Informacijska zakonska (ne)sigurnost

April 21, 2009 // Posted in Legislativa  

Prenosimo u integralnom obliku, uz odobrenje autora, gosp. Drazena Jurmana, tekst “Informacijska zakonska (ne)sigurnost”. Iako je objavljen prije vise od 2,5 godine, ovaj tekst je i dalje itekako aktualan.

Informacijska zakonska (ne)sigurnost

Premda je Hrvatska potpisala i ratificirala Konvenciju o kibernetičkom kriminalitetu, zakonska rješenja u tom području, premda generalno dobra, moraju biti dorađena kako bi se ispravile neke nelogičnosti koje će stvarati velike probleme u praksi

Piše: Dražen Jurman

Objavljeno u PC Chip broj 136., rujan 2006.

U sustavu računalne sigurnosti veliku ulogu trebala bi imati i regulativa, odnosno prevencija počinjenja kaznenih djela na računalima i uz pomoć računala zakonskim odredbama. Kažemo trebala bi imati zato što je domaća regulativa još uvijek nedovoljna i nedorečena da bi pružila kvalitetnu zaštitu od kibernetičkog kriminaliteta, premda kvalitetni temelji postoje.

Početak regulacije kibernetičkog kriminaliteta u Hrvatskoj datira od prije desetak godina, kada je reformom tadašnjeg kaznenog, tada još zvanog krivičnog, zakonodavstva prvi put uvedeno kazneno djelo Oštećenja i uporabe tuđih podataka u članku 223. Premda hvalevrijedna, ova inkriminacija nije pružala gotovo nikakvu prevenciju od računalnog kriminala. Tek se krajem 2001. godine, kada je donesena Konvencija o kibernetičkom kriminalitetu, koju je Hrvatska potpisala i ratificirala, domaći zakonodavac odlučio više pozabaviti ovim područjem, da bi u reformi Kaznenog zakona iz 2003. godine odredbe Konvencije bile implementirane u Zakon.

Nelogičnost odredbi

Tim je izmjenama domaća regulativa dobila dva nova kaznena djela, računalno krivotvorenje (članak 223. a) i računalnu prijevaru (članak 224. a), dok je stari članak 223. preimenovan u Povreda tajnosti, cjelovitosti i dostupnosti računalnih podataka, programa ili sustava te temeljno izmijenjen. Premda su te izmjene bitno popravile inkriminiranje kibernetičkog kriminaliteta, neke od odredbi su još uvijek nelogične.

To se prije svega odnosi na stavak 2. spomenutog članka koji kaže “Tko s ciljem onemogući ili oteža rad ili korištenje računalnih podataka ili programa, računalnog sustava ili računalnu komunikaciju, kaznit će se novčanom kaznom ili kaznom zatvora do tri godine”. Problem leži u činjenici da je zakonodavac inkriminaciju počeo riječima “s ciljem”, čime se traži da je počiniteljeva izravna namjera (počinitelj svjestan djela i hoće njegovo počinjenje). Time se potpuno nepotrebno teret dokazivanja u slučaju počinjenja kaznenog djela prebacuje na tužitelja, bilo Državno odvjetništvo, bilo privatnog tužitelja. Da bi ilustrirali apsurdnost situacije, poslužit ćemo se primjerima. Recimo da neka osoba provali u računalni sustav neke tvrtke i sruši ga. Tehnički, počinitelj se može braniti tako da nije imao namjeru srušiti sustav, već se to dogodilo slučajno ili greškom. Ili recimo da spamer pošalje na jedan server hrpu smeća odjednom i time zaguši server, što spada pod zakonski opis “onemogućavanja rada sustava”. Njegova obrana je jednostavna – nije mu bio cilj srušiti računalni sustav, već je samo htio obavijestiti osobe o novom super cool proizvodu u rangu Viagre, Cialisa i sličnih gluposti. Međutim, tko god šalje spam poštu ima dovoljno znanja o informatici da zna da veliki broj mailova poslan na jedan server može izazvati njegovo zagušenje, ili informatičkim žargonom rečeno, njegov pad.

