Cyberprzestępczość
wszelkie nielegalne działania prowadzone przez osoby wykorzystujące technologię informacyjną oraz sieci telekomunikacyjne w sposób, który narusza dobra chronione prawnie. Jest to termin niejednoznaczny, który nie został dotychczas ujęty w sposób jednolity w obecnie obowiązujących systemach prawa karnego. Wśród specjalistów istnieje spór dotyczący identyfikacji tego typu przestępstw oraz ich zakresu. Innym problematycznym aspektem jest chaos terminologiczny – w literaturze można się zetknąć z takimi określeniami, jak przestępstwa informacyjne, przestępczość wirtualna, przestępstwa związane z technologią cyfrową, przestępstwa internetowe, e-przestępczość itp.
Z perspektywy prawa międzynarodowego można się odwoływać do ogólnej definicji wypracowanej przez Organizację Narodów Zjednoczonych, która wyróżnia wąską oraz szeroką perspektywę ujęcia tego zjawiska. Pierwsza z nich sprowadza cyberprzestępczość do wszelkich działań przeprowadzonych na zasadzie operacji informatycznych, których celem jest naruszenie systemu bezpieczeństwa informatycznego, druga zaś zalicza do cyberprzestępstw wszystkie działania popełnione za pomocą lub dotyczące systemów bądź sieci komputerowych.
Jedyną umową międzynarodową dotyczącą cyberprzestępczości jest konwencja Rady Europy o zwalczaniu cyberprzestępczości z 23 września 2001 r., która dzieli jej przejawy na pięć grup:
- przestępstwa komputerowe, skierowane przeciwko poufności, integralności i dostępności danych i systemów komputerowych. Należą do nich: nielegalny dostęp, nielegalne przechwytywanie, zakłócanie danych, zakłócanie działania systemu itp.;
- nielegalne działania związane z użyciem narzędzi komputerowych: fałszowanie przy użyciu technologii komputerowej, oszustwo w celu nielegalnego wydobycia korzyści ekonomicznych dla siebie lub osób trzecich;
- okrucieństwa związane z treścią, głównie z pornografią dziecięcą;
- naruszenia praw autorskich i praw pokrewnych;
- rozpowszechnianie informacji o rasistowskiej i innej naturze podżegającej do przemocy, nienawiści lub dyskryminacji osoby lub grupy obywateli ze względu na pochodzenie rasowe, narodowe, religijne lub etniczne. Grupa ta została dołączona na początku 2002 r., kiedy do konwencji został przyjęty protokół.
Choć jest to akt o charakterze regionalnym, ma on znaczny wpływ na prawo międzynarodowe, wskazując na potrzebę penalizacji cyberataków oraz obowiązek ścigania i karania ich sprawców. Zawiera on wzorcowe normy prawne, które powinny zostać inkorporowane do prawa wewnętrznego, i tworzy ramy współpracy pomiędzy państwami dotkniętymi cyberprzestępczością zgodnie z zasadą, że jedyną metodą zapobiegania jej jest restrykcyjne egzekwowanie prawa, do czego niezbędna jest ścisła współpraca międzynarodowa.
W innym ważnym dokumencie – Tallin Manual 2.0 – zwrócono uwagę na konieczność rozróżnienia pomiędzy cyberprzestępstwami, do których ma zastosowanie konwencja budapesztańska, a innymi formami konfliktów w cyberprzestrzeni, takimi jak szpiegostwo państwowe i gospodarcze, sabotaż oraz wszelkie akty wywołujące efekty podobne do konwencjonalnego ataku zbrojnego, a zatem znacznie wykraczające poza tradycyjne pojęcie przestępstwa.
W literaturze istnieją zazwyczaj trzy podejścia do kryminalizacji społecznie niebezpiecznych ingerencji popełnianych z wykorzystaniem możliwości i środków technologii komputerowej, uważanych za przestępstwo:
- nieautoryzowany dostęp do systemów komputerowych, rozprzestrzenianie się wirusów komputerowych i niezgodne z prawem korzystanie z systemów komputerowych i informacji (Norwegia, Singapur, Słowacja, Filipiny, Republika Korei);
- rozpoznanie jako przestępstw komputerowych tylko tych czynów, których popełnienie powoduje szkody majątkowe i komputerowe przetwarzanie informacji (Dania, Szwecja, Szwajcaria, Japonia);
- sklasyfikowanie nie tylko czynów, które powodują szkody majątkowe, ale także naruszają prawa osobiste lub zagrażają bezpieczeństwu narodowemu (USA, Francja, Niemcy, Wielka Brytania, Holandia).
