Zainstaluj aplikację Palestra na swoim urządzeniu

en

Palestra 1-2/2015

Przetwarzanie danych informatycznych w chmurach obliczeniowych. Wybrane aspekty prawnokarne i procesowe

Kategoria

Artykuły

Pojęcia kluczowe

chmury obliczenioweprzetwarzanie danychprawo karne

Udostępnij

Wprowadzenie

Pojęcia takie jak: „chmura obliczeniowa” (ang. cloud computing), „wirtualna maszyna” (ang. virtual machine) oraz „dysk wirtualny” (ang. virtual disk) stosowane są do określenia zdalnego przetwarzania danych informatycznychNa gruncie polskiego ustawodawstwa Kodeks karny posługuje się pojęciem „dane informatyczne”, które nie zostało zdefiniowane przez ustawodawcę. Nie jest to również termin stosowany powszechnie w informatyce. Wyraźne odwołanie się do informatyki sugeruje, że pod pojęciem „dane informatyczne” należy rozumieć wszelkie dane gromadzone, zapisywane, sortowane, przesyłane, analizowane czy też w inny sposób przetwarzane przez elektroniczne systemy przetwarzania informacji (np. komputer, system komputerowy, maszynę liczącą, mikroprocesor, serwer itp.) w celu przekształcenia ich w użyteczne dla człowieka informacje. Zob. więcej na temat pojęcia „dane komputerowe i informatyczne” np.: M. Siwicki, Cyberprzestępczość, Warszawa: C. H. Beck 2013, s. 86–94. opartego na udostępnianiu użytkownikowi przez usługodawcę (zewnętrznego lub wewnętrznego) różnego rodzaju usług i zasobów technologii informacyjnych (np. środowiska uruchomieniowego programów, zasobów pamięci masowej itp.). W przypadku tych nowych metod przetwarzania danych prawie wszystkie zadania obliczeniowe, w tym instalacja, konfigurowanie i administrowanie usługami, odbywają się niezależnie od lokalizacji poszczególnych elementów fizycznych sprzętu komputerowego.

Wzrostowi zainteresowania powyższymi usługami towarzyszy pojawienie się wielu nowych problemów prawnych, które przekładają się m.in. na praktykę i zasady działania organów ścigania i karania. W ramach wykonywania różnego rodzaju czynności operacyjno-rozpoznawczych, dochodzeniowo-śledczych czy analityczno-informacyjnych pojawia się bowiem w szczególności konieczność uwzględnienia, że dane informatyczne, w tym m.in. elektroniczne zapisy wiadomości przekazywanych poprzez chmurę obliczeniową, mogą być zapisywane na kilkunastu współdzielonych urządzeniach, w swoistej „chmurze serwerów” zlokalizowanych w różnych państwach.

Takie uniezależnienie systemów teleinformatycznych od funkcjonowania klasycznego środowiska pracy opartego na pojedynczej stacji roboczej i jednym systemie operacyjnym nasuwa przede wszystkim pytanie o zasadność reinterpretacji tradycyjnego rozumienia miejsca popełnienia przestępstwa oraz zabezpieczenia mienia w celach dowodowych, które wiąże się z przeszukaniem, jak i zabezpieczeniem danych przechowywanych w pojedynczym systemie informatycznym lub na nośnikach zlokalizowanych w jednym państwie.

Niniejsze opracowanie zostało podzielone na trzy części, poświęcone odpowiednio aspektom technicznym, prawnokarnym i procesowym związanym z przetwarzaniem danych informatycznych w chmurze.

1. Aspekty techniczne funkcjonowania chmury obliczeniowej

Chmura obliczeniowa bazuje na wielu koncepcjach wykorzystywanych już od pewnego  czasu w branży związanej z technologiami informacyjnymi (ang. information technology, dalej: IT), w tym w szczególności na architekturze zorientowanej na usługi informatyczne (ang. Service-Oriented Architecture).Jest to architektura oparta na usługach obejmujących zestaw metod organizacyjnych i technicznych, mający na celu lepsze powiązanie biznesowej strony organizacji przedsiębiorstw z jej zasobami informatycznymi. Zob. więcej http://www-01.ibm.com/software/solutions/soa/; http://pl.wikipedia.org/wiki/Architektura_zorientowana_na_ us%C5%82ugi

Główną funkcją chmury obliczeniowej jest dostarczanie na życzenie użytkownika różnego rodzaju usług. Do tych najpopularniejszych należą:

a) chmura aplikacyjna (ang. cloud applications), gdzie znajdują się usługi związane z dostarczaniem i dystrybucją oprogramowania,

b) chmura ze „środowiskiem oprogramowania” (ang. Cloud Software Environment, która też jest określana jako PaaS – Platform as a Service), a więc usługi polegające na udostępnianiu przez dostawcę wirtualnego środowiska (platformy) pracy,

c) chmura z infrastrukturą do oprogramowania (ang. Cloud Software Infrastructure) obejmująca:

  • infrastrukturę informatyczną, czyli sprzęt, serwery i komponenty sieci odpowiedzialne za uruchamianie istniejących aplikacji i systemów operacyjnych (ang. IaaS – Infrastructure as a Service),Ta usługa jest również określana jako wirtualna maszyna (ang. virtual machine).
  • usługi związane z przechowywaniem i gromadzeniem danych oraz udostępnianie ich na żądanie użytkownika (ang. DaaS – Data as a Service);
  • usługi związane z zapewnieniem optymalizacji pracy programów poprzez kontrolę ich środowiska działania i procesu translacji kodu (ang. CaaS – Communications as a Service).Usługi świadczone w ramach CaaS mogą obejmować m.in. telefonię internetową (VoIP – voice over IP), komunikatory internetowe, czy też zapewniać współpracę urządzeń stacjonarnych i mobilnych w czasie wideokonferencji.

