Právní aspekty boje proti kybernetickému zločinu Možnosti prevence a represe podle českého právního řádu JUDr. Tomáš Sokol 2014
23.4.2014
1
Ztráty způsobené počítačovou kriminalitou
CHIP 4/2014
ZÁKLADNÍ OTÁZKY Co chráníme? Před čím nebo před kým chráníme? Kdo chrání? Jak chráníme (na základě jaké právní úpravy)?
CO chráníme?
CO CHRÁNÍME
Informace Znalost, kterou je možné jakoukoliv formou sdělovat. -----------------------------------------Vyhláška NBÚ číslo 76/1999 Sb., o zajištění kryptografické ochrany utajovaných skutečností, provádění certifikace kryptografických prostředků a náležitostech certifikátu ve znění pozdějších předpisů.
CO CHRÁNÍME Kybernetika Kybernetika (z řec. Kybernétes, Kormidelník) je věda, která se zabývá obecnými principy řízení a přenosu informací ve strojích, živých organismech a společenstvích. K popisu používá zejména matematický aparát. http://cs.wikipedia.org/wiki/Kybernetika
Informace Poznatek, týkající se jakýchkoliv objektů, například fakt, událostí, věcí, procesů nebo myšlenek, včetně pojmu, který má v daném kontextu specifický význam. -------------------------------------------------------------Česká státní norma ISO/ IEC 2382 - 1, strana 7.
Informace
V jiné podobě V elektronické podobě tištěný text zvukový záznam schéma plán obrazový záznam obraz textový soubor Excel kombinace
Data – údaje
Opakovaně interpretovatelná formalizovaná podoba informace vhodná pro komunikaci, vyhodnocování nebo zpracování.
---------------------------------------------------------------Kunešova - Skálová, Skála, M. Tributum, I. 1998 č. 1, strana 11.
Vládní návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) §2 V tomto zákoně se rozumí kybernetickým prostorem digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací
∑ chráněného informace software hadware
Jaké informace ? • Informace obecně • Informace chráněné (utajované) na základě zákona • Informace chráněné (utajované) na základě rozhodnutí jejich vlastníka (správce)
Informace utajované na základě zákona • č. 412/2005 Sb. o ochraně utajovaných skutečností ve znění pozdějších předpisů • č. 154/1994 Sb. o Bezpečnostní informační službě ve znění pozdějších předpisů • č. 289/2005 Sb. o Vojenském zpravodajství ve znění pozdějších předpisů • č.101/2000 Sb. o ochraně osobních údajů ve znění pozdějších předpisů
č. 154/1994 Sb. o Bezpečnostní informační službě ve znění pozdějších předpisů § 16 (2) Bezpečnostní informační služba je povinna zabezpečit ochranu údajů obsažených v evidencích před vyzrazením, zneužitím, poškozením, ztrátou a odcizením.
zákon č. 289/2005 Sb. o Vojenském zpravodajství § 19 Vojenské zpravodajství je povinno zabezpečit ochranu údajů obsažených v evidencích před vyzrazením, zneužitím, poškozením nebo zničením.
zákon č.101/2000 Sb. o ochraně osobních údajů § 13 (1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.
Informace utajované na základě rozhodnutí jejich vlastníka (správce)
Obchodní informace Informace významné pro obchodní činnost.
Informace významné pro obchodní činnost Interní
původ Výrobní postupy Know how Výrobní náklady Obchodní politika Smluvní ujednání
Externí původ Informace o konkurenci
Obchodní tajemství § 504 zákona č. 89/2012 Sb. občanského zákoníku
Obchodní tajemství tvoří konkurenčně významné, určitelné, ocenitelné a v příslušných obchodních kruzích běžně nedostupné skutečnosti, které souvisejí se závodem a
jejichž vlastník zajišťuje ve svém zájmu odpovídajícím způsobem jejich utajení.
•
Nekalá soutěž § 2976 zákona č. 89/2012 Sb. občanského zákoníku
(1) Kdo se dostane v hospodářském styku do rozporu s dobrými mravy soutěže jednáním způsobilým přivodit újmu jiným soutěžitelům nebo zákazníkům, dopustí se nekalé soutěže. Nekalá soutěž se zakazuje.
