Cyberprzestępczość – statystyki i nowe technologie


Nasilenie globalizacji oraz rozwój nowych technologii na przestrzeni ostatnich kilku lat prowadzi do tego, że cyberprzestępczość jest coraz większym problemem. Sukcesywny rozwój społeczeństwa informacyjnego zapoczątkował dynamiczne zmiany związane z wymianą informacji.[1] Szeroki wachlarz przestępstw związany jest z wieloma aspektami korzystania z internetu. Przed szereg wysuwa się teza, iż rozwojowi cyberprzestępczości sprzyja specyficzny charakter sieci globalnej, który pozwala na częściową anonimowość sprawcy przestępstwa. Łatwość dostępu do sieci jest dodatkowym motorem napędzającym ich działanie.

W niniejszym artykule skoncentrujemy się między innymi na analizie policyjnych statystyk związanych z przestępstwami przeciwko ochronie informacji.

Na wstępie pragnę zauważyć, że rozwój cyberprzestępczości doprowadził do pełnej modyfikacji narzędzi wykorzystywanych przez przestępców[2]. Jako przykład można w tym miejscu wskazać, iż jeszcze kilka lat temu nikt nie słyszał o czymś takim jak np. oszustwo nigeryjskie.

1594411528_1512b1aad5_bSkąd taki wniosek? Po pierwsze warto zauważyć, że polski ustawodawca nie pochylił się nad definicją legalną takich pojęć jak „cyberprzestępczość” czy „przestępczość komputerowa”. Obecnie w polskim porządku prawnym używamy definicji przygotowanych przez organizacje unijne czy Interpol. W rozdziale  XXXIII Kodeksu Karnego[3] zatytułowanym „Przestępstwa przeciwko ochronie informacji” odnajdujemy szereg przepisów dotyczących czynów zabronionych. Próbą stworzenia jednolitego katalogu przestępstw internetowych zajęli się teoretycy i praktycy. Począwszy od kryminologów, a skończywszy na organizacjach pozarządowych. Ich działania są jednak mało efektywne. Powód wydaje się oczywisty. Szybki rozwój technologiczny, a tym samym ciągła potrzeba modyfikacji narzędzi informatycznych nastręcza licznych problemów. Regulacje prawne w tym zakresie pozostają stale w tyle. Postęp technologiczny w obecnych czasach następuje w ekstremalnym tempie. Powstają nowe definicje oraz systemy. W mojej ocenie kryminalizacja na gruncie Kodeksu Karnego jest niewystraczająca. Wydaje się ona także nieuniwersalna. Nie przystaje do ówczesnych potrzeb społeczeństwa. W mojej ocenie przepisy Kodeksu Karnego powinno się stosować pomocniczo do innych regulacji. Dopiero ich jednoczesne połączenie pozwoli na pełne urzeczywistnienia praw podstawowych obywateli. Regulacje, które wysuwają się przed szereg to:

  1. Ustawa z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego;
  2. Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji;
  3. Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych;
  4. Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych;
  5. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Jakie jest więc rozwiązanie omawianej kwestii? Należy pokusić się o stworzenie definicji legalnej takich pojęć jak „przestępstwo internetowe”, „cyberprzestępczość” czy wspomniane wyżej „przestępstwo komputerowe”. Stworzenie praktycznych i użytecznych definicji legalnych stanie się dobrym punktem wyjściowym dla interpretacji przepisów. Właściwe ich zrozumienie zagwarantuje eliminację luk w zakresie cyberprzestępczości. Powstaną tym samym ujednolicone ramy prawne, które w pełni realizują postulat bezpieczeństwa prawnego i zapewnią ochronę informacji należących do „zwykłego Kowalskiego”.

