Mikołaj Prochownik: Białe kapelusze w akcji. Kiedy haking jest legalny?

W filmowych westernach, już od czasu „Wielkiego napadu na pociąg” z 1903 r., częstym zabiegiem było wyposażenie złoczyńców w czarne kapelusze, a pozytywnych bohaterów w białe. Był to bardzo prosty sposób, aby zapewnić widzom jednoznaczną wizualną identyfikację dobrych i złych, w sytuacjach etycznie niejednoznacznych, w szczególności w trakcie scen walki, kiedy wszyscy strzelają do wszystkich. Co prawda w połowie XX w. twórcy filmowi zaczęli odchodzić od tego zabiegu, ale ślad po nim pozostał w innej dziedzinie życia, a mianowicie w cyberbezpieczeństwie, gdzie hakerzy działający w sposób nieetyczny zostali ochrzczeni „czarnymi kapeluszami” (black hats), w odróżnieniu od etycznych hakerów, noszących miano „białych kapeluszy” (white hats). Tymczasem w życiu, w przeciwieństwie do filmu, granice między działaniem etycznym i nieetycznym często nie są tak oczywiste, więc warto zadać sobie pytanie: co sprawia, że mamy do czynienia z białym albo czarnym kapeluszem?

Przestępstwa internetowe

Przede wszystkim należy mieć na uwadze kluczową zasadę prawa karnego nullum crimen sine lege – przestępstwem jest tylko to, czego zabrania ustawa. Warto jednak pamiętać, że odpowiedzialność za działania w sieci może mieć nie tylko charakter karny, ale również cywilny. Tak zwane przestępstwa internetowe określone są w kodeksie karnym (art. 267 oraz art. 268– 269b k.k.), z kolei w ustawie o zwalczaniu nadużyć w komunikacji elektronicznej ustawodawca wprowadził kilka szczególnych czynów zabronionych, takich jak phishing, smishing, CLI spoofing. Dla hakerów, szczególnie istotny jest art. 267 § 1 k.k., który stanowi, że kara nawet do dwóch lat pozbawienia wolności grozi temu, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, w szczególności poprzez podłączenie się do sieci telekomunikacyjnej lub przełamanie albo ominięcie jej zabezpieczeń.

Czytaj więcej

Prawo karne

IPA - prawo inwigilowania bardziej dostosowane do dyktatury niż do demokracji

Wprowadzenie IPA miało uporządkować uprawnienia organów ścigania w stosowaniu nowoczesnej inwigilacji.

Zgodnie z § 2 tego artykułu tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. Można powiedzieć, że przepis ten zawiera w sobie istotę hakingu, tj. uzyskanie bez uprawnienia dostępu do informacji dla danej osoby nieprzeznaczonej, przełamując zabezpieczenia. Zasadą będzie więc, że działanie takie jak opisane w tym przepisie będzie działaniem bezprawnym, z którym powiązana jest odpowiedzialność karna lub cywilna. Czy jednak w każdym przypadku? Nie, a zależeć to będzie od konkretnych okoliczności danej sprawy. Podobnie jak w przypadku innych działań zasadniczo niezgodnych z prawem, jak choćby naruszenie nietykalności cielesnej – są sytuacje, kiedy zachowanie takie nie tylko będzie się mieściło w granicach prawa, ale będzie wręcz prawnym obowiązkiem.

Kiedy haking może być zgodny z prawem

Bezprawny charakter czynności danej osoby może być wyłączony przez przepis prawa lub zgodę danego podmiotu, a uzasadnieniem dla takiego wyłączenia powinno być zawsze działanie w imię szerszych interesów społecznych, takich jak np. bezpieczeństwo sieci i infrastruktury informatycznej.

Przepisem ustawy, który wyłącza bezprawność działania hakerów, jest art. 269c kodeksu karnego, ustanawiający tzw. kontratyp działania w celu wykrycia błędów w zabezpieczeniach systemów informatycznych. Oznacza to, że nie będzie podlegała karze osoba, która działa wyłącznie w celu zabezpieczenia systemu informatycznego, teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomiła dysponenta tego systemu lub sieci o ujawnionych zagrożeniach oraz działanie tej osoby nie naruszało interesu publicznego lub prywatnego i nie wyrządziło szkody.

