{"id":3548,"date":"2023-01-04T09:38:59","date_gmt":"2023-01-04T09:38:59","guid":{"rendered":"https:\/\/aplaw.pl\/?p=3548"},"modified":"2023-01-04T09:50:22","modified_gmt":"2023-01-04T09:50:22","slug":"moralna-cena-dzialan-hackera-w-praktyce-okazuje-sie-trudna-istotne-jest-kto-staje-sie-strona-atakow-i-w-jakim-celu-prowadzone-sa-ataki-jako-przyklad-mozna-wskazac-osoby-dzialajace-w-ramach-grupy-pos","status":"publish","type":"post","link":"https:\/\/aplaw.pl\/en\/publications\/moralna-cena-dzialan-hackera-w-praktyce-okazuje-sie-trudna-istotne-jest-kto-staje-sie-strona-atakow-i-w-jakim-celu-prowadzone-sa-ataki-jako-przyklad-mozna-wskazac-osoby-dzialajace-w-ramach-grupy-pos\/","title":{"rendered":"The moral evaluation of a hacker’s activity seems tough in practice. The key factors are: who is the cyberattack side and what is the goal of the attacks. As an example the persons acting within the Anonymous Group can be indicated – write Artur Piechocki and Katarzyna Gorzkowska for the Cybersecurity Institute"},"content":{"rendered":"
\n
\n

Hacking na tle przepis\u00f3w prawa<\/h1>\n<\/div>\n<\/div>\n
\n
\n

Definicja hackingu<\/h3>\n

W polskim porz\u0105dku prawnym nie wyst\u0119puje legalna definicja \u201ehackingu\u201d. Oznacza to, \u017ce \u017caden akt prawny nie wskazuje wprost, co w\u0142a\u015bciwie nale\u017cy rozumie\u0107 przez \u201ehacking\u201d, ani jakie zachowania zakwalifikowa\u0107 do \u201ehackingu\u201d. Przy ustaleniu co wchodzi w zakres tego zjawiska mo\u017cna posi\u0142kowa\u0107 si\u0119 definicjami zaproponowanymi przez komentator\u00f3w. W doktrynie \u201ehacking\u201d jest okre\u015blany jako zachowanie polegaj\u0105ce na prze\u0142amaniu, omijaniu elektronicznego, magnetycznego, informatycznego zabezpieczenia. Hacking polega na prze\u0142amaniu zabezpiecze\u0144 uniemo\u017cliwiaj\u0105cych dost\u0119p do informacji zgromadzonych w systemie (na tak\u0105 definicj\u0119 powo\u0142uje si\u0119 P. Koz\u0142owska-\u0002Kalisz [w:] Kodeks karny. Komentarz aktualizowany, red. M. Mozgawa, LEX\/el. 2022, art. 267). Ze wzgl\u0119du na coraz cz\u0119stsze przest\u0119pstwa komputerowe, hackerzy zazwyczaj uto\u017csamiani s\u0105 z cyberprzest\u0119pcami. Tymczasem istotne znaczenie dla oceny dzia\u0142ania i poprawnej kwalifikacji ma motywacja hackera. Niekt\u00f3rzy wyszukuj\u0105 luk w zabezpieczeniach \u201edla zabawy\u201d lub uzyskania nagrody przyrzeczonej przez producenta oprogramowania (\u201ebug bounty\u201d). Inni wykorzystuj\u0105 wykryte przez siebie podatno\u015bci do wyrz\u0105dzenia szkody, czy uzyskaniu korzy\u015bci, np. w ramach wymuszonego okupu lub sprzeda\u017cy wykradzionych informacji w darknecie. Wiele os\u00f3b zdaje sobie spraw\u0119, \u017ce hackerzy to r\u00f3wnie\u017c osoby, kt\u00f3re posiadaj\u0105 du\u017c\u0105 wiedz\u0119 i umiej\u0119tno\u015bci, ale nie dzia\u0142aj\u0105 w celu pope\u0142nienia przest\u0119pstwa. Natomiast odno\u015bnie do os\u00f3b \u0142ami\u0105cych zabezpieczenia w z\u0142ych intencjach (np. kradzie\u017cy danych) u\u017cywa si\u0119 cz\u0119sto okre\u015blenia \u201ecracker\u201d, pochodz\u0105cego od angielskiego czasownika \u201eto crack\u201d (\u0142ama\u0107). Z kolei do jeszcze innej kategorii zaliczani s\u0105 tzw. \u201escripts kiddies\u201d, kt\u00f3rzy r\u00f3wnie\u017c dzia\u0142aj\u0105 w z\u0142ych intencjach, ale w przeciwie\u0144stwie do cracker\u00f3w nie maj\u0105 du\u017cej wiedzy i pos\u0142uguj\u0105 si\u0119 gotowymi rozwi\u0105zaniami. Warto tak\u017ce wspomnie\u0107 o osobach zaliczanych do kategorii \u201ephreaker\u201d, kt\u00f3rzy specjalizuj\u0105 si\u0119 w \u0142amaniu zabezpieczenia sieci telefonicznych w celu uzyskania darmowych po\u0142\u0105cze\u0144. Oczywi\u015bcie s\u0105 to poj\u0119cia o trudnych do jednoznacznego wyznaczenia granicach merytorycznych, w wielu sytuacjach wzajemnie si\u0119 przenikaj\u0105cych.<\/p>\n