Nekalá soutěž § 2976 zákona č. 89/2012 Sb. občanského zákoníku
(2) Nekalou soutěží podle odstavce 1 je zejména
h) porušení obchodního tajemství,
obchodní tajemství § 2985 zákona č. 89/2012 Sb. občanského zákoníku Porušením obchodního tajemství je jednání, jímž jednající jiné osobě neoprávněně sdělí, zpřístupní, pro sebe nebo pro jiného využije obchodní tajemství, které může být využito v soutěži a o němž se dověděl a) tím, že mu tajemství bylo svěřeno nebo jinak se stalo přístupným na základě jeho pracovního poměru k soutěžiteli nebo na základě jiného vztahu k němu, popřípadě v rámci výkonu funkce, k níž byl soudem nebo jiným orgánem povolán, nebo b) vlastním nebo cizím jednáním příčícím se zákonu.
Nekalá soutěž § 2988 zákona č. 89/2012 Sb. občanského zákoníku
Osoba, jejíž právo bylo nekalou soutěží ohroženo nebo porušeno, může proti rušiteli požadovat, aby se nekalé soutěže zdržel nebo aby odstranil závadný stav. Dále může požadovat přiměřené zadostiučinění, náhradu škody a vydání bezdůvodného obohacení.
Před čím?
Základní otázky • Co chráníme? • Před čím nebo před kým chráníme? • Kdo chrání? • Jak chráníme (na základě jaké právní úpravy)?
Před vyzrazením, zneužitím, poškozením, ztrátou a odcizením neoprávněným nebo nahodilým přístupem k osobním údajům, k změně, zničení či ztrátě, neoprávněným přenosem, jiným neoprávněným zpracováním, jakož i jiným zneužitím osobních údajů.
Před -neoprávněnému získání přístupu k počítačovému systému nebo k jeho části, - získání přístupu k počítačovému systému nebo k nosiči informací a - neoprávněnému užití dat uložených v počítačovém systému nebo na nosiči informací, - - - - neoprávněnému vymazání, zničení , poškození, změně, potlačení, sníží jejich kvality nebo učiněním neupotřebitelnými - padělání nebo pozměnění dat uložených v počítačovém systému nebo na nosiči informací tak, aby byla považována za pravá nebo podle nich bylo jednáno tak, jako by to byla data pravá, - neoprávněnému vložení dat do počítačového systému nebo na nosič informací - jinému zásahu do programového nebo technického vybavení počítače nebo jiného technického zařízení pro zpracování dat
Základní otázky • Co chráníme • Před čím nebo před kým chráníme • Kdo chrání • Jak chráníme (na základě jaké právní úpravy)
Před neoprávněnými osobami
Neoprávněné osoby Osoby jednající - zcela bez oprávnění (hacker) - v rozporu s oprávněním - zaměstnanec - jiná osoba s přístupovými oprávněními (servisní technik) ALE také statutární orgán obchodní společnosti
Základní otázky • Co chráníme • Před čím nebo před kým chráníme
• Kdo chrání? • Jak chráníme (na základě jaké právní úpravy)
• Stát zákony • Vlastník (správce) informací stát, právnické a fyzické osoby
Základní otázky • Co chráníme • Před čím nebo před kým chráníme • Kdo chrání?
• Občanský zákoník • Jak chráníme • Zákoník práce (na základě jaké • Trestní zákoník právní úpravy) • Další (viz výše)
Základní vztahové schéma Subjekty Zaměstnavatel Zaměstnanec
Objekt
Informace
Povaha neoprávněné dispozice s daty (informacemi) • neoprávněné získání přístupu • neoprávněně užití dat uložených v počítačovém systému
• kopírování z jiného než elektronického nosiče • odcizení jiného, než elektronického nosiče
§ 301 zákoníku práce Zaměstnanci jsou povinni a) pracovat řádně podle svých sil, znalostí a schopností, plnit pokyny nadřízených vydané v souladu s právními předpisy a spolupracovat s ostatními zaměstnanci, c) dodržovat právní předpisy vztahující se k práci jimi vykonávané; dodržovat ostatní předpisy vztahující se k práci jimi vykonávané, pokud s nimi byli řádně seznámeni, d) řádně hospodařit s prostředky svěřenými jim zaměstnavatelem a střežit a ochraňovat majetek zaměstnavatele před poškozením, ztrátou, zničením a zneužitím a nejednat v rozporu s oprávněnými zájmy zaměstnavatele.
