Právnická fakulta Masarykovy university Katedra trestního práva Bakalářská práce
Problematika počítačových trestných činů podle českého trestního zákoníku Bc. Pavel Schoffer
2014/15
Prohlašuji, že jsem bakalářskou práci na téma „Problematika počítačových trestných činů podle českého trestního zákoníku“ napsal vlastními silami. Veškeré prameny a použité zdroje jsou uvedeny v poznámkách pod čarou v případě citací nebo v samotném textu jako doplňující informace. Tyto zdroje jsou dále uvedeny v seznamu použité literatury a dalších pramenů.
…............................. Pavel Schoffer 2
Obsah 1
Úvod...............................................................................................................................4
2
Počítačová kriminalita ....................................................................................................5
3
2.1
Klasifikace dle Rady Evropy ....................................................................................6
2.2
Klasifikace dle objektu .............................................................................................7
2.2.1
Útok na funkci počítače .....................................................................................7
2.2.2
Útok na počítač, programy a data ......................................................................7
2.2.3
Neoprávněné užití počítače................................................................................8
2.2.4
Neoprávněný přístup k datům, získání utajovaných nebo jiných informací ........9
2.2.5
Neoprávněná změna v programech a datech ......................................................9
Vybrané protiprávní jednání.......................................................................................... 10 3.1
Hacking .................................................................................................................. 10
3.2
Kybernetické výpalné ............................................................................................. 11
3.3
Šíření závadného obsahu ........................................................................................ 12
3.4
Kyberšikana ........................................................................................................... 12
3.5
Warez ..................................................................................................................... 13
3.6
Peer-to-peer sdílení................................................................................................. 16
3.7
Softwarové pirátství ............................................................................................... 17
3.7.1 3.8
Sniffing .................................................................................................................. 20
3.9
Bankovní počítačové podvody ................................................................................ 21
3.10 4
Útoky typu odepření služby ................................................................................ 23
Příčiny a prevence......................................................................................................... 26 4.1
Příčiny .................................................................................................................... 26
4.1.1
Technické faktory............................................................................................ 26
4.1.2
Sociální faktory ............................................................................................... 27
4.1.3
Právní faktory.................................................................................................. 27
4.2
Prevence ................................................................................................................. 28
4.2.1
Sociální ........................................................................................................... 28
4.2.2
Situační ........................................................................................................... 29
4.3 5
Licence Softwaru ............................................................................................ 18
Charakteristika pachatele ........................................................................................ 30
Závěr ............................................................................................................................ 32
Bibliografie .......................................................................................................................... 33
3
1 Úvod Tato práce se bude zabývat problematikou počítačových trestných činů neboli počítačovou kriminalitou. Úvodní část dokumentu se věnuje osvětlení tohoto pojmu, který se dotýká každého uživatele informačních technologií. Vymezení počítačové kriminality bude demonstrovat širokost množiny jednání, jež do této kategorie trestných činů patří. Potenciálně se tak toto téma dotýká každého z nás, ať už přímo v oblasti bezpečnosti osobních počítačů, kyberšikany a podobně, nebo prostřednictvím dalších subjektů, kteří udržují databáze soukromých informací o naši osobě. Jádro celého dokumentu představuje kapitola věnována jednotlivým typům jednání. Každé z nich je popsáno z technického pohledu a následně právně klasifikováno. Pro ilustraci probíraných částí zde uvádím i několik příkladů z české i zahraniční judikatury. V práci jsou dále zmíněny rozdílné právní úpravy a to, jak z pohledu vývoje v rámci české legislativy v časovém rozlišení, tak při srovnání s pojetím jiných zemí. Příklad změny právní úpravy představují skutkové podstaty v oblasti neoprávněného vniknutí do počítačového systému, kde došlo v minulosti ke kriminalizaci několika dříve legálních typů jednání. Tato skutečnost odrazuje dynamiku, která je s vývojem počítačové techniky spojena, a kterou musí respektovat a reflektovat i odpovídající trestněprávní pojetí. Práce dále obsahuje pojednání o prevenci a příčinách počítačové kriminality. Tuto část uzavírá pojednání o charakteristice typického pachatele počítačových trestných činů. V oblasti příčin se zabývám třemi nejpodstatnějšími pohledy na kriminogenní faktory, jež k páchání těchto trestných činů přispívají. Prevence úzce souvisí s příčinami, což je patrné i v této práci, kdy navrhovaná opatření mají eliminovat nebo alespoň snížit vliv zmíněných kriminogenních faktorů. Celý dokument uzavírá závěr, ve kterém zhodnotím uvedené skutečnosti a nastíním můj pohled na problematiku. Cílem této práce tak je uvést a především popsat jednání, která pod pojem počítačových trestných činů spadají a uvést prostředky, jak je možné tento specifický obor ovlivnit.
4
2 Počítačová kriminalita Prudký rozvoj počítačů a především jejich přechod z původně úzce zaměřeného stroje na výpočet matematických problémů na prostředek schopný různých úkonů zapříčinil jejich prosazení ve většině ne-li ve všech oborech lidské činnosti. Dalším krokem v integraci těchto systémů představuje propojení strojů pomocí různých sítí, z nichž nejvýznamnější představuje samotný Internet. Kombinací předchozího vznikl velice silný nástroj. To mimo jiné vedlo i k využití počítačů jako prostředek trestné činnosti. Současně se staly počítače a jejich sítě také předmětem trestných činů. Zmíněné trestní jednání bývá souhrnně označováno za počítačovou kriminalitu. Počítačová kriminalita nebývá definována ostře, není tak možné dohledat obecnou definici tohoto pojmu. SMEJKAL1 přirovnává počítačovou kriminalitu k násilné kriminalitě nebo kriminalitě mladistvých a to z pohledu volnosti pojmu. Může se tak jednat o široký rozsah trestných činů mající společný podstatný faktor. V případě počítačové kriminality se jedná, jak už z názvu vyplývá, o počítač. Počítač sice představuje společného jmenovatele této části kriminality, není ale možné omezovat vnímání problematiky pouze na samostatný přístroj, nýbrž chápat pojem v širších souvislostech. Korektnější je užití obecnějšího termínu informační komunikační technologie2. V dnešní době totiž pracovní stanice pouze výjimečně pracují samostatně, naopak jsou propojeny komunikačním médiem, které se skládá z lokálních počítačových sítí, které souhrnně nazýváme Internet. Specifikum oblasti informační telekomunikační techniky tedy je mimo jiné i nejednotnost předmětu útoku. Nemusí jít totiž pouze na hmotnou esenci počítače nebo informace nebo obecněji data obsaženy na pevném disku počítače, ale útok může a často právě směřuje i vůči komunikaci mezi počítači. Dokument OSN3, který se tématikou zabývá, uvádí, že tento fenomén zahrnuje jak v jistém slova smyslu tradiční skutkové podstaty, tak i potenciál k zneužití informační komunikační technologie, jež by trestné být mělo. Příkladem skutkových podstat naplňujících znaky zmíněných tradičních trestných činů může být neoprávněný převod finančních prostředků z elektronického účtu.
1
SMEJKAL, Vladimír. Právo informačních a telekomunikačních systémů. 2., aktualiz. a rozš. vyd. Praha: C. H. Beck, 2004. ISBN 80-717-9765-0. str. 692 2 ČSN ISO/IEC 2382-1. Informa č ní technologie: Slovník - Část 1: Základní termíny. 3 Manuál OSN pro prevenci a kontrolu počítačového zločinu. Dostupné z http://www.uncjin.org/Documents/EighthCongress.html
5
V předchozím textu již bylo řečeno, že probíraný pojem není možné jednoznačně vymezit, existuje však řada rozdělení, jenž se snaží definici pojmu nahradit. Počítačovou kriminalitu tak tvoří souhrn vyjmenovaných druhů jednání. Některé z těchto dělení zde uvedu.
2.1 Klasifikace dle Rady Evropy Jedním z velkých problémů z pohledu trestního práva počítačové kriminality představuje jeden z jejích hlavních znaků. Díky technologickým pokrokům v poli informačních telekomunikačních systémů a globálnosti počítačových sítí často dochází k jevu, kdy místo spáchání trestného činu se liší s místem, ve kterém došlo k následkům tohoto činu, a to v takovém rozsahu, že se může jednat o svrchovaná území různých států. Z tohoto důvodu je vhodné uchopení této problematiky na nadnárodní úrovni. Řeč je o Úmluvě Rady Evropy o kybernetické kriminalitě4. Tento dokument zavádí jak klasifikaci těchto trestných činů, tak i procesní nástroje jejich stíhání. Česká republika podepsala úmluvu v roce 2005, k jejíž ratifikaci došlo v srpnu roku 20135. Skutkové podstaty jsou v Úmluvě rozděleny následovně. 1. Trestné činy proti důvěrnosti, integritě a použitelnosti počítačových dat a systémů a. Nezákonný přístup b. Nezákonný odposlech c. Zasahování do dat d. Zasahování do systému e. Zneužívání zařízení 2. Trestné činy související s počítačem a. Počítačové padělání b. Počítačový podvod 3. Trestné činy související s obsahem a. Trestné činy související s dětskou pornografií 4. Trestné činy týkající se porušení autorského práva a práv souvisejících s právem autorským
a. Trestné činy týkající se porušení autorského práva a práv souvisejících s právem autorským
4
Úmluva Rady Evropy o počítačové kriminalitě, Budapešť, 23. listopadu 2001, Convention on Cybercrime ETS no. 185. Dostupný z: http://www.conventions.coe.int/Treaty/en/Treaties/Html/185.htm 5 ZAHRADNÍČEK, Jaroslav. Počítačová kriminalita: Mezinárodní úmluva je konečně závazná i pro Česko. [online].[cit.2014-09-24].Dostupné z: https://www.patria.cz/pravo/2694193/pocitacova-kriminalita-mezinarodniumluva-je-konecne-zavazna-i-pro-cesko.html
6
2.2 Klasifikace dle objektu Počítačovou kriminalitu je možné rozdělit také dle objektu trestného činu do několika skupin. V tomto případě jsem vycházel z dělení, jež používá VÁLKOVÁ a KUCHTA6 a dále ho upravil. Toto rozdělení plně nenahrazuje definici pojmu, ale vymezují množinu trestných činů, jež pojem představuje. 2.2.1 Útok na funkci počítače V tomto pojetí se jedná o útok na funkci, kterou počítač poskytuje, spíše než na samotnou entitu zahrnující hardwarové součásti a softwarové vybavení. Cílem útočníka tak není primárně poškodit samotný počítač, ale toto poškození slouží jako prostředek narušení nějakého logické služby, systému nebo nástroje. Útok lze vést bezprostředně vlastním zásahem do počítače nebo častěji distančně prostřednictvím maligního programu7. Druhý z přístupů je preferovaný z důvodu diametrálně vyšší náročnosti dopadení pachatele. Útočník totiž nemusí být na místě, kde k trestnému činu dochází ani ho řídit v době dokonání. Z právního hlediska přichází u těchto skutkových podstat v úvahu trestné činy teroristický útok (§ 311 trestního zákoníku8, dále TrZ), sabotáž (§ 314 TrZ), vyzvědačství (§ 316 TrZ), obecné ohrožení (§ 272, § 273 TrZ), zkreslení údajů o stavu hospodářství (§ 254 TrZ), poškození a ohrožení provozu obecně prospěšného zařízení (§ 277, § 278 TrZ). 2.2.2 Útok na počítač, programy a data Na rozdíl od předchozí skupiny, kdy byla předmětem útoku funkcionalita systému, tato kapitola pojednává o útocích mířených na samotný počítač, počítačový programy nebo data. U hmatatelných částí počítače se situace nikterak nemění od jiných movitých věcí. Mám zde na mysli části počítače a to jak jeho komponenty, tak periférie (monitor, tiskárna, klávesnice a další). Problém u programů a dat může nastat ve vyčíslení jejich hodnoty. Pro některé případy je možné použít souhrnně "klasické" trestné činy obsažené v páté hlavě trestního zákoníku, která obsahuje trestné činy proti majetku. Například se tak jedná o poškození cizí věci (§ 228 TrZ) při poškození hardwaru počítače i při smazání souboru na disku počítače.