Needucirano sudstvo

Ta svijest pošiljatelja da može počiniti djelo, ali lakomisleno smatra da se to neće dogoditi u pravu se zove svjesni nehaj i taj se oblik krivnje kod počinjenja kaznenih djela iz područja kibernetičkog kriminaliteta mora uvažiti! U protivnom će svaki eventualni proces biti novi nastavak filma Nemoguća misija za tužitelja, a samo mali broj počinitelja tih kaznenih djela će na kraju biti osuđen i kažnjen. Na taj je apsurd autor ovog teksta upozoravao Radnu skupinu za izmjene Kaznenog zakona još prije tri godine, ali je odredba ostala ovakva kakva je. I za sada je teško očekivati izmjenu dok se ne pojave problemi u praksi. A da bi zaživila sudska praksa u području računalnog kriminaliteta, Hrvatska treba obrazovati suce i državne odvjetnike za ovakva procese, jer mnogi od njih ne znaju niti uključiti računalo. Osim toga, tvrtke i pojedinci moraju početi prijavljivati počinjenje kaznenih djela, jer kibernetički kriminal ima jednu od najviših tamni brojki, počinjenih kaznenih djela koja nisu prijavljena. Inače, Hrvatska ima vrlo kvalitetne cyber policajce, koji su često ključni dijelovi međunarodnih timova za borbu protiv kibernetičkog kriminaliteta, ali to ništa ne vrijedi bez mogućnosti brzog i kvalitetnog procesuiranja i kažnjavanja počinitelja.

Kazneni zakon regulira i neovlašteni pristup računalnom sustavu, a tko “unatoč zaštitnim mjerama” počini to kazneno djelo, kaznit će se novčanom kaznom ili kaznom zatvora do jedne godine. I o tom se rješenju može diskutirati, jer nema kaznenog djela ako počinitelj pristupi nezaštićenom sustavu. Konvencija o kibernetičkom kriminalitetu predviđa sankcioniranje samog neovlaštenog pristupa, a ne neovlašteni pristup “unatoč zaštitnim mjerama”. To rješenje može biti prilično zbunjujuće, jer se u Hrvatskoj još uvijek radi na standardiziranju metoda zaštite informacijskih sustava. Dok se to ne utvrdi, procjenu o postojanju zaštitnih mjera morat će dati sud u svakom posebnom slučaju, a počiniteljima ostaje izvrsna mogućnost obrane na sudu. Laički govoreći, svaki od njih se može braniti da nisu postojale zaštitne mjere, jer da jesu on ne bi mogao provaliti u sustav!?

Računalno krivotvorenje

Da ne ispadne da samo kudimo zakonska rješenja, recimo da ima i pozitivnih stvari. Prva od njih je kažnjavanje počinitelja koji neovlašteno ošteti, izmijeni, izbriše, uništi ili na drugi način učini neuporabljivim ili nedostupnim tuđe računalne podatke ili programe. Ta je odredba posebno bitna u situacijama u kojima podaci nisu izbrisani ili oštećeni, ali im se ne može pristupiti zbog djelovanja malicioznih programa, prvenstveno špijunskih programa, virusa i trojanskih konja.

Hvalimo i uvođenje novih kaznenih djela, računalnog krivotvorenja i prijevare. U doba kada je broj elektroničkih dokumenta sve veći, a kaznena djela poput phisinga sve češća, takve su inkriminacije pohvalne. Računalno krivotvorenje čini onaj tko neovlašteno izradi, unese, izmijeni, izbriše ili učini neuporabljivim računalne podatke ili programe koji imaju vrijednost za pravne odnose, u namjeri da se oni uporabe kao pravi ili sam uporabi takve podatke ili programe. Konkretno, bilo kakva manipulacija podacima i programima koji imaju vrijednost za pravne odnose, recimo ugovorima ili listama plaća u računalu, rezultirati će zatvorom, a ne lakom i brzom lovom.

Još jedan pohvalan detalj ove, ali i ostalih inkriminacija kibernetičkog kriminaliteta je činjenica da su različite sankcije za počinjenje djela na privatnim računalima i na računalima ili programima tijela državne vlasti, javnih ustanova ili trgovačkih društava od posebnog javnog interesa, a dodatna okolnost za strože sankcije je prouzročenje znatne šteta. Predviđena kazna je novčana ili zatvor do tri godine kod obično te zatvor od tri mjeseca do pet godina kod kvalificiranog krivotvorenja. Dovoljno? Za opasnosti koje donosi kibernetički kriminalitet sigurno ne.