cyberprzestępczośćCechą polskiej cyberprzestępczości jest jej bardzo duże zróżnicowanie zarówno pod względem liczby przestępstw stwierdzonych, jak i wskaźników natężenia przestępczości. Zgodnie z definicją przestępstwo wykryte jest to przestępstwo stwierdzone, w którym ustalono przynajmniej jedną osobę podejrzaną i udowodniono jej popełnienie przestępstwa w zakończonym postępowaniu przygotowawczym. W przypadku przestępczości osób dorosłych przestępstwo kwalifikowane jest jako wykryte w momencie, gdy postępowanie przygotowawcze zakończone jest sporządzeniem aktu oskarżenia. Współczynnik przestępczości to zaś liczba przestępstw stwierdzonych na, przypadających na 100 tys. mieszkańców w danym roku. Policyjne statystyki zbudowane są według schematu: rok, liczba postępowań wszczętych i liczba przestępstw stwierdzonych. Analiza porównawcza statystyk prowadzi do wniosku, że na przestrzeni kilku lat najczęściej dochodziło do przestępstw polegających na udaremnieniu lub utrudnieniu korzystania z informacji (art. 268 i 268a Kodeksu Karnego). Ex aequo plasuje się przestępstwo z art. 267 Kodeksu Karnego polegające na naruszeniu tajemnicy korespondencji. Liczba wszczętych postępowań jest imponująca. W związku z dużą skalą przestępstw, o których wspomniałam wyżej dokonam ich krótkiego opracowania.

Poniżej prezentujemy statystyki dla poszczególnych typów przestępstw przeciwko ochronie informacji. Kliknij obrazek aby go powiększyć.

Statystyki

Z analizy statystyk policyjnych wynika, iż najczęściej dochodzi do naruszenia tajemnicy korespondencji (w samym 2014 roku stwierdzono 1901 przestępstw tego typu). Problematyka tajemnicy korespondencji uregulowana została w art. 267 Kodeksu Karnego. Zachowanie korespondencji w tajemnicy polega na ochronie poufności informacji, prawem do dysponowania informacja z wyłączeniem innych osób, a także bezpieczeństwo ich przekazywania.

Naruszeniem tajemnicy korespondencji może być np. otwarcie przez pracodawcę prywatnego maila pracownika otrzymanego na służbową pocztę.

Drugim najczęściej występującym przestępstwem z naruszenia bezpieczeństwa informacji (w 2014 roku było to 572 stwierdzone przestępstwa) jest przestępstwo określone w art. 268 Kodeksu Karnego, które polega na naruszeniu prawa do zachowania integralności informacji oraz prawa do ich dostępu. Ustawodawca dokonał tylko przykładowego wyliczenia czynów zabronionych w kontekście tego artykułu. Wskazał on na zniszczenie, uszkadzanie, usuwanie lub zmienianie zapisu istotnej informacji. Koniecznym warunkiem dla odpowiedzialności karnej w tym przepisie jest istotność informacji. Jak wskazuje się w literaturze chodzi w tym przypadku o istotną informację w znaczeniu obiektywnym. Przy ocenie „istotności informacji” należy brać również pod uwagę interes dysponenta informacji oraz w pewnych przypadkach interes podmiotu ,którego dotyczy informacja.

Najniższą wykrywalność zauważono w przypadku przestępstw polegających na niszczeniu danych informatycznych (sabotaż komputerowy zwany także dywersją informatyczną). Dla zobrazowania skali problemu w 2014 roku wszczęto raptem 10 postępowań w tym tylko 6 stwierdzono. Kara przewidziana za tego typu czyny to pozbawienie wolności od 6 miesięcy do lat 8.

cyberprzestępczośćZ mojej perspektywy niska wykrywalność cyberprzestępstw wynika z przyzwolenia społecznego. Niewiele osób zdaje sobie sprawę z powagi sytuacji. Ignorancja i niewiedza w tym zakresie wydają się iść z nią w parze. Obserwacja rzeczywistości pozwala na sformułowanie kolejnej tezy. Wiele osób kwalifikuje tego typu przestępstwa jako czyn o niskim stopniu społecznej szkodliwości. Uważają, że przestępstwa komputerowe nie powinny stać się przedmiotem zainteresowania i wzmożonej kontroli ze strony organów ścigania. Koło tym samym zatacza krąg. Przestępcy czują się bezkarni, a policyjne statystyki stoją w miejscu. Niedawno na łamach jednego z tygodników pojawiła się krótka notka odnoście sprawozdania z działalności Europejskiego Centrum ds. Walki z Cyberprzestępczością. W jednym z komunikatów dowiadujemy się, że głównym problemem związanym z niską wykrywalnością tego typu przestępstw jest trudność ze zdobyciem twardych i niezbitych dowodów.

Zagadnienia bezpieczeństwa w sieci są złożonym problemem. Technologie internetowe wkraczają coraz do nowych sfer życia i rozwijają się niezwykle dynamicznie. Komputery wdarły się przebojem praktycznie w każdą sferę życia. Towarzyszą nam na każdym kroku. Czy są one jednoznacznie złe? Pytanie jest trudne. Wydaje się, że to od użytkowników zależy czy staną się ofiarami cyberprzestępstw. To czym powinniśmy się kierować podczas korzystania z nich jest zdrowy rozsądek oraz ostrożność. Warto również stosować różne środki bezpieczeństwa (np. programy antywirusowe), chroniące dane, które są wartościowe nie tylko dla ich właściciela lub wytwórcy, ale niejednokrotnie informacje te są bardziej wartościowe dla złodzieja lub konkurencji. Warto tym samym je chronić by później nie natknąć się na przykre konsekwencje ich nieprzestrzegania. W efekcie cyberataku możemy stracić pieniądze, poufne informację i reputacje. Kwestią odrębną jest utracony czas. Niejednokrotnie przekracza on etap zbierania i weryfikacji danych. Wiele rekomendacji i zaleceń w tym zakresie znajdziemy na stronach internetowych:

  1. http://www.policja.pl/.
  2. http://www.giodo.gov.pl/
  3. https://auraco.pl/

Omawiając temat cyberprzestępczości warto również pochylić się nad szeroko pojętą ochroną informacji, a w szczególności ochroną danych osobowych. Nie ulega wątpliwości, że wdrożenie niezbędnej dokumentacji oraz przeprowadzenie szkoleń wydaje się kluczem do sukcesu. Należy jednak pamiętać, że nawet odpowiednie procedury czy nowoczesne zabezpieczenia systemów informatycznych nie ochronią informacji jeśli zawiedzie czynnik ludzki. Szczególnie w tym kontekście warto pamiętać o sukcesywnym poszerzaniu świadomości pracowników z zakresu bezpieczeństwa ochrony informacji. Ochrona danych osobowych w dzisiejszych czasach jest szczególnie ważna i brak dbałości w tym zakresie generuje niezliczone skutki nie tylko w sferze prawnej.

Źródło:

  1. http://statystyka.policja.pl/st/kodeks-karny
  2. http://isp.policja.pl/isp/aktualnosci/7330,Walka-z-cyberprzestepczoscia.html
  3. http://www.policja.pl/pol/kgp/bsk/dokumenty/cyberprzestepczosc/58792,Ochrona-informatyczna-danych-phishing-i-kradziez-tozsamosci

[1] W obliczu błyskawicznie zachodzących zmian w nowych technologiach w 2010 r. powstał Rządowy Program Ochrony Cyberprzestrzeni RP na lata 2011-2016. Ten obszerny dokument zawiera propozycje działań o charakterze prawno-organizacyjnym, technicznym i edukacyjnym, których celem jest zwiększenie zdolności do zapobiegania i zwalczania zagrożeń ze strony cyberprzestępców. Jednym z priorytetowych celów Programu są akcje prewencyjno-edukacyjne promujące wzorcowe zachowania w sferze bezpieczeństwa informacji.

[2] K.Gienas, Cyberprzestępczość, Jurysta 2003 nr 12 s. 9-10

[3] Ustawa z dnia 6 czerwca 1997 r. Kodeks karny., Dz.U.1997.88.553

Wyciek danych- aspekty prawne, organizacyjne i techniczne

Atak ukierunkowany, łamanie haseł, włamanie do sieci, phishing, ataki typu DDoS to tylko niektóre przykłady incydentów z szerokiego spektrum cyberprzestępczości, których konsekwencją może być wyciek danych. Przyczyny sukcesu ww. działań wydają się różnorodne. Do najczęściej spotykanych zaliczamy opieszałość w przestrzeganiu podstawowych procedur bezpieczeństwa informacji czy zachowania polegające na nieumyślnym udostępnieniu danych. Przedmiotem niniejszego opracowania jest analiza ostatnich przypadków wycieków danych. Zastanowimy się, dlaczego dochodzi do takich wypadków i co robić, aby ograniczyć ryzyko ich powstania w przyszłości. Poniżej przedstawię kilka przykładów, które stanowią tylko medialny szczyt góry lodowej.