6
VÁLKOVÁ, Helena a Josef KUCHTA. Základy kriminologie a trestní politiky. 2. vyd. Praha: C.H. Beck, 2012, xxviii, 636 s. ISBN 978-807-4004-292. str.604. 7 SKOUDIS, Ed. Malware: fighting malicious code. Upper Saddle River: Prentice Hall, c2004. Prentice Hall series in computer networking and distributed systems. ISBN 01-310-1405-6. str. 2 8 Zákon č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR
7
Věc se však komplikuje u skutkové podstaty krádeže (§ 205 TrZ), zpronevěry (§ 206 TrZ) nebo neoprávněného užívaní cizí věci (§ 207 TrZ). Ty se dají aplikovat pouze na hmatatelné části počítače. U programů a dat se však situace různí v samotném aktu, kdy nejde o krádež v klasickém slova smyslu, ale o vytvoření kopie dat nebo programu. Jedná se i o problematiku tzv. softwarového pirátství, které zahrnuje nelegální kopírování, šíření, plagiátorství programů9. Právně se pak tato problematika opírá o porušení autorského práva (§ 270 TrZ), porušování práv k ochranné známce, obchodnímu jménu a chráněnému označení původu (§ 268 TrZ) a porušování průmyslových práv (§ 269 TrZ). 2.2.3 Neoprávněné užití počítače Tato skupina obsahuje dvě dimenze pojetí. V první řadě se jedná o svěřený počítač, který je však využíván v rozporu s dispozicí vlastníka. Takové jednání je nazýváno krádeží strojového času10. Může jít o případy zneužití osobního stolní počítače, ale i o případy, kdy je využit stroj s vysokou výpočetní kapacitou zpravidla používán ve výzkumných centrech (například japonský K computer11). Dále se jedná o skutkové podstaty, kdy si útočník cizí věc přivlastní bez svěření. Specifikem tohoto jednání ve sféře počítačové kriminality je fakt, že vlastník o takovém užití nemusí vědět ani v situacích, kdy je počítač současně využíván i k žádoucím účelům. Moderní počítače umožňují práci na více úkolech současně a ve spojení s možností skrytých procesů může být takový útok jen těžko odhalitelný. Toho se může využít k distribuovaným útokům odmítnutí služby (DDoS - distributed denial-of-service)12. Podstata takového útoku spočívá v tom, že útočník zpravidla distančně pomocí maligního softwaru donutí další cizí počítače požadovat cílovou službu v takovém měřítku, že dojde k přetížení kapacit poskytované služby a ta se stává nedostupnou. V tomto případě je neoprávněné užití počítače prostředkem k jinému trestnímu činu, což však nevylučuje trestnost souběhu trestných činů. Trestně právní oporu skutkových podstat jednání zařazených do této skupiny tvoří neoprávněné užívání cizí věci (§ 207 TrZ).
9
SMEJKAL, Vladimír. Právo informačních a telekomunikačních systémů. 2., aktualiz. a rozš. vyd. Praha: C. H. Beck, 2004. ISBN 80-717-9765-0. str. 723 10 VÁLKOVÁ, Helena a Josef KUCHTA. Základy kriminologie a trestní politiky. 2. vyd. Praha: C.H. Beck, 2012, xxviii, 636 s. ISBN 978-807-4004-292. str.604 11 RIKEN, The K computer, Dostupné z: http://www.riken.jp/en/research/environment/kcomputer/. 12 GOODRICH, Michael T. Introduction to computer security: fighting malicious code. International ed. Upper Saddle River: Pearson, 2011, xix, 541 s. Prentice Hall series in computer networking and distributed systems. ISBN 978-0-321-70201-2. str. 255
8
2.2.4 Neoprávněný přístup k datům, získání utajovaných nebo jiných informací Další možností útoků představují neoprávněné přístupy k datům a informacím. Autoři publikace Počítačové právo13 definují počítačovou kriminalitu úžeji než v této práci. Jejich pojetí zahrnuje právě pouze útoky ve vztahu k datům a uložených informacích, tj. obsahem této kapitoly. Útočník se může dostat k datům buďto fyzicky nebo distančně pomocí počítačové sítě. Trestný čin je možné klasifikovat podle okolností jako poškození cizích práv (§ 181 TrZ), podvod (§ 209 TrZ), porušení autorského práva, práv souvisejících s právem autorským a práv k databázi (§ 270 TrZ), vyzvědačství (§ 316 TrZ), případně ohrožení utajované informace (§ 317 TrZ) nebo jako souběh více z nich dle individuální situace. 2.2.5 Neoprávněná změna v programech a datech Neoprávněnou změnu může učinit jak přímo programátor, který na programu nebo s daty pracuje, útočník, jenž se do systému dostane zvenčí nebo prostřednictvím maligního softwaru. Motivací k takovému jednání bývá zpravidla osobní prospěch nebo poškození vlastníka programu nebo dat. Právní klasifikace takového jednání přímo odpovídá písmenu b) druhého odstavce trestného činu neoprávněný přístup k počítačovému systému a nosiči informací (§ 230 TrZ). Zde je obsažen taxativní výpis operací, na něž se zákon vztahuje, a mezi nimiž změna figuruje. Dále v dikci druhého odstavce není obsažena nutnost získání neoprávněného přístupu, z čehož vyplívá, že se toto ustanovení vztahuje jak na útočníka zvenčí nebo i oprávněného programátora, který ale provede neoprávněnou změnu.
13
SMEJKAL, Vladimír. Počítačové právo. Vyd. 1. Praha: C. H. Beck, 1995. ISBN 80-717-9009-5. str. 115
9
3 Vybrané protiprávní jednání Rozvoj informační komunikační technologie znamenal z pohledu trestního práva i řadu nových metod zneužití počítače ke kriminální aktivitě. Mnoho těchto aktivit, jak již bylo zmíněno, je možné připodobnit ke klasickým trestným činům. Na druhou stranu existuje i množina jednání specifického pro obor počítačové kriminality, o kterých tato kapitola pojednává. Hlavní podklad pro následné pojednání představuje dílo JIROVSKÉHO14.
3.1 Hacking Jinými slovy se jedná o obejití obraných prostředků chránících napadnutý počítač nebo systém a proniknutí tak k jeho rozhraní. Příkladem obcházené kontroly může být autentifikační dvojice přihlašovacího jména a hesla nebo počítačový program určený pro odrazení vnějších útoků (firewall15). Právní úprava tohoto jednání doznala při přechodu z předchozího trestního zákona16 (dále sTrZ) na stávající nový zákoník závažných změn. Na toto jednání se dříve vztahovalo ustanovení § 257a sTrZ, poškození a zneužití záznamu na nosiči informací. Jedním z obligatorních znaků této skutkové podstaty byl úmysl způsobit škodu nebo jinou újmu nebo získat pro sebe nebo jiného neoprávněný prospěch. Drtivá většina těchto „průnikářů“ však primárně nesleduje provedeným útokem žádný z těchto cílů, ale jednání se dopouští z důvodu dosažení pocitu nadřazenosti a jako demonstraci svých schopností. Pouze proniknutí do systému tak samo o sobě trestné nebylo. Tato skutečnost se ovšem změnila s novým trestním zákoníkem, který kriminalizuje v této spojitosti širší množinu jednání. § 230 TrZ Neoprávněný přístup k počítačovému systému a nosiči informací již obligatorní znak úmyslu způsobit škodu úplně vypouští a trestným se tak stává samotné překonání bezpečnostního opatření spojené se ziskem přístupu k počítačovému systému, jež je zakotveno v prvním odstavci tohoto ustanovení. Druhý odstavec § 230 TrZ kriminalizuje získání přístupu k počítačovému systému nebo nosiči informací a neoprávněné užití dat zde uložených, jejich vymazání nebo jiné zničení, poškození, změnu, potlačení, snížení jejich kvality nebo učinění neupotřebitelnými, padělání nebo pozměnění dat tak, aby byla považována za pravá nebo podle nich bylo jednáno tak, jako by to byla data pravá, bez ohledu na to, zda jsou tato data přímo čitelná a 14
JIROVSKÝ, Václav. Kybernetická kriminalita: nejen o hackingu, crackingu, virech a trojských koních bez tajemství. 1. vyd. Praha: Grada, 2007, 284 s. ISBN 978-80-247-1561-2. 15 ONDRÁK, Viktor. Problematika ISMS v manažerské informatice. Vyd. 1. Brno: CERM, 2013, 377 s. ISBN 978-80-7204-872-4. 16 Zákon č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR
10
srozumitelná, nebo neoprávněné vložení dat nebo jiný zásah do programového nebo technického vybavení počítače nebo jiného technického zařízení pro zpracování dat. Stejně jako v předešlé úpravě není pro naplnění této skutkové podstaty zapotřebí neoprávněného přístupu, ale oproti předchozí úpravy, není znovu vyžadován úmysl k způsobení škody nebo jiné újmy. Úmysl k způsobení škody nebo jiné újmy nebo získání neoprávněného prospěchu, nebo neoprávněnému omezení funkčnosti systému se přesunul do třetího odstavce § 230 TrZ, který představuje kvalifikovanou skutkovou podstatu pro první dva odstavce. Tato nová úprava ovlivnila i práci tzv. morálních hackerů. Přední softwarové společnosti, které si na neproniknutelnosti svých systémů zakládají, zpravidla najímají odborníky se schopností objevit toto slabé místo a do systému proniknout. Tito odborníci jsou označování výrazem “white hat”17. Legislativa je s přechodem na novou úpravu nutí před zahájením pokusů o průnik zajistit oprávnění k této činnosti u autority testovaného systému. Útočníci, jejichž úmyslem je škodit, jsou označování jako příslušníci skupiny “black hat”. Někdy se používá výraz se stejným významem “cracer”. Na jednání této skupiny osob je již možné aplikovat zmíněné ustanovení § 230 TrZ. Dále připadá v úvahu aplikace trestného činu § 231 Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných obdobných dat. Tato skutková podstata představuje přípravu právě k spáchání trestného činu neoprávněného přístupu k počítačovému systému a nosiči informací podle § 230 odst. 1, 2 TrZ nebo trestný čin porušení tajemství dopravovaných zpráv podle § 182 odst. 1 písm. b), c) TrZ. Dále může přistupovat v souběhu i porušení autorského práva, práv souvisejících s právem autorským a práv k databázi (§ 270 TrZ). Naplnění předchozích skutkových podstat popsaných v této kapitole vyžadovalo úmyslné jednání. Nový trestní zákoník zavedl i nedbalostní trestní čin pojící se k počítačové kriminalitě. Jedná se o poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti (§ 232 TrZ).
3.2 Kybernetické výpalné Podstata tohoto jednání tkví v pohrůžce napadení počítačového systému oběti, pokud nedojde k požadovanému konání. Jak již název napovídá, objevuje se zde výrazná podobnost s nelegální činnosti skupin mafiánského typu. Rozdíl spočívá v nástroji, který útočník využívá
17
CALDWELL, Tracey. Network Security. 2011, vol. 2011, issue 7. ISSN 13534858. Dostupné z: http://linkinghub.elsevier.com/retrieve/pii/S1353485811700757
11
jako pohrůžku. V tomto případě se jedná o pohrůžku napadení systému, jenž samo o sobě patří do předchozí skupiny jednání. Právně jde o trestný čin vydírání (§ 175 TrZ), ke kterému může přistupovat v souběhu eventuálně i neoprávněný přístup k počítačovému systému a nosiči informací (§ 230 TrZ) nebo i jiné trestné činy zmíněné v kapitole o hackingu, pokud útočník přistoupí k realizaci svých hrozeb. K naplnění znaků skutkové podstaty vydírání již není relevantní, zda má útočník k provedení hrozícího útoku schopnosti, ani jestli je napadaný systém dostatečně chráněn. Již při pohrůžce dojde k dokonání tohoto trestného činu.
