Informacijska zakonska (ne)sigurnost

21/04/2009 // Posted in Legislativa  

Prenosimo u integralnom obliku, uz odobrenje autora, gosp. Drazena Jurmana, tekst “Informacijska zakonska (ne)sigurnost”. Iako je objavljen prije vise od 2,5 godine, ovaj tekst je i dalje itekako aktualan.

Informacijska zakonska (ne)sigurnost

Premda je Hrvatska potpisala i ratificirala Konvenciju o kibernetičkom kriminalitetu, zakonska rješenja u tom području, premda generalno dobra, moraju biti dorađena kako bi se ispravile neke nelogičnosti koje će stvarati velike probleme u praksi

Piše: Dražen Jurman

Objavljeno u PC Chip broj 136., rujan 2006.

U sustavu računalne sigurnosti veliku ulogu trebala bi imati i regulativa, odnosno prevencija počinjenja kaznenih djela na računalima i uz pomoć računala zakonskim odredbama. Kažemo trebala bi imati zato što je domaća regulativa još uvijek nedovoljna i nedorečena da bi pružila kvalitetnu zaštitu od kibernetičkog kriminaliteta, premda kvalitetni temelji postoje.

Početak regulacije kibernetičkog kriminaliteta u Hrvatskoj datira od prije desetak godina, kada je reformom tadašnjeg kaznenog, tada još zvanog krivičnog, zakonodavstva prvi put uvedeno kazneno djelo Oštećenja i uporabe tuđih podataka u članku 223. Premda hvalevrijedna, ova inkriminacija nije pružala gotovo nikakvu prevenciju od računalnog kriminala. Tek se krajem 2001. godine, kada je donesena Konvencija o kibernetičkom kriminalitetu, koju je Hrvatska potpisala i ratificirala, domaći zakonodavac odlučio više pozabaviti ovim područjem, da bi u reformi Kaznenog zakona iz 2003. godine odredbe Konvencije bile implementirane u Zakon.

Nelogičnost odredbi

Tim je izmjenama domaća regulativa dobila dva nova kaznena djela, računalno krivotvorenje (članak 223. a) i računalnu prijevaru (članak 224. a), dok je stari članak 223. preimenovan u Povreda tajnosti, cjelovitosti i dostupnosti računalnih podataka, programa ili sustava te temeljno izmijenjen. Premda su te izmjene bitno popravile inkriminiranje kibernetičkog kriminaliteta, neke od odredbi su još uvijek nelogične.

To se prije svega odnosi na stavak 2. spomenutog članka koji kaže “Tko s ciljem onemogući ili oteža rad ili koriÅ¡tenje računalnih podataka ili programa, računalnog sustava ili računalnu komunikaciju, kaznit će se novčanom kaznom ili kaznom zatvora do tri godine”. Problem leži u činjenici da je zakonodavac inkriminaciju počeo riječima “s ciljem”, čime se traži da je počiniteljeva izravna namjera (počinitelj svjestan djela i hoće njegovo počinjenje). Time se potpuno nepotrebno teret dokazivanja u slučaju počinjenja kaznenog djela prebacuje na tužitelja, bilo Državno odvjetniÅ¡tvo, bilo privatnog tužitelja. Da bi ilustrirali apsurdnost situacije, poslužit ćemo se primjerima. Recimo da neka osoba provali u računalni sustav neke tvrtke i sruÅ¡i ga. Tehnički, počinitelj se može braniti tako da nije imao namjeru sruÅ¡iti sustav, već se to dogodilo slučajno ili greÅ¡kom. Ili recimo da spamer poÅ¡alje na jedan server hrpu smeća odjednom i time zaguÅ¡i server, Å¡to spada pod zakonski opis “onemogućavanja rada sustava”. Njegova obrana je jednostavna – nije mu bio cilj sruÅ¡iti računalni sustav, već je samo htio obavijestiti osobe o novom super cool proizvodu u rangu Viagre, Cialisa i sličnih gluposti. MeÄ‘utim, tko god Å¡alje spam poÅ¡tu ima dovoljno znanja o informatici da zna da veliki broj mailova poslan na jedan server može izazvati njegovo zaguÅ¡enje, ili informatičkim žargonom rečeno, njegov pad.

