X
„Oswoić cyberświat” E. Lucas’a – książka o bezsilności w obliczu cyfrowych zagrożeń
Prawo, Technologie

„Oswoić cyberświat” E. Lucas’a – książka o bezsilności w obliczu cyfrowych zagrożeń

5 października 2017 0

Czytający te słowa używają do tego jakiegoś sprzętu elektronicznego, nie wszyscy jednak uświadamiają sobie jak bardzo jest ono niebezpieczne – niezależnie od tego czy jest to komputer, tablet czy telefon. Siadając za kierownicą samochodu zdajemy sobie sprawę z tego do czego może doprowadzić nasz błąd, jednak jak pisze Lucas, „mimo, że komputery mogą być bardziej niebezpieczne [niż samochody i samoloty], wciąż nie nauczyliśmy się ich obsługiwać tak dobrze, jak nasze pojazdy”.

Omawiana książka poświęcona jest bezpieczeństwu w sieci  i skierowana jest dla laika – typowego użytkownika sieci. Oryginalny tytuł mówi o cyberfobii, polski zaś zawiera frazę „oswoić cyberświat”. Pokazuje to kierunek w jakim zmierza autor – książka uświadomić mu zagrożenia i przygotować się na nie – co jak się później okazuje, nie zawsze jest możliwe. Poprzez kolejne poruszane problemy towarzyszymy małżeństwu, są to Pin i Chip Hakhett. Oboje przedstawiciele klasy średniej niespecjalnie zainteresowani z tym co w kwestii bezpieczeństwa dzieje się po uruchomieniu komputera, co jednak może doprowadzić do poważnych konsekwencji. Sam autor pisze, że „książka opowiada o tym, w jaki sposób możemy kontrolować nasze zachowanie w sieci – jako osoby indywidualne, organizacje i społeczeństwo – i radzić sobie z zagrożeniami, jakie napotykamy w świecie online”

 

Z punktu widzenia docelowego adresata książki jej lektura może być przerażająca, okazuje się bowiem, że zagrożenia są wszędzie. Wprawdzie wytrawny specjalista do spraw bezpieczeństwa w sieci zdaje sobie sprawę z tego, jednak nie nie do niego jest ona skierowana. Jeżeli ktoś myśli, że warunkiem bezpieczeństwa w sieci jest mocne hasło to uświadomi sobie, że tak naprawdę jest bezbronny w obliczu zagrożeń czyhających na niego z każdej strony. Zagrożeniem są nie tylko wykradzione od nas hasła, ale także cała masa innych rzeczy. Możemy stać się częścią botnetu – nawet nie zdając sobie z tego sprawę; nasz router może wykorzystywany przeciwko nam – gdyż często jego oprogramowanie ma luki, a mało kto je uaktualnia; dany od znajomego pendrive może pozwolić przejąć kontrolę nad naszym komputerem. Także nieodpowiedzialne zachowanie w sieci może nas kosztować sporo problemów – przy czym nie chodzi o ściąganie plików z podejrzanych stron, ale także o takie „niewinne rzeczy” jak kliknięcie na obrazek czy link, który znajduje się w mailu od naszego przyjaciela. Nawet szyfrowane strony z kłódką także mogą nie dawać wystarczających gwarancji bezpieczeństwa – autor opisuje wątpliwości co rzetelności niektórych firm, które zajmują się dostarczaniem certyfikatów bezpieczeństwa. To tylko niektóre zagrożenia opisane w książce – jest w niej dużo więcej. Po jej lekturze można dojść do wniosku, że jesteśmy praktycznie bezbronni wobec potencjalnych atakujących:

 

 „Złoczyńcy mogą zrobić rozeznanie swoich celów. Ofiary natomiast nie wiedzą, czego konkretnie powinny bronić, przez co trudno im zrozumieć motyw ataku oraz sposób jego wykonania. Często nie zdają sobie nawet sprawy z tego, że są atakowane.”