3.3 Šíření závadného obsahu Zde se nejedná o zcela nové protiprávní jednání jako u předchozích typů. Informační komunikační technologie však poskytuje nové přenosové a publikační médium pro již tradiční trestné činy. Internet jako nástroj je k tomuto zneužitelnější o to více, když se vezme v úvahu skutečnost, že koncept této technologii byl na principu co nejsnadnějšího šíření informací názorů a pohledů založen. Tuto náchylnost ještě rozšířil nástup blogů, diskusních fór a v poslední době především sociálních sítí. Konkrétně může závadný obsah tvořit materiály dětské pornografie, propagace extrémistických skupin a podobné. Odpovídající trestné činy pro toto protiprávní jednání představují § 191 TrZ šíření pornografie a § 355 TrZ hanobení národa, rasy, etnické nebo jiné skupiny.
3.4 Kyberšikana Novým fenoménem objevujícím se především ve školním prostředí, ale ne jen tam, je kybernetická šikana neboli kyberšikana. Jednání spočívá v zneužití moderních informačně komunikačních technologií pro šikanu. Mezi nejčastější prostředky takového jednání patří mobilní telefony, emaily, internetové blogy, nástroje komunikace v reálném čase (instant messaging) a především sociální sítě. Výzkum provedený za spolupráce projektu E-Bezpečí a Centrum prevence rizikové virtuální komunikace z roku 200918 ukazuje, že 46,8 procent respondentů mělo problém s kyberšikanou. Průzkum byl proveden na vzorku 1925 studentů základních a středních škol na celém území české republiky a mezi sledované projevy patřilo vyhrožování, zastrašování, zesměšňování, urážení, vydírání, krádež identity a publikování ponižujících audiovizuálních záznamů. 18
KREJČÍ, Veronika a Kamil KOPECKÝ. Nebezpečí elektronické komunikace. 2009. Dostupné z: http://cms.ebezpeci.cz/component/option,com_docman/task,doc_download/gid,34/Itemid,2/lang,czech/
12
Problém kyberšikany spočívá mimo jiné také v tom, že se jedná o pro pachatele jednoduší formu šikany. Není vyžadováno silné postavení ve společnosti a prostředí Internetu dokáže úplně smazat věkové rozdíly stejně jako rozdíly fyzické zdatnosti. Prostředí Internetu nebývá nikterak monitorováno a cenzurováno. Dále platí stejně jako u jiných projevů trestné činnosti spojených s informační komunikační technologií, že nevyžaduje geografickou blízkost spáchání trestného činu a projevení následků. Útok tak může být veden prakticky přes celý svět s velkým publikem. Příkladem takového případu s celosvětovým povědomím je případ Ghyslaina Raza. Tento kanadský středoškolský student natočil video, kde imitoval boj slavného sci-fi filmu, a po zveřejnění se video stalo virálním s počtem zhlédnutí 900 milionů19. Kyberšikana není termínem zákona. Jednání patřící do této kategorie však lze považovat za některý z následujících trestních činů dle individuálních znaků případu. V případu následku ublížení na psychice oběti připadá v úvahu trestný čin ublížení na zdraví (§ 146 TrZ). Často se jedná také o případy elektronické podoby vydírání (§ 175 TrZ), nebezpečného vyhrožování (§ 353 TrZ) nebo nebezpečného pronásledování (§ 354 TrZ). Dále se nabízí snadné zneužití nových technologií k trestnému činu pomluvy (§ 184 TrZ). Počítačová síť, kterou k spáchání tohoto trestného činu zpravidla pachatel využije, kvalifikuje trestný čin do jeho závažnějšího odstavce s vyšší sazbou. Forma spáchání se může různit od emailové komunikace až po různá veřejná sociální média. Představitele těchto nástrojů tvoří především rychle se rozvíjející sociální sítě.
3.5 Warez Warez jsou webové servery sdružující jedince obcházející autorský zákon. Jejich činnost spočívá v tom, že autorsky chráněný obsah uveřejní na warez serveru a ostatní uživatelé se k němu tímto prostřednictvím mohou dostat. Zjednodušeně lze popsat probíhající proces tak, že uchazeč vlastnící legálně získané autorské dílo jej převede do snadno šiřitelné podoby (zpravidla kompresní archivy) a nahraje na jedno z dostupných datových úložišť. Následně na warez server vystaví odkaz na nahraná data do přístupné sekce. Prostřednictvím zveřejněného odkazu jsou další uživatele schopni stáhnout data. Uživatelé warez serverů nezveřejňují obsah chráněný autorským zákonem pro materiální zisk. Motivací pro ně je uznání a budování pověsti v komunitě uživatelů. Uploadeři, jak jsou uživatelé obsah poskytující často nazývání, se běžně předhánějí
19
BBC. Star Wars Kid is top viral video. BBC News [online]. 2006 [cit. 2014-10-18]. Dostupné z: http://news.bbc.co.uk/2/hi/entertainment/6187554.stm
13
v rychlosti umístění odkazu na data. Řada filmů, hudebních výtvorů i softwaru zvládnou na warez scénu nahrát uploadeři ještě před jejich oficiálním zavedením na trh. Postihnutelnost chování uploaderů nepředstavuje žádnou velkou obtíž z pohledu naplnění skutkové podstaty. Jednoznačně se zde jedná o trestný čin § 270 TrZ porušení autorského práva, práv souvisejících s právem autorským a práv k databázi. Nemusí se ukázat jako snadná vlastní identifikace pachatele. Ti většinou využívají důmyslné metody zakrytí své pravé identity, jako mohou být různé proxy servery20, maskující programy a další. V prostředí warez scény vystupují uživatelé anonymně pod zvolenou přezdívkou a zpravidla ani blízcí kolegové ze světa virtuálních sítí o sobě v reálném životě neví téměř žádné informace. Mnohem zajímavější je pohled na subjekt poskytovatele služby datových úložišť, které jsou k této nelegální aktivitě využívány. Nelze ovšem říci, a zástupci takových služeb to i razantně odmítají21, že by docházelo k zneužití služby pouze k tomuto účelu. Do konfliktu se tak dostávají dva chráněné společenské zájmy. Jedním z nich je právo svobodného projevu, o který se opírají provozovatelé datových úložišť a jejich uživatelé. Zavedení nějakého druhu automatické kontroly vkládaných dat by mohlo toto právo narušit. Na druhé straně vystupuje majetkové právo vlastníků autorských práv. Legislativa na evropské úrovni se přiklání na stranu datových úložišť formou evropské směrnice č. 2000/31/ES o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu ("směrnice o elektronickém obchodu")22, kterou implementuje na národní úrovni zákon 480/2004 Sb. o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti)23. Z 5. odstavce zmíněného zákona vyplývá, že poskytovatel služby datového úložiště odpovídá za ukládaný obsah jiných uživatelů pouze, pokud mohl vzhledem k předmětu své činnosti, okolnostem a povaze případu vědět o protiprávnosti dat nebo se o ní prokazatelně dozvěděl a neprodleně nepodnikl veškeré požadovatelné kroky k smazání nebo znepřístupnění dat.
20
STREBE, Matthew a Charles PERKINS. Firewally a proxy-servery. Vyd. 1. Brno: Computer Press, 2003, xxi, 450 s. ISBN 80-722-6983-6. 21 MORÁVEK, Daniel. Způsobil evropský soud převrat ve stahování filmů? Jen bouře ve sklenici vody. [online]. [cit. 2014-10-02]. Dostupné z: http://www.podnikatel.cz/clanky/zpusobil-evropsky-soud-prevrat-ve-stahovanifilmu-jen-boure-ve-sklenici-vody/ 22 Směrnice Evropského parlamentu a Rady č. 2000/31/ES o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu ("směrnice o elektronickém obchodu") ze dne 8. června 2000. Dostupné z: http://eur-lex.europa.eu/legalcontent/CS/TXT/HTML/?uri=CELEX:32000L0031&from=CS 23 Zákon 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR
14
Poslední z pohledů na právní stránku warez problematiky představují uživatelé, kteří si data stahují. Výklad relevantní legislativy vyžaduje ještě komplexnější diskuzi než u poskytovatele datových úložišť. Autorský zákon stanoví, že právo k užití díla má jeho autor, případně osoba, která smluvně oprávnění k výkonu takového práva od autora získala (§ 12 odst. 1 autorského zákona24, dále AutZ). Definice pojmu užití díla provedena taxativním výčtem obsahuje 4. odstavec § 12 AutZ. Jiné osoby mohou dílo užít pouze, pokud to autorský zákon stanoví. Ten tak činí v 4. díle, kde vymezuje výjimky z omezení práva autorského. Nástroj volného užití zakotven v § 30 AutZ představuje hlavní právní oporu pro jednání uživatele dílo stahující, která umožňuje bez zásahu do autorského zákona si vytvořit rozmnoženinu, zhotovit záznam nebo napodobeninu díla, což stažení díla představuje, pokud tak činí pro svou osobní potřebu a nesleduje-li dosažení přímého nebo nepřímého hospodářského nebo obchodního prospěchu. Nezáleží v tomto případě na tom, jestli zdrojová rozmnoženina, ze které si takto vytváří svou kopii stahující uživatel, byla nebo nebyla vytvořena jednáním, které je v rozporu s autorským zákonem, což dokládá i usnesení nejvyššího soudu25. Využití tohoto nástroje však omezuje podmínka takzvaného bernského třístupňového testu definovaného v čl. 9 odst. 2 Bernské úmluvy jako „v určitých zvláštních případech, pokud
takové
rozmnožení
nenarušuje
normální
využívání
díla
a
nezpůsobuje
neospravedlnitelnou újmu oprávněným zájmům autora.“26 Tento test je dále inkorporován do národní legislativy § 29 odst. 1 AutZ s drobnou změnou formulace: „Výjimky a omezení práva autorského lze uplatnit pouze ve zvláštních případech stanovených v tomto zákoně a pouze tehdy, pokud takové užití díla není v rozporu s běžným způsobem užití díla a ani jím nejsou nepřiměřeně dotčeny oprávněné zájmy autora.“. Stupně bernského testu tedy jsou: 1. ve zvláštních případech stanovených v tomto zákoně, 2. užití díla není v rozporu s běžným způsobem užití díla, 3. nejsou nepřiměřeně dotčeny oprávněné zájmy autora. Pro možnost využití nástroje volného užití (§ 30 AutZ) musí být splněny kumulativně všechny tři stupně testu. První stupeň testu je tedy automaticky splněn. Druhý stupeň běžného způsobu užití lze interpretovat tak, že nevstupuje do hospodářské soutěže s normálním 24
Zákon č. 121/2000 Sb., Autorský zákon, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR 25 Usnesení Nejvyššího soudu ČR ze dne 25. 3. 2009, sp. zn. 5 Tdo 234/2009. In: CODEXIS ACADEMIA [právní informační systém]. ATLAS consulting 26 Bernská úmluva o ochraně literárních a uměleckých děl ze dne 9. září 1886, doplněná v Paříži dne 4. května 1896, revidovaná v Berlíně dne 13. listopadu 1908, doplněná v Bernu dne 20. března 1914 a revidovaná v Římě dne 2. června 1928, v Bruselu dne 26. června 1948, ve Stockholmu dne 14. července 1967 a v Paříži dne 24.
15
ekonomickým využíváním díla majitele práv27, což s předpokladem využití pro vlastní osobní potřebu také překážku netvoří. Vyhodnocení nepřiměřenosti dotčení oprávněných zájmů autora představuje na vyložení nejobtížnější podmínku. Nejvyššího soud se v odkazovaném usnesení28 současně vyslovil i k tomuto problému, ale uvedl, že dodržení podmínek je potřeba rozhodovat individuálně. Obecně však nelze předpokládat, že by k nepřiměřenému dotčení oprávněných zájmů autora došlo, čímž jsou splněny všechny stupně bernského třístupňového testu. Nově se k této problematice vyslovil i zásadním způsobem evropský soudní dvůr. Ten ve svém rozsudku v případu ACI Adam BV a další proti Stichting de Thuiskopie, Stichting Onderhandelingen Thuiskopie vergoeding29 vyslovil tak, že nelze považovat vytvoření rozmnoženiny pro vlastní potřebu, pokud je zdroj rozmnoženiny vytvořen protiprávním jednáním, jako jednání v souladu s právem. Na druhou stranu se nevyslovil k otázce, na kolik musí uživatel služeb datových úložišť zkoumat legálnost zveřejněného obsahu.
