Zasady ustalania jurysdykcji w przypadku usług chmurowych są szczególnie złożone ze względu na globalny charakter chmury i przechowywanie danych na serwerach znajdujących się w różnych lokalizacjach. Oto kluczowe aspekty i zasady:
Lokalizacja fizyczna danych
Jednym z podstawowych kryteriów jurysdykcji jest lokalizacja serwerów, na których przechowywane są dane. Chociaż użytkownik może znajdować się w jednym kraju, jego dane mogą być przechowywane w kilku różnych państwach, co generuje pytania o właściwość prawa.
Jurysdykcja dostawcy chmurowego
Jurysdykcja kraju, w którym zarejestrowany jest dostawca usług chmurowych (np. Amazon Web Services, Google Cloud, Microsoft Azure), często ma wpływ na zasady przetwarzania i ochrony danych. Przykład:
Firma z siedzibą w Stanach Zjednoczonych może być zobowiązana do udostępnienia danych na podstawie amerykańskiego Cloud Act, nawet jeśli dane są przechowywane w innym kraju.
Prawo właściwe wynikające z umowy
W umowach na świadczenie usług chmurowych (SLA – Service Level Agreement) zwykle określane jest prawo właściwe. Często dostawcy zastrzegają, że w przypadku sporu obowiązywać będą przepisy kraju, w którym mają siedzibę.
Eksterytorialność przepisów
Niektóre przepisy mają charakter eksterytorialny i mogą być stosowane poza granicami danego kraju:
RODO (UE): Ma zastosowanie do podmiotów spoza UE, jeśli przetwarzają dane osobowe obywateli Unii.
Cloud Act (USA): Umożliwia amerykańskim organom dostępu do danych przechowywanych przez amerykańskie firmy, nawet jeśli znajdują się na serwerach poza granicami USA.
Lokalne regulacje dotyczące przechowywania danych
Wiele państw wprowadza przepisy wymagające przechowywania danych w granicach kraju. Nazywa się to data localization. Przykłady:
Rosja: Dane osobowe obywateli muszą być przechowywane na lokalnych serwerach.
Chiny: Silne wymagania dotyczące przechowywania i kontroli nad danymi.
Indie: Coraz bardziej restrykcyjne podejście do lokalizacji danych.
Zasada podwójnej jurysdykcji
W przypadku konfliktu praw krajowych i międzynarodowych może dochodzić do sytuacji, w której dane podlