21 czerwca 2015 r. informatyczny system planowania lotów Polskich Linii Lotniczych LOT został zaatakowany przez nieznanych sprawców. Atak polegał najprawdopodobniej na wysyłaniu wielu zapytań do serwerów LOT-u, które w związku z tym uległy przeciążeniu i nie mogły prawidłowo pracować. Atak spowodował konieczność odwołania wielu lotów i opóźnienie kolejnych. Szacuje się, że atak na serwery LOT-u dotknął 1.400 pasażerów. 11 sierpnia poinformowano, że w związku z atakiem LOT złożył do prokuratury zawiadomienie o możliwości popełnienia przestępstwa. Jak z prawnego punktu widzenia wygląda kwalifikacja cyberataków? Czy polskie prawo przewiduje odpowiedzialność karną za tego typu działania?

Cyberatak z prawnego punktu widzenia

W pierwszej kolejności należy zauważyć, że cyberataki zdarzają się coraz częściej. Hakerzy wykorzystują luki w systemach informatycznych przedsiębiorstw, instytucji rządowych czy osób prywatnych w celu wykradzenia zgromadzonych w nich danych lub w celu zakłócenia funkcjonowania tych systemów. Wagę problemu dostrzegła już ponad 10 lat temu Rada Europy, która przyjęła Konwencję o Cyberprzestępczości sporządzoną w Budapeszcie 23 listopada 2001 r.* Głównym celem konwencji jest stworzenie rozwiązań prawnych, które mają zapobiec szeroko rozumianej przestępczości w środowisku cyfrowym. Konwencja ta została ratyfikowana przez Polskę dopiero ustawą z dnia 12 września 2014 r. Również Unia Europejska zajęła się tematyką cyberprzestępczości wydając dyrektywę dotycząca ataków na systemy informatyczne.**

Cyberatak na system informatyczny LOT

Z prawnego punktu widzenia, atak na system informatyczny LOT oraz inne podobne ataki mogą stanowić naruszeniu kilku regulacji prawnych. W szczególności, cyberatak może:

  • stanowić przestępstwa opisane w art. 165 § 1 pkt 4) i art. 267-269b Kodeksu karnego,
  • naruszać prawa do baz danych regulowanych ustawą o ochronie baz danych,
  • stanowić naruszenie majątkowych praw autorskich do programów komputerowych (art. 79 ustawy o prawie autorskim) czy wreszcie
  • naruszać przepisy o ochronie danych osobowych.

Kwalifikacja prawna danego ataku może być różna w zależności od szkód, jaki zostały spowodowane, a także może różnić się w zależności od sposobu przeprowadzenia ataku.

Wydaje się, że najtrafniejszą kwalifikacją prawnokarną ataku na serwery LOT-u jest kwalifikacja z art. 269 § 1 Kodeksu karnego, który stanowi że:

kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

Cyberatak polegający na wysyłaniu wielu zapytań do serwerów zakłóca przetwarzanie danych informatycznych, a system informatyczny LOT-u z pewnością można uznać za system odpowiadający bezpieczeństwu w komunikacji, dlatego wydaje się, że taka kwalifikacja prawna jest najbardziej właściwa.

Niewątpliwe problemem będzie ustalenie sprawców ataku – sprawcy takich działań wykorzystują wielopoziomowe zabezpieczenia (np. łączą się z kilkoma czy kilkunastoma serwerami znajdującymi się w różnych krajach), które mają utrudnić lub wręcz uniemożliwić pociągnięcie ich do odpowiedzialności.

Cyberprzestępczość – zagrożenia na przyszłość

Cyberprzestępczość można określić jako poważne zagrożenie dla bezpieczeństwa. Problem ataków hakerskich i wykradanie danych będzie narastał wraz z rosnącą cyfryzacją społeczeństw. Zadaniem nie tylko rządów, ale także zarządzających korporacjami czy mniejszymi przedsiębiorstwami jest zapobieganie takim atakom i wprowadzanie coraz to lepszych zabezpieczeń. Równocześnie, czekamy na ustalenia organów ścigania w sprawie cyberataku na LOT. C.d.n.

***

*http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm

**Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW