| Żywy Koń Trojański |
| 14 Kwietnia 2007 |
 Silny firewall i blokady dla wszystkich usług po za www i pocztą e-mail, najnowsze definicje wirusów, wszelkie możliwe aktualizacje oprogramowania, sieć bezprzewodowa zabezpieczona najlepiej jak to można zrobić i tak nie gwarantują bezpieczeństwa. Największym zagrożeniem dla danych firmy są jej... pracownicy. To oni mają dostęp do drogocennych danych i informacji przechowywanych na dyskach twardych, to oni przy użyciu pendriva mogą skopiować kilka plików wartych tysiące złotych i po prostu wynieść je z firmy. Czasem nawet nic nie muszą kopiować – wszystko co potrzebują mają albo w służbowym laptopie, albo... wyniosą całe dyski. Taka sytuacja przydarzyła się jednemu z polskich portali internetowych. Niedawno głośno było o ponad 300 laptopach, które "zgubiło" FBI, a na ich dyskach znajdowały się dane dotyczące m.in. osób objętych programem ochrony świadków. Głośno też było o komputerach Amerykańskiej Agencji Energii Atomowej, które "wyparowały" wraz z poufnymi informacjami. Kilka dni temu warszawska policja otrzymała zawiadomienie o popełnieniu przestępstwa, z siedziby jednego z portali internetowych „wyparowało” ok. 30 dysków twardych, a jeden z pracowników firmy otrzymał telefon od mężczyzny, który rzekomo zakupił nośnik zawierający dane klientów na aukcji internetowej. Mężczyzna ten za nie powiadamianie mediów i zwrot dysku żądał sporej sumy pieniężnej. Dzięki szybkiemu działaniu policji udało się zatrzymać zarówno mężczyznę, który dzwonił jak i pracownika firmy, który przyznał się do kradzieży. W dalszym toku śledztwa policja zatrzymała jeszcze kilka osób z Warszawy i woj. Śląskiego, podejrzanych o kradzież dysków lub ich paserstwo, w tym mężczyznę, który dyski sprzedawał przez internet. Obecnie dyski badają biegli aby ustalić czy znalazły się na nich informacje poufne. Godne pochwały jest tutaj stanowisko Policji, która jak widać nie bagatelizuje przestępstw komputerowych. Nie tylko odzyskano przedmioty o znacznej wartości (wg. moich obliczeń wartość dysków to co najmniej 10 000zł), ale także prawdopodobnie zapobiegnięto wpadnięciu w nie powołane ręce jeszcze cenniejszych danych. Bo o tym jak cenne informacje przechowywane są w komputerowej pamięci chyba nikogo nie trzeba przekonywać. Ciekawa jest sama klasyfikacja czynu wg. polskiego prawa, de facto w podobnych przypadkach oskarżonym oprócz kradzieży i paserstwa, można co najwyżej (i to jedynie w określonych przypadkach) zarzucić jedynie usiłowanie wymuszenia rozbójniczego lub oszustwa. Nawet jeżeli czyjąś intencją było uzyskanie poufnych danych znajdujących się na dyskach, a te nie były np. zaszyfrowane, to i tak w tym zakresie pozostaje on bezkarny. Polskie prawo nie chroni bowiem informacji w taki sposób w jaki powinno. Logika nakazywała by dla takiego przypadku (kradzież nośnika w celu pozyskania zapisanej tam informacji), zastosować przepisy właściwe dla hackingu i nielegalnego pozyskania informacji. Jednakże kodeksowa definicja tego czynu, zawarta w art. 267 §1 kk wymaga przełamania zabezpieczeń, np. złamania hasła metodą bruteforce. Jeżeli więc pracownik znał hasło, którym zabezpieczony był dysk, bądź takiego hasła nie było w ogóle, to nie doszło do popełnienia przestępstwa. Nie chroni więc informacji nie zabezpieczonej, co jest swoistym absurdem. To tak jak gdyby właścicielowi nie samochodu nie przysługiwała prawna ochrona w wypadku kradzieży pojazdu, jeżeli ten nie miał np. zamkniętych drzwi. Co ciekawe sytuacja, z którą mamy do czynienia w art. 267 §1kk z 1997 roku, nie miała miejsca pod rządami Kodeksu Karnego z 1932 roku, kiedy to ochronie podlegała każda informacja. Mamy więc do czynienia ze swoistym regresem prawa karnego, a jeżeli chodzi o ochronę informacji to powinno być dokładnie odwrotnie, prawo poszerzyć zakres gwarancji, a nie znacząco go zwęzić. Art. 267 § 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Linki: Informacja na stronie Komendy Stołecznej Policji |
Powiązane: |
|---|