 

Nie będę poruszał tutaj szczegółowo kwestii wymienianych zagrożeń, chciałby za to zwrócić uwagę na dwa wątki podejmowane niejako przy okazji – o bezpieczeństwie oraz o wątkach karnych.

 

Bezpieczeństwo offlineonline

 

Bezpieczeństwo jest tą w wartością, w imię której potrafimy zrezygnować z części innych wartości. Można o tym przekonać się na lotniskach gdzie godzimy się na drobiazgowe przeszukania jako czynności, które mają nam zapewnić bezpieczeństwo. Gdy polityk mówi, że wprowadzane ustawy są po to by zapewnić bezpieczeństwo to praktycznie zamyka to możliwości krytyki ze strony oponentów – niezależnie jakie bzdury w tej ustawie się znajdują. Nikt bowiem nie odważy się powiedzieć, że  nie chce żyć bezpiecznie. Myślenie o bezpieczeństwie towarzyszy nam także na co dzień – będąc offline uważamy z jakimi ludźmi rozmawiamy, omijamy dzielnice ze złą sławą, nie wchodzimy do podejrzanych budynków, dbamy o kontrolę samochodów, zamykamy go po wyjściu i dbamy o to, żeby nikt niepożądany nie wszedł do naszego domu. Będąc jednak w Internecie „wszystko czego nauczyliśmy się w rzeczywistym świcie traci znaczenie”. Wartość więc, która jest dla nas bardzo ważna w zakresie deklaracji jak i towarzyszy nam jako drogowskaz przy podejmowaniu dziesiątek codziennych decyzji, po przekroczeniu bezpiecznego progu własnego domu i włączeniu komputera nagle przestaje mieć takie znaczenie. A prawda jest taka, że o wiele więcej realnych zagrożeń czeka nas właśnie w sieci a nie na ulicy. Jak pisze autor:

 

„Kradzież torebki nie pozwoli tak łatwo podszyć się pod właścicielki, jednak już kradzież jej tożsamości sprawi, że stanie się to łatwe.”

 

Kontynuując kwestię skutków kradzieży tożsamości elektronicznej pisze:

 

„Ryzyko, że zostanie nam ukradziona, stanowi więc o wiele większe zagrożenie niż ryzyko utraty jakichkolwiek fizycznych zabezpieczeń – złodziej może bowiem zyskać szybki dostęp do wielu sfer naszego życia jednocześnie. Także konsekwencje mogą być poważniejsze. Łatwo można skopiować jakieś dane i uczynić je stale dostępnymi. Gdy raz zostaną udostępnione, może powstać nieskończenie wiele ich kopii. Wykorzystane w złej wierze dane mogą stanowić dla nas zagrożenie. Ktoś może za ich pomocą próbować się pod nas podszyć”.

 

 

Nie można więc mówić, że waga zagrożeń w świecie online są mniejszego kalibru od zagrożeń offline. Co więcej, pewnie te pierwsze są bardziej prawdopodobne niż te, które zaprzątają głowę przeciętnego człowieka. Wejście do złej dzielnicy po północy wymaga jakiegoś zbiegu okoliczności, który sprawi, że tam się znajdziemy. Od poważnego zagrożenia online dzieli nas zaledwie kilka kliknięć.

 

Zachowanie w kompletnego bezpieczeństwa nie jest jednak w pełni możliwe. Lucas źródeł tego stanu rzeczy upatruje w początkach Internetu i komputerów:

 

„Nasze współczesne życie w znacznym stopniu polega na wymienianiu między sobą – w zaufaniu – danych. Jednak komputery, sieci i systemy, które do tego służą, nie były projektowane z myślą o bezpieczeństwie i niezawodności”.

 

Bezpieczeństwo nie było priorytetem w początkach Internetu, a jak już przenieśliśmy do niego znaczną część swojego życia było już za późno na jego gruntowną przebudowę. Negatywne konsekwencje tego początkowego podejścia będą dawały o sobie znać jeszcze przez długie lata.

