Trestněprávní ochrana informačních systémů v České republice Prof. Ing. Vladimír Smejkal, CSc. • soudní znalec v Praze • Fakulta podnikatelská VUT v Brně • člen Legislativní rady vlády ČR www.znalci.cz
1
Prognóza V důsledku konvergence médií budeme zřejmě již hovořit pouze o kriminalitě informatické resp. ICT-kriminalitě; objektem či prostředkem útoku budou v převážné většině nehmotné informace, nikoliv hmotné prostředky ICT. Přesto se útokům na funkčnost HW nevyhneme (viry, DDoS). www.znalci.cz
2
Současnost nebo budoucnost? Informatický zločin se vydává dnes dle mého názoru těmito základními směry: 1. Tupý vandalismus (typu virových útoků a útoků DDoS), které umožní obecně přístupné generátory spouštět uživatelům s minimální nutnou kvalifikací; 2. Méně tupý, ale stále vandalismus – potenciálně nežádoucí programy zasílané prostřednictvím Internetu, mnohdy ale s cílem rafinovanějším, a to především následujícím: www.znalci.cz
3
Současnost nebo budoucnost? 3. Krádeže identity a finanční podvody – obvykle spojené s technologiemi jako jsou spyware nebo jako podvrhy (phishing) – obvykle formou rozesílání e-mailů jménem banky, s požadavkem na citlivé údaje, na jejichž základě lze provést nelegální přesuny finančních prostředků z účtů. Také krádeže identity napadnutím databází – např. kreditních karet. www.znalci.cz
4
Současnost nebo budoucnost? 4. Nevyžádaná pošta čili spam - je dnes vnímána jako jeden z největších problémů Internetu. Její podíl na celkovém objemu el. komunikace stále roste (50-60%) a zatěžuje Síť, její servery i e-mailové schránky, obtěžuje příjemce, snižuje efektivitu práce a celkově činí v očích uživatelů celý Internet stále méně přijatelným. www.znalci.cz
5
Současnost nebo budoucnost? 5. Podvody prostřednictvím spamu Někdy má spam přímo trestněprávní charakter: rozesílání škodlivého software, porušování autorského zákona, ochrany mládeže, nelegální prodejem léků, obchody s cigaretami a jiné protizákonnými aktivitami.
www.znalci.cz
6
Současnost nebo budoucnost? Stále častější jsou ale spamy směřující k odčerpání peněz (přesměrováním připojení, nutností telefonického ověření, poslání poplatku za „výhru“, přirážky k běžným cenám za zboží, padělky zboží nebo neexistující zboží).
www.znalci.cz
7
Současnost nebo budoucnost? 6. Zneužívání Internetu k šíření nepravdivých údajů, a to od útoků na fyzické osoby, jakož i na osoby právnické – podnikatele, ale i nepodnikatele a stát; jde typicky o pomluvy, poškozování cizích práv, šíření poplašné zprávy, ale i o pokusy o manipulaci s finančním trhem či nekalou soutěž ve všech jejích podobách. www.znalci.cz
8
Současnost nebo budoucnost? 7. Další alternativou informačních útoků může být šíření protizákonných ideologií nebo jiných informací, směřujících k poškozování lidských práv a nebo porušování mezinárodních i národních norem. Do této oblasti patří nejen propagace fašismu a komunismu, ale i rasismu, stejně jako pedofílie či jiných nezákonných aktivit. www.znalci.cz
9
Současnost nebo budoucnost? 8. Některé z uvedených informačních aktivit mohou současně vybízet či přímo organizovat určité osoby či skupiny osob k páchání trestné činnosti. Internet je platformou pro trestné součinnosti, jako jsou podněcování, schvalování trestného činu, ale i účast na zločinném spolčení. Internet se stal velice efektivním nástrojem pro organizovaný zločin a terorismus. www.znalci.cz
10
Současnost nebo budoucnost? 9. Internet zůstane i vhodným prostředkem pro porušování autorských práv, a to nejen k software, ale především k audiovým a audiovizuálním dílům (stahování). Známé jsou ale i případy uveřejněných knih (aktivita Google v tomto smyslu působí kontraproduktivně). www.znalci.cz
11
Současnost nebo budoucnost? 10. Samozřejmě zde bude přetrvávat kriminální jednání vlastních zaměstnanců (aktivní krádež dat nebo nedbalostní prozrazení či umožnění úniku, ale i krádež zařízení obsahující data) - úmyslné jednání – nebo chyby zaměstnanců či dodavatelů při instalacích hardware, software, při jejich užívání IS nebo jejich údržbě – nedbalostní jednání. www.znalci.cz
12
Současnost nebo budoucnost? Některé prognózy se zatím nepotvrdily: • vytváření sítě opravdu existujících „botů“ (infikovaných počítačů, připravených vykonat útok z tisíců strojů); • závažné ohrožení národní bezpečnosti průnikem do vojenských informačních systémů; • úspěšné útoky na veřejně prospěšná zařízení (nemocnice, telekomunikační sítě, metro) prostřednictvím ICT. www.znalci.cz
13
Možnosti právní ochrany IS/IT Uvedené hrozby jsou převážně spojeny s úmyslným či nedbalostním jednáním určité osoby vůči informačnímu systému vzhledem k jeho vlastnostem, tj. nikoliv jako k věci movité, přičemž úmyslem či následkem jednání delikventa je způsobení škody nebo jiné újmy nebo získání neoprávněného prospěchu. www.znalci.cz
14