Użytkownik może w łatwy sposób zmieniać zakres usług, np. zwiększyć pojemność przestrzeni dyskowej służącej do przechowywania danych czy zmieniać liczbę wykorzystywanych rdzeni CPU i publicznych numerów IP.

Dostęp do usług świadczonych w chmurze obliczeniowej uzyskuje się poprzez komputer bądź specjalne urządzenie (terminal komputerowy) wraz z odpowiednim oprogramowaniem typu klient, które umożliwia obsługę aplikacji stworzonej w architekturze klient–serwer. Wymagania dla urządzeń klienckich są zazwyczaj niewielkie, nawet zaś w przypadku konieczności modyfikacji czy rozbudowy ze względu na wyższe wymogi funkcjonalne aplikacji po stronie klienta nie pojawia się konieczność modyfikacji jego infrastruktury IT. Podstawowe komponenty wymagane do przetwarzania danych, takie jak procesor, twardy dysk czy oprogramowanie, są bowiem udostępniane przez usługodawcęZob. więcej na temat funkcjonowania chmury obliczeniowej M. Siwicki, Ochrona praw autorskich, bezpieczeństwa systemów informatycznych, danych osobowych i tajemnicy telekomunikacyjnej w chmurach obliczeniowych, „Prokuratura i Prawo” (w druku).. Szczególną cechą wskazanych usług jest zatem tzw. wirtualizacja, a więc oddzielenie warstwy logicznej od warstwy fizycznej systemu informatycznego, dzięki połączeniu wirtualnych maszyn w jeden fizyczny serwer oraz uniezależnieniu funkcjonowania systemu IT użytkownika od funkcjonowania klasycznego środowiska pracy, opartego zazwyczaj na pojedynczej stacji roboczej i jednym systemie operacyjnym6 Zob. więcej http://pl.wikipedia.org/wiki/Wirtualizacja .

Kolejną cechą charakteryzującą przetwarzanie w chmurze obliczeniowej jest to, że dane informatyczne (np. pliki zawierające dokumenty tekstowe, programy komputerowe, sterowniki itp.) w czasie przesyłu do użytkownika mogą być w międzyczasie zapisywane (także tymczasowo) w kilku miejscach, tzn. na serwerach, które mogą być zlokalizowane w różnych państwachDla przykładu najwięksi dostawcy wirtualnych dysków, tacy jak Amazon, Google i Microsoft, większość swojej infrastruktury technicznej lokalizują poza miejscem ich siedziby, czasami na setkach serwerów zlokalizowanych tam, gdzie jest to bardziej opłacalne. Zob. więcej M. Grecke, Strafrechtliche und Strafprocezessuale Aspekte von Cloud Computing und Cloud Storage, „Computer und Recht” 2010, nr 5, s. 347. . Taka dekoncentracja (rozproszenie) zasobów informatycznych dokonywana jest głównie ze względów funkcjonalnych i jest związana z charakterystyką techniczną chmury obliczeniowej, która bazuje na wyszukiwaniu optymalnego miejsca zapisu. Miejscem stałego zapisu danych nie zawsze będzie przy tym komputer, z którego korzysta użytkownik, ponieważ dzięki chmurze może on uzyskać dostęp do danych, które są gromadzone w zupełnie innym miejscu.

W powyższym układzie użytkownik nie tylko nie jest właścicielem sprzętu, ale zazwyczaj nawet nie zna jego lokalizacji, co więcej, nie musi on także ani znać procesów związanych z przetwarzaniem danych, ani wiedzieć, który sprzęt komputerowy w danym momencie faktycznie go obsługuje, pomimo że takie informacje mogą mieć istotne znaczenie dla mających zastosowanie ram prawnych. Zupełnie inaczej funkcjonowanie chmury obliczeniowej muszą oceniać organy ścigania, ponieważ ustawodawca w wyraźny sposób odróżnia zasady uzyskiwania danych informatycznych przechowywanych lokalnie od tych dostępnych zdalnie. Z powodu konieczności określenia lokalnego miejsca zapisu danych utrudnione jest m.in. określenie właściwości miejscowej sądu czy też kompetencji poszczególnych organów ścigania.