3.6 Peer-to-peer sdílení S předchozím souvisí a v mnohém i nahrazuje modernější peer-to-peer30 sdílení. Technicky se jedná o distribuovanou sít, kde spolu klienti, které v oboru počítačových sítí představují koncové body připojení, takže nejčastěji se jedná o osobní počítače, komunikují bez potřeby centrální jednotky. Na rozdíl od předchozího modelu komunikace, kdy se uživatelé připojovali na centrální místo, jež tvořila datacentra provozovatele datových úložišť, kde uploader nahrál požadovaný obsah, nyní dochází k přesunu dat přímo mezi jednotlivými uživateli. I v tomto modelu se jistý centrální prvek objevuje. Ten slouží k propojení uživatelů, dokáže tak určit, u kterých uživatelů je možné požadovaný obsah nalézt. Samotný
přenos
probíhá tak, že se datový soubor, jako je na příklad film nebo hudební soubor, rozdělí na mnoho malých částí. Centrální prvek pak vyhodnotí, od kterých uživatelů je možné části souboru přenést. Klient, který data vyhledává, inicializuje stahování různých částí souboru od
27
SLÁMA, David. Konflikt mezi právy uživatelů audiovizuálních děl a vlastníků autorských práv v mezinárodním a evropském kontextu [online]. 2012 [cit. 2014-10-04]. Diplomová práce. Masarykova univerzita, Právnická fakulta. Vedoucí práce Radim Charvát. Dostupné z: http://is.muni.cz/th/144364/pravf_m/ 28 Usnesení Nejvyššího soudu ČR ze dne 25. 3. 2009, sp. zn. 5 Tdo 234/2009. In: CODEXIS ACADEMIA [právní informační systém]. ATLAS consulting 29 Rozsudek soudního dvora (čtvrtého senátu) ze dne 10. dubna 2014. ACI Adam BV a další proti Stichting de Thuiskopie, Stichting Onderhandelingen Thuiskopie vergoeding. Věc: C-435/12. Dostupné z: http://curia.europa.eu/juris/document/document.jsf?text=&docid=150786&pageIndex=0&doclang=CS&mode=r eq&dir=&occ=first&part=1&cid=515317 30 HORÁK, Jaroslav a Milan KERŠLÁGER. Počítačové sítě pro začínající správce. 5., aktualiz. vyd. Brno: Computer Press, 2011, 303 s. ISBN 978-80-251-3176-3.
16
různých uživatelů paralelně. Přenos velkého množství dat z různých zdrojů umožní značný nárůst rychlosti přenosu dat, což je důvod prudkého rozšíření této metody. Stinnou stránkou tohoto přístupu především z pohledu právního dopadu je skutečnost, že jakmile dojde ke stažení první malé části požadovaného souboru, automaticky se začne tato část nabízet ke stažení dalším uživatelům. Úplně se tak skrývá rozdíl mezi uploaderem a uživatelem, který si chce data rozmnožit pro vlastní potřebu, protože poskytnutí dat dalším uživatelům je základní princip, na němž peer-to-peer sítě staví, ale současně vylučuje použití pouze pro vlastní osobní potřebu, takže všichni zúčastněni uživatelé se dopouštějí trestného činu porušení autorského práva, práv souvisejících s právem autorským a práv k databázi (§ 270 TrZ). Zvláštní právní postavení mají centrální navigační jednotky. Opět se jedná o společnost spojenou s webovou službou a přístupovou stránkou. Služba nebývá zpoplatněna, motivací bývá uznání a ideové přesvědčení o otevřenosti Internetu a ne materiální zisk. Postavení takových subjektů by mohlo být vnímáno obdobně jako u poskytovatele datových úložišť, tedy pouze jako jakéhosi zprostředkovatele služby, který neručí za obsah, jenž je možný přes tuto službu získat. Zásadní milník však v této oblasti tvoří rozhodnutí švédského soudu31, který zakladatele nejrozšířenějšího portálu Pirate Bay32 určenému k funkci centrální jednotky odsoudil za pomoc v distribuci nelegálního obsahu online.
3.7 Softwarové pirátství Dále se budu v této práci zabývat problematikou softwarového pirátství. Jedná se o rozsáhlé a diskutované téma, které komplexností přesahuje rámec této práce. Pokusím se zde však alespoň nastínit základní problémy tohoto jednání. Studie33 z roku 2011 světové společnosti BSA (Business software alliance), jenž se touto problematikou zabývá, ukazuje, že 35 % softwaru je instalováno nelegálně a stává se tak produktem softwarového pirátství. Tato skutečnost podtrhuje závažnost softwarového pirátství. Právní ochrana tohoto jednání se opírá o § 65 AutZ, který mu připisuje stejnou ochranu jako literárnímu dílu. Odpovídající trestněprávní dikci pak představuje § 270 TrZ porušení autorského práva. Jednání tohoto typu může mít v mnohých případech vazby na další fenomény počítačové kriminality v této kapitole probírané. Pro softwarové pirátství však 31
KISS, Jemima. The Pirate Bay trial: guilty verdict. [cit. 2014-10-04]. Dostupné z: http://www.theguardian.com/technology/2009/apr/17/the-pirate-bay-trial-guilty-verdict 32 The Pirate bay. [online]. [cit. 2014-10-04]. Dostupné z: http://thepiratebay.se/ 33 BSA. 2011 BSA Global software piracy study: In brief. 2011. Dostupné z: http://globalstudy.bsa.org/2011/downloads/study_pdf/2011_BSA_Piracy_Study-InBrief.pdf str.2
17
společného jmenovatele představují pouze počítačové programy neboli software. Nepatří tak zde ochrana jiných elektronicky šiřitelných děl jako jsou filmy nebo hudba. Jeho tvorba spočívá v tom, že autor zaznamená algoritmus řešení, který pro danou aplikaci vytvořil, prostřednictvím programovacího jazyka34. Zdrojový kód pak bývá přeložen do jednoduchých strojově čitelných instrukcí, které bývají šířeny bez původního zdrojového kódu, spustitelných na počítači. Balík těchto instrukcí představuje výsledný software. Rozpoznáváme řadu skutkových podstat softwarového pirátství35:
Nelegální zásah do zdrojového kódu – jedná se tedy o zásah v podobě vývoje zdrojového kódu apod.
Nabytí nelegálního softwaru – představuje nezávadné jednání, kde ale získaný software není legální.
Nelegální nabytí softwaru – k tomuto často dochází i prostřednictvím předchozích zmíněných typů jednání spojených s warez a zneužití peer-to-peer sítí.
Nelegální užití legálně nabytého softwaru – dojde k porušení licenčních podmínek, za kterých byl software získán. Příkladem může být instalace programu na více stanic apod.
Nelegální užití softwaru – jde o samotné užití softwaru bez licence k takovému jednání.
Nelegální šíření softwaru – zde lze opět zmínit již probrané warez a peer-to-peer sítě, kdy v tomto případě jde o chování toho, kdo software zpřístupní.
3.7.1 Licence Softwaru Autorský zákon v §9 definuje dvojí formu vlastnictví pro případ autorského díla. Odděluje vlastnictví hmotného substrátu, na němž je dílo zachyceno, a právo dílo užít. Tyto dvě instance vlastnictví pak spolu existenčně nesouvisí, takže je možno nabýt nebo naopak pozbýt jedné bez přímého dopadu na druhou. Právo užití softwaru upravuje licenční smlouva, kterou uzavírá strana autora s nabyvatelem práva, upravena v § 46 AutZ a následujících. Jako součást soukromého práva má autorský zákon převahu dispozitivních norem. Strany licenční smlouvy tak oplývají větší volností v definování podmínek smlouvy v rámci zákona.
34
BROOKSHEAR, J, David T SMITH a Dennis BRYLOW. Informatika. 1. vyd. Brno: Computer Press, 2013, 608 s. ISBN 978-80-251-3805-2. 35 JANSA, Lukáš a Petr OTEVŘEL. Softwarové právo. 2. vyd. Brno: Computer Press, 2014, 414 s. ISBN 97880-251-4201-1.
18
Současně výchozí pozice autora je v této úpravě posílena, protože pro případ neupravení licenčního vztahu zákon určuje úpravu autorovi příznivější36. Možnost odchýlení se od normy upravující licenční smlouvu umožnilo v softwarové oblasti vytvoření různých typů licencí, které je možné rozdělit dle obsahu do následujících kategorií:
Free software a Open source – jedná se o typy licencí, kdy jsou šířeny i zdrojové kódy. Pro případ Free softwaru získává nabyvatel možnost jakéhokoliv způsobu užití. Může tak kód i dále komerčně šířit a to jak v původní podobě tak i v upravené. Open source také umožňuje upravovat zdrojový kód a dále ho šířit, zde ale s rozdílem od předchozího s podmínkou zachování stejného typu licence.
Freeware – na rozdíl od Free softwaru se kód softwaru licence Freeware nezveřejňuje. Takováto softwarová politika bývá nazývána jako uzavřené neboli proprietární řešení. Freeware se distribuuje bez poplatků autorovi nebo distributorovi. Motivací může být zviditelnění autora nebo strategie tvorby dobrého jména firmy.
Shareware – distribuce produktu se i v tomto případě provádí zdarma, ale na rozdíl od předchozího druhu je v softwaru zabudována kontrola umožňující plnou funkčnost pouze na omezený časový interval, po jehož uplynutí se vyžaduje registrace spolu s úhradou poplatku pro znovu zpřístupnění plné funkcionality.
Demoverze – plnou verzi autor omezí z pohledu funkcionality a vytvoří tak demonstrační verzi svého výtvoru. Tu pak šíří bezplatně s tím, že pokud se nabyvateli ukázka líbí, zakoupí si plnou již zpoplatněnou verzi softwaru.
Adware – moderní forma licenčního ujednání, kdy uživatel získá neomezenou verzi systému s podporou plné funkcionality, ale s podmínkou, že v oblasti grafického uživatelského rozhraní softwaru budou zobrazeny reklamy. Poplatek je tak vybrán od společností, jejichž reklama se uživateli zobrazuje, místo uživatele samotného.
OEM software – OEM37 (original equipment manufacturer) představuje výhodný způsob šíření produktu. Software se prodává za sníženou cenu s tím, že je vázán na zařízení, v rámci něhož dostává nabyvatel možnost rozšíření o produkt této licence. Software bývá na zařízení již předinstalovaný. Dochází zde k spojení majetnického práva k hmotnému substrátu a licenci k užití softwaru, což umožňuje právě dispozitivní forma právní úpravy licenčních smluv.
36
SMEJKAL, Vladimír. Internet a §§§. 2. aktualiz. a rozš. vyd. Praha: Grada, 2001, 284 s. ISBN 80-247-0058-1. CHASTAIN, Sue. What is OEM Software?: Answers About OEM Software. [online]. [cit. 2014-10-18]. Dostupné z: http://graphicssoft.about.com/od/glossary/f/oemsoftware.-UFl.htm 37
19
Firmware – v některých znacích je podobný OEM softwaru. Jde o software umožňující základní funkcionalitu zařízení, s kterými je prodáván. Priorita obou zúčastněných stran spočívá v samotném zařízení a jeho firmware se pokládá za nutnost pro funkci zařízení. Z pravidla se jedná o ovládací programy jednodušších technických zařízení jako mobilních telefonů, DVD přehrávačů a podobně.