Needucirano sudstvo

Ta svijest pošiljatelja da može počiniti djelo, ali lakomisleno smatra da se to neće dogoditi u pravu se zove svjesni nehaj i taj se oblik krivnje kod počinjenja kaznenih djela iz područja kibernetičkog kriminaliteta mora uvažiti! U protivnom će svaki eventualni proces biti novi nastavak filma Nemoguća misija za tužitelja, a samo mali broj počinitelja tih kaznenih djela će na kraju biti osuđen i kažnjen. Na taj je apsurd autor ovog teksta upozoravao Radnu skupinu za izmjene Kaznenog zakona još prije tri godine, ali je odredba ostala ovakva kakva je. I za sada je teško očekivati izmjenu dok se ne pojave problemi u praksi. A da bi zaživila sudska praksa u području računalnog kriminaliteta, Hrvatska treba obrazovati suce i državne odvjetnike za ovakva procese, jer mnogi od njih ne znaju niti uključiti računalo. Osim toga, tvrtke i pojedinci moraju početi prijavljivati počinjenje kaznenih djela, jer kibernetički kriminal ima jednu od najviših tamni brojki, počinjenih kaznenih djela koja nisu prijavljena. Inače, Hrvatska ima vrlo kvalitetne cyber policajce, koji su često ključni dijelovi međunarodnih timova za borbu protiv kibernetičkog kriminaliteta, ali to ništa ne vrijedi bez mogućnosti brzog i kvalitetnog procesuiranja i kažnjavanja počinitelja.

Kazneni zakon regulira i neovlaÅ¡teni pristup računalnom sustavu, a tko “unatoč zaÅ¡titnim mjerama” počini to kazneno djelo, kaznit će se novčanom kaznom ili kaznom zatvora do jedne godine. I o tom se rjeÅ¡enju može diskutirati, jer nema kaznenog djela ako počinitelj pristupi nezaÅ¡tićenom sustavu. Konvencija o kibernetičkom kriminalitetu predviÄ‘a sankcioniranje samog neovlaÅ¡tenog pristupa, a ne neovlaÅ¡teni pristup “unatoč zaÅ¡titnim mjerama”. To rjeÅ¡enje može biti prilično zbunjujuće, jer se u Hrvatskoj joÅ¡ uvijek radi na standardiziranju metoda zaÅ¡tite informacijskih sustava. Dok se to ne utvrdi, procjenu o postojanju zaÅ¡titnih mjera morat će dati sud u svakom posebnom slučaju, a počiniteljima ostaje izvrsna mogućnost obrane na sudu. Laički govoreći, svaki od njih se može braniti da nisu postojale zaÅ¡titne mjere, jer da jesu on ne bi mogao provaliti u sustav!?

Računalno krivotvorenje

Da ne ispadne da samo kudimo zakonska rješenja, recimo da ima i pozitivnih stvari. Prva od njih je kažnjavanje počinitelja koji neovlašteno ošteti, izmijeni, izbriše, uništi ili na drugi način učini neuporabljivim ili nedostupnim tuđe računalne podatke ili programe. Ta je odredba posebno bitna u situacijama u kojima podaci nisu izbrisani ili oštećeni, ali im se ne može pristupiti zbog djelovanja malicioznih programa, prvenstveno špijunskih programa, virusa i trojanskih konja.

Hvalimo i uvođenje novih kaznenih djela, računalnog krivotvorenja i prijevare. U doba kada je broj elektroničkih dokumenta sve veći, a kaznena djela poput phisinga sve češća, takve su inkriminacije pohvalne. Računalno krivotvorenje čini onaj tko neovlašteno izradi, unese, izmijeni, izbriše ili učini neuporabljivim računalne podatke ili programe koji imaju vrijednost za pravne odnose, u namjeri da se oni uporabe kao pravi ili sam uporabi takve podatke ili programe. Konkretno, bilo kakva manipulacija podacima i programima koji imaju vrijednost za pravne odnose, recimo ugovorima ili listama plaća u računalu, rezultirati će zatvorom, a ne lakom i brzom lovom.

Još jedan pohvalan detalj ove, ali i ostalih inkriminacija kibernetičkog kriminaliteta je činjenica da su različite sankcije za počinjenje djela na privatnim računalima i na računalima ili programima tijela državne vlasti, javnih ustanova ili trgovačkih društava od posebnog javnog interesa, a dodatna okolnost za strože sankcije je prouzročenje znatne šteta. Predviđena kazna je novčana ili zatvor do tri godine kod obično te zatvor od tri mjeseca do pet godina kod kvalificiranog krivotvorenja. Dovoljno? Za opasnosti koje donosi kibernetički kriminalitet sigurno ne.