2. Aspekty prawnokarne

Ze względu na to, że dla chmur obliczeniowych charakterystyczne jest przede wszystkim przesyłanie danych pomiędzy systemem komputerowym użytkownika a infrastrukturą informatyczną dostawcy chmury, ataki hackerów Jest to określenie osoby, która włamuje się do systemów komputerowych, pokonując zabezpieczenia broniące dostępu do zgromadzonej tam i przetwarzanej informacji (słowo to pochodzi z języka anielskiego: hack – siekać, rąbać, ciąć).skierowane są przede wszystkim na poufność przetwarzanych informacji, prawo do dysponowania nią z wyłączeniem innych osób, a także na bezpieczeństwo jej przekazywania. Przechwytywane przez sprawcę dane informatyczne obejmują jednak nie tylko treść komunikacji, ale również dane o charakterze technicznym, w tym takie jak: schematy blokowe, architektury, hierarchie programu i interfejsy, biblioteki, katalogi, topologie, taksonomie, wewnętrzne kontrole, metadane itd. Por. M. Grecke, Strafrechtliche, s. 347.Kwalifikacja prawna takiego czynu sprawcy może jednak budzić wątpliwości, ponieważ przepis art. 267 § 1 k.k. Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny, Dz.U. z 1997 r. nr 88, poz. 553 z późn. zm., dalej: k.k. stawia dwa warunki konieczne do dokonania przestępstwa: naruszenie lub ominięcie zabezpieczeń chroniących informacje oraz „uzyskanie dostępu do informacji”.

Analizując powyższe zagadnienie, należy zauważyć, że po pierwsze, konieczne jest wyraźne rozróżnienie pomiędzy informacją oraz danymi informatycznymiJak słusznie zauważa A. Adamski – dane są nośnikiem (medium) informacji, informacja jest zaś tym, co zdołamy z tego medium wyinterpretować. Jak zauważa autor, z tego też względu konieczne jest wyraźne rozróżnienie pomiędzy informacją oraz danymi komputerowymi, co ma istotne znaczenie z prawnego punktu widzenia. Posiadanie dostępu do danych nie jest zawsze równoznaczne z możliwością zapoznania się z treścią zawartych w nich informacji. Zniszczenie danych nie musi być równoznaczne ze zniszczeniem informacji. A. Adamski, Prawo karne komputerowe, Warszawa: C. H. Beck 2000, s. 39. . Nie wszystkie dane zawierają informację skierowaną do użytkownika np. w postaci elementów komunikacji, angażując jego zdolności percepcyjne. Dane informatyczne stanowią bowiem zarówno element komunikacji, jak i przetwarzania,  interpretacji w programie komputerowym lub jego części, mogą zarówno być przeznaczone do wykonania odpowiedniej funkcji, np. wyświetlenia informacji na ekranie komputera użytkownika, jak również stanowić część procesu lub/i operacji wykonanych przez program komputerowy, komputer, system komputerowy lub sieć. Po drugie, na gruncie polskiego ustawodawstwa brak jest definicji danych informatycznych, która obejmowałaby również program komputerowy. Powoduje to wątpliwość, czy pojęcie to obejmuje te elementy programu komputerowego, które nie mają charakteru danych informatycznych. Jak bowiem zauważa się w literaturze przedmiotu, programy komputerowe zawierają nie tylko elektroniczne zapisy informacji bezpośrednio skierowane do użytkownika, ale mogą także przybrać formę czytelną wyłącznie dla systemu komputerowego (są przetwarzane przez procesor). Do danych komputerowych nie będzie można przykładowo zakwalifikować takich elementów programu komputerowego, jak: algorytm, struktura programu, interfejsy (łącza), protokoły komunikacyjne, metody obróbki danych komputerowych itp.Por. M. Siwicki, Cyberprzestępczość, s. 93–94, tam szerzej. Po trzecie, ustawodawca dodatkowo ogranicza ochronę jedynie do tych danych informatycznych będących elektronicznym zapisem informacji, które są elektroniczne, magnetyczne, informatyczne lub też inaczej, szczególnie zabezpieczone (np. zaszyfrowane).

W kontekście powyższych uwag należy stwierdzić, że ochrona przed przechwytywaniem i zapisywaniem danych informatycznych przyjęta na gruncie polskiego ustawodawstwa jest obecnie fragmentaryczna. Wątpliwe jest przede wszystkim, czy dyspozycją tego przepisu objęte będzie przechwycenie danych na temat samego faktu komunikacji pomiędzy poszczególnymi osobami, przebiegu i charakteru procesu transmisji (np. danych co do faktu wysłania e-maila, daty, czasu trwania połączenia telefonicznego itp.). W tym zakresie przepis ten nie jest także zgodny z art. 6 (niezgodne z prawem przechwytywanie) dyrektywy Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotyczącej ataków na systemy informatyczne i zastępującej decyzję ramową Rady 2005/222/WSiSW (Dz.U. UE L z dnia 14 sierpnia 2013 r.), który nakazuje penalizację przechwytywania środkami technicznymi niepublicznych przekazów danych komputerowych, a nie informacji, i to jeszcze szczególnie zabezpieczonej.

Atak hackera przeciwko chmurze obliczeniowej może skutkować także nielegalną ingerencją w prawidłowe funkcjonowanie systemu teleinformatycznego, jak i w dostępność określonych informacji. W przypadku zniszczenia, uszkodzenia, zmiany lub utrudnienia zapoznania się z informacją zastosowanie może znaleźć art. 268 k.k. (utrudnianie dostępu i niszczenie informacji), w przypadku zaś utrudniania dostępu do danych informatycznych lub zakłócania pracy systemu komputerowego, np. poprzez przejęcie nad nim kontroli – art. 268a k.k. (ingerencja w dane i system) lub art. 269a k.k. (zakłócanie pracy systemu komputerowego lub sieci teleinformatycznej). Również te przepisy obarczone są pewnymi mankamentami utrudniającymi ich zastosowanie w przypadku ataku na chmurę obliczeniową.