R\u00f3\u017cnice pomi\u0119dzy bia\u0142ym a czarnym hackingiem<\/h3>\n

Osoby zajmuj\u0105ce si\u0119 hackingiem s\u0105 r\u00f3wnie\u017c dzielone na tzw. \u201ebia\u0142e kapelusze\u201d (ang. white hat) oraz tzw. \u201eczarne kapelusze\u201d (ang. black hat). Bia\u0142e kapelusze to osoby, kt\u00f3re zazwyczaj zawodowo wyszukuj\u0105 luk w zabezpieczeniach. Przy czym dzia\u0142aj\u0105 na zlecenie weryfikowanych przez nich firm i instytucji, np. jako pracownicy, pentestrzey. Bia\u0142e kapelusze mog\u0105 tak\u017ce dzia\u0142a\u0107 w celu uzyskania nagrody przyrzeczonej w ramach aktualnie popularnych program\u00f3w bug bounty. Kluczow\u0105 cech\u0105 charakteryzuj\u0105c\u0105 bia\u0142e kapelusze jest informowanie pracodawcy, zleceniodawcy, innego podmiotu (np. w\u0142a\u015bciciela strony internetowej) o wykrytych nieprawid\u0142owo\u015bciach. Czarne kapelusze z kolei dzia\u0142aj\u0105 w celu pope\u0142nienia czynu zabronionego. Wiedz\u0119 o wykrytych b\u0142\u0119dach wykorzystuj\u0105 dla osi\u0105gniecia w\u0142asnych interes\u00f3w, np. kradzie\u017c i sprzeda\u017c danych. Dzia\u0142alno\u015bci\u0105 charakterystyczn\u0105 dla czarnych kapeluszy jest tak\u017ce tworzenie i udost\u0119pnianie narz\u0119dzi s\u0142u\u017c\u0105cych do pope\u0142nienia przest\u0119pstwa.
\nMoralna cena dzia\u0142a\u0144 hackera w praktyce okazuje si\u0119 trudna. Istotne jest kto staje si\u0119 stron\u0105 atak\u00f3w i w jakim celu prowadzone s\u0105 ataki. Jako przyk\u0142ad mo\u017cna wskaza\u0107 osoby dzia\u0142aj\u0105ce w ramach grupy pos\u0142uguj\u0105cej si\u0119 kryptonimem \u201eAnonymous\u201d. Cz\u0142onkowie tego kolektywu dotychczas przeprowadzili ataki na min. Bank of America, Stolic\u0119 Apostolsk\u0105, jak r\u00f3wnie\u017c polskie instytucje (ZUS, czy NFZ). Z drugiej strony \u201ehaktywi\u015bci\u201d (termin powsta\u0142 od po\u0142\u0105czenia s\u0142\u00f3w hacking i activism i oznacza u\u017cycie komputer\u00f3w i sieci do promowania cel\u00f3w spo\u0142ecznych i politycznych) od rozpocz\u0119cia wojny na Ukrainie aktywnie atakuj\u0105 instytucje rosyjskie. Ich dzia\u0142ania maj\u0105 stanowi\u0107 odwet za ataki strony rosyjskiej wymierzone w instytucje ukrai\u0144skie, jak r\u00f3wnie\u017c pr\u00f3b\u0119 wsparcia Ukrainy w obliczu rosyjskiej agresji.<\/p>\n