Pet godina za računalnu prijevaru

Izdvajamo i inkriminaciju neovlaštene izrade, nabave, prodaje, posjedovanja ili činjenja dostupnim drugome posebnih naprava, sredstva, računalnih podataka ili programa stvorenih ili prilagođenih za činjenje kaznenog djela računalnog krivotvorenja.

Računalnu prijevaru pak krasi brojnost i raznolikost pojavnih oblika, a i tu mogućnost brze zarade dovodi do toga da je takvih djela sve viÅ¡e. Kako se interpretacijom klasičnih djela kraÄ‘e, prijevare, pronevjere i drugih ne može osigurati kvalitetna zaÅ¡tita podataka ili informacija u računalu, bilo je jasno da će se to morati napraviti u novom, posebnom kaznenom djelu. Tako će vam pribavljanje protupravne imovinske koristi izmjenom tuÄ‘ih računalnih podataka ili programa u konačnici donijeti Å¡est mjeseca do pet godina zatvora. Zakonski tekst kaže da računalnu prijevaru čini onaj “tko s ciljem da sebi ili drugome pribavi protupravnu imovinsku korist unese, koristi, izmijeni, izbriÅ¡e ili na drugi način učini neuporabljivim računalne podatke ili programe, ili onemogući ili oteža rad ili koriÅ¡tenje računalnog sustava ili programa i na taj način prouzroči Å¡tetu drugome, kaznit će se kaznom zatvora od Å¡est mjeseci do pet godina”. Počini li se to kazneno djelo samo s ciljem da drugoga oÅ¡teti, kaznit će se kaznom zatvora od tri mjeseca do tri godine.

Što zakonska zaštita može učiniti za vas?

Zakonske odredbe koje reguliraju kibernetički kriminalitet naći ćete na još nekoliko mjesta u Kaznenom zakonu, poput na primjer regulacije dječje pornografije. Svim tim odredbama zajednička je dobra ideja zbog koje su doneseni, ali da bi postali potpuno funkcionalni u praksi zahtijevaju dorade. Svaki od članaka koji inkriminiraju kibernetički kriminalitet ima barem jednu nelogičnost ili zamjerku poput ovih koje smo naveli u tekstu. Takve će stvari, ponavljamo, u praksi stvarati velike probleme, jednom kada Hrvatska dobije sudsku praksu u ovom području. Za sada se kibernetički kriminalitet u praksi javlja samo vezano za kaznena djela dječje pornografije i povrede autorskih prava (pretežno glazba i filmovi). Osim problema s nespretnošću nekih odredbi, postavlja se pitanje što ove zakonske odredbe mogu učiniti za običnog, kućnog korisnika? Zapravo jako malo, što zbog problema s dokazivanje, što zbog (pretežno) male štete koja nastaje kućnom korisniku, što zbog poznate (ne)efikasnosti domaćih sudova. Stoga je bolje pouzdati se u mjere zaštite koje su vam dostupne, hardverske i softverske. Međutim, prije ili kasnije zakonodavac će se morati ponovo baviti ovom problematikom, a mi, po tko zna koji put, ističemo da je najkvalitetnije rješenje donošenje posebnog Zakona o kibernetičkom kriminalitetu i konstantna edukacija pravosudnih organa za procesuiranje kaznenih djela iz sfere kibernetičkog kriminaliteta.

IZDVOJENO:

Zatvor umjesto zarade

U zadnje vrijeme često na news grupama i na forumima, a ako nemate sreće i u vašim sandučićima elektroničke pošte, možete naći ponude za laku zaradu ako se učlanite neki sustav u koji onda morate učlanjivati druge koji moraju učlaniti treće i tako dalje i tako dalje. Ponuđač garantira brzu i jednostavnu zaradu, dok u praksi novac možete samo izgubiti. Naime, novčanom kaznom ili kaznom zatvora do tri godine kaznit će se onaj tko ostvari sustav s reklamnom, akviziterskom ili drugom djelatnošću radi pridobivanja sudionika, ili profesionalno širi sustav pri kojem se od uloženih sredstava očekuje dobitak i pri kojem se sudionicima obećava imovinska korist pod uvjetom da oni ili druge osobe pod jednakim uvjetima pridobiju druge sudionike, pri čemu je dobit imovinske koristi povezana ili potpuno ili djelomično od poštivanja igre drugih sudionika. Ovu prethodnu rečenicu trebali bi ponovo pročitati svi oni koji misli nekim sumnjivim Internet businessom doći do brza zarade.

This entry was posted on 21/04/2009 at 1:00 pm and is filed under Legislativa. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply (name & email required)

You must be logged in to post a comment.