W polskiej literaturze prawniczej nie ma oddzielnego rozdziału odnoszących się do cyberprzestępstw. Najnowsze opracowania prawne dotyczące zagadnień cyberbezpieczeństwa sugerują podział na:
- przestępstwa stricte komputerowe (w tym nieautoryzowany dostęp do systemu komputerowego oraz nielegalny podsłuch komputerowy [naruszenie tajemnicy komunikacji] – art. 267 k.k., naruszenie integralności danych komputerowych – art. 268 k.k., art. 268a k.k., naruszenie integralności systemu komputerowego – art. 269 k.k., art. 269a k.k., art. 269b k.k.,);
- przestępstwa związane z wykorzystaniem sieci i systemów teleinformatycznych oraz nowych technologii (np. oszustwo – art. 286 k.k., nielegalne pozyskanie programu komputerowego – art. 278 § 2 k.k., oszustwo komputerowe – art. 287 k.k., oszustwo telekomunikacyjne – art. 285 k.k., przeciwko wiarygodności dokumentów, np. fałszerstwo komputerowe – art. 270 § 1 k.k., zniszczenie lub pozbawienie mocy dowodowej dokumentu elektronicznego – art. 276 k.k.). Szerzej rozwija ten temat w literaturze naukowej J. Clough, który wydziela pięć typów: nielegalne transakcje online, zaawansowane oszustwa z opłatami, przestępstwa związane z elektronicznym transferem środków, oszustwa inwestycyjne oraz kradzież tożsamości;
- przestępstwa popełnione z wykorzystaniem komputera i sieci teleinformatycznych (stalking – art. 190a § 1 k.k., w tym także kradzież informacji biometrycznych, nadanej tożsamości, biograficznej tożsamości – art. 190a § 2 k.k., podszywanie się pod inną osobę);
- przestępstwa z wykorzystaniem komputerów skierowane przeciwko wolności seksualnej popełnione na szkodę małoletniego (grooming – art. 200a § 1 i 2 k.k., posiadanie treści pornograficznych z udziałem małoletniego poniżej 15 lat – art. 202 k.k.), przestępstwa przeciwko czci (zniesławienie – art. 212 k.k., zniewaga – art. 216 k.k.).
Wymienić można wiele rodzajów cyberprzestępstw, zaliczanych najczęściej do jednej z czterech kategorii: przestępstw wymierzonych przeciwko osobom indywidualnym, przestępstw przeciwko własności, przestępstw przeciwko organizacjom oraz przestępstw wymierzonych przeciwko społeczeństwu.
Celem cyberprzestępców są m.in. zdobycie pieniędzy, zemsta, szpiegostwo i rozrywka. Cyberataki są inicjowane przez dany kraj, organizację, firmę lub osobę prywatną. Niektórzy cyberprzestępcy dokonują ich w celu przetestowania swoich umiejętności hakerskich. Inną grupę stanowią haktywiści, czyli cyberprzestępcy, których działania motywowane są względami politycznymi, religijnymi i społecznymi. Ataki haktywistów służą głoszeniu politycznych i religijnych haseł oraz zniechęcaniu ludzi do innych poglądów.
Większość incydentów w internecie jest dziełem przestępców, których motywem jest odniesienie osobistej korzyści. Ostatnio jednak mówi się o hakerach „państwowych”, choć od dawna są oni znani w pewnych kręgach – w szczególności odkąd 10 lat temu wirus Stuxnet, stworzony przy udziale amerykańskich i izraelskich służb wywiadowczych, wstrzymał irański program nuklearny. Pod wieloma względami praca „państwowych” hakerów to cyberszpiegostwo – uzyskują oni tajne informacje o projektach wojskowych lub sytuacji w określonym państwie. Niektóre zdobyte dane są dalej wykorzystywane przez służby wywiadowcze, a część z nich może uzyskać zainteresowana firma.
