzestępczością? Jak prawo podchodzi do kwestii hakowania dla „wyższych” celów?
Ponad półtora miesiąca trwającej wojny w Ukrainie i towarzyszące jej ataki w cyberprzestrzeni przy zaangażowaniu grup hakerskich zmuszają do postawienia pytania o granice haktywizmu i cyberprzestępczości. Jak litera prawa podchodzi – z formalnego punktu widzenia – do hakerskiej aktywności w imię wyznawanych przez atakujących wartości np. obrony demokracji, praw człowieka czy prawa do wolności wypowiedzi?
Grupy: Fancy Bear, Conti, Ghostwriter po stronie Rosji; Białoruscy Cyberpartyzanci, Anonymous, Georgian Hackers Society czy Against The West – po stronie Ukrainy. Czy ich postępowanie możemy określać jako jednoznacznie negatywne lub pozytywne, w zależności od tego czy działają przeciw Putinowi czy zgodnie z jego intencjami?
Hakerzy w czarnych, białych lub szarych kapeluszach – tak potocznie wyróżnia się tych działających na granicy lub poza granicami prawa; działających legalnie lub niewyrządzających szkód; czy przyjmujących metody działania obu rodzajów „kapeluszników”. Do tego dochodzą jeszcze tzw. niebiescy, czyli osoby, które często - z różnych pobudek - zajmują się szukaniem bugów w oprogramowaniach.
Czytaj też
Yuliana Shemetovets, rzeczniczka Białoruskich Cyberpartyzantów, którzy odpowiadają m.in. za cyberatak na Koleje Białoruskie i zakłócenie transportu rosyjskich wojsk do tego kraju, w rozmowie z CyberDefence24.pl na pytanie, gdzie przebiega granica między etycznymi hakerami a cyberprzestępcami odpowiedziała, że haktywiści prowadzą cyberoperacje z powodów etycznych, politycznych.
Czytaj też
„Dla Cyberpartyzantów istnieje czerwona linia: na przykład - w jak największym stopniu - starają się nie wpływać na zwykłych obywateli. Widzimy, że akcje zwykle ich nie dotyczą, a tylko ludzi, którzy pracują dla reżimu lub z nim współpracują. To czerwona linia dla Cyberpartyzantów. I ogółem: nigdy nie wykorzystują uzyskanych danych do jakichkolwiek osobistych celów” – stwierdziła Yuliana Shemetovets.
Dodała: „Powiedziałabym, że - w miarę możliwości - trzeba unikać wpływu cyberataków na zwykłych obywateli, ale trwa wojna i zrozumiałym jest, iż takie przecieki będą miały miejsce. To nie jest prosta sytuacja na zasadzie: "Rosja jest tylko krajem złego dyktatora, który powiedział coś złego". On zabija ludzi. W Ukrainie umierają cywile, dzieci. Na wojnie próbujesz walczyć. Jedynym logicznym i etycznym postępowaniem jest to, by się bronić”.
Kwestie prawne
Jak prawo podchodzi do przestępców w białych kołnierzykach? Mecenas Judyta Kasperkiewicz z EPOQUE Kancelaria Adwokacka tłumaczy nam, że w odpowiedzi na zmiany w cybernetycznym świecie pojawiły się nowe zawody np. pentestera, a szerzej etycznego hakera.
„Pojawiała się również potrzeba wprowadzenia rozwiązania prawnego, które umożliwiłoby pracę etycznym hakerom, którzy m.in. wykonują testy penetracyjne na zlecenia firm. Aby umożliwić etycznym hakerom legalną pracę wprowadzono w kwietniu 2017 roku do Kodeksu karnego art. 269c, który zawiera kontratyp ustawowy określający, że nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody” – objaśnia nam prawniczka.