Dopuszczalno\u015b\u0107 hackingu w polskim prawie<\/h3>\n

Czynu zabronionego, kt\u00f3ry mo\u017cna okre\u015bli\u0107 hackingiem, dopuszcza si\u0119 przede wszystkim osoba, kt\u00f3ra dzia\u0142a bez posiadania odpowiednich uprawnie\u0144 dotycz\u0105cych systemu informatycznego albo danych. Oznacza to, \u017ce karze nie b\u0119dzie podlega\u0142a osoba, kt\u00f3ra zosta\u0142a uprawniona do dost\u0119pu do systemu informatycznego, danych, czy wr\u0119cz do prze\u0142amania zabezpiecze\u0144. Za osob\u0119 uprawnion\u0105 nale\u017cy uzna\u0107 np. pracownika dzia\u0142u IT, kt\u00f3ry w ramach czynno\u015bci s\u0142u\u017cbowych przeprowadza testy systemu informatycznego, czy zewn\u0119trznego pentestera dzia\u0142aj\u0105cego na podstawie i w granicach zlecenia.
\nDodatkowo polskie przepisy przewiduj\u0105 tzw. kontratyp. W okre\u015blonej sytuacji osoba nie b\u0119dzie podlega\u0142a karze, mimo dzia\u0142ania bez upowa\u017cnienia. Zgodnie z tre\u015bci\u0105 art. 269c Kodeks karnego (w skr\u00f3cie: \u201eKk\u201d) osoba, kt\u00f3ra bez uprawnienia uzyska\u0142a dost\u0119p do ca\u0142o\u015bci lub cz\u0119\u015bci systemu informatycznego nie b\u0119dzie podlega\u0142a karze pod warunkiem, \u017ce dzia\u0142a\u0142a wy\u0142\u0105cznie w celu zabezpieczenia systemu informatycznego i niezw\u0142ocznie powiadomi\u0142a dysponenta tego systemu o ujawnionych zagro\u017ceniach. Dodatkowo, dzia\u0142anie nie mo\u017ce naruszy\u0107 interesu publicznego lub prywatnego i nie mo\u017ce wyrz\u0105dzi\u0107 szkody.<\/p>\n

Przest\u0119pstwo hackingu<\/h3>\n

Na gruncie polskiego prawa karalne s\u0105 pewne zachowania, kt\u00f3re mieszcz\u0105 si\u0119 w zakresie potocznego rozumienia \u201ehackingu\u201d. Ukaraniu podlega nieuprawnione uzyskanie dost\u0119pu do informacji w wyniku prze\u0142amania lub omini\u0119cia zabezpiecze\u0144, w tym informatycznych (art. 267 \u00a7 1 Kk), jak r\u00f3wnie\u017c dost\u0119p do systemu informatycznego (art. 267 \u00a7 2 Kk), przy czym przest\u0119pstwo to wymaga wykazania, \u017ce sprawca dzia\u0142a\u0142 umy\u015blnie, w zamiarze bezpo\u015brednim.<\/p>\n