„Państwowi” hakerzy kradną również dane branżowe. Odnotowano próby złamania systemów ochrony w elektrowniach jądrowych i innych elementach krytycznej infrastruktury w Stanach Zjednoczonych. Niektórzy zarabiają w ten sposób i szkodzą biznesowi (np. Korea Północna zakłóciła działanie większości komputerów w Sony Pictures).
Niektórzy cyberprzestępcy przebierają się za „nieznanych haktywistów” i narażają prywatne informacje na upublicznienie, aby mieć na nie wpływ (tak rosyjskie agencje wywiadowcze wpłynęły na wyniki wyborów w USA, publikując korespondencję Partii Demokratycznej). Dlatego aktywność hakerów „państwowych” jest zróżnicowana i niebezpieczna i bardzo trudno jest się przed nimi chronić.
Członkowie grup zorganizowanych mogą korzystać z oprogramowania hakerów „państwowych”, a hakerzy „państwowi” mogą kraść pieniądze z banków państwa, przeciwko któremu odbywa się specjalna operacja. Jeśli zaś zestaw narzędzi zostanie umieszczony w sieci, zacznie je wykorzystywać cała społeczność, począwszy od specjalistów wysokiego szczebla po zwykłych, indywidualnych hakerów. Wszystko to podnosi cenę cyberbezpieczeństwa z punktu widzenia biznesu – podobnie jak w wypadku innych przestępstw, przezwyciężenie konsekwencji złamań jest znacznie droższe niż ostrzeżenie przed nimi.
Według IBM Security i Ponemon Institute średnia cena nawet stosunkowo niewielkiego wycieku informacji (z od 2500 do 100 tysięcy kont) wynosi 3,87 mln dol., a duży wyciek kosztuje co najmniej 40 mln dol. Zmiany w prawodawstwie jeszcze bardziej podnoszą tę cenę. Globalne koszty bezpieczeństwa cybernetycznego osiągną w 2019 r. 114 mld dol., a w przyszłym roku wzrosną do 124 mld dol. (powodem będą wydatki na zarządzanie ryzykiem i większy nacisk na ochronę danych osobowych). Cyberprzestępcy będą nadal podnosić swoje umiejętności.
Podczas czwartego spotkania międzyrządowej grupy ekspertów w celu przygotowania kompleksowej analizy cyberprzestępczości, które odbyło się w Wiedniu w kwietniu 2018 r., odnotowano bieżące globalne trendy w regulacji legislacyjnej przeciwdziałania temu zjawisku. Stwierdzono, że w wielu rozwijających się państwach członkowskich ONZ (krajach Ameryki Łacińskiej, Afryki, Azji) nadal brakuje podstawowych aktów prawnych lub są one dopiero opracowywane. W wielu krajach zaś, w których takie dokumenty zostały przyjęte, nie zawsze jest możliwe wykorzystanie ich potencjału z powodu poważnych rozbieżności z przepisami dotyczącymi postępowania karnego. Badania wykazały, że nawet przy odpowiednich ramach prawnych konieczna jest ich dalsza reforma. To jedyny sposób, aby nadążyć za zmianami.
Niektórzy autorzy do cyberprzestępstw zaliczają hacking, cyberszpiegostwo oraz działania wykorzystujące techniki psychologiczno-socjologiczne. W takim ujęciu wskazuje się, że cechą wspólną przestępstw opartych na hackingu jest wykorzystywanie słabości w systemach docelowych, aby uzyskać do nich dostęp lub spowodować zakłócenia ich działania. Natomiast do grupy czynów popełnianych przy użyciu technik psychologiczno-społecznych zalicza się najczęściej oszustwa i wyłudzenia dokonywane dzięki poufnym informacjom uzyskanym poprzez szeroko rozumiane wprowadzanie w błąd użytkowników internetu. Wszystkie cyberprzestępstwa wykorzystujące dostęp do poufnych danych – osiągnięty jednak w inny sposób niż poprzez zdobycie i wykorzystanie zaufania jego dysponentów – kwalifikowane są jako cyberszpiegostwo.