3.8 Sniffing Představuje neoprávněné odchytávání datové komunikace probíhající na počítačové síti. Na základě takto získaných informací může útočník zjistit široké spektrum informací o provozu na síti. Komunikace na této úrovni funguje zjednodušeně na bázi fyzických síťových adres, podle nichž je možné určit konkrétní komunikující zařízení. Dle zachycených dat může útočník při dostatečné znalosti principů síťové komunikace zjistit jaké webové služby, který přístroj využívá, přenášená data jako jsou emailové zprávy, zprávy v reálném čase (Instant messaging38) a v neposlední řadě přihlašovací údaje k navštěvovaným službám. Odchytávání datové komunikace s výhodou využívají i oprávněně odpovědné osoby za funkci a bezpečnost informačních systému. Jedná se totiž o nástroj umožňující odhalit podezřelé datové toky a určit tak potencionální bezpečnostní hrozbu pro systém. Z tohoto důvodu existuje celá řada pokročilých nástrojů, které toto dovedou. Příkladem jednodušších z nich může být Wireshark39. Existuje více variant takového útoku lišící se dle motivace nebo rozsahu odchytávaných dat. Pro všechny útoky je však společné, že musí být umístěn mezi zdrojový a cílový bod komunikace nebo do stejného síťového fragmentu sítě. Útočník může také aktivně do komunikace zasahovat tím, že data pozmění nebo zadrží. Zadržením dat může docílit tzv. DoS (Denial of Service - odmítnutí služby) útoku, o který bude předmětem dalšího textu. Pozměnění dat však dává do rukou útočníka ještě výraznější možnosti šahající od přesměrování dotazu napadaného počítače na útočníkem vytvořenou stránku, která věrně napodobuje přihlášení do internetového bankovnictví, až k pozměnění informací souvisejících s obchodní činností. Provedení je možno buďto přímo pomocí fyzického přístupu k napadané počítačové síti nebo na dálku. Pro přímý přístup stačí například notebook, který má připojeny dva síťové adaptéry a je umístěn mezi před vysílající počítač tak, že příjme data jedním adaptérem, vysílání projde přes útočníkův počítač a data odešle druhým adaptérem. Napadnutý uživatel si 38
VLECK, Tom Van. The History of Electronic Mail. [online]. 2001 [cit. 2014-10-23]. Dostupné z: http://www.multicians.org/thvv/mail-history.html 39 COMBS, Gerald. Wireshark. [online]. [cit. 2014-10-04]. Dostupné z: https://www.wireshark.org/about.html
20
tak nemusí vůbec ničeho všimnout. Dálkově může dojít k napadení speciálním programem, jenž se nainstaluje na napadený počítač a zpracovává jemu určenou komunikaci ještě před programy, které využívá uživatel. Ve své základní formě naplňuje odposlouchání počítačové sítě všechny znaky skutkové podstaty trestného činu porušování tajemství dopravovaných zpráv (§ 182 odst. 1 písm c) TrZ). V kombinaci s motivem způsobení škody nebo získání sobě nebo jinému neoprávněnou výhodu se bude jednat o následující odstavec tvořící kvalifikovanou skutkovou podstatu. Pomocí získaných dat může také útočník získat neoprávněný přístup k počítačům v počítačové síti, čímž se dopustí spáchání trestného činu neoprávněný přístup k počítačovému systému a nosiči informací (§ 230 TrZ).
3.9 Bankovní počítačové podvody Jedná se o historicky nejrozšířenější podmnožinu počítačové kriminality. Z důvodu pokud možno co nejvýraznějšího zvýšení pohodlí zákazníka bankovních institucí dochází stále k velice výraznému přesunu aktivit s tímto spojených do oblasti počítačové komunikace. Takový trend je zdánlivě výhodnější pro všechny zúčastněné strany. Pro bankovní instituce představují náklady na údržbu bankovního informačního systému obsahující modul pro internetové bankovnictví mnohem nižší položku než vytváření a údržbu poboček a platy zaměstnanců, kteří by museli funkci internetového bankovnictví nahrazovat. Z pohledu klientů bankovního ústavu se jedná už o jakýsi druh standartu a na banku bez zprovozněného internetového bankovnictví je pohlíženo jako na podřadnou. Na druhou stranu představuje tento přístup potencionální ohrožení právě z důvodu větší náchylnosti k napadení prostřednictvím počítačové sítě. Existuje více druhů jednání, které takovému jednání odpovídají. Jednu skupinu představují útoky zevnitř organizace, kde jako útočník vystupuje přímo zaměstnanec bankovního ústavu. Klíčová výhoda těchto osob je interní znalost funkce bankovní instituce včetně účelu a využití tzv. mrtvých účtů, interních účtů a běžných účtů klientů. Často se v takovém případě pachatelé zaměřují na tzv. minitransakce, kdy čerpají malé částky z velkého množství transakcí, například zaokrouhlení na třetí desetinné místo, kdy si připíše pachatel přebytek na svůj účet. Takový postup se dá jen velmi těžko zaznamenat a dochází zde tak k vysoké latenci40. Právně se pak v tomto případě jedná o klasické trestné činy. Nejčastěji dojde k spáchání trestného činu podvodu (§ 209 TrZ)
40
SMEJKAL, Vladimír. Právo informačních a telekomunikačních systémů. 2., aktualiz. a rozš. vyd. Praha: C. H. Beck, 2004. ISBN 80-717-9765-0.
21
případně krádeže (§ 205 TrZ) v závislosti na tom, zda pachatel využije jako prostředek k obohacení omylu případně jeho navození nebo nikoliv. Mimo interních útoků je nutné zmínit i profesionální kriminální uskupení pracující právě s bankovními podvody a především s krádeží údajů ke kreditním a debetním kartám a krádeží identit. Velkou rybou ve vodách bankovních podvodů bylo nadnárodní uskupení DarkMarket, o němž pojednává ve svém stejnojmenném díle GLENNY41. Činnost jejich členů spočívala v získávání potřebných údajů a následné obchodování s nimi. Na webovém serveru DarkMarket si obchody domlouvaly a vytvářeli zde uzavřenou komunitu. K získání přístupu nového člena bylo vyžadováno doporučení od jiného již zapojeného člena a projití následné lustrace. Přijatým členům se pak dostal návod na trestnou činnost a možnosti jej dále rozvíjet. Někteří uživatelé se specializovali na obchod mezi sebou, kdy svým kolegou nabízeli techniku potřebnou pro páchání různých kroků pro tuto trestnou činnost. Příkladem takového vybavení mohou být přístroje sloužící k tvorbě kopií magnetického proužku platební karty, s nímž je pak možno vybrat hotovost z bankomatu. Tento proces se nazývá skimming42. Komunita byla infiltrována americkým FBI (Federal Bureau of Investigation)43 agentem, kterému se ve spolupráci s partnery ve Velké Británii, Německu a Turecku po dvouleté práci v utajení povedlo úspěšně ukončit vyšetřování zatčením 60 osob na mezinárodní úrovni44. I když tato organizovaná skupina i jí podobné má danou hierarchii, má relativně volné rozdělení rolí. Zatímco někteří jedinci se zabývají pouze získáváním údajů o identitách, další pracují pouze na samotném zneužití získaných údajů, což může představovat například výběr z bankomatu padělanou debetní kartou. Cíle útoku za účelem získávání dat jsou rozličné, zabezpečení bankovních systému bývá na vyšší úrovni než databází běžných firem a ty obratem zase vyšší než osobních počítačů. Množství dat, které jsou schopni útočníci získat z různých systémů, se dá popsat obecně nepřímou úměrou k jejich zabezpečení. Z důvodu obtížnosti průniku do systému bankovních institucí bývá preferovaná střední cesta, kterou představují běžné společnosti držící si rozsáhlé databáze údajů o svých zákaznících. Tímto způsobem mohou útočníci získat relativně velký objem dat bez nutnosti vyvinutí většího úsilí spojeného s průnikem do bankovních systémů. 41
GLENNY, Misha. Temný trh: kyberzloději, kyberpolicisté a vy. 1. vyd. v českém jazyce. Praha: Argo, 2013, 270 s. Zip (Argo: Dokořán). ISBN 978-80-7363-522-0. 42 KLUFA, František a Petr SCHOLZ. SDRUŽENÍ ČESKÝCH SPOTŘEBITELŮ. Podvody v oblasti bezhotovostních plateb v ČR. 2009. 43 FBI. Federal Bureau of Investigation [online]. [cit. 2014-10-05]. Dostupné z: http://www.fbi.gov/about-us 44 MILLS, Elinor. Q&A: FBI agent looks back on time posing as a cybercriminal. [online]. [cit. 2014-10-05]. Dostupné z: http://www.cnet.com/news/q-a-fbi-agent-looks-back-on-time-posing-as-a-cybercriminal/
22
Běžně se tento postup pojí s řadou trestných činů, které může jednotlivec nebo skupina páchat v souběhu. Během získávání dat dojde k naplnění skutkové podstaty trestného činu neoprávněný přístup k počítačovému systému a nosiči informací (§ 230 TrZ). Dále připadá v úvahu i trestný čin opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat (§ 231 TrZ), kdy zákonodárce kriminalizuje mimo jiné i zpřístupnění, nabídnutí, prodej přístupových údajů k bankovním informačním systémům, což představuje hlavní funkci skupin jako komunita kolem webového serveru DarkMarket. V posledním kroku pak dochází ke spáchání trestného činu podvodu (§ 209 TrZ), kdy uvede pachatel bankovní instituci v omyl o své osobě, zneužitím přihlašovacích údajů.
3.10 Útoky typu odepření služby Útoky odepření služby (DoS – Denial of Service) patří mezi jedny z nejrozšířenějších útoků vůbec. Důvodem tohoto je jejich jednoduchost i princip, na kterém technologie staví je velmi jednoduchý. V podstatě jde o to, že prostředky poskytovaných služeb mají omezenou kapacitu. Útočník pak službu využívá oprávněným způsobem, ale vyžaduje ji ve velkém množství a velmi často. Z důvodu vytížení poskytovatele služby reakcí na velké množství požadavků od útočníka dojde k vyčerpání alokované kapacity a neschopnost reakce na požadavky dalších uživatelů zpravidla spojenou s přetížením informační techniky a jejím kolapsem. Pro větší účinek takového útoku zneužívají často útočníci znalost některých technologických postupů síťové komunikace. Nejobvyklejšími příklady takových útoků můžou být Ping of Death, Teardrop, UDP floods, SYN floods, Land, Smurf, Fraggle, Emailové bomby nebo chybně formátované zprávy45. Útok odmítnutí služby lze s výhodou demonstrovat na malém nástupišti autobusu. Na nástupiště dojde v době odjezdu autobusu velké množství ”tazatelů”. Tito lidé představující požadavky útočníka nemají v úmyslu využít služby dopravce, ale pouze se doptat na místo, kam autobus jede. Pokud počet ”tazatelů” přesáhne výrazně kapacitu celého nádraží, lidé, kteří by případně měli zájem o využití dopravního spoje dopravce, se k autobusu nedostanou. Existuje i pokročilá forma těchto útoků, která je nazvaná distribuční odepření služby. Alterace spočívá v tom, že útočník nevede útok pouze ze svého technického vybavení, ale zneužije k tomuto další stroje. Zpravidla uživatelé ostatních zúčastněných strojů o jejich účasti nevědí. Technicky se jedná o využití víceúlohové vlastnosti moderních počítačů.
45
STREBE, Matthew a Charles PERKINS. Firewally a proxy-servery. Vyd. 1. Brno: Computer Press, 2003, xxi, 450 s. ISBN 80-722-6983-6.