Postęp technologiczny i luki prawne diametralnie zmieniają podejście do cyberprzestępczości. Punktem wyjścia wszelkich rozważań jest teza, iż na wycieki informacji najbardziej narażone są firmy z branży medycznej i bankowości. Wynika to ze specyfiki przechowywanych przez nie danych. Wrażliwe informacje, które posiadają, stają się przedmiotem wyłudzeń na szeroką skalę. Dlaczego tak właśnie jest? Oczywiście chodzi o wartość materialną tego typu danych na rynku.

Na każdym kroku słyszymy o kolejnej aferze związanej z wyciekiem danych. Skala procederu w tym zakresie wydaje się ogromna. W ostatnim czasie na łamach jednego z tygodników pojawiła się informacja, iż włoska firma Hacking Team, zajmująca się tworzeniem oraz sprzedażą specjalistycznego oprogramowania szpiegowskiego, wykorzystywanego przez wiele krajów (w tym polskie CBA) i służb specjalnych została zaatakowana przez hakerów. Przedmiotem wycieku stały się listy klientów, serwerów oraz hasła do wielu kont. Kwestią odrębną jest sprzedaż systemu do państw, które nagminnie łamią podstawowe prawa człowieka. Zagadnienie te nie będzie jednak przedmiotem dłuższej refleksji. Zaniepokojenie budzi fakt, że używane hasła nie były zbyt skomplikowane i bardzo często się powtarzały.

Pytanie w tym momencie nasuwa się samo. Dlaczego tak wyspecjalizowana w obszarze bezpieczeństwa firma nie stosuje się do podstawowych wymogów w tym zakresie? Zadaliśmy to pytanie Pawłowi Janiszewskiego – ekspertowi bezpieczeństwa systemów informatycznych Auraco sp. z o.o. (firmy zajmującej się doradztwem w obszarze ochrony danych osobowych). Oto jego komentarz.

Moim zdaniem wynika to z 2 powodów. Po pierwsze, firmy zajmujące się bezpieczeństwem często same we własnej organizacji mają problemy z tego typu zagadnieniami. Są one bowiem przekonane, że w związku z tym czym się zajmują, nie grozi im żadne niebezpieczeństwo. Oczywiście jest to nieprawda. Wielokrotnie mogliśmy obserwować tego typu sytuacje, np. doklejanie złośliwego kodu do programów komputerowych służących w intencji ich twórców do zapewnienia bezpieczeństwa. Druga przyczyna to brak poszanowania procedur bezpieczeństwa i okresowych weryfikacji stopnia ich skuteczności. Procedury to, najskuteczniejszy jaki do tej pory wymyślono, środek służący zachowaniu określonych standardów bezpieczeństwa. Aby procedury działały – konieczne jest ich szanowanie i stosowanie przez ścisłe kierownictwo organizacji oraz prowadzenie okresowych, profesjonalnych audytów. Jeśli „sam szef” się do nich nie stosuje to jest to sygnał dla pracownika, że najwidoczniej nie jest to ważne. W dzisiejszych czasach kwestia odpowiedniego zabezpieczenia danych to nie tylko wyraz korporacyjności i wielkości organizacji, ale środek służący realizacji celów biznesowych – utrzymania i pozyskiwania nowych klientów. – Paweł Janiszewski

Kolejny przykład wycieku danych to przedsiębiorstwo oferujące usługi dietetyczne Fit and Eat. Wyciek obejmował dane bardzo znanych osób, w tym ich adresy, kody do furtek na klatki, informacje o przebytych chorobach oraz urazach. Pole roszczeń cywilnoprawnych w tym zakresie wydaje się mieć ogromny potencjał. Mamy do czynienia z wyciekiem danych wrażliwych, które w konsekwencji stanowią naruszenie newralgicznych dóbr osobistych. Nieodzownym elementem przy omawianej sprawie wydaje się również zakres odpowiedzialności w aspekcie społecznym. Utrata renomy firmy, brak zaufania w oczach obecnych i potencjalnych klientów wydaje się jedną z większych bolączek dobrze prosperującej firmy.