Badanie Clark School na University of Maryland jest jednym z pierwszych, które określiło niemal stałą liczbę ataków hakerów na komputery z dostępem do internetu – średnio co 39 sekund. Rosną również koszty, które ponoszą zaatakowane podmioty w związku z udanym atakiem cyberprzestępców. Cyberataki często są ze sobą powiązane. Przestępcy tworzą grupy demaskowane poprzez charakterystyczne działania, które ułatwiają ich identyfikację. Grupy te obejmują cały świat i zagrażają każdemu sektorowi działania państwa w różnym stopniu.
Cyberprzestępczość jest znaczącym problemem na skalę globalną. W 2017 r. cyberprzestępcom udało się ukraść łącznie 146,3 mld euro w 20 krajach świata. Z raportu Norton Cyber Security Insight 2017 wynika, że w 2016 r. w 20 biorących udział w badaniu krajach hakerzy okradli łącznie 978 milionów osób. Straty sięgnęły 146,3 mld euro. Tylko w siedmiu krajach Europy (we Francji, w Niemczech, we Włoszech, w Holandii, Hiszpanii, Szwecji i Wielkiej Brytanii) cyberprzestępcy okradli 98,2 miliona ludzi. Zabrali im 23,3 mld euro.
Usługi cyberprzestępców na czarnym rynku w roku 2018 są stosunkowo tanie: bombardowanie atakiem DdoS kosztuje od 30 do 70 dol. za dzień, w pakiecie za cały miesiąc – 1200 dol., botnet wraz z siecią 2000 komputerów zombi to koszt 200 dol., zhakowanie konta na portalach Facebook lub Twitter wynosi 130 dol., zhakowanie konta Gmail kosztuje natomiast 162 dol.
Specjaliści ds. cyberbezpieczeństwa z firmy Cisco Talos wykryli na Facebooku 74 grupy cyberprzestępcze zrzeszające łącznie 385 tysięcy członków – podał serwis Ars Technica. Użytkownicy oferowali tam m.in. usługi hakerskie oraz rozsiewanie spamu. Na forum tych grup oferowane były dane ze zhakowanych kart bankowych, informacje finansowe, dane uwierzytelniające, narzędzia i usługi spamowania poczty elektronicznej. Można było również zamówić kampanie phishingowe oraz podrobione dokumenty tożsamości. Eksperci Cisco zgłosili Facebookowi istnienie grup wykrytych przez badaczy, a portal podjął decyzję o ich usunięciu. Specjaliści zwrócili jednak uwagę, że nie minęło wiele czasu, nim kolejne grupy tego rodzaju zaczęły pojawiać się w tym serwisie społecznościowym. Facebook współpracuje obecnie z Cisco nad rozwiązaniem problemu.
Według raportu KPMG w Polsce Barometr cyberbezpieczeństwa. W obronie przed cyberatakami z kwietnia 2019 r., który powstał na podstawie ankiety wśród 100 firm, szeroko rozumiana cyberprzestępczość została uznana za zagrożenie przez 96% z nich, co oznacza wzrost o 12 p.p. w stosunku do zeszłorocznego badania. W ramach cyberprzestępczości organizacje wskazują najczęściej na zagrożenie ze strony pojedynczych hakerów (84%), zorganizowane grupy cyberprzestępcze (58%) oraz cyberterrorystów (54%). Skutki cyberprzestępczości dotknęły 68% ankietowanych przedsiębiorstw, a 25% z nich zanotowało wzrost liczby cyberataków. Globalne straty spowodowane działalnością cyberprzestępców wyniosły około 1% światowego PKB. Jak wskazuje M. Kurek z KPMG, cyberprzestępczość rozwija się dziś niezwykle dynamicznie, a jej transgraniczny charakter sprawia, że hakerzy są coraz lepiej zorganizowani, bezkarni i dysponują ogromnym zapleczem kapitałowym. Część grup wspierana jest przez obce państwa.