 

Odpowiedzialność karna

 

Autor też porusza tematy związanych z odpowiedzialnością karną.  Do kilku chciałbym się odnieść.

 

Wirus komputerowy jak ebola

 

Wskazano wcześniej, że szkody związane z aktywnością online mogą być równie pokaźne do tych jakie mogą się zdarzyć się poza siecią. Na rozmiar niektórych wpływa także nieodpowiedzialne zachowanie ludzi zainfekowanych złośliwym oprogramowaniem, czasami odpowiednio wczesna reakcja pozwoliłaby na ograniczenie szkód. Lucas wskazuje, że skoro uznajemy za uzasadnione poinformowanie i zgłoszenie się do lekarza w przypadku podejrzenia wykrycia choroby zakaźnej dlaczego tego samego toku myślenia nie przenieść na świat komputerów? Pisze: „Odkrycie złośliwego wirusa w Waszym systemie oznaczałoby, że musicie to zgłosić – tak samo, jak zgłosilibyście groźną chorobę zakaźną. Co gdybyście tego nie zrobili? Ofiary wirusa rozprzestrzeniającego się za pomocą Waszego sprzętu mogłyby dochodzić od was odszkodowania”.

 

W Polskim systemie karnym jest taki przepis jak art. 165:

 

Art. 165. § 1. Kto sprowadza niebezpieczeństwo dla życia lub zdrowia wielu osób albo dla mienia w wielkich rozmiarach: 1) powodując zagrożenie epidemiologiczne lub szerzenie się choroby zakaźnej albo zarazy zwierzęcej lub roślinnej, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

 

Na podstawie tego przepisu osoba, która wpływa na rozprzestrzenianie się zagrożenia epidemiologicznego może iść do więzienia nawet na 8 lat.

 

W tym samym przepisie jest punkt 4, który jest zagrożony taką samą karą:

 

„Kto sprowadza niebezpieczeństwo dla życia lub zdrowia wielu osób albo dla mienia w wielkich rozmiarach zakłócając, uniemożliwiając lub w inny sposób wpływając na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych…”

 

Jak widać polski ustawodawca podziela po części racje Lucasa uznając, że zagrożenie epidemiologiczne może odpowiadać – przynajmniej abstrakcyjnie – niebezpieczeństwu związanemu z awariami systemu informatycznego.

 

Problem z tym pomysłem jest jednak na innej płaszczyźnie. Odpowiedzialność za te przestępstwa jest tylko wtedy gdy popełnia się je umyślnie. Osoba, którą chcemy skazać za to przestępstwo musi mieć świadomość tego, że jego działania lub zaniechania mogą doprowadzić wskazanych skutków na drodze rozszerzania się epidemii czy awarii systemów. Ponadto musi się co najmniej godzić na takie skutki. W praktyce oznaczałoby to, że osoba, która nie zgłosiła informacji o posiadaniu zainfekowanego komputera musiałaby mieć świadomość, że z tego powodu może nastąpić jakaś wielka awaria, która doprowadzi do wielkich strat. Jest więc wątpliwe, że udałoby się komuś wykazać – właśnie ze względu na niemożliwość udowodnienia umyślności typowemu użytkownikowi Internetu. Brak bowiem takiego uśrednionego stanu wiedzy dotyczącej bezpieczeństwa w sieci aby móc penalizować niewiedzę za pomocą prawa karnego. To co wydaje się naturalne w zakresie bezpieczeństwa na drodze – wiemy jakie zachowania mogą wpłynąć negatywnie na bezpieczeństwo na drodze – nie jest tak oczywiste w zakresie sposobów zachowania się w sieci. Ten stan może się jednak z czasem zmienić – i kto wie – może w przyszłości wraz ze wzrostem świadomości bezpieczeństwa w sieci takie przepisy pojawią się kodeksach karnych, np. powstanie rozdział „Przestępstwa przeciwko bezpieczeństwu w sieci Internet”, stanowiący niejako połączenie rozdziału związanego z bezpieczeństwem w komunikacji i rozdziałem zawierającym przestępstwa przeciwko ochronie informacji.

