4

5 lat więzienia za wskazanie luk bezpieczeństwa w oprogramowaniu? Takie rzeczy tylko w Polsce…

Hackowanie może się skończyć więzieniem, pewnie każdy zdaje sobie z tego sprawę. I nie trzeba włamywać się do Pentagonu niczym w amerykańskich filmach - wystarczy nabroić bardzo lokalnie i na niskim szczeblu. Jednocześnie trzeba mieć na uwadze, że przybywa osób oraz firm, które szukają luk w zabezpieczeniach nie po to, by zaszkodzić, lecz pomóc. Ich intencje nie są jednak brane pod uwagę w przepisach, które właśnie proceduje polski Parlament. Za wykazanie czyichś błędów można trafić za kratki.

Więzienie za pokazanie komuś, że jego zabezpieczenia są niesprawne? Pomysł wydaje się nielogiczny i anachroniczny – firmy coraz częściej przyjmują takie informacje z otwartymi rękami. Rośnie na znaczeniu instytucja „bug bounty”, przedsiebiorstwa płacą za to, by szukać i pokazywać błędy w ich produktach. Temat ten poruszono m.in. w wywiadzie, który publikował kiedyś Grzegorz:

Coraz więcej firm organizuje programy bug bounty. Czy w środowisku zmieniły one stosunek do dzielenia się wiedzą?

– Przede wszystkim zmieniło się to, jak firmy postrzegają osoby, które zajmują się wyszukiwaniem błędów i ich zgłaszaniem. Kiedyś nieraz reagowały straszeniem prawnikami lub pozwami. Teraz współpracują z researcherami i nawet jeśli nie oferują nagród pieniężnych za zgłoszenia, to przynajmniej dziękują. To już postęp. Poza tym bug bounty sprawiły, że więcej oczu zaczęło przyglądać się bezpieczeństwu rozwiązań firm. A błędy zdarzają się wszędzie, niezależnie od tego, jak dobry zespół zajmuje się bezpieczeństwem. Firmy zaczęły rozumieć, że znalezienie każdej kolejnej dziury utrudnia atak i zwiększa jego koszt. Także nawet jeśli wciąż będzie on możliwy, to może stać się nieopłacalny.[źródło]

Czasem piszemy o takich nagrodach – Jakub wspominał kiedyś o 10-latku, który zainkasował 10 tysięcy dolarów od Facebooka, informował też o kasie, jaką za szukanie błędów oferował Pornhub. Czasem są to naprawdę duże pieniądze, ale firmom i tak opłaca się je wydawać, bo zmniejsza się ryzyko ataku i jego konsekwencji, np. wielkiego wycieku danych. Atak, którego doświadczyło kilka lat temu Yahoo już wpłynął na warunki przejęcia serwisu przez Verizon, pewnie na tym się nie skończy.

Temat poruszany jest też na polskim gruncie i szybko można tu dostrzec pewien problem. Wedle obowiązujących przepisów, możemy być ukarani za znalezienie i zgłoszenie błędów w zabezpieczeniach – stanowią o tym zapisy, które znajdziemy w Kodeksie Karnym:

Art. 269b.

§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

Specjaliści od dawna zgłaszają uwagi dotyczące tego zapisu i, co ciekawe, pod koniec ubiegłego roku wydawało się, że zostaną w nim wprowadzone odpowiednie zmiany – informował o tym m.in. Niebezpiecznik. Sprawą obiecała wówczas zająć się minister Anna Streżyńska. Wydawało się, że przepisy zostaną zmienione na korzyść osób znajdujących i wskazujących luki. Niestety…

W piątek 24 lutego Sejm uchwalił projekt nowelizacji Kodeksu Karnego. Przywołany wcześniej artykuł otrzymuje następujące brzmienie:

§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Zmianę trudno uznać za korzystną: kara pozbawienia wolności staje się bardziej dotkliwa, jednocześnie trzeba dodać, że więzienie nie jest jedynym problemem:

Zgodnie z nowelizacją, rozszerzony zostanie katalog przestępstw, względem których można stosować przepadek rozszerzony. Dotyczy to przestępstw, które zagrożone są karą ponad 5 lat więzienia. [źródło]

Sprawca może np. utracić przedsiębiorstwo, jeśli tak zdecyduje sąd. Nieciekawa perspektywa. Zwłaszcza, gdy działa się w dobrej wierze. A tak przecież funkcjonują firmy z tej branży.

Nowe przepisy jeszcze nie weszły w życie, trafiły do Senatu, potem muszą być podpisane przez Prezydenta. Można się spodziewać, że ustawa zostanie znowelizowana. I prawo zamiast na lepsze, zmieni się na gorsze. Jasne, nie oznacza to, że każda osoba, która znajdzie lukę i ją wskaże trafi za kratki. Ale po co tworzyć przepisy, które stwarzają w ogóle takie zagrożenie i nie przewidują wyjątków? Obyśmy nie musieli pisać o „ofiarach” tej nowelizacji.