Osoby wyszukujące i publikujące informacje o lukach w systemach banków, urzędów i uczelni wyższych niebawem nie będą karane. Działania w tym kierunku podejmuje minister cyfryzacji.
Artykuł 269b par. 1 kodeksu karnego brzmi skomplikowanie. Stanowi on bowiem, że kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstw, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat trzech.
Co to tak naprawdę oznacza? Ano tyle, że zgodnie z polską ustawą karną możliwe jest ściganie hakerów. Co do słuszności takiej możliwości raczej nikt nie ma wątpliwości. Ale pojawia się problem, bo art. 269b kodeksu karnego umożliwia zwalczanie również tych działań, które i dla przedsiębiorców, i dla ich klientów bywają przydatne.
Wyobraźmy sobie bowiem sytuację, że osoba X odkrywa poważną lukę w systemie teleinformatycznym banku, która umożliwia opróżnienie czyjegoś rachunku. X powiadamia o tym korporację, lecz nic się nie dzieje. W pewnym momencie postanawia więc podzielić się ze światem swoją wiedzą – po to, by bank wreszcie naprawił swój błąd. Zamiast podziękowań, „iksa” spotykają jednak represje. Zostaje oskarżony właśnie na podstawie art. 269b kodeksu karnego o przestępstwo. W efekcie osoby, które wykrywają błąd i nie mają złych intencji, często zatrzymują wiedzę dla siebie. Co z kolei może doprowadzić do tego, że niewykryty błąd wykorzysta ktoś inny, mający znacznie mniej chlubne intencje.
O problemie od lat mówią specjaliści ds. cyberbezpieczeństwa. Przez długi czas jednak nikt ze sprawą niczego nie zrobił. Aż do teraz.
– Po konsultacjach z Ministerstwem Sprawiedliwości dostrzegamy zasadność zmiany art. 269b kodeksu karnego. Po rozmowach z MS czekamy na propozycję ze strony MS w zakresie wprowadzenia do tego przepisu kontratypów – ujawniła minister cyfryzacji Anna Streżyńska na Facebooku. Była to odpowiedź na pytania w tej sprawie skierowane do niej przez znanego aktywistę Karola Bregułę.
Kontratypy – czyli okoliczności wyłączające bezprawność czynu – mają być dwa. Pierwszy będzie dotyczył prowadzenia badań naukowych związanych z cyberbezpieczeństwem. Drugi zaś pozwoli użytkownikom na testowanie systemów komputerowych za zgodą ich administratora. Jeśli więc bank wyrazi zgodę na to, by zainteresowane osoby wyszukiwały luki w systemie, będą to mogły robić bez narażania się na jakąkolwiek odpowiedzialność karną.
Eksperci nie ukrywają satysfakcji z deklaracji opublikowanej przez minister Streżyńską. W środowisku programistów od dawna bowiem wyszukiwane są potencjalne linie obrony dla tych, którzy zajmują się ujawnianiem luk w systemach. Jedna z najskuteczniejszych metod, która często przekonywała sądy, to wskazanie, iż opublikowanie dziur spełniało przesłanki znikomej szkodliwości czynu. Tyle że to i tak było ryzyko dla zapaleńców. Niektórzy jednak wskazują, że zaprezentowana przez Annę Streżyńską wizja zmian to o wiele kroków za mało. Ich zdaniem w praktyce zmieni się niewiele. Bo przecież już teraz tropiciel błędów, który ma na to zgodę przedsiębiorcy, nie jest narażony na karę. Większość spośród fascynatów wyszukiwania luk zaś nie pracuje naukowo, więc nie będą mogli skorzystać z drugiego z kontratypów.