Warto ponownie podkre\u015bli\u0107, \u017ce karalno\u015b\u0107 czynu jest uzale\u017cniona od tego, czy sprawca uzyska\u0142 bez uprawnienia dost\u0119p do systemu informatycznego lub jego cz\u0119\u015bci. W tym przypadku nie musi doj\u015b\u0107 do z\u0142amania jakiegokolwiek zabezpieczenia, wystarczy sam nieuprawniony dost\u0119p, a nawet przekroczenie uprawnie\u0144. W art. od 267 do 269c Kk zosta\u0142y zidentyfikowane inne czyny, kt\u00f3re mog\u0105 by\u0107 zwi\u0105zane z hackingiem albo stanowi\u0107 jego konsekwencj\u0119. Penalizacji podlega np. nieuprawnione niszczenie danych informatycznych (art. 268a \u00a7 1 Kk), czy zak\u0142\u00f3cenie dzia\u0142ania systemu komputerowego (art. 269a Kk). Oba te czyny mog\u0105 zosta\u0107 pope\u0142nione wy\u0142\u0105cznie umy\u015blne oraz nastawione s\u0105 na osi\u0105gniecie przez sprawc\u0119 okre\u015blonego skutku (np. zniszczenia danych, zak\u0142\u00f3cenia dzia\u0142ania systemu). Podobnie, karalne jest wytwarzanie, pozyskiwanie, zbywanie lub udost\u0119pnianie innym osobom urz\u0105dze\u0144 lub program\u00f3w komputerowych przystosowanych do pope\u0142nienia wspomnianych przest\u0119pstw (art. 269b \u00a7 1 Kk).<\/p>\n

Odpowiedzialno\u015b\u0107 karna i cywilna za hacking<\/h3>\n

Nieuprawnione uzyskanie dost\u0119pu do informacji w wyniku prze\u0142amania lub obej\u015bcia zabezpiecze\u0144, jak r\u00f3wnie\u017c nieuprawnione uzyskanie dost\u0119pu do ca\u0142o\u015bci lub cz\u0119\u015bci systemu podlega karze. Sprawca mo\u017ce zosta\u0107 skazany na grzywn\u0119, kar\u0119 ograniczenia wolno\u015bci albo na kar\u0119 pozbawienia wolno\u015bci. Wymagane jest z\u0142o\u017cenie przez pokrzywdzonego wniosku o \u015bciganie (art. 267 \u00a7 5 Kk). Odpowiedzialno\u015b\u0107 karna to jednak nie wszystko, gdy\u017c sprawca mo\u017ce r\u00f3wnie\u017c zosta\u0107 poci\u0105gni\u0119ty do odpowiedzialno\u015bci cywilnej. Warto zaznaczy\u0107, \u017ce pokrzywdzony dzia\u0142aniem hackera mo\u017ce dochodzi\u0107 roszcze\u0144 r\u00f3wnie\u017c w ramach post\u0119powania karnego. Na podstawie art. 46 \u00a7 1 Kk w przypadku skazania s\u0105d na wniosek pokrzywdzonego orzeka obowi\u0105zek naprawienia w ca\u0142o\u015bci lub w cz\u0119\u015bci wyrz\u0105dzonej szkody lub zado\u015b\u0107uczynienie za doznan\u0105 krzywd\u0119.<\/p>\n

Zgodnie z tre\u015bci\u0105 art. 415 Kodeksu cywilnego (w skr\u00f3cie: \u201eKc\u201d) osoba, kt\u00f3ra ze swojej winy wyrz\u0105dzi\u0142a szkod\u0119 jest obowi\u0105zana do jej naprawienia. Warto tak\u017ce wspomnie\u0107, \u017ce r\u00f3wnie\u017c haking wykonany w ramach legalnego zlecenia mo\u017ce skutkowa\u0107 powstaniem odpowiedzialno\u015bci odszkodowawczej. Taka sytuacja b\u0119dzie mia\u0142a miejsce w przypadku, gdy do szkody dojdzie w wyniku niewykonania lub nienale\u017cytego wykonania umowy (art. 471 Kc). Jako przyk\u0142ady mo\u017cna wskaza\u0107 dzia\u0142ania takie jak nieuprawnione i nieobj\u0119te umow\u0105 usuni\u0119cie danych z system\u00f3w<\/p>\n<\/div>\n<\/div>\n

https:\/\/instytutcyber.pl\/publikacje\/hacking-a-prawo\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[\u2026]<\/span><\/p>\n","protected":false},"author":1,"featured_media":3544,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[51],"tags":[],"class_list":["post-3548","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-publications"],"_links":{"self":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/3548","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/comments?post=3548"}],"version-history":[{"count":0,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/3548\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media\/3544"}],"wp:attachment":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media?parent=3548"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/categories?post=3548"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/tags?post=3548"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}