Možnosti právní ochrany IS/IT Dále to jsou činnosti, které využívají vlastností IS ke spáchání určitého „nepočítačového“ trestného činu, ale mimořádně účinným způsobem. Jsou to především trestné činy spočívající v šíření informací (informační delikty), neboť v prostředí počítačových sítí, především Internetu lze s minimálním nákladem šířit množství podněcujících či difamujících informací. www.znalci.cz
15
Možnosti právní ochrany IS/IT Základním předpisem je trestní zákoník, díky odmítnutí nového návrhu trestního zákoníku v březnu 2006 PSP stále v podobě historického zákona č. 140/1961 Sb., mnohokráte novelizovaného. § 257a – Poškození a zneužití záznamu na nosiči informací, jehož skutková podstata se vztahuje na pachatele, který „získá přístup k nosiči informací a v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch a) takových informací neoprávněně užije, b) informace zničí, poškodí, změní nebo učiní neupotřebitelnými, nebo c) učiní zásah do technického nebo programového vybavení počítače nebo jiného telekomunikačního zařízení“. www.znalci.cz
16
Možnosti právní ochrany IS/IT Již v minulosti se ukázalo, že výše uvedený popis jednání nemůže být aplikován na všechny případy neoprávněného nakládání s IS /IT. Zřejmé je to v případě tzv. hromadných útoků (DoS, DDoS), které zahltí zařízení příjemce natolik, že to přestane fungovat, nebo v případě neoprávněného užívání počítače dálkovým způsobem, které se jeví nestíhatelným podle ust. § 249 stávajícího trestního zákona, nebo i v případě jednání, které by bylo na první pohled podřaditelné pod ust. § 257a – viz lit. www.znalci.cz
17
Možnosti právní ochrany IS/IT Potíže činí i prokazování naplnění subjektivní stránky trestného činu, tj. že pachatel jedná s úmyslem způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch. Lze tedy konstatovat, že veřejnoprávní ochrana IS je v rámci trestního práva v ČR nedostatečná a neodpovídá současné technologické i skutkové realitě. www.znalci.cz
18
Možnosti právní ochrany IS/IT Pokud jsou konstruovány jiné ochrany v rámci jiných veřejnoprávních předpisů, pak se tyto obvykle zaměřují již jen na speciální případy, obvykle ve vztahu k obsahu nebo způsobu užití informačního systému. Např. podle zákona č. 101/2000 Sb., o ochraně osobních údajů, zákona č. 121/2000 Sb., autorského zákona, nebo zákona č. 127/2005 Sb., o elektronických komunikacích ve znění pozdějších předpisů. www.znalci.cz
19
Nový trestní zákon § 204 - Neoprávněný přístup
k počítačovému systému a poškození a zneužití záznamu v počítačovém systému a na nosiči informací (1) Kdo při porušení bezpečnostních opatření získá neoprávněně přístup k počítačovému systému nebo k jeho části, bude potrestán trestem odnětí svobody až na jeden rok, propadnutím věci nebo zákazem činnosti. www.znalci.cz
20
Nový trestní zákon (2) Kdo získá přístup k počítačovému systému nebo k nosiči informací a a) neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací, b) data uložená v počítačovém systému nebo na nosiči informací neoprávněně vymaže nebo jinak zničí, poškodí, změní, potlačí, sníží jejich kvalitu nebo je učiní neupotřebitelnými, www.znalci.cz
21
Nový trestní zákon (2) Kdo získá přístup k počítačovému systému nebo k nosiči informací a c) padělá nebo pozmění data uložená v počítačovém systému nebo na nosiči informací tak, aby byla považována za pravá, nebo podle nich bylo jednáno tak, jako by to byla data pravá, bez ohledu na to, zda jsou tato data přímo čitelná a srozumitelná, nebo www.znalci.cz
22
Nový trestní zákon (2) Kdo získá přístup k počítačovému systému nebo k nosiči informací a d) neoprávněně vloží data do počítačového systému nebo na nosič informací nebo učiní jiný zásah do programového nebo technického vybavení počítače nebo jiného technického zařízení pro zpracování dat, bude potrestán odnětím svobody až na dvě léta, propadnutím věci nebo zákazem činnosti. www.znalci.cz
23
Nový trestní zákon (3) Odnětím svobody na šest měsíců až tři léta,
propadnutím věci nebo zákazem činnosti bude pachatel potrestán, spáchá-li čin uvedený v odstavci 1 nebo 2 a) v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch, nebo b) v úmyslu neoprávněně omezit funkčnost počítačového systému nebo jiného technického zařízení pro zpracování dat. www.znalci.cz
24
Nový trestní zákon (4) Odnětím svobody na jeden rok až pět let nebo peněžitým trestem bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 nebo 2 jako člen organizované skupiny, b) způsobí-li takovým činem značnou škodu, nebo c) získá-li takovým činem pro sebe nebo pro jiného značný prospěch. www.znalci.cz
25
Nový trestní zákon (5) Odnětím svobody na tři léta až osm let nebo propadnutím majetku bude pachatel potrestán, a) způsobí-li činem uvedeným v odstavci 1 nebo 2 škodu velkého rozsahu, nebo b) získá-li takovým činem pro sebe nebo pro jiného prospěch velkého rozsahu.