Pet godina za računalnu prijevaru

Izdvajamo i inkriminaciju neovlaštene izrade, nabave, prodaje, posjedovanja ili činjenja dostupnim drugome posebnih naprava, sredstva, računalnih podataka ili programa stvorenih ili prilagođenih za činjenje kaznenog djela računalnog krivotvorenja.

Računalnu prijevaru pak krasi brojnost i raznolikost pojavnih oblika, a i tu mogućnost brze zarade dovodi do toga da je takvih djela sve više. Kako se interpretacijom klasičnih djela krađe, prijevare, pronevjere i drugih ne može osigurati kvalitetna zaštita podataka ili informacija u računalu, bilo je jasno da će se to morati napraviti u novom, posebnom kaznenom djelu. Tako će vam pribavljanje protupravne imovinske koristi izmjenom tuđih računalnih podataka ili programa u konačnici donijeti šest mjeseca do pet godina zatvora. Zakonski tekst kaže da računalnu prijevaru čini onaj “tko s ciljem da sebi ili drugome pribavi protupravnu imovinsku korist unese, koristi, izmijeni, izbriše ili na drugi način učini neuporabljivim računalne podatke ili programe, ili onemogući ili oteža rad ili korištenje računalnog sustava ili programa i na taj način prouzroči štetu drugome, kaznit će se kaznom zatvora od šest mjeseci do pet godina”. Počini li se to kazneno djelo samo s ciljem da drugoga ošteti, kaznit će se kaznom zatvora od tri mjeseca do tri godine.

Što zakonska zaštita može učiniti za vas?

Zakonske odredbe koje reguliraju kibernetički kriminalitet naći ćete na još nekoliko mjesta u Kaznenom zakonu, poput na primjer regulacije dječje pornografije. Svim tim odredbama zajednička je dobra ideja zbog koje su doneseni, ali da bi postali potpuno funkcionalni u praksi zahtijevaju dorade. Svaki od članaka koji inkriminiraju kibernetički kriminalitet ima barem jednu nelogičnost ili zamjerku poput ovih koje smo naveli u tekstu. Takve će stvari, ponavljamo, u praksi stvarati velike probleme, jednom kada Hrvatska dobije sudsku praksu u ovom području. Za sada se kibernetički kriminalitet u praksi javlja samo vezano za kaznena djela dječje pornografije i povrede autorskih prava (pretežno glazba i filmovi). Osim problema s nespretnošću nekih odredbi, postavlja se pitanje što ove zakonske odredbe mogu učiniti za običnog, kućnog korisnika? Zapravo jako malo, što zbog problema s dokazivanje, što zbog (pretežno) male štete koja nastaje kućnom korisniku, što zbog poznate (ne)efikasnosti domaćih sudova. Stoga je bolje pouzdati se u mjere zaštite koje su vam dostupne, hardverske i softverske. Međutim, prije ili kasnije zakonodavac će se morati ponovo baviti ovom problematikom, a mi, po tko zna koji put, ističemo da je najkvalitetnije rješenje donošenje posebnog Zakona o kibernetičkom kriminalitetu i konstantna edukacija pravosudnih organa za procesuiranje kaznenih djela iz sfere kibernetičkog kriminaliteta.

IZDVOJENO:

Zatvor umjesto zarade

U zadnje vrijeme često na news grupama i na forumima, a ako nemate sreće i u vašim sandučićima elektroničke pošte, možete naći ponude za laku zaradu ako se učlanite neki sustav u koji onda morate učlanjivati druge koji moraju učlaniti treće i tako dalje i tako dalje. Ponuđač garantira brzu i jednostavnu zaradu, dok u praksi novac možete samo izgubiti. Naime, novčanom kaznom ili kaznom zatvora do tri godine kaznit će se onaj tko ostvari sustav s reklamnom, akviziterskom ili drugom djelatnošću radi pridobivanja sudionika, ili profesionalno širi sustav pri kojem se od uloženih sredstava očekuje dobitak i pri kojem se sudionicima obećava imovinska korist pod uvjetom da oni ili druge osobe pod jednakim uvjetima pridobiju druge sudionike, pri čemu je dobit imovinske koristi povezana ili potpuno ili djelomično od poštivanja igre drugih sudionika. Ovu prethodnu rečenicu trebali bi ponovo pročitati svi oni koji misli nekim sumnjivim Internet businessom doći do brza zarade.

This entry was posted on April 21, 2009 at 1:00 pm and is filed under Legislativa. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply (name & email required)

You must be logged in to post a comment.