§ 303 zákoníku práce (2) Zaměstnanci uvedení v odstavci 1 jsou dále povinni b) zachovávat mlčenlivost o skutečnostech, o nichž se dozvěděli při výkonu zaměstnání a které v zájmu zaměstnavatele nelze sdělovat jiným osobám; to neplatí, pokud byli této povinnosti zproštěni statutárním orgánem nebo jím pověřeným vedoucím zaměstnancem, nestanoví-li zvláštní právní předpis jinak,
§ 306 zákoníku práce Pracovní řád (1) Pracovní řád je zvláštním druhem vnitřního předpisu; rozvádí ustanovení tohoto zákona, popřípadě zvláštních právních předpisů podle zvláštních podmínek u zaměstnavatele, pokud jde o povinnosti zaměstnavatele a zaměstnance vyplývající z pracovněprávních vztahů. Pracovní řád však nesmí zakládat nové povinnosti zaměstnanců.
§ 316 zákoníku práce (1) Zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování zákazu podle věty první je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat. (2) Zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci.
Uložené povinnosti § 230 tr.zákoníku (1)
Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na jeden rok, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. (2) Kdo získá přístup k počítačovému systému nebo k nosiči informací a a) neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací,
§ 301 ZP c) dodržovat právní předpisy vztahující se k práci jimi vykonávané; dodržovat ostatní předpisy vztahující se k práci jimi vykonávané, pokud s nimi byli řádně seznámeni,
Dílčí závěr Definování „předmětu ochrany“ a vymezení povinností zaměstnanců či jiných osob, přicházejících do styku s obchodním tajemstvím či jinými utajoivanými informacemi je věcí majitele-správce informací.
§ 220 trestního zákoníku Porušení povinnosti při správě cizího majetku
(1) Kdo poruší podle zákona mu uloženou nebo smluvně převzatou povinnost opatrovat nebo spravovat cizí majetek, a tím jinému způsobí škodu nikoli
§ 221 trestního zákoníku Porušení povinnosti při správě cizího majetku z nedbalosti (1) Kdo z hrubé nedbalosti poruší podle zákona mu uloženou nebo smluvně převzatou důležitou povinnost při opatrování nebo správě cizího majetku, a tím jinému způsobí značnou škodu, bude potrestán odnětím svobody až na šest měsíců nebo zákazem činnosti. (2) Odnětím svobody až na tři léta bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 jako osoba, která má zvlášť uloženou povinnost hájit zájmy poškozeného, nebo
Zákon č. 90/2012 o obchodních korporacích § 51 (1) Pečlivě a s potřebnými znalostmi jedná ten, kdo mohl při podnikatelském rozhodování v dobré víře rozumně předpokládat, že jedná informovaně a v obhajitelném zájmu obchodní korporace; to neplatí, pokud takovéto rozhodování nebylo učiněno s nezbytnou loajalitou.
§ 230 trestního zákoníku Neoprávněný přístup k počítačovému systému a nosiči informací (1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na jeden rok, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. (2) Kdo získá přístup k počítačovému systému nebo k nosiči informací a a) neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací, b) data uložená v počítačovém systému nebo na nosiči informací neoprávněně vymaže nebo jinak zničí, poškodí, změní, potlačí, sníží jejich kvalitu nebo je učiní neupotřebitelnými,
§ 230 trestního zákoníku c) padělá nebo pozmění data uložená v počítačovém systému nebo na nosiči informací tak, aby byla považována za pravá nebo podle nich bylo jednáno tak, jako by to byla data pravá, bez ohledu na to, zda jsou tato data přímo čitelná a srozumitelná, nebo d) neoprávněně vloží data do počítačového systému nebo na nosič informací nebo učiní jiný zásah do programového nebo technického vybavení počítače nebo jiného technického zařízení pro zpracování dat, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.
§ 232 trestního zákoníku Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti (1) Kdo z hrubé nedbalosti porušením povinnosti vyplývající ze
zaměstnání, povolání, postavení nebo funkce nebo uložené podle zákona nebo smluvně převzaté a) data uložená v počítačovém systému nebo na nosiči informací zničí, poškodí, pozmění nebo učiní neupotřebitelnými, nebo b) učiní zásah do technického nebo programového vybavení počítače nebo jiného technického zařízení pro zpracování dat, a tím způsobí na cizím majetku značnou škodu, bude potrestán odnětím svobody až na šest měsíců, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.
Konečný závěr Za ochranu informací je ve zdrcující míře odpovědný jejich majitela má k tomu i dostatečné instrumenty.
Děkuji za pozornost JUDr. Tomáš Sokol, advokát, pedagog na vysoké škole CEVRO Institut