Włamania do systemów informatycznych zdarzają się także w sektorze bankowym. W ostatnim czasie mieliśmy do czynienia z bezprecedensową sprawą dotycząca wycieku danych klientów jednego banków. Informacja o hakerskim incydencie szybko nabrała rozgłosu. Zaciekawienie wzbudza fakt, że na pewnym etapie sprawy haker żądał 200 tys. na dowolny dom dziecka. Kilka minut wystarczyło by w Internecie opublikowano dane osobowe klientów biznesowych w zakresie imienia, nazwiska, adresu zamieszkania i adresu e-mail, numeru dowodu, PESEL oraz wartości sald łącznie z historią transakcji. Komunikat banku dotyczący bezpieczeństwa danych zbudził strach klientów. Treść oświadczenia wskazywała, że w I kwartale roku 2015 r. doszło do przestępczego ataku grupy hakerów. Po raz kolejny wytknięto mankamenty w sferze bezpieczeństwa.

Kolejna kwestia jaka wymaga dłuższej refleksji dotyczy szerzącego się trendu, a mianowicie zdalnego dostępu do danych. Zbyt dużym stopniem zaufania obdarza się pracowników lub współpracowników mających zdalny dostęp do sensytywnych danych. Wielokrotnie zaufanie to jest nadużywane. Wyprowadzenie baz danych czy szeroko rozumiane działanie na niekorzyść firmy stają się procederem na porządku dziennym. Wielu ekspertów twierdzi, że zagrożenia „z wewnątrz” są zmorą wielu organizacji. Właściwym rozwiązaniem w tej sytuacji wydaje się wprowadzenie inteligentnego systemu monitorowania sesji zdalnych, którego zadaniem będzie wsparcie administratorów danych w zarządzaniu zasobami. Nie zapominajmy również o ciągłym dbaniu o adekwatność dostępu do danych osobowych. Żaden z naszych pracowników nie powinien posiadać szerszego dostępu do danych niż wymagają tego jego obowiązki służbowe.

Kilka słów na temat skutków prawnych wycieku danych. Czyn taki stanowi przestępstwo uregulowane w art. 51 Ustawy o ochronie danych osobowych. W myśl przepisu „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.

W rozdziale XXXIII Kodeksu Karnego odnajdujemy przepisy odnoszące się odpowiedzialności za przestępstwa przeciwko ochronie informacji. W myśl art. 269a kk „Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”. W rozdziale XXXV zatytułowanym „Przestępstwa przeciwko mieniu” odnajdujemy art. 287 kk, który wskazuje natomiast, że „Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”.

Niezależnie od odpowiedzialności karnej należy wskazać, że wyciek danych stanowi poważne naruszenie prywatności. Prawo do prywatności jest jednym z dóbr osobistych podlegającym ochronie na gruncie przepisów Kodeksu Cywilnego. Niejednokrotnie zdarza się, że wyciek danych jest przedmiotem skargi kierowanej do Generalnego Inspektora Ochrony Danych Osobowych. W przypadku niezastosowania się do decyzji wydanej przez GIODO stosowane są środki egzekucyjne przewidziane w przepisach ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji.

Kilka słów podsumowujących. Wyciek danych stanowi kryzysową sytuację u każdego przedsiębiorcy. Straty wynikające z nieprzewidzianego incydentu mogą być ogromne. Zakłócenie działalności firmy, straty finansowe (konieczność zakupu nowego oprogramowania oraz przeszkolenia pracowników z zakresu ochrony danych osobowych generują kolejne koszty), a kończąc na utracie renomy. Po zaistniałym incydencie pora na podjęcie odpowiednich kroków oraz wyciągnięcie stosownych wniosków. Warto by się zastanowić w jaki sposób można zminimalizować ryzyko wystąpienia wycieku danych. Zaleceń i rekomendacji w tym zakresie wydaje się wiele. Przed szereg wysuwa się kwestia kładzenia dużego nacisku na edukowanie pracowników w sferze ochrony danych osobowych oraz ciągłe doskonalenie systemu ochrony danych osobowych. Co więcej, właściwe obchodzenie się z dokumentacja firmową oraz prawidłowe wykorzystywanie narzędzi informatycznych wydają się kluczem do sukcesu.

Należy pamiętać, że cyberprzestępczość to świetnie prosperujący biznes. Pojedyncza informacja może nie będzie stanowić przedmiotu ataku hakera, ale paczka wartościowych danych na pewno go zainteresuje.