Cyberatak na światową skalę, skoordynowany i z użyciem złośliwych wiadomości e-mail, może spowodować straty gospodarcze w wysokości nawet 193 mld dol. To szacunki ekspertów ds. analizy ryzyka z firm ubezpieczeniowych Aon i Lloyd’s of London. W tej kwocie mieściłyby się m.in. wypłaty odszkodowań w sektorze ubezpieczeniowym, które mogłyby osiągnąć kwoty od 10 mld dol. do 27 mld dol. – w zależności od limitów zapisanych w polisach, które mogą wynosić od 500 tys. do 200 mln dol. Globalny cyberatak może jednocześnie dotknąć podmioty z wielu sektorów gospodarki na całym świecie. Na największe straty narażone są jednak handel, ochrona zdrowia, przemysł wytwórczy i branża finansowa.
W perspektywie najbliższych kilkunastu lat każde dotychczas znane nam przestępstwo stanie się cyberprzestępstwem – to teza najnowszego raportu Future of Crime opublikowanego przez Infuture Hatalska Foresight Institute z udziałem ekspertów m.in. Atende oraz Cisco Poland. W raporcie prezentowane są zagrożenia dzisiaj”, „jutro” i „pojutrze” – od ataków na infrastrukturę krytyczną, po hakowanie genów i tzw. mind reading.
Group-IB, międzynarodowa firma specjalizująca się w zapobieganiu cyberatakom, zaprezentowała nowy paradygmat bezpieczeństwa informacji podczas globalnej międzynarodowej konferencji „CyberCrimeCon 2018”. Został on ujęty w raporcie rocznym Hi-Tech Crime Trends 2018, w którym analizowane są globalne trendy w rozwoju cyberprzestępczości i przewidywane są przyszłe cele prorządowych grup hakerów i hakerów z motywacją finansową. Przejście od pozycji defensywnej do polowania na cyberprzestępców jest obecnie głównym trendem na rynku bezpieczeństwa informacji.
Wojciech Cendrowski, Olga Wasiuta
CyberDefence24, Przyszłość cyberprzestępczości [Raport], 25.04.2018, CyberDefence24.pl (dostęp 24.04.2019); FutureOfCrime.Atende.pl (dostęp 24.04.2019); Group-IB, Hi-Tech Crime Trends 2017; W. Gogołek, Komunikacja sieciowa. Uwarunkowania, kategorie i paradoksy, Oficyna Wydawnicza ASPRA-JR, Warszawa 2010; Groups, Attack.Mitre.org (dostęp 24.04.2019); Hackers Attack Every 39 Seconds, February 10, 2017, SecurityMagazine.com (dostęp 24.04.2019); B. Hołyst, T. Pomykała, Cyberprzestępczość, ochrona informacji i kryptologia, „Prokuratura i Prawo” 2011, nr 1; D. Jagiełło, Karnoprawne ramy odpowiedzialności za przestępstwa popełniane w cyberprzestrzeni, [w:] Cyberbezpieczeństwo. Zarys wykładu, C. Banasiński (red.), Wolters Kluwer, Warszawa 2018; A. Kopciuch, Grupy cyberprzestępcze, 12.02.2019, CyberSecurity.org (dostęp: 24.04.2019); KPMG, Barometr cyberbezpieczeństwa. W obronie przed cyberatakami, kwiecień 2019; Law of International Responsibility, [w:] Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, M.N. Schmitt (ed.), Cambridge University Press, Cambridge 2017; Norton by Symantec, 2017.Norton Cyber Security Insights Report: Global Results, 2018; PAP, Eksperci policzyli, ile kosztowałyby straty gospodarcze spowodowane cyberatakiem na światową skalę, 3.02.2019, BusinessInsider.com.pl (dostęp: 24.04.2019); PAP/BAD, Na Facebooku wykryto 74 grupy cyberprzestępcze, zrzeszały 385 tys. członków, 06.04.2019, WNP.pl (dostęp 24.04.2019); F. Rodniewicz, Postanowienia decyzji ramowej Rady w sprawie ataków na systemy informatyczne a ujęcie cyberprzestępstw w kodeksie karnym, „Ius Novum” 2009, nr 1; J.A. Shamsi, S. Zeadally, F. Sheikh i in., Attribution in Cyberspace: Techniques and Legal Implications, „Security and Communication Networks” 2016, no. 9; M. Siwicki, Cyberprzestępczość, C.H. Beck, Warszawa 2013; M. Smarzewski, Cyberterroryzm a cyberprzestępstwa o charakterze terrorystycznym, „Ius Novum” 2017, nr 1.