16

Minister Anna Streżyńska dotrzymała słowa: nie będzie więzienia za wykrycie i wskazanie luk bezpieczeństwa

Dobre wieści na koniec tygodnia: osoby i firmy zajmujące się kwestiami bezpieczeństwa w Sieci, nie muszą już bać się zmiany przepisów w tej materii. Kodeks karny jest nowelizowany, ale na ich korzyść: testy bezpieczeństwa i hackowanie w dobrej wierze będzie można przeprowadzać bez groźby trafienia do więzienia na kilka lat.

Anna Streżyńska dotrzymała słowa – tak można w kilku słowach podsumować wspomniany temat. I chociaż oczywistym jest, że za zmianami nie stoi wyłącznie Pani Minister, bez jej starań pewnie trudno byłoby przeforsować niektóre zapisy w KK. O co chodzi?

Sprawę przybliżałem na początku marca: wedle obowiązujących przepisów, osoby, które znajdą i zgłoszą błędy w zabezpieczeniach systemów informatycznych, mogą być ukarane, grozi im nawet kilka lat więzienia. W czasach, gdy firmy płacą za szukanie u nich błędów, a niektórzy robią z tego sposób na życie, takie przepisy wydają się anachroniczne. Postanowiono je zmienić. Tyle, że… na niekorzyść ludzi z branży. Kary miały być zaostrzone. Zaczęto się wówczas zwracać z pytaniami do minister cyfryzacji, ta przekonywała, że sprawa nie jest przesądzona. Wczoraj Anna Streżyńska poinformowała za pośrednictwem Twittera, że wydarzenia potoczyły się po myśli branży:

Jakie zapisy znalazły się w znowelizowanym Kodeksie karnym i na co stanowią odpowiedź? Problematyczny był m.in. ten artykuł:

Art. 269b.§ 1.Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

Zmiany obejmują dodanie następującego paragrafu:

§ 1a. Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.

Zaproponowano, a następnie przegłosowano także inne zmiany:

w art. 1 dodaje się pkt 9 w brzmieniu: „9) po art. 269b dodaje się art. 269c w brzmieniu: „Art. 269c. Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.”.”;

Artykuły, do których odnoszą się te zapisy, brzmiały do tej pory następująco:

Art. 267.§ 1.Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2.Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

Art. 269a. Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Poprawki zaproponowane przez Senat i przyjęte przez Sejm to dobra wiadomość dla „bezpieczników”, pentesterów – ich działalność nie będzie zagrożona, za wykonywanie pożytecznej pracy nie tafią na kilka lat do więzienia. Oczywiście trzeba przy tym spełniać warunki określone w przywołanych artykułach – trudno będzie się zasłaniać nowymi przepisami, jeśli będzie się działać w złej wierze i zwyczajnie popełni się przestępstwo…