23
Úloha, která je zapojena do probíhajícího útoku, může a často i běží na pozadí. K inicializaci takové úlohy dojde prostřednictvím maligního softwaru s původem od útočníka. Forma vyžadující zneužití dalších počítačů, jejichž majitelé si o součinnosti nejsou vědomi, však nepředstavuje jediné možné provedení distribuované alternativy útoku. Do této kategorie totiž spadá také útok vedený více útočníky z více míst na základě předchozí domluvy. Právní klasifikace takového útoku je velmi obtížná. Česká soudobá legislativa neposkytuje dle mého názoru přímý nástroj na represi takového chování. Pro případ distribuované formy s nevědomým využitím dalších strojů se situace zjednoduší. Totiž prvním krokem zneužití představuje nainstalování maligního softwaru na zneužívané stroje, což už samo o sobě naplňuje všechny znaky skutkové podstaty trestného činu neoprávněný přístup k počítačovému systému a nosiči informací (§ 230 TrZ). Samotný útok však klasifikovat takto jednoznačně již nejde. Obdobná nejistota vyplývá i z komentáře pana SMEJKALA46. V článku se sice pohybuje v dikci předchozí právní úpravy, která ovšem ve formulaci k tomuto se pojící přílišné úpravy nedoznala. Klíčovou otázkou zůstává, zda lze tento útok považovat za jednání popsané skutkovou podstatou § 230 odst. 2) písm. c) TrZ: „Kdo získá přístup k počítačovému systému nebo k nosiči informací a data uložená v počítačovém systému nebo na nosiči informací neoprávněně vymaže, nebo jinak zničí, poškodí, změní, potlačí, sníží jejich kvalitu nebo je učiní neupotřebitelnými, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.“ Problém se dělí na dvě části. Zda lze považovat poskytovanou službu, na jejíž odepření útočník míří, samu o sobě jako počítačový systém nebo nosič informací. Zde podle mého názoru k naplnění tohoto obligatorního znaku skutkové podstaty nedochází. Počítačový systém nebo nosič informací představují spíše datový server, ke kterému útočník v tomto případě nikterak přístup nezískává. Pomineme-li tento první problém, zůstává rozhodnout o dalším znaku a to operaci s daty. Útok odmítnutí služby data nikterak neponíží, nepoškodí, nezmění ani nesníží jejich kvalitu. Může dojít k potlačení služby stojící za zpřístupnění dat a ta se stane dočasně neupotřebitelnou, to však neplatí pro samotná data. S ohledem na absenci judikatury pro tento druh jednání, se tak nedomnívám, že by byl samotný útok takového typu v pojetí české legislativy trestný.
46
SMEJKAL, Vladimír. Zločin a trest: Pohled právníka na útok DoS a DDoS. [online]. [cit. 2014-10-09]. Dostupné z: http://www.zive.cz/clanky/zlocin-a-trest/sc-3-a-101792/
24
Jinak je tomu v zahraničí. Ve Velké Británii byl schválen zákon kriminalizující útoky typu odepření služby47 v roce 2006. Pro případ Spojených států amerických platí, že federální zákoník takovéto jednání pokládá za federální trestný čin48. Příkladem skupin známých používáním útoků typu odepření služby je bezesporu Anonymous49. Definovat správně co přesně Anonymous představuje je značně komplikovaný problém. Podle úhlu pohledu se používají různě přesná označení jako organizace, skupina, myšlenka a mnoho dalších. Nejblíže přiléhá pravděpodobně volné internetové uskupení pojené s pojmem Hacktivismus50, tedy kombinaci aktivismu a hackingu. Tato problematika sama o sobě náročná na vlastní práci přesahuje rozsah tohoto dokumentu. Při jisté dávce zjednodušení jejich hlavní idea spočívá v otevřenosti a volném přístupu k informacím veškerého typu, čemuž dominuje ze své podstaty Internet jako takový. Hájení tohoto zájmu však nadřazují nad zákon a dochází tak zde k zřejmým konfliktům. V této oblasti se uskupení snažilo i o legalizaci jejich činnosti v podobě petice o zrušení zákona zakazující útoky typu odmítnutí služby51. Žádost odůvodnili jako možnost nového způsobu protestu reflektující moderní dobu a změnu využívání informační komunikační techniky.
47
ESPINER, Tom. U.K. outlaws denial-of-service attacks. [online]. [cit. 2014-10-09]. Dostupné z: http://news.cnet.com/U.K.-outlaws-denial-of-service-attacks/2100-7348_3-6134472.html 48 United States Code. Title 18 - crimes and criminal procedure. part I – crimes. chapter 47 - fraud and false statements. § 1030. Fraud and related activity in connection with computers. 2010. Dostupné z: http://www.gpo.gov/fdsys/pkg/USCODE-2010-title18/html/USCODE-2010-title18-partI-chap47-sec1030.htm 49 ANONYMOUS. [online]. [cit. 2014-10-09]. Dostupné z: http://anonofficial.com/ 50 KELLY, Brian B. Investing in a centralized cybersecurity infrastructure: why “hacktivism” can and should influence cybersecurity reform. Dostupné z: http://www.bu.edu/law/central/jd/organizations/journals/bulr/volume92n4/documents/KELLY.pdf 51 KERR, Dara. Anonymous petitions U.S. to see DDoS attacks as legal protest. CNET.com [online]. [cit. 201410-15]. Dostupné z: http://www.cnet.com/news/anonymous-petitions-u-s-to-see-ddos-attacks-as-legal-protest/
25
4 Příčiny a prevence Stejně jako pro jiné druhy kriminality i u počítačové se vynakládá pozornost kriminologů na odhalení příčin a objevení možných způsobů prevence. Vzhledem ke skutečnosti, že v této oblasti existuje předpokládaná vysoká míra latence52, nejedná se o činnost nikterak jednoduchou.
4.1 Příčiny Kriminogenní faktory ovlivňující náchylnost ke spáchání trestného činu v oblasti počítačové kriminality lze rozdělit na několik skupin dle přihlédnutí k nosnému atributu, jenž všechny zařazené příklady obsahují. Nalézt se dají i další příčiny této činnosti a ty i jinak klasifikovat. Poukazuji však zde na ty, které dle mého názoru po studiu materiálu v rámci této práce i mimo ni sjednávám nejpodstatnější. 4.1.1 Technické faktory Hlavní příčinou stojící za rozmachem právě tohoto druhu kriminality z pochopitelných důvodů tkví právě ve zmiňovaném prudkém rozvoji informační techniky posledních let. Došlo k navýšení výkonnosti osobních počítačů a obdobný technický nástroj současně s podstatným snížením pořizovacích nákladů. Internet začal být považován za základní lidské právo, což na národní úrovni také judikoval Ústavní soud53 a dále poukazuje na významnost moderních technologii v každodenním životě. Na Internetu existuje řada jednoduše získatelných nástrojů, které práci útočníka usnadňuje. Dále jsou tyto nástroje zpravidla distribuovány s popisným návodem a příkladem použití, čímž je zpřístupněn i běžnému uživateli. Pro tento druh chování už přestává platit nutnost technického vzdělání a zkušeností a množina potencionálních pachatelů se tak velmi rozšiřuje. Příkladem takového produktu může být Aircrack-ng54, jenž umožňuje prolomit heslo pro přihlášení do Wi-Fi sítě. Nemusí se jednat pouze o softwarové nástroje jako v tomto případě, ale může jít i o zařízení v klasické hmotné podobě. Zakladatel společnosti Intel Gordon E. Moore předpověděl ve své práci55 z roku 1965, že se rychlost počítačových procesorů každé dva roky zdvojnásobí. Tento v informatice 52
MENDEL, Aleš. Technická a infrastrukturní počítačová kriminalita. 2008. Rigorózní práce. Masarykova Univerzita. str. 17 53 Nález Ústavního soudu ze dne 7. 4. 2010 , sp. zn. I. ÚS 22/10. In: ASPI *právní informační systém+. Wolters Kluwer ČR [cit. 15. 10. 2013] 54 DARKAUDAX. Aircrack-ng: Tutorial: Getting Started. [online]. [cit. 2014-10-19]. Dostupné z: http://www.aircrack-ng.org/doku.php?id=getting_started 55 MOORE, G.E. Cramming More Components Onto Integrated Circuits. Proceedings of the IEEE. 1998, vol. 86, issue 1, s. 82-85. DOI: 10.1109/jproc.1998.658762.
26
notoricky známý tzv. Moorův zákon, se ukázal jako velmi přesný až do dnešní doby. Nárůst rychlosti umožňuje provádět operace, které by dříve zabraly desítky let v řádu minut, což umožnilo reálně použít některé náročné techniky, jež rozšířily i možnosti útočníků v oboru počítačové kriminality. Jednou z takových metod je i brute-force útok56 spočívající na principu pokus omyl, kdy například zkouší náhodně heslo tak dlouho až uspěje. 4.1.2 Sociální faktory Z pohledu soužití lidí představuje problém nedostatečná informovanost o trestnosti chování. Toto se projevuje především u mladých delikventů v oblasti kyberšikany a porušování autorských práv. Rychlost progresu technické vyspělosti v tomto ohledu celou věc ztěžuje. Rozdíl jedné generace může tak tvořit významnou překážku pro stejné vnímání moderních technologií. Pro rodiče tak může neznalost technického prostředí, ve kterém děti vyrůstají, představovat bariéru pro vysvětlení trestnosti některých typů počínání potencionálně patřícího do oblasti počítačové kriminality. Internet jako takový byl navrhnut, realizován a zpřístupněn jako prostředek postavený na myšlence otevřenosti a sdílení informací. Z tohoto důvodu v technických návrzích jeho bázových prvků nejsou pro bezpečnost síťové komunikace zavedeny příliš silné mechanismy. Rozšíření internetu do komerční sféry si vyžádalo doplnění těchto nástrojů. Toto zpětná implementace bezpečnostních politik se však ukazuje jako velice náročnou a i to je důvod proč většina společností do oblasti síťové komunikace neinvestuje dostatečně57. 4.1.3 Právní faktory V právní oblasti lze těžko nezmínit nedostatečnou rychlost reakce zákonodárného procesu, která je pochopitelná ve světle rychlého objevování nových metod útoku spadajícího do tohoto odvětví. Dochází pak k tomu, že i některé útoky na společensky vážené zájmy, nejsou v zákoně podchyceny a tak je nelze penalizovat. V případě existence takovýchto způsobů vyhnutí se právnímu dopadu závadného jednání stoupá pocit nepostihnutelnosti i pachatelů, kteří se dopouští dle práva trestného činu, což může takové jednání podpořit. Problém určení jurisdikce je dalším výrazným kriminogenním faktorem počítačové kriminality. Jak již bylo v této práci zmíněno, může a často i dochází k rozdílnosti státu, odkud je útok veden, kde nastanou následky, a případně i kde si útočník vyzvedne svou kořist.
56
ROUSE, Margaret. Brute force cracking. [online]. 2006 [cit. 2014-10-19]. Dostupné z: http://searchsecurity.techtarget.com/definition/brute-force-cracking 57 AUTOCONT. Výzkum: dvěma třetinám českých firem někdo ukradl data. [online]. 2010 [cit. 2014-10-19]. Dostupné z: http://www.autocont.cz/tiskove-zpravy/2010/vyzkum-dvema-tretinam-ceskych-firem-nekdo-ukradldata
27
Toto umožňuje propojenost a rozšířenost komunikačních technologií na geograficky rozlehlém území přesahující hranice jednotlivých státu. Stíhání takového druhu zločinců se ukazuje jako obtížnější, což přispívá k vysoké míře latence v oblasti počítačové kriminality, která znovu utvrzuje potencionální pachatele v jejich nepolapitelnosti.
4.2 Prevence V teorii trestního práva chápeme prevenci jako nástroj k plnění základního úkolu trestního práva ochrany společnosti před trestnými činy58. Dále se dělí na individuální a generální prevenci dle toho, zda se dotýká přímo pachatele nebo společnosti. Obecně lze prevenci chápat jako souhrn opatření za účelem snížení vlivu kriminogenních faktorů. Podle obsahu ji dělíme na sociální, situační a viktimologickou59. Sociální prevence se zaměřuje na sociální kriminogenní faktory, má tak velmi široké zaměření. Pro situační je typické využití v kriminogenních situacích, viktimologická prevence vychází z viktimologických poznatků, které uplatňuje na jednu z předchozích sfér prevence a dochází tak k překrývání těchto kategorií, proto opatření tohoto typu není potřeba zvlášť uvádět. 4.2.1 Sociální Povědomí občanů o trestnosti v oblasti počítačové kriminality se uvádí jako velmi slabé60. Proto je potřeba zvýšit informovanost v této sféře, není však vhodné se omezovat pouze na potencionální pachatele. Jak jsem již uvedl v sekci zabývající se příčinami, bude potřeba cílit i na jiné skupiny obyvatel jako jsou rodiče dětí a podobně. Mimo samotné informace o trestnosti jednotlivých počínání by bylo vhodné doplnit dle odbornosti cílené skupiny i informace o podobě takového jednání, aby byla pokud možno minimalizována technická bariéra bránící korektní interpretaci. Další opatření spočívá v harmonizaci právních předpisů na globální úrovni spolu se zvýšením mezinárodní spolupráce vyšetřovacích orgánů za účelem vyrovnání se rozsahu dopadu celosvětové kriminality. V této oblasti již k několika krokům došlo, pořád však neexistuje unifikovaný názor na některé typy jednání, jako jsou například DoS útoky.