 

Wykroczenie za używanie starego komputera

 

Innym ciekawym pomysłem jest wprowadzenie odpowiedzialności karnej za używanie niebezpiecznego sprzętu:

 

„Skoro można dostać mandat za jazdę samochodem z łysymi oponami lub bez ważnego przeglądu to dlaczego przy używaniu sprzętu, który zagraża innym miałoby być inaczej?”

 

Lucas kontynuując analogię do bezpieczeństwa na drodze chciałby, aby osoby, które używają niebezpiecznego sprzętu były traktowane tak jak kierowcy jeżdżący niesprawnym samochodem. Z wprowadzeniem takiego przepisu z pewnością ucieszyli by się producenci sprzętu, byłby jednak problemy logistyczne z jego egzekwowaniem. Po pierwsze musiałby być prowadzony jakiś rejestr niebezpiecznych modeli – obywatel musiałby mieć możliwość sprawdzenia, że właśnie jego sprzęt staje się zagrożeniem dla bezpieczeństwa w Internecie – przy łysych oponach da się to sprawdzić nawet tylko na nie patrząc, przy sprzęcie nie byłoby to takie łatwiej. Inną kwestią jest to, że kwestia ewentualnego posiadania samochodu niespełniającego wymagań bezpieczeństwa sprawdzana jest de facto dopiero na drogach – siatka połączeń jest znana i wzdłuż dróg umiejscowieni są różne służby, które mogą sprawdzać stan techniczny danego pojazdu. Z kontrolą sprzętu byłoby inaczej – albo służby pukałyby od domu do domu sprawdzając bezpieczeństwo posiadanych egzemplarzy, albo rząd robiłby to zdalnie. Można sobie wyobrazić też mniej inwazyjne rozwiązania – dostawca sieci – bo to o bezpieczeństwo w sieci chodzi – mógłby mieć nałożony obowiązek automatycznego sprawdzania, czy sprzęt, który próbuje połączyć się z siecią jest bezpieczny, a jeżeli nie – to następowałaby odmowa dostępu. Wszystkie z wymienionych opcji budzić mogą jednak obawy co do tego czy nie jest to zbytnia ingerencja państwa w prywatność obywateli.

 

Powstaje także pytanie czy statystycznie znacząca jest korelacja pomiędzy używaniem starego sprzętu a powstawaniem niebezpiecznych zdarzeń w sieci. O ile przy oponach jest to zrozumiałe – można wpaść w poślizg a także droga hamowania się wydłuża, to niezrozumiałe może być postawienie znaku równości z używaniem starego komputera. Autor nie podał przekonujących statystyk, które pozwalałyby uznać, że wprowadzenie takiego przepisu byłoby konieczne.

 

Złe programowanie jako zbrodnia

 

Jeszcze dalej idącą propozycją popieraną przez Lucasa jest idea Paula Venezia o tym, aby wprowadzić odpowiedzialność karną jak za zbrodnię dla programistów za źle napisany kod. Artykuł, w którym jest to opisane nosi tytuł: „It’s time to make poor coding a felony” i został opublikowany w portalu InfoWorld 11 lipca 2011 r.  Już sam Lucas dodaje, że „odpowiedzialność karna może okazać się najlepszą odpowiedzią na całkowity brak rozsądku”.