Dodaje, że zgodnie z art. 267 § 2 k.k. czyn karalny popełnia ten, kto bez uprawnienia uzyskał dostęp do całości lub części systemu informatycznego. „Biorąc pod uwagę motywację działania etycznych hakerów, trudno dopatrzyć się społecznej szkodliwości w tego rodzaju zachowaniach, które bywają również społecznie pożyteczne” – zaznacza mec. Judyta Kasperkiewicz.
Działania Anonymous nie są jednoznaczne
W wojnę przeciwko Putinowi zaangażowali się haktywiści Anonymous – znani z tego, że nie mają struktury ani przywódcy, a przyłączyć do nich mogą się chętne osoby, by wesprzeć Ukrainę w cyberprzestrzeni. Są najbardziej aktywni w mediach społecznościowych, codziennie ogłaszają nowe akcje w ramach antykremlowskiej internetowej kampanii. Choć wykradają dane, publikują je w sieci, paraliżowali rosyjskie strony rządowe, zhakowali rosyjską TV, by nadawać prawdę o wojnie czy zachęcali Rosjan do odejścia z wojska i złożenia broni, dzisiaj widzimy już, że ich działania nie mają realnego przełożenia na układ sił na froncie, a cyberkonflikt nie przekłada się na wojnę kinetyczną. Niewątpliwie jednak zyskali na popularności, a ich działalność jest częścią informacyjnej wojny, prowadzonej na rzecz Ukrainy.
Nie wolno jednak zapominać, że dzisiaj „bohaterowie” wojny w Ukrainie, wiele razy postępowali w sposób co najmniej wątpliwy etycznie, a ich działalność kończyła się ostatecznie nałożeniem grzywny lub karą pozbawienia wolności, jak w przypadku hakera, która przeprowadził atak DDoS na szpital dziecięcy w Bostonie (kara 10 lat pozbawienia wolności).
Czytaj też
Jak wobec tego mecenas Judyta Kasperkiewicz z EPOQUE Kancelaria Adwokacka ocenia działalnia takich grup, jak Anonymous? Czy sam fakt, że działają przeciwko Rosji – w tym wypadku agresorowi w trwającej wojnie – sprawia, że ich wszystkie czyny mogą zostać uznane, za uzasadnione?
„Odkąd interesuję się cyberprzestępczością mój pogląd na działania wolnościowe w internecie się zmieniał. Najpierw uważałam, że internet powinien pozostać w pełni >>wolny<<, tak jak chcieli jego twórcy. W całości popierałam Deklarację Niepodległości Cyberprzestrzeni Johna Perry’ego Barlow’a. Później walczyłam o prawa tych, którzy ośmielili się powiedzieć, do czego Internet bywa wykorzystywany. Ale im więcej spraw przeprowadziłam i zobaczyłam, ile również złego wyrządzono niektórym użytkownikom internetu głównie poprzez umożliwienie zachowania anonimowości sprawcom cyberprzestępstwa, to zaczęłam przychylać się do tego, aby w określonym zakresie uniemożliwiać zachowanie anonimowości. Oczywiście nadal popieram działania organizacji i aktywistów internetowych. Jednakże, musimy dostrzegać również drugą stronę medalu” – podkreśla, komentując tę kwestię dla CyberDefence24.pl.
Jak zaznacza, z jej doświadczenia wynika, że najczęściej chodzi do cyberprzestępstw popełnionych w celu osiągnięcia korzyści majątkowych i przeciwko integralności i dostępności informacji.