W rezultacie osobę działającą z zachowaniem wszystkich trzech elementów opisanych powyżej można nazwać etycznym hakerem. Co istotne, aby skorzystać z tego przepisu, nie można działać w celu osiągnięcia korzyści majątkowej, nawet jeśli miałby to być cel poboczny. Nie oznacza to jednak, że nie istnieją etyczni hakerzy testujący zabezpieczenia systemów lub sieci informatycznych w celach zarobkowych.

Cyberzagrożenia jako rosnące wyzwanie

W ślad za coraz większą obecnością technologii w naszym życiu idzie wzrost zagrożeń związanych z obecnością w internecie, przechowywaniem i wykorzystywaniem danych, w tym danych wrażliwych. Cyberprzestępcy zyskują dostęp do coraz bardziej zaawansowanych narzędzi, rozwijają się też różne modele działalności hakerskiej (hakerzy wspierani przez państwa, haktywizm, hacking-as-a-service). Według danych Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), szacunkowe straty światowej gospodarki poniesione wskutek cyberprzestępstw na koniec 2020 r. sięgnęły 5,5 bilionów euro, co stanowi dwukrotny wzrost w porównaniu z 2015 r.

Z kolei według raportu firmy Crowdstrike w 2022 r. o 228 proc. wzrosła liczba ataków hakerskich w porównaniu z 2021 r. Dane publikowane przez ENISA za okres od czerwca 2022 r. do czerwca 2023 r. pokazują też, że najczęstszymi atakami są ataki typu ransomware (przejęcie kontroli nad zasobami organizacji i żądanie okupu), ataki przeciwko dostępności usług (DDoS, powodowanie zakłóceń w dostępie do internetu, cenzura internetu) oraz kradzieże i wycieki danych.

Najbardziej zagrożonymi sektorami są administracja publiczna, ochrona zdrowia, infrastruktura cyfrowa, przemysł, bankowość, ale coraz częściej w poszukiwaniu słabych punktów zabezpieczeń atakowane są ogniwa łańcucha dostaw. W rezultacie, współcześnie nikt nie jest wolny od cyberzagrożeń. Wraz ze wzrostem zagrożenia, rośnie też rynek dla podmiotów profesjonalnie trudniących się testowaniem bezpieczeństwa systemów, sieci i infrastruktury teleinformatycznej, tj. prowadzących testy penetracyjne.

Czym są testy penetracyjne

Testy penetracyjne (inaczej pentesty) to kontrolowane próby włamania do systemów informatycznych organizacji, które mają na celu sprawdzenie poziomu bezpieczeństwa i niezawodności zabezpieczeń, identyfikację ryzyk i sformułowanie rekomendacji dla zwiększenia poziomu cyberbezpieczeństwa. Prawną podstawą prowadzenia testów penetracyjnych jest zgoda podmiotu dysponującego prawami do testowanego systemu, sieci lub infrastruktury, zazwyczaj zawarta w umowie regulującej sposób i zasady wykonania pentestów. Strony umowy muszą pamiętać o precyzyjnym określeniu zakresu takiej zgody, czyli czego testy mają dotyczyć, jakiego typu działania mają obejmować (np. testy automatyczne, testy socjotechniczne), czy jaki będzie zakres ujawnianych danych (wyróżniamy testy blackbox, greybox, whitebox – stosownie do zakresu udzielanych dostępów).

Organizacja zlecająca testy nie powinna też nastawiać się na wykrycie wszystkich możliwych luk w zabezpieczeniach i podatności, gdyż ze względu na złożoność technologiczną systemów IT, a także czynnik ludzki osiągnięcie takiego rezultatu nie jest możliwe.

Mimo że zgoda audytowanego podmiotu wyłącza odpowiedzialność za podjęcie prób przełamania zabezpieczeń, to z pentestami związane jest zawsze ryzyko, choćby że pentester uzyska dostęp do danych, do których nie powinien mieć dostępu (bo np. audytowany nie ma do nich uprawnień). Dlatego też w ramach umowy na prowadzenie testów penetracyjnych ważne jest wzajemne zaufanie stron i dopracowanie sposobu prowadzenia testów, a także ram odpowiedzialności. Pentester nie może jednak zostać całkowicie zwolniony z odpowiedzialności za sposób wykonania umowy, przede wszystkim za niedochowanie należytej staranności wymaganej od profesjonalisty.

