Cyberatak na system informatyczny LOT
21 czerwca 2015 r. informatyczny system planowania lotów Polskich Linii Lotniczych LOT został zaatakowany przez nieznanych sprawców. Atak polegał najprawdopodobniej na wysyłaniu wielu zapytań do serwerów LOT-u, które w związku z tym uległy przeciążeniu i nie mogły prawidłowo pracować. Atak spowodował konieczność odwołania wielu lotów i opóźnienie kolejnych. Szacuje się, że atak na serwery LOT-u dotknął 1.400 pasażerów. 11 sierpnia poinformowano, że w związku z atakiem LOT złożył do prokuratury zawiadomienie o możliwości popełnienia przestępstwa. Jak z prawnego punktu widzenia wygląda kwalifikacja cyberataków? Czy polskie prawo przewiduje odpowiedzialność karną za tego typu działania?
Cyberatak z prawnego punktu widzenia
W pierwszej kolejności należy zauważyć, że cyberataki zdarzają się coraz częściej. Hakerzy wykorzystują luki w systemach informatycznych przedsiębiorstw, instytucji rządowych czy osób prywatnych w celu wykradzenia zgromadzonych w nich danych lub w celu zakłócenia funkcjonowania tych systemów.
Wagę problemu dostrzegła już ponad 10 lat temu Rada Europy, która przyjęła Konwencję o Cyberprzestępczości sporządzoną w Budapeszcie 23 listopada 2001 r.* Głównym celem konwencji jest stworzenie rozwiązań prawnych, które mają zapobiec szeroko rozumianej przestępczości w środowisku cyfrowym. Konwencja ta została ratyfikowana przez Polskę dopiero ustawą z dnia 12 września 2014 r. Również Unia Europejska zajęła się tematyką cyberprzestępczości wydając dyrektywę dotycząca ataków na systemy informatyczne.**
Cyberatak na system informatyczny LOT
Z prawnego punktu widzenia, atak na system informatyczny LOT oraz inne podobne ataki mogą stanowić naruszeniu kilku regulacji prawnych. W szczególności, cyberatak może:
- stanowić przestępstwa opisane w art. 165 § 1 pkt 4) i art. 267-269b Kodeksu karnego,
- naruszać prawa do baz danych regulowanych ustawą o ochronie baz danych,
- stanowić naruszenie majątkowych praw autorskich do programów komputerowych (art. 79 ustawy o prawie autorskim) czy wreszcie
- naruszać przepisy o ochronie danych osobowych.
Kwalifikacja prawna danego ataku może być różna w zależności od szkód, jaki zostały spowodowane, a także może różnić się w zależności od sposobu przeprowadzenia ataku.
Wydaje się, że najtrafniejszą kwalifikacją prawnokarną ataku na serwery LOT-u jest kwalifikacja z art. 269 § 1 Kodeksu karnego, który stanowi że:
kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
Cyberatak polegający na wysyłaniu wielu zapytań do serwerów zakłóca przetwarzanie danych informatycznych, a system informatyczny LOT-u z pewnością można uznać za system odpowiadający bezpieczeństwu w komunikacji, dlatego wydaje się, że taka kwalifikacja prawna jest najbardziej właściwa.
Niewątpliwe problemem będzie ustalenie sprawców ataku – sprawcy takich działań wykorzystują wielopoziomowe zabezpieczenia (np. łączą się z kilkoma czy kilkunastoma serwerami znajdującymi się w różnych krajach), które mają utrudnić lub wręcz uniemożliwić pociągnięcie ich do odpowiedzialności.
Cyberprzestępczość – zagrożenia na przyszłość
Cyberprzestępczość można określić jako poważne zagrożenie dla bezpieczeństwa. Problem ataków hakerskich i wykradanie danych będzie narastał wraz z rosnącą cyfryzacją społeczeństw. Zadaniem nie tylko rządów, ale także zarządzających korporacjami czy mniejszymi przedsiębiorstwami jest zapobieganie takim atakom i wprowadzanie coraz to lepszych zabezpieczeń. Równocześnie, czekamy na ustalenia organów ścigania w sprawie cyberataku na LOT. C.d.n.
***
*http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm
**Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW
fot.Markus Spiske on Unsplash