www.znalci.cz
26
Nový trestní zákon § 205 - Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat (1) Kdo neoprávněně vyrobí, uvede do oběhu, doveze, vyveze, proveze, nabízí, zprostředkuje, prodá nebo jinak zpřístupní, sobě nebo jinému opatří nebo přechovává www.znalci.cz
27
Nový trestní zákon a) zařízení nebo jeho součást, postup, nástroj nebo jakýkoli jiný prostředek, včetně počítačového programu, vytvořený nebo přizpůsobený k spáchání trestného činu neoprávněného přístupu k počítačovému systému a poškození a zneužití záznamu v počítačovém systému a na nosiči informací podle § 204 nebo trestného činu porušování tajemství dopravovaných zpráv podle § 157 odst. 1 písm. b), c), www.znalci.cz
28
Nový trestní zákon b) počítačové heslo, přístupový kód, postup nebo podobná data, pomocí nichž lze získat přístup k počítačového systému nebo jeho části, bude potrestán odnětím svobody až na jeden rok, propadnutím věci nebo zákazem činnosti. …problém pro kryptology v kombinaci s formálním pojetím trestného činu. www.znalci.cz
29
Nový trestní zákon a) zařízení nebo jeho součást, postup, nástroj nebo jakýkoli jiný prostředek, včetně počítačového programu, b) počítačové heslo, přístupový kód, postup nebo podobná data, pomocí nichž lze získat přístup k počítačového systému nebo jeho části, vytvořené nebo přizpůsobené v úmyslu spáchat trestný čin neoprávněného přístupu k počítačovému systému a poškození a zneužití záznamu v počítačovém systému a na nosiči informací podle § 204 nebo trestného činu porušování tajemství dopravovaných zpráv podle § 157 odst. 1 písm. b), c), bude potrestán odnětím svobody až na jeden rok, propadnutím věci nebo zákazem činnosti. www.znalci.cz
30
Nový trestní zákon (2) Odnětím svobody na tři léta, propadnutím věci nebo zákazem čnnosti bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 jako člen organizované skupiny, nebo b) získá-li takovým činem pro sebe nebo pro jiného značný prospěch. (3) Odnětím svobody na šest měsíců až pět let nebo propadnutím majetku bude pachatel potrestán, získá-li činem uvedeným v odstavci 1 pro sebe nebo pro jiného prospěch velkého rozsahu. www.znalci.cz
31
Nový trestní zákon § 206 - Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti (1) Kdo z nedbalosti porušením povinnosti vyplývající ze zaměstnání, povolání, postavení nebo funkce nebo uložené podle zákona nebo smluvně převzaté a) data uložené v počítačovém systému nebo na nosiči informací zničí, poškodí, pozmění nebo učiní neupotřebitelnými, nebo www.znalci.cz
32
Nový trestní zákon b) učiní zásah do technického nebo programového vybavení počítače nebo jiného technického zařízení pro zpracování dat, a tím způsobí značnou škodu (> 500 000 Kč), bude potrestán odnětím svobody až na šest měsíců, propadnutím věci nebo zákazem činnosti. www.znalci.cz
33
Nový trestní zákon (2) Odnětím svobody až na dva roky, propadnutím věci nebo zákazem činnosti bude pachatel potrestán, způsobí-li činem uvedeným v odstavci 1 škodu velkého rozsahu (> 5 000 000 Kč). Kladivo na správce sítě i externí servis? ANO! www.znalci.cz
34
Závěr •
• •
Odmítnutí nového trestního zákoníku v rámci politických bojů je neodpustitelnou skvrnou současné politické reprezentace. Zpřesnění skutkových podstat je žádoucí. Klíčovou otázkou úspěšnosti boje za bezpečný kyberprostor ale není represe, nýbrž prevence.
www.znalci.cz
35
Literatura • Smejkal, V., Rais, K. Řízení rizik. 2. vydání. Praha : GRADA, 2006, 350 stran • Smejkal, V. a kol. Právo informačních a telekomunikačních systémů. 2. vydání. Praha : C. H. Beck 2004, 860 stran • Smejkal, V. Kriminalita v prostředí informačních systémů a rekodifikace trestního zákoníku. Trestněprávní revue, II., 2003, č. 6, s. 161 – 167. • Smejkal, V., Švestka, J. Odpovědnost za škodu při provozu informačního systému, aneb nemalujme čerta na zeď. Právní rozhledy, XIII., 2005, č. 19, s. 719 - 721. www.znalci.cz
36
Kontakt:
www.znalci.cz Děkuji za pozornost. ☺
www.znalci.cz
37