Kiedy pentesty są obowiązkowe

Warto pamiętać, że przepisy prawa wprost zobowiązują pewne podmioty do prowadzenia testów penetracyjnych. W unijnej dyrektywie w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (tzw. dyrektywa NIS 2) testy penetracyjne są wymienione jako jedno z narzędzi służących zapewnianiu wyższego poziomu cyberbezpieczeństwa w organizacji. W procedowanym aktualnie projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), która ma implementować w Polsce postanowienia dyrektywy NIS 2, ustawodawca nałożył na podmioty, uznawane przez ten akt za kluczowe obowiązek prowadzenia testów penetracyjnych co najmniej raz na dwa lata i przedstawienia sprawozdania z takiego audytu.

Projekt ten przewiduje również uprawnienie organu właściwego ds. cyberbezpieczeństwa nakazania podmiotom kluczowym przeprowadzenia pentestów. Z kolei w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego (tzw. rozporządzenie DORA), na podlegające pod tę regulację podmioty z branży finansowej nałożony został obowiązek wdrożenia programu testowania operacyjnej odporności cyfrowej, przewidującego m.in. testy penetracyjne.

Bug bounty

Prowadzenie działalności gospodarczej w zakresie testów penetracyjnych nie jest jednak jedynym sposobem na zgodne z prawem zarabianie na testowaniu odporności cyfrowej organizacji. Wiele firm, zwłaszcza dużych podmiotów z branży technologicznej, np. Google, Facebook, posiada procedury tzw. Bug bounty. W tych procedurach oferowane są nagrody dla tych, którzy wykryją podatności w systemach lub infrastrukturze informatycznej danej firmy, oczywiście pod warunkiem prowadzenia ich w określony sposób, niezwłocznego zgłoszenia wyników do organizacji oraz nieupubliczniania ich.

W świetle prawa podstawą legalności działania takich hakerów jest zgoda testowanego podmiotu, tyle że wyrażona wobec nieokreślonego kręgu osób. Procedura Bug bounty reguluje warunki uzyskania takiej zgody oraz nagrodę dla zgłaszającego.

CVD

Ramy dozwolonego testowania systemów zakreślają również procedury skoordynowanego ujawniania podatności (coordinated vulnerability disclosure, w skrócie CVD). Dyrektywa NIS 2 definiuje skoordynowane ujawnianie podatności jako ustrukturyzowany proces, w którym podatności są zgłaszane producentowi lub dostawcy potencjalnie podatnych produktów ICT lub usług ICT w sposób umożliwiający im zdiagnozowanie i wyeliminowanie danej podatności, zanim dotyczące jej szczegółowe informacje zostaną ujawnione osobom trzecim lub podane do wiadomości publicznej. Różnica polega na tym, że w procedurach CVD oprócz zainteresowanych stron przewidziany jest także udział zaufanego pośrednika (w Polsce miałby to być CSIRT NASK), który w razie potrzeby ułatwiałby kontakt podmiotu zgłaszającego podatność z producentem lub dostawcą potencjalnie podatnych produktów lub usług ICT.

Procedury takie pozwalają organizacjom, relatywnie niewielkim kosztem, podnieść poziom bezpieczeństwa, ale także zapewniają im kontrolę nad sposobem, w jakim etyczni hakerzy mogą testować ich zabezpieczenia. Stanowią również zachętę dla prowadzenia działań hakerskich zgodnie z prawem, bo po co narażać się na odpowiedzialność karną, jeśli można hakować legalnie i jeszcze na tym zarobić. Należy przypuszczać, że ustawodawcy krajowi będą dążyli do propagowania tego typu rozwiązań.

Przewaga nad czarnymi kapeluszami

Jak widać, hakerzy, wbrew stereotypowi utrwalonemu przez popkulturę, to nie tylko osoby działające poza granicami prawa, ale także ludzie stojący na straży bezpieczeństwa w sieci, pentesterzy wyszukujący zawodowo luk i podatności w systemach i infrastrukturze klientów oraz działający społecznie pasjonaci. Istotą rozróżnienia, kiedy ich działania będą niezgodne z prawem, a kiedy nie, jest:

a) cel działania – czy dla zwiększenia poziomu cyberbezpieczeństwa, czy dla własnej korzyści,

b) sposób działania – czy naruszają ustalone normy i procedury, oraz, co najważniejsze,