„W związku z tym, że obserwujemy zjawisko rozkwitu wszystkich sfer życia w cyberprzestrzeni, co spowodowane jest różnymi przyczynami m.in. rozwojem nowych technologii, epidemią. Obecnie w sieci funkcjonują wszyscy, w sieci się pracuje, prowadzi działalność gospodarczą, odbiera się korespondencję, komunikuje się z innymi czy korzysta się z rozrywki. Również sprawcy przestępczości pospolitej dostrzegli ten trend i przenoszą swoje działania do cyberprzestrzeni. Zarówno więcej osób korzysta z internetu, jak i więcej sprawców próbuje wykorzystać ten fakt. Myślę, że jesteśmy w stanie obserwować zmieniające się tendencje w świecie cyberprzestępczym, ale moim zdaniem jego prawdziwej skali nie jesteśmy w stanie poznać. Przestępcy zdali sobie sprawę, że już nie muszą kraść, dokonywać rozboju lub decydować się na pobicia, aby osiągnąć korzyść majątkową. Przypuszczam, że równie często lub w porównywalnej skali jak przestępstwa popełnione w celu osiągnięcia korzyści majątkowej, tak i inne z cyberprzestępstw są popełniane, tj. przestępstwa zniewag czy zniesławień popełniane w internecie, które często po prostu nie trafiają do sądów. Ich ofiary pozostają nieświadome swoich praw, często boją się lub po prostu z obawy przed rozgłosem nie chcą walczyć o swoje prawa” – stwierdza rozmówczyni.
Trudności z namierzeniem sprawcy
W Polsce odpowiedzią na rosnące problemy cyberprzestępczości ma być powołanie Centralnego Biura Zwalczania Cyberprzestępczości (do tej pory w policji - w strukturach komendy głównej oraz komend wojewódzkich – funkcjonowały biura do walki z cyberprzestępczością – red.). Prezydent podpisał ustawę w tej sprawie pod koniec grudnia ub.r., jej zapisy zakładają, że funkcjonariuszom CBZC będzie w pełni przysługiwać możliwość prowadzenia działań operacyjno-rozpoznawczych, dochodzeniowo-śledczych oraz administracyjno-porządkowych, wynikających z ustawy o Policji. Jednak poważnym problemem często pozostaje samo namierzenie tożsamości cyberprzestępcy, choć trudno wskazać na to, jaka jest rzeczywiście skala cyberprzestępczości.
„Mamy tutaj do czynienia z tzw. ciemną liczbą przestępstw, czyli sytuacją, w której dochodzi do popełnienia przestępstw, ale są one nieujawniane. Z przeprowadzonych przeze mnie w 2015 roku badań naukowych dotyczących przestępstwa oszustwa komputerowego wynika, że więcej niż 80 proc. spraw kończy się wydaniem postanowienia o umorzeniu postępowania z uwagi na niewykrycie sprawcy. Ze 125 spraw przeze mnie przebadanych, aż 100 z nich zakończyło się wydaniem takiego postanowienia. Należałoby ponowić te badania, aby ustalić, czy sytuacja w tym zakresie się poprawiła” – zaznacza Judyta Kasperkiewicz.
Trudno jest do końca jednoznacznie ocenić działania hakerskie, które choć w szczytnym celu - niejednokrotnie pokazała to już praktyka – dotykały przypadkowych osób, a w czasie wojny, również cywilów.
Czy zatem prawnikom towarzyszom jakieś dylematy, kiedy mają za zadanie bronić cyberprzestępcy? „Nie ma rozróżnienia na cyberprzestępców i pospolitych przestępców. Pojawiają się te same dylematy, jak przy każdej sprawie. W pracy obrończej chodzi o ochronę godności każdego człowieka i o to, aby obrońca stał na straży tego, aby przepisy prawa były stosowane wobec wszystkich równo i sprawiedliwie. System wymiaru sprawiedliwości to swoista współgra. Dobrze wypełniający swoje zadania obrońca i oskarżyciel powinni być nieocenieni dla sędziego w jego pracy. Chcąc podać przykład odnoszący się do spraw dotyczących cyberprzestępstw mogę wskazać dylemat, który pojawia się w sytuacjach, kiedy korzystający z wolności słowa narusza prawa innej osoby w cyberprzestrzeni. Pojawia się tu problem związany ze znalezieniem granicy pomiędzy tym, co nam wolno napisać lub powiedzieć, a w którym momencie takie zachowanie staje się bezprawne” – podsumowuje nasza rozmówczyni.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.