 

W polskim kontekście można powiedzieć, że już obecnie po części istnieje odpowiedzialność karna programisty. W zasadzie większość przestępstw, które są skutkowe (np. spowodowanie śmierci) może być wykonana w dowolny sposób – także za pomocą źle napisanego kodu. Należy jednak wykazać powiązanie skutkowe pomiędzy działaniem lub zaniechaniem potencjalnego sprawcy a powstałym skutkiem. Problem jest jednak taki, że takie powiązanie musi być rozpoznawalne w chwili pisania kodu. Oznacza to, że gdy programista pisze oprogramowanie dla sprzętu medycznego i chce sobie ułatwić zadanie celowo lekceważy pewne procedury, na skutek czego następuje błędu programu i błąd obsługiwanego sprzętu, a to doprowadzi do śmierci pacjenta, to takiego programistę można pociągnąć do odpowiedzialności karnej za nieumyślne spowodowanie śmierci. W praktyce jednak jest to mało prawdopodobne. Konieczne bowiem byłoby wykazanie, że to ten konkretny błąd to spowodował i ten konkretny programista i ten konkretny programista jest za to odpowiedzialny i to on w chwili pisania tego miał świadomość tego (lub mógł mieć świadomość), że do takich skutków może dojść – wszystko rozmywa się jeżeli nad tym programem pracuje więcej osób, to wszystko jeszcze jest później sprawdzane przez kolejne osoby itp.

 

Wprawdzie niedbalstwo programistów powinno być minimalizowane, a proste błędy mogą pociągać za sobą znamienne w skutkach konsekwencje, to jednak mimo tego bardzo ciężko byłoby kogoś konkretnego wskazać i wytypować do ponoszenia odpowiedzialności karnej, a już szczególnie, gdyby miało to przybrać formy zbrodni. Sami programiści muszą być świadomi tego jak wiele od nich zależy i pracować nad swoimi zadaniami ze świadomością możliwości negatywnych skutków swojej pracy. Ciężko jest jednak zaprzęgnąć do kontroli programistów prawo karne z całym jego zestawem nieprzekraczalnych zasad, które musiałby zostać złamane do tego aby móc skazywać programistów za skutki swojej niedbałej pracy. W praktyce więc pomimo spektakularności konsekwencji błędów programistów ciężko jest wymyślić chociażby teoretycznie jakiś przepis, który mógłby takie zachowania penalizować. Takie osoby są więc praktycznie bezkarne, nawet jeżeli na skutek ich błędu ktoś straci życie. Jako przykład można podać wyciek danych z serwisu dla zdradzających Ashley Madison, przez brak odpowiednio zabezpieczonej bazy danych wyciekły dane osób mających tam konta, skutkiem czego cześć z użytkowników popełniła samobójstwo. O ile można moralnie połączyć jakoś śmierć tych osób z pracą osób odpowiedzialnych za bezpieczeństwo danych tego serwisu, to z punktu widzenia prawa karnego jest to niemożliwe.

 

Podsumowanie

 

Decydując się na ocenę tę książki chciałbym ją polecić wszystkim tym, którzy spędzają dużo czasu na korzystaniu ze sprzętu elektronicznego (czyli prawie wszystkim). Dobrze jest widzieć jakie ryzyko aktualizuje się po włączeniu naszego sprzętu. Niestety lektura ta nie sprawi, że poczujemy się bezpieczniejsi – wręcz przeciwnie. Okaże się, że w obliczu wielu zagrożeń jesteśmy bezsilni. Zawiera jednak pewne wskazówki, które pozwolą nam uniknąć niepotrzebnych błędów – a to może nas uchronić przed poważnymi konsekwencjami.

 


 

Wszystkie cytaty pochodzą z książki „Oswoić cyberświat. Tożsamość, zaufanie i bezpieczeństwo w sieci”, która została napisana przez brytyjskiego dziennikarza Edwarda Lucasa związanego z „The Economist” oraz wiceszefa ośrodka analitycznego Center for European Policy Analysis (CEPA). Polska wersja została wydana przez Kurhaus Publishing w tłumaczeniu Czesława Piaska w 2017 r.