Pentesterzy i bezpiecznicy – możecie już spać spokojnie, nie pójdziecie siedzieć

Ważna poprawka Kodeksu Karnego. Poniżej zamieszczam przedruk publikacji z wortalu ZAUFANATRZECIASTRONA.PL, który dotyczy zapisów w Kodeksie Karnym w odniesieniu do testów penetracyjnych i w ogóle działalności pantesterów. Tym razem coś informatykę połączy z medycyną. A jedną z naczelnych zasad etycznych w medycynie jest Primum non nocere (z łac. „po pierwsze nie szkodzić”). P.P.


Wygląda na to, że Sejm przyjął wczoraj (23 marca 2017) poprawki do zmian w kodeksie karnym, które pozwalają bezpiecznikom posiadać narzędzia do hakowania a pentesterom przeprowadzać testy bezpieczeństwa bez zagrożenia odpowiedzialnością karną.

Przez pewien czas przepisy kodeksu karnego nie wyglądały zbyt różowo dla bezpieczników i pentesterów. Przez wiele lat obowiązywał art. 269b, którego brzmienie narażało wiele osób na odpowiedzialność karną.

Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

Choć nie słyszeliśmy, by ktokolwiek został z tego artykuł skazany, to samo jego istnienie było sporym ryzykiem dla osób z branży bezpieczeństwa działających w Polsce. W ramach szykowanych zmian w kodeksie karnym niestety Sejm postanowił zaostrzyć brzmienie tego przepisu, między innymi zmieniając zakres sankcji na „od 3 miesięcy do lat 5.” Na szczęście mamy jednak dla Was dobre, a nawet bardzo dobre wiadomości.

Skuteczna interwencja

Minister Anna Streżyńska już od pewnego czasu obiecywała, że walczy o modyfikację przepisu tak, by możliwe było wykonywanie pracy związanej z bezpieczeństwem informacji bez ryzyka spędzenia kilku miesięcy w więzieniu. Słowa dotrzymała – Senat zaproponował odpowiednie poprawki, a jak sama pani minister napisała na Twiterze, zostały one wczoraj przez Sejm przyjęte.

Jak brzmią poprawki senackie? Oto pierwsza z nich:

w art. 1 w pkt 8 w poleceniu nowelizacyjnym po wyrazach „w art. 269b” dodaje się dwukropek, pozostałą treść oznacza się jako lit. a oraz dodaje się lit. b w brzmieniu: „b) po § 1 dodaje się § 1a w brzmieniu: „§ 1a. Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.”;”;

Jest to wprost wyłączenie odpowiedzialności osób zajmujących się zabezpieczaniem systemów w zakresie wytwarzania i posiadania „narzędzi hakerskich”. Zatem nikt nie powinien już być oskarżony o posiadanie nmapa czy przeglądarki na komputerze. Juppi! Ale to nie wszystko!

Senat zaproponował, a Sejm przyjął także kolejną poprawkę o treści:

w art. 1 dodaje się pkt 9 w brzmieniu: „9) po art. 269b dodaje się art. 269c w brzmieniu: „Art. 269c. Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.”.”;

Dla przypomnienia przywołane paragrafy:

Art. 269a.  Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Art. 267.  §2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

Oznacza to de facto „zgodę” na testy penetracyjne – pod warunkiem, że spełniają one kryteria opisane w poprawce – czyli:

  • działanie w celu zabezpieczenia systemu,
  • powiadomienie właściciela o wykrytych zagrożeniach,
  • brak wyrządzonej szkody.

Pewnie prawnicy pochylą się nad nowymi przepisami i rozwiną ich interpretację, ale tak czy inaczej jest to duży prezent dla całej branży – dziękujemy pani minister i wszystkim osobom zaangażowanym w przepchnięcie tych poprawek!

Udostępnij przez:

Średnia ocen
0 z 0 głosów.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Strona POKSINSKI.COM używa plików cookies zgodnie z warunkami Polityki prywatności. Pozostając na stronie akceptujesz te warunki. | Polityka prywatności |

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close