Przestępstwo stypizowane w art. 268 k.k. może być zrealizowane w kilku odmianach, które polegają na zniszczeniu (tj. całkowitym unicestwieniu), uszkodzeniu („zepsuciu”), usunięciu lub zmianie zapisu istotnej informacji, przy czym chodzi tu o ingerencję dotyczącą wszelkich urządzeń lub przedmiotów zawierających zapis informacjiCzynność sprawcza może polegać również na innym sposobie udaremnienia lub znacznego utrudnienia osobie uprawnionej zapoznania się z informacją. Zob. W. Wróbel, (w:) A. Zoll (red.), Kodeks karny. Część szczególna, t. II. Komentarz do artykułów 117–277 k.k., Warszawa: Lex a Wolters Kluwer business 2013, s. 1293. . Spektrum możliwych odmian czynności wykonawczej jest niezwykle szerokie i może obejmować np. zachowania polegające na wprowadzeniu szczególnych utrudnień dostępu do informacji przechowywanych na wirtualnym dysku poprzez szczególne obciążenie systemu komputerowego będące efektem jego zawirusowania lub też „wprowadzenia” do systemów trojana lub innych programów typu malware. Jednakże – jak słusznie zauważa się w literaturze przedmiotu – integralność zapisu informacji chroniona jest tylko wówczas, gdy następstwem nieuprawnionej ingerencji jest udaremnienie lub znaczne utrudnienie dysponentowi informacji lub innej osobie uprawnionej zapoznania się z informacją. Tym samym nie każde „zawirusowanie” systemu operacyjnego, jego rekonfiguracja, instalacja „tylnych drzwi” lub też wprowadzenie do systemu komputerowego „konia trojańskiego” narusza dyspozycję art. 268 § 2 k.k. lub § 3 tego przepisu, nawet gdy powoduje znaczną szkodę majątkowąA. Adamski, Cyberprzestępczość – aspekty prawne i kryminologiczne, St.Prawn. 2005, nr 4, s. 51. . Podobnie w przypadku modyfikacji programu komputerowego odpowiedzialnego za właściwe funkcjonowanie wirtualnej maszyny czy też innych funkcji związanych z przetwarzaniem danych w chmurze sprawcy będzie można postawić zarzut na podstawie art. 268 § 2 lub 3 k.k. jedynie wówczas, kiedy wpłynie to również na zakłócanie lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.

Podobnie zastosowanie art. 268a k.k., w przypadku ataków skierowanych na chmurę obliczeniową, może powodować pewne utrudnienia, ponieważ o popełnieniu tego przestępstwa decyduje „istotne zakłócanie” lub „uniemożliwianie” automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych, nie zaś sama nieupoważniona interakcja z jakimkolwiek urządzeniem służącym do przechowywania, przekazywania lub gromadzenia danych lub programów komputerowych. Również w przypadku tego przepisu jego mankamentem jest brak definicji ustawowej pojęcia „dane informatyczne”, która np. na wzór definicji zawartej w art. 1b Konwencji Rady Europy o cyberprzestępczości (ETS/STE No. 185) w sposób wyraźny wolą ustawodawcy nadałaby temu pojęciu szersze znaczenie, obejmujące również programy komputerowe.

Brak definicji ustawowej pojęcia „dane informatyczne”, czy też brak wyraźnego uznania za dobro chronione przez art. 269a k.k. również procesu przetwarzania i gromadzenia programów komputerowych, powoduje sytuację, w której chronione będą tylko niektóre zakłócenia pracy systemów komputerowych chmury obliczeniowej. Nie każdy przecież sabotaż komputerowy wiąże się z niszczeniem, uszkodzeniem, usunięciem czy zmianą danych informatycznychPor. też M. Siwicki, Cyberprzestępczość, s. 161.. Na przykład wirusy określane jako bakterie lub też króliki (ang. backtery, rabbits) to programy, które w zasadzie nie niszczą plików ani nie modyfikują danych tekstowych. Ich jedynym celem jest samo kopiowanie z wykorzystaniem mocy obliczeniowej procesora, prowadzące do jego przeciążenia.

Kolejny problem, który ujawnia się w kontekście chmury obliczeniowej, jest związany z właściwym określeniem miejsca popełnienia czynu zabronionego, które z punktu widzenia prawa karnego międzynarodowego ma istotne znaczenie zarówno ze względów materialnoprawnych, jak też procesowychPrzepisy rozdziału XIII dopuszczają uwzględnianie unormowań istniejących w obcych systemach prawnokarnych w trzech przypadkach, uregulowanych w art. 111 § 2, art. 114 § 2, art. 114 § 4 (dot. mocy prawnej orzeczeń zagranicznych). Stosowanie tych przepisów uwarunkowane jest ustaleniem faktu popełnienia przestępstwa za granicą.. Pozwala to bowiem z jednej strony udzielić odpowiedzi na pytanie, czy znajdzie zastosowanie polska ustawa karna, czy też obca, z drugiej zaś strony ustalić właściwość miejscową sądu uprawnionego do rozpoznania sprawy, zapobiegając ewentualnym sporom kompetencyjnym organów procesowych.