58
GŘIVNA, Tomáš. Trestní právo hmotné. 2., aktualiz. vyd. Praha: Wolters Kluwer Česká republika, 2010, 311 s. ISBN 978-807-3575-090. 59 VÁLKOVÁ, Helena a Josef KUCHTA. Základy kriminologie a trestní politiky. 2. vyd. Praha: C.H. Beck, 2012, xxviii, 636 s. ISBN 978-807-4004-292 60 Počítačová kriminalita: nástin problematiky : kompendium názorů specialistů. Vyd. 1. Editor Stanislav Musil. Praha: Institut pro kriminologii a sociální prevenci, 2000, 281 s., 3 příl. Studie (Institut pro kriminologii a sociální prevenci). ISBN 80-860-0880-0.
28
Nedostatek počítačových expertů v řadách Policie se ukazuje jako závažný problém, který bude v blízké budoucnosti potřeba řešit61. Rozšíření řad a zvýšení technické způsobilosti by mělo vést k snížení velice vysoké latence v oblasti počítačové kriminality, což může mít odstrašující účinek na další potencionální pachatele. 4.2.2 Situační Existuje velké množství způsobů, jak svá data a technická zařízení chránit proti různým útokům jednání v této práci obsažených. V oblasti softwarového pirátství se často využívají technologie DRM (Digital Right Managment)62. Jsou to technologie sloužící především k ochraně licenčního práva. Jedná se o použití licenčních klíčů, vyžadování registrace produktu online a v počátcích svázání s CD/DVD diskem. Problém těchto kontrol spočívá v tom, že jsou zaneseny do samotného softwaru, kde jsou zkušení crackeři, jak se technikům na toto specializujícím se říká, schopni podmínku velice rychle vyhledat a kód upravit. I když se tedy dá taková ochrana prolomit, je to již odrazující prvek od takového jednání. Další možností řádově mnohem úspěšnější představuje provázání softwaru nebo systému s hmatatelným substrátem. Některý software pak funguje pouze, je-li připojen speciální hardwarový klíč přes USB rozhraní při spuštění programu. Klíč se distribuuje spolu se samotným programem. Dalším příkladem postupu svázání s hmotnou složkou je více faktorová autentizace63, která se dnes běžně používá v přihlašovacím procesu do systému internetového bankovnictví. Cloudové služby64 jsou založeny na jednoduché myšlence. Totiž software není distribuovaný zákazníkům, jako běžný produkt, místo toho se produkt zpřístupní na strojích autora softwaru. Veškerá práce pak probíhá přes Internet a uživatel nemá lokálně, žádnou kopii softwaru, čímž se minimalizuje možnost narušení tohoto kódu. Mezi hlavní motivaci prudkého rozvoje těchto služeb stojí především pohodlnost uživatele, který tak může pracovat z jakéhokoliv zařízení, jenž mu umožní se k službě připojit. Nicméně i volba této architektury softwaru funguje jako prevence proti několika druhům počítačové kriminality.
61
PARLAMENTNÍ LISTY. Policie nemá peníze na počítačové experty.: Boj s kyberkriminalitou nabízí i pochůzkářům. [online]. 2014 [cit. 2014-10-19]. Dostupné z: http://www.parlamentnilisty.cz/arena/monitor/Policie-nema-penize-na-pocitacove-experty-Boj-skyberkriminalitou-nabizi-i-pochuzkarum-316909 62 JANSA, Lukáš a Petr OTEVŘEL. Softwarové právo. 2. vyd. Brno: Computer Press, 2014, 414 s. ISBN 97880-251-4201-1. 63 ŠNAJDR, Petr. Dvoufaktorová autentizace: mýty a realita. [online]. 2013 [cit. 2014-10-21]. Dostupné z: http://www.systemonline.cz/it-security/dvoufaktorova-autentizace-myty-a-realita.htm 64 VELTE, Anthony T. Cloud computing: praktický průvodce. Vyd. 1. Brno: Computer Press, 2011, 344 s. ISBN 978-80-251-3333-0.
29
Komplexní přístup k bezpečnosti informací se vyvinul pod akronymem ISMS označující systém řízení bezpečnosti informací65. Jedná se o dokumentovaný systém kroků k zajištění bezpečnosti informací ve všech úrovních od procesů fyzického přístupu k technickému vybavení, přes jeho monitorování až po konkrétní opatření v oblasti politiky přihlašovacích údajů nebo zabezpečení počítačové sítě. Celá tato metodika vychází a je popsaná v normách řady ČSN 2700066. Postup dle doporučení obsažených v těchto normách funguje jako významné omezení možností útoku potencionálního pachatele trestného činu počítačové kriminality. Výhody unifikovaného přístupu spolu s jeho nepostradatelností si uvědomili i zákonodárci a vytvořili kybernetický zákon67. Účinnost tohoto normativního aktu začíná 1. 1. 2015 a vychází z ISMS metodiky. Kybernetický zákon zavazuje k postupu v něm obsaženém mimo jiné pro správce informačního a komunikačního systému kritické informační infrastruktury. Pojem kritické infrastruktury definuje nařízení vlády68 taxativním výpisem a patří zde prvky veřejné správy, finančního trhu a další. Toto opatření zajistí vyšší úroveň neproniknutelnosti a tak funguje jako jedno z nejvýraznějších preventivních opatření situačního typu. Do budoucna se dá předpokládat rozšíření množiny subjektů, které kybernetický zákon zavazuje.
4.3 Charakteristika pachatele Samotná počítačová kriminalita není ostře vymezena a zahrnuje široké spektrum trestných činů. Proto vydefinování charakteristiky pachatele takových trestných činů představuje obtížnou úlohu. I tak je však možno najít jistá specifika těchto pachatelů69:
vzdělání v oboru výpočetní techniky,
nadprůměrně inteligentní a vynalézaví,
zneužívající své výsadní postavení a pravomoci v zaměstnání,
nespokojení ve svém pracovním zařazení nebo s ohodnocením,
jednající individuálně,
jejich jednání neobsahuje prvky násilí.
65
ONDRÁK, Viktor. Problematika ISMS v manažerské informatice. Vyd. 1. Brno: CERM, 2013, 377 s. ISBN 978-80-7204-872-4. 66 ČSN ISO/IEC 27000. Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník 67 Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR 68 Nařízení vlády 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR 69 LÁTAL, Ivo. Počítačová (informační) kriminalita a úloha policisty při jejím řesení. POLICISTA. 1998, roč. 1998, č. 3.
30
Dle vztahu k informacím lze dělit pachatele na tři obecné skupiny70. Do první z nich spadají tzv. amatéři. Jedná se o osoby, které do systému pronikají náhodně nebo cílevědomě do informačních systémů zneužitím slabých míst. Často využívají automatizované metody, které svou činnost provádějí konstantně často i déle než čtyřiadvacet hodin bez interakce s útočníkem. Zpravidla jsou flexibilní, přizpůsobiví a překonávání složitých překážek považují za výzvu. Amatéry je možné dále členit na hackery, které motivuje potěšení z překonání překážek, kritiky, jež usilují o poukázání na nedostatky napadaných systémů, a škodiče, kteří upřednostňují poškození systému a osobní prospěch. Další skupinu tvoří profesionálové. Tyto osoby se podílejí na vývoji nebo správě napadaného informačního systému. Díky své pracovní pozici znají přesně architekturu systému a jsou tak schopni přesně identifikovat slabá místa a predikovat následné reakce ze strany napadaného systému. Jejich motivací je především osobní zisk. Poslední specifickou skupinou jsou kybernetičtí teroristé. Tuto skupinu představují pachatelé nejzávažnějších prohřešků, které mají za cíl dosáhnout politických, náboženských a ideologických cílů prostřednictvím nátlaku na civilní obyvatelstvo, ke kterému jsou využity moderní technologie71.
70
VÁLKOVÁ, Helena a Josef KUCHTA. Základy kriminologie a trestní politiky. 2. vyd. Praha: C.H. Beck, 2012, xxviii, 636 s. ISBN 978-807-4004-292. 71 DENNING, Dorothy E. 1 Activism, Hacktivism, and Cyberterrorism: The Internet as a Tool for Influencing Foreign Policy [online]. 2001 [cit. 2014-06-16]. Dostupné z: http://faculty.nps.edu/dedennin/publications/Activism-Hacktivism-Cyberterrorism.pdf
31
5 Závěr V práci jsou popsány počítačové trestné činy. K lepší definici pojmu jsem využil dva různé způsoby klasifikace jednání spadajícího do této problematiky. Takové členění umožňuje lépe obsáhnout rozsah počítačové kriminality a přináší nástroj pro snazší orientaci v oblasti počítačových trestných činů. Zjednodušeně se dá pojmout počítačová kriminalita jako souhrn trestných činů, kde předmět útoku nebo nástroj páchání představuje právě počítač nebo jiný prvek informační komunikační struktury. U vybraných skupin potencionálních trestných činů jsem popsal a analyzoval jejich trestnost. Technický náhled a vysvětlení jednotlivých aspektů jednání uvedených v této práci považuji za hlavní přínos dokumentu, který byl umožněn mým absolvovaným vzděláním a praxí v oboru informačních technologií. Dále byl v práci probrán i kriminologický pohled, jenž uvádí možné příčiny a prostředky prevence páchání počítačových trestných činů. Dle mého názoru důležitou pozitivní změnu v oblasti prevence přináší nová právní úprava diktující nutnost zavedení unifikovaných opatření pro subjekty jako je státní správa apod. a to k začátku roku 2015. Z charakteristiky potencionálního pachatele vyplývá, že se jedná zpravidla o inteligentní osobu, která upřednostňuje takové jednání, kdy poškozeným subjektem není fyzická osoba. Často totiž vnímá moderní společnost jako neprávem ovládanou korporátním světem a morálně si tak své činy ospravedlňuje. Rozsah počítačové kriminality je již v současné době široký a s pokračujícím vývojem technologie pravděpodobně dojde k ještě většímu rozšíření množiny jednání spadajících do této kategorie. Na druhou stranu je potřeba si uvědomit, že právě ony technologie, které páchání počítačových trestných činů umožňují, byly založeny s důrazem na otevřenosti, rovnosti a svobodě, a přílišná regulace jde proti těmto principům. S ohledem na skutečnost, že trestní právo slouží jako nejzazší nástroj k ochraně zájmů společnosti, považuji přístup ke konfliktu protikladných zájmů společnosti českou právní úpravu této sekce kriminality jako přiměřenou. Naopak trend restriktivnější trestněprávní úpravy, jejichž zastupitelem jsou Spojené státy americké, pokládám za příliš omezující. Probíraný náhled na útoky typu odepření služby tento rozdílný postoj demonstruje.
32
Bibliografie BROOKSHEAR, J, David T SMITH a Dennis BRYLOW. Informatika. 1. vyd. Brno: Computer Press, 2013, 608 s. ISBN 978-80-251-3805-2. GLENNY, Misha. Temný trh: kyberzloději, kyberpolicisté a vy. 1. vyd. v českém jazyce. Praha: Argo, 2013, 270 s. Zip (Argo: Dokořán). ISBN 978-80-7363-522-0. GOODRICH, Michael T. Introduction to computer security: fighting malicious code. International ed. Upper Saddle River: Pearson, 2011, xix, 541 s. Prentice Hall series in computer networking and distributed systems. ISBN 978-0-321-70201-2. GŘIVNA, Tomáš. Trestní právo hmotné. 2., aktualiz. vyd. Praha: Wolters Kluwer Česká republika, 2010, 311 s. ISBN 978-807-3575-090. HORÁK, Jaroslav a Milan KERŠLÁGER. Počítačové sítě pro začínající správce. 5., aktualiz. vyd. Brno: Computer Press, 2011, 303 s. ISBN 978-80-251-3176-3. JANSA, Lukáš a Petr OTEVŘEL. Softwarové právo. 2. vyd. Brno: Computer Press, 2014, 414 s. ISBN 978-80-251-4201-1. JIROVSKÝ, Václav. Kybernetická kriminalita: nejen o hackingu, crackingu, virech a trojských koních bez tajemství. 1. vyd. Praha: Grada, 2007, 284 s. ISBN 978-80-247-1561-2. KELLY, Brian B. Investing in a centralized cybersecurity infrastructure: why “hacktivism” can and should influence cybersecurity reform. Dostupné z: http://www.bu.edu/law/central/jd/organizations/journals/bulr/volume92n4/documents/KELLY .pdf LÁTAL, Ivo. Počítačová (informační) kriminalita a úloha policisty při jejím řesení. POLICISTA. 1998, roč. 1998, č. 3. MENDEL, Aleš. Technická a infrastrukturní počítačová kriminalita. 2008. [cit. 2014-10-10]. Rigorózní práce. Masarykova Univerzita MOORE, G.E. Cramming More Components Onto Integrated Circuits. Proceedings of the IEEE. 1998, vol. 86, issue 1, s. 82-85. DOI: 10.1109/jproc.1998.658762. ONDRÁK, Viktor. Problematika ISMS v manažerské informatice. Vyd. 1. Brno: CERM, 2013, 377 s. ISBN 978-80-7204-872-4. Počítačová kriminalita: nástin problematiky : kompendium názorů specialistů. Vyd. 1. Editor Stanislav Musil. Praha: Institut pro kriminologii a sociální prevenci, 2000, 281 s., 3 příl. Studie (Institut pro kriminologii a sociální prevenci). ISBN 80-860-0880-0. SKOUDIS, Ed. Malware: fighting malicious code. Upper Saddle River: Prentice Hall, c2004. Prentice Hall series in computer networking and distributed systems. ISBN 01-310-1405-6.
33
SLÁMA, David. Konflikt mezi právy uživatelů audiovizuálních děl a vlastníků autorských práv v mezinárodním a evropském kontextu [online]. 2012 [cit. 2014-10-04]. Diplomová práce. Masarykova univerzita. Dostupné z: http://is.muni.cz/th/144364/pravf_m/ SMEJKAL, Vladimír. Internet a §§§. 2. aktualiz. a rozš. vyd. Praha: Grada, 2001, 284 s. ISBN 80-247-0058-1. SMEJKAL, Vladimír. Právo informačních a telekomunikačních systémů. 2., aktualiz. a rozš. vyd. Praha: C. H. Beck, 2004. ISBN 80-717-9765-0. SMEJKAL, Vladimír. Počítačové právo. Vyd. 1. Praha: C. H. Beck, 1995. ISBN 80-7179009-5 STREBE, Matthew a Charles PERKINS. Firewally a proxy-servery. Vyd. 1. Brno: Computer Press, 2003, xxi, 450 s. ISBN 80-722-6983-6. VÁLKOVÁ, Helena a Josef KUCHTA. Základy kriminologie a trestní politiky. 2. vyd. Praha: C.H. Beck, 2012, xxviii, 636 s. ISBN 978-807-4004-292 VELTE, Anthony T. Cloud computing: praktický průvodce. Vyd. 1. Brno: Computer Press, 2011, 344 s. ISBN 978-80-251-3333-0. Elektronické:
ANONYMOUS. [online]. [cit. 2014-10-09]. Dostupné z: http://anonofficial.com/ AUTOCONT. Výzkum: dvěma třetinám českých firem někdo ukradl data. [online]. 2010 [cit. 2014-10-19]. Dostupné z: http://www.autocont.cz/tiskove-zpravy/2010/vyzkum-dvematretinam-ceskych-firem-nekdo-ukradl-data BBC. Star Wars Kid is top viral video. BBC News [online]. 2006 [cit. 2014-10-18]. Dostupné z: http://news.bbc.co.uk/2/hi/entertainment/6187554.stm BSA. 2011 BSA Global software piracy study: In brief. [online]. 2011. [online]. [cit. 2014-1001].. Dostupné z: http://globalstudy.bsa.org/2011/downloads/study_pdf/2011_BSA_Piracy_Study-InBrief.pdf CALDWELL, Tracey. Network Security. [online]. 2011, vol. 2011, issue 7. ISSN 13534858. Dostupné z: http://linkinghub.elsevier.com/retrieve/pii/S1353485811700757 CHASTAIN, Sue. What is OEM Software?: Answers About OEM Software. [online]. [cit. 2014-10-18]. Dostupné z: http://graphicssoft.about.com/od/glossary/f/oemsoftware.-UFl.htm COMBS, Gerald. Wireshark. [online]. [cit. 2014-10-04]. Dostupné z: https://www.wireshark.org/about.html DARKAUDAX. Aircrack-ng: Tutorial: Getting Started. [online]. [cit. 2014-10-19]. Dostupné z: http://www.aircrack-ng.org/doku.php?id=getting_started
34
DENNING, Dorothy E. 1 Activism, Hacktivism, and Cyberterrorism: The Internet as a Tool for Influencing Foreign Policy [online]. 2001 [cit. 2014-06-16]. Dostupné z: http://faculty.nps.edu/dedennin/publications/Activism-Hacktivism-Cyberterrorism.pdf ESPINER, Tom. U.K. outlaws denial-of-service attacks. [online]. [cit. 2014-10-09]. Dostupné z: http://news.cnet.com/U.K.-outlaws-denial-of-service-attacks/2100-7348_3-6134472.html FBI. Federal Bureau of Investigation [online]. [cit. 2014-10-05]. Dostupné z: http://www.fbi.gov/about-us KERR, Dara. Anonymous petitions U.S. to see DDoS attacks as legal protest. CNET.com [online]. [cit. 2014-10-15]. Dostupné z: http://www.cnet.com/news/anonymous-petitions-u-sto-see-ddos-attacks-as-legal-protest/ KISS, Jemima. The Pirate Bay trial: guilty verdict. [online]. [cit. 2014-10-04]. Dostupné z: http://www.theguardian.com/technology/2009/apr/17/the-pirate-bay-trial-guilty-verdict KLUFA, František a Petr SCHOLZ. SDRUŽENÍ ČESKÝCH SPOTŘEBITELŮ. Podvody v oblasti bezhotovostních plateb v ČR. [online]. 2009. [cit. 2014-10-18]. KREJČÍ, Veronika a Kamil KOPECKÝ. Nebezpečí elektronické komunikace. [online]. 2009. [cit. 2014-10-18]. Dostupné z: http://cms.ebezpeci.cz/component/option,com_docman/task,doc_download/gid,34/Itemid,2/lang,czech/ Manuál OSN pro prevenci a kontrolu počítačového zločinu. [online]. [cit. 2014-10-18]. Dostupné z http://www.uncjin.org/Documents/EighthCongress.html MILLS, Elinor. Q&A: FBI agent looks back on time posing as a cybercriminal. [online]. [cit. 2014-10-05]. Dostupné z: http://www.cnet.com/news/q-a-fbi-agent-looks-back-on-timeposing-as-a-cybercriminal/ MORÁVEK, Daniel. Způsobil evropský soud převrat ve stahování filmů? Jen bouře ve sklenici vody. [online]. [cit. 2014-10-02]. Dostupné z: http://www.podnikatel.cz/clanky/zpusobil-evropsky-soud-prevrat-ve-stahovani-filmu-jenboure-ve-sklenici-vody/ PARLAMENTNÍ LISTY. Policie nemá peníze na počítačové experty.: Boj s kyberkriminalitou nabízí i pochůzkářům. [online]. 2014 [cit. 2014-10-19]. Dostupné z: http://www.parlamentnilisty.cz/arena/monitor/Policie-nema-penize-na-pocitacove-expertyBoj-s-kyberkriminalitou-nabizi-i-pochuzkarum-316909 RIKEN, The K computer, [online]. [cit. 2014-09-18]. Dostupné z: http://www.riken.jp/en/research/environment/kcomputer/. ROUSE, Margaret. Brute force cracking. [online]. 2006 [cit. 2014-10-19]. Dostupné z: http://searchsecurity.techtarget.com/definition/brute-force-cracking SMEJKAL, Vladimír. Zločin a trest: Pohled právníka na útok DoS a DDoS. [online]. [cit. 2014-10-09]. Dostupné z: http://www.zive.cz/clanky/zlocin-a-trest/sc-3-a-101792/
35
ŠNAJDR, Petr. Dvoufaktorová autentizace: mýty a realita. [online]. 2013 [cit. 2014-10-21]. Dostupné z: http://www.systemonline.cz/it-security/dvoufaktorova-autentizace-myty-arealita.htm The Pirate bay. [online]. [cit. 2014-10-04]. Dostupné z: http://thepiratebay.se/ Úmluva Rady Evropy o počítačové kriminalitě, Budapešť, 23. listopadu 2001, Convention on Cybercrime - ETS no. 185. [online]. [cit. 2014-10-18]. Dostupný z: http://www.conventions.coe.int/Treaty/en/Treaties/Html/185.htm VLECK, Tom Van. The History of Electronic Mail. [online]. 2001 [cit. 2014-10-23]. Dostupné z: http://www.multicians.org/thvv/mail-history.html ZAHRADNÍČEK, Jaroslav. Počítačová kriminalita: Mezinárodní úmluva je konečně závazná i pro Česko. [online]. [cit.2014-09-24]. Dostupné z: https://www.patria.cz/pravo/2694193/pocitacova-kriminalita-mezinarodni-umluva-jekonecne-zavazna-i-pro-cesko.html Právní akty:
Zákon č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR Zákon č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR Zákon č. 121/2000 Sb., Autorský zákon, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR Zákon 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR Nařízení vlády 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury, ve znění pozdějších předpisů. In: ASPI [právní informační systém]. Wolters Kluwer ČR Směrnice Evropského parlamentu a Rady č. 2000/31/ES o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu ("směrnice o elektronickém obchodu") ze dne 8. června 2000. Dostupné z: http://eur-lex.europa.eu/legalcontent/CS/TXT/HTML/?uri=CELEX:32000L0031&from=CS Bernská úmluva o ochraně literárních a uměleckých děl ze dne 9. září 1886, doplněná v Paříži dne 4. května 1896, revidovaná v Berlíně dne 13. listopadu 1908, doplněná v Bernu dne 20. března 1914 a revidovaná v Římě dne 2. června 1928, v Bruselu dne 26. června 1948, ve Stockholmu dne 14. července 1967 a v Paříži dne 24.
36
United States Code. Title 18 - crimes and criminal procedure. part I – crimes. chapter 47 fraud and false statements. § 1030. Fraud and related activity in connection with computers. 2010. Dostupné z: http://www.gpo.gov/fdsys/pkg/USCODE-2010-title18/html/USCODE2010-title18-partI-chap47-sec1030.htm Nález Ústavního soudu ze dne 7. 4. 2010 , sp. zn. I. ÚS 22/10. In: ASPI [právní informační systém]. Wolters Kluwer ČR [cit. 15. 10. 2013] Usnesení Nejvyššího soudu ČR ze dne 25. 3. 2009, sp. zn. 5 Tdo 234/2009. In: CODEXIS ACADEMIA [právní informační systém]. ATLAS consulting Rozsudek soudního dvora (čtvrtého senátu) ze dne 10. dubna 2014. ACI Adam BV a další proti Stichting de Thuiskopie, Stichting Onderhandelingen Thuiskopie vergoeding. Věc: C 435/12. Dostupné z: http://curia.europa.eu/juris/document/document.jsf?text=&docid=150786&pageIndex=0&doc lang=CS&mode=req&dir=&occ=first&part=1&cid=515317 Normy: ČSN ISO/IEC 2382-1. Informační technologie: Slovník - Část 1: Základní termíny. ČSN ISO/IEC 27000. Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník
37