Polskie prawo karne w odniesieniu do miejsca popełnienia przestępstwa przyjmuje tak zwaną teorię wszędobylstwa (wielomiejscowości), według której przestępstwo może być popełnione w różnych miejscach. Miejsce popełnienia przestępstwa określone jest w art. 6 § 2 k.k., według którego przestępstwo uważa się za popełnione w miejscu:

  1. gdzie sprawca działał lub zaniechał działania, do którego był obowiązany;
  2. gdzie skutek przestępny nastąpił;
  3. gdzie według zamiaru sprawcy skutek miał nastąpić.

Przyjęcie zasady „wielomiejscowości” rozszerza znacznie polską jurysdykcję na podstawie zasady terytorialności. W myśl tej zasady wystarczy, by jeden z elementów przestępstwa dotknął terytorium danego państwa, aby mogło ono uznać, że cały czyn podlega jego jurysdykcji.

Wskazane powyżej przestępstwa komputerowe nie powinny budzić większych wątpliwości przy określeniu miejsca działania sprawcy. W szczególności polska ustawa będzie znajdowała zastosowanie w sytuacji, w której sprawca, działając z terytorium Polski, będzie manipulował systemem komputerowym znajdującym się w innym państwie czy też system ten atakował.

Dużo większe wątpliwości może powodować określenie miejsca skutku, jak również zamierzonego skutku. W przypadku ataków skierowanych na chmurę obliczeniową powstaje w szczególności pytanie, czy należy brać pod uwagę wszystkie miejsca, w których wystąpiły jakiekolwiek negatywne następstwa przestępstwa, oraz wszystkie miejsca rezultatów poszczególnych etapów działania sprawcy. Pojedyncze działanie sprawcy może bowiem wywołać skutek na terytorium kilku państw, w których znajduje się np.:

a) system informatyczny służący podniesieniu efektywności (przyśpieszeniu) poprzez czasowe i pośrednie zapisywanie informacji pochodzących z innych serwerów;

b) serwer, za pomocą którego sprawca przesyła dane (tzw. uploading) w celu ich zapisu na wirtualnym dysku;

c) serwer hostujący, na którym dochodzi do trwałego zapisu danych;

d) system informatyczny, za pomocą którego dochodzi do wykorzystania danych informatycznych (np. miejsce odbioru treści, pobrania plików itp.).

Na tym tle pojawia się przede wszystkim wątpliwość, czy zbyt szeroka interpretacja miejsca skutku nie narusza zasady nullum crimen, nulla poena sine lege, która na gruncie polskiego ustawodawstwa znajduje swe zakotwiczenie bezpośrednio w art. 42 pkt 1 Konstytucji RP oraz w art. 1 § 1 k.k. Z punktu widzenia wymogu przewidywalności czynu zabronionego dla zastosowania polskiej ustawy karnej konieczne jest istnienie normy prawnokarnej, która musi w rzeczywistości obowiązywać w miejscu popełnienia przestępstwa, a więc konstytuować odpowiedzialność od strony materialnej i procesowej. W rezultacie konflikty przy określeniu terytorialnego obowiązywania norm prawnokarnych przy przestępstwach o charakterze pozaterytorialnym wymagają zarówno uwzględnienia panującego porządku prawnego w miejscu popełnienia przestępstwa, jak i istnienia realnego związku z państwem stwierdzającym własną jurysdykcję, realizując w ten sposób treść moralną wyrażającą się w założeniu, by sprawca przestępstwa odpowiadał za nie tam, gdzie je w rzeczywistości popełniłZob. więcej M. Siwicki, Podstawy określenia jurysdykcji cyberprzestępstw w UE, EPS 2013, nr 9, s. 20–26, tam szersza literatura..

Powyższe uwagi skłaniają do wniosku, że o właściwości polskiej ustawy nie powinno decydować jedynie to, że w danym państwie znajdują się takie części infrastruktury technologicznej chmury obliczeniowej, które są odpowiedzialne jedynie za transmisję (przesyłanie) danych pomiędzy poszczególnymi serwerami, czy też odpowiedzialne jedynie za incydentalny zapis tych danych na nośniku komputerowym. Należy bardziej zwrócić uwagę, gdzie w rzeczywistości doszło do nastąpienia skutku, np. do zniszczenia lub zniekształcenia zapisu istotnej informacji (całości lub części) lub uszkodzenia systemu komputerowego lub programu umożliwiającego zapoznanie się z informacją (art. 268 k.k.). Wszystko to powoduje konieczność każdorazowej oceny, jakie narzędzia i środki techniczne odpowiedzialne za wykonywanie określonych zadań związanych z przetwarzaniem danych informatycznych oraz w jakim zakresie stały się przedmiotem ataku hackera. Warto przy tym zauważyć, że w wielu przypadkach, w czasie śledztwa i dochodzenia, określenie właściwości miejscowej wymagać będzie współpracy z dostawcą usługi, bez którego określenie miejsca ataku, jak również miejsca fizycznego zapisu danych nie będzie możliwe.

3. Aspekty procesowe

Regulacje dotyczące pozyskiwania dowodów elektronicznych znajdują się przede wszystkim w art. 218a, art. 236a i art. 241 k.p.k.Ustawa z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego, Dz.U. nr 89, poz. 555 z późn. zm., dalej: k.p.k. Jest oczywiste, że danych informatycznych nie należy traktować jako rzeczy w rozumieniu karnoprocesowym, ponieważ stanowią one odrębną kategorię niematerialnych źródeł dowodowychZob. więcej na temat natury danych informatycznych np.: A. Lach, Dowody elektroniczne w procesie karnym, Toruń: TNOiK 2004, s. 94 i wskazana tam literatura. . Przepisy rozdziału 25 („Zatrzymanie rzeczy. Przeszukanie”), zgodnie z art. 236a k.p.k., znajdują do nich jednak odpowiednie zastosowanie.

W przypadku pozyskiwania danych przetwarzanych w chmurze zastosowanie znajdzie, po pierwsze, art. 217 k.p.k. w zw. z art. 236a, który dopuszcza żądanie wydania danych przechowywanych na urządzeniu, w systemie lub na nośniku od dysponenta lub użytkownika tegoż urządzenia, nośnika lub systemu. Po drugie, możliwe będzie także przeszukanie urządzenia lub systemu informatycznego w celu znalezienia danych mogących stanowić dowód w sprawie (art. 236a w zw. z art. 219 k.p.k.). Jak słusznie zauważa się w literaturze przedmiotu, nie chodzi tu o przeszukanie w znaczeniu tradycyjnym, ale o penetrację (przy użyciu odpowiedniego oprogramowania) zawartych w urządzeniu lub systemie danych w celu znalezienia i zabezpieczenia ich dla procesuM. Rusinek, Tajemnica zawodowa i jej ochrona w polskim procesie karnym, Warszawa: Wolters Kluwer 2007, s. 211.. Po trzecie, możliwe jest także żądanie wydania korespondencji elektronicznej, w tym załączonych do niej plików, przesłanej w systemie elektronicznym, oraz wykazów połączeń teleinformatycznych (art. 236a w zw. z art. 218 k.p.k.)Zob. więcej A. Lach, Dowody, s. 103; M. Rusinek, Tajemnica, s. 212.. Odpowiednie stosowanie regulacji z art. 217–219 k.p.k. oznacza, że dane informatyczne, które będą pozyskiwane, muszą być w pierwszej kolejności zgromadzone, tzn. zapisane na odpowiednim nośniku lub też na urządzeniu, w systemie komputerowym, czy też na serwerze, nawet wówczas, gdy zapis taki miał charakter przejściowy, incydentalny.

Jedną z technik pozwalających analizować pakiety przesyłane przez sieć komputerową pod względem treści jest tzw. głęboka inspekcja pakietów (ang. Deep Packet Inspection). Umożliwia ona m.in. podsłuchiwanie treści wiadomości przesyłanych przez InternetZob. więcej http://pl.wikipedia.org/wiki/Deep_Packet_Inspection. Na tym tle pojawia się pytanie, czy na gruncie polskiego ustawodawstwa możliwe będzie wykorzystanie tej techniki podsłuchu. W myśl art. 241 k.p.k. przepisy rozdziału 26 („Kontrola i utrwalanie rozmów”) stosuje się odpowiednio do kontroli oraz do utrwalania przy użyciu środków technicznych treści innych rozmów lub przekazów informacji, w tym korespondencji przesyłanej  pocztą elektronicznąPodmiotem uprawnionym do zarządzenia podsłuchu komputerowego w myśl art. 237 § 1 k.p.k. w związku z art. 241 k.p.k. jest wyłącznie sąd na wniosek prokuratora. W wypadkach niecierpiących zwłoki kontrolę i utrwalanie treści rozmów telefonicznych może zarządzić prokurator, który jest obowiązany zwrócić się w terminie 3 dni do sądu z wnioskiem o zatwierdzenie postanowienia (art. 237 § 2 k.p.k.). Jak zauważa P. Kosmaty, „przepis art. 241 k.p.k. daje pełne podstawy do stosowania podsłuchu, także poza siecią telekomunikacyjną. Mówi on bowiem o kontroli i utrwalaniu przy użyciu środków technicznych treści innych rozmów niż telefoniczne. Chodzi zatem o takie, które są prowadzone zarówno za pośrednictwem sieci telekomunikacyjnej, jak i poza nią”. Zob. tenże, Podsłuch komputerowy. Zarys problematyki, „Prokurator” 2008, nr 4, s. 35; zob. też tenże, Podsłuch procesowy – zamierająca instytucja walki z przestępczością, „Prokurator” 2009, nr 2, s. 9 i n.. Tym samym zastosowanie tego rodzaju podsłuchu wydaje się dopuszczalne. Warto jednak zauważyć, że ustawa ogranicza pod względem przedmiotowym stosowanie podsłuchu do enumeratywnie wyliczonych w § 3 art. 237 k.p.k. najcięższych przestępstw. Takie przedmiotowe ograniczenie podsłuchu komputerowego powoduje sytuację, w której jego zastosowanie będzie wyłączone w stosunku do najczęstszych cyberprzestępstwZob. statystyki, np. M. Siwicki, Cyberprzestępczość, s. 47–77.. Obecnie zakresem zastosowania kontroli i utrwalania treści rozmów objęte będą mogły być jedynie sprawy o szpiegostwo lub ujawnienie informacji niejawnych o klauzuli tajności „tajne” lub „ściśle tajne”, przechowywanych w chmurze obliczeniowej.

Wskazane powyżej przepisy dają możliwość przechwytywania danych informatycznych w chmurze obliczeniowej niezależnie od tego, czy znajdują się one w jednym, czy też kilku miejscach, o ile dane są zapisywane lub przesyłane na terytorium RPW tym miejscu warto także zwrócić uwagę na art. 19 ust. 2 Konwencji RE o cyberprzestępczości (Przeszukanie i zajęcie przechowywanych danych informatycznych). . Pomimo że wskazane ograniczenie terytorialne możliwości pozyskiwania danych informatycznych nie wynika wprost z odpowiednich regulacji normatywnych, ograniczenie takie wyprowadzić jednak należy z zasady poszanowania suwerenności, nienaruszalności granic i integralności terytorialnej państw.

Wszystko to powoduje, że nie tylko lokalizacja oraz ujęcie przestępcy, ale przede wszystkim zgromadzenie dowodów umożliwiających pociągnięcie go do odpowiedzialności oraz stwierdzenie, czy będzie on podlegał pod ustawę karną danego państwa, to realne problemy, z jakimi konfrontowane będą coraz częściej organy ścigania i karania. Wskazane trudności pogarsza dodatkowo niejednolity reżim ochrony prawnej przyznawany poszczególnym dobrom prawnym w poszczególnych państwach, w których zlokalizowana może być infrastruktura techniczna chmuryPor. więcej na temat standardów karalności cyberprzestępstw w ujęciu międzynarodowym np. M. Siwicki, Cyberprzestępczość, s. 86–174.. Może to bowiem przyczyniać się do powstania wielu praktycznych problemów związanych z możliwością pociągnięcia do odpowiedzialności karnej osób uważanych za przestępców w części państw o bardziej restrykcyjnych regulacjach normatywnych, z drugiej zaś strony chronionych przez inne państwa, z racji przyznania im w tych państwach większej ochrony. Warto przy tym zauważyć, że dostęp do danych informatycznych jest także często znacznie utrudniony ze względu na stosowanie różnego rodzaju technik zabezpieczenia informacji przed nieuprawnionym dostępem do nichZob. też M. Grecke, Strafrechtliche, s. 346. .

Naturalną odpowiedzią na prezentowane zjawisko powinno być zatem zarówno umiędzynarodowienie jego kontroliObecnie jedynym aktem prawa międzynarodowego karnego dotyczącym współpracy międzynarodowej w zakresie ścigania cyberprzestępstw jest wspomniana Konwencja RE o cyberprzestępczości. Również na poziomie Unii Europejskiej podjęto liczne próby opracowania strategii wobec cyberprzestępczości. Zob. więcej M. Siwicki, Cyberprzestępczość, s. 21–47., jak i podjęcie współpracy z organami ścigania z innych państwPotrzebę takiej międzynarodowej współpracy wskazuje się także w niemieckiej literaturze przedmiotu. Zob. więcej M. Grecke, Strafrechtliche, s. 348 i tam wskazana literatura. . Prowadzenie czynności śledczych na terytorium innego państwa może odbywać się w drodze pomocy prawnej w trybie określonym w rozdziale 62 k.p.k. („Pomoc prawna i doręczenia w sprawach karnych”). Postępowanie w takim trybie wymaga jednak spełnienia wielu formalności i postępowania zgodnie z określonymi procedurami.

Próbę rozwiązania problemów ujawniających się na tym obszarze podjęto m.in. w podpisanej w dniu 23 listopada 2001 r. w Bukareszcie pod auspicjami Rady Europy Konwencji o cyberprzestępczości, która jest obecnie uznawana na szczeblu międzynarodowym za najbardziej kompletny zbiór norm międzynarodowych w zakresie ścigania cyberprzestępstw. W tym dokumencie, w rozdziale III Konwencji („Współpraca międzynarodowa”), wskazano liczne instrumenty międzynarodowe, które powinny znaleźć zastosowanie w ramach współpracy w sprawach karnych. Zwrócono także uwagę na potrzebę wyznaczenia punktów kontaktowych dostępnych 24 godziny na dobę przez 7 dni w tygodniu w celu zapewnienia natychmiastowej pomocy w prowadzeniu czynności śledczych lub postępowań odnoszących się do przestępstw związanych z systemami i danymi informatycznymi lub dla zbierania dowodów w postaci elektronicznej dotyczących przestępstw (art. 35). Należy przy tym zauważyć, że zastosowanie w praktyce wskazanych instrumentów prawnych jest znacznie ograniczone ze względu na zauważalny powolny proces ratyfikacji Konwencji REZob. więcej M. Siwicki, Cyberprzestępczość, s. 35–36..

W Unii Europejskiej, będącej „przestrzenią wolności, bezpieczeństwa i sprawiedliwości bez granic wewnętrznych” [art. 3 ust. 2 Traktatu o Unii Europejskiej (TUE), art. 67 Traktatu o funkcjonowaniu Unii EuropejskiejDz. Urz. UE C 83/47 z 30 marca 2010 r.], istnieje wiele instrumentów prawnych ułatwiających współpracę z organami ścigania z innych państw. Do tych najważniejszych na analizowanym obszarze zaliczyć należy ułatwienia w zakresie pomocy prawnej (art. 10 Konwencji ustanowionej przez Radę zgodnie z art. 34 Traktatu o Unii Europejskiej o pomocy prawnej w sprawach karnych pomiędzy państwami członkowskimi Unii EuropejskiejDz. Urz. UE C 197/3 z 12 lipca 2000 r.), wzajemne dopuszczanie dowodów, przesłuchanie świadków oraz biegłych w formie konferencji telefonicznej (art. 11 Konwencji), ułatwienia w pozyskiwaniu, zamrażaniu i przekazywaniu dowodów (np. art. 18 i n. Konwencji dotyczące przechwytywania przekazów telekomunikacyjnych) oraz możliwość prowadzenia eksterytorialnych śledztw [np. możliwość powołania wspólnych zespołów śledczych (art. 13 Konwencji) oraz prowadzenia operacji pod przykryciem (art. 14 Konwencji)]. System ten dysponuje przy tym wieloma strukturami czynnie zwalczającymi tego rodzaju przestępczość, opartymi głównie na sprawnie funkcjonującej współpracy pomiędzy adekwatnymi strukturami międzynarodowymi i poszczególnymi krajamiZob. więcej M. Siwicki, Podstawy, s. 20–26.. Z tego też względu – jak zauważa M. Grecke – współpraca w zakresie pomocy prawnej wśród państw członkowskich UE w ostatnich latach uległa znaczącej poprawie i umożliwia aktywne przeciwdziałanie atakom hackerów. Znacznie gorzej wygląda jednak pomiędzy państwami spoza tego regionu, gdzie taka współpraca należy do rzadkościM. Grecke, Strafrechtliche, s. 347..

Podsumowanie

Ze względu na to, że w przypadku chmur obliczeniowych, wirtualnych maszyn i dysków kwestia przesyłu i miejsca zapisu danych  stanowi jedynie zagadnienie o charakterze technologicznym, zasadne wydaje się stwierdzenie, że określenie właściwości miejscowej w sprawach karnych nie powinno opierać się jedynie na bezwzględnym dążeniu do realizacji funkcji represyjno-prewencyjnej poprzez wykraczanie poza granice państwowe w sytuacji wystąpienia choćby najmniejszej części elementów stanu faktycznego przestępstwa na terytorium państwa, ale powinno przede wszystkim uwzględniać szczególny związek między zachowaniem sprawcy a terytorium danego państwa. Wskazanie takiego powiązania pomiędzy czynem sprawcy a terytorium, na którym działał lub zaniechał działania albo gdzie skutek stanowiący znamię czynu zabronionego nastąpił lub według zamiaru sprawcy miał nastąpić, może okazać się jednak dalece problematyczne, głównie ze względu na konieczność zwrócenia uwagi na mechanizm działania systemów informatycznych, w sposób uwzględniający nie tylko przyjęty w tych wypadkach modus operandi sprawców, ale także specyfikę poszczególnych rodzajów usług świadczonych w chmurze.

Wzrost zainteresowania chmurami obliczeniowymi postawił przed organami ścigania i karania wiele nowych problemów prawnych. Obecnie najpoważniejszym z nich wydaje się międzynarodowy charakter chmury obliczeniowej, który utrudnia w znaczący sposób prowadzenie śledztwa i pozyskiwanie dowodów elektronicznych. Należy przeto wyrazić nadzieję, że wzrost zainteresowania tym modelem przetwarzania danych zapoczątkuje dyskusję na temat potrzeby podjęcia międzynarodowej współpracy, wykraczającej także poza państwa UE.

Zaloguj się/utwórz konto, aby zdobyć punkty szkoleniowe
0%

In English

Data processing in the cloud computing. Selected aspects of criminal and procedure law

This study has been devoted to selected aspects of criminal and procedure law related to the data processing in the cloud computing.

The increased interest in cloud computing set before law enforcement and prosecution a number of new legal problems. Currently, the most serious of them seems to be the international nature of the cloud, which significantly impedes investigating and obtaining electronic evidence. Equally important problems resulting in a lack of harmonization of criminal and procedural law in the field of cybercrime. This causes many difficulties, a specially to imprison the perpetrator due to the different standards of criminalization in individual countries in which the perpetrator acted.

This study was divided into three parts devoted to technical aspects, criminal-law and procedure aspects relating to the processing of information in the cloud.

Tags

cloud computing data processing criminal law
Przejdź do Palestra 1-2/2015

Informacja o plikach cookies

W ramach Strony stosujemy pliki cookies. Korzystanie ze Strony bez zmiany ustawień dotyczących cookies oznacza zgodę na ich zapis lub wykorzystanie. Możecie Państwo dokonać zmiany ustawień dotyczących cookies w przeglądarce internetowej w każdym czasie. Więcej szczegółów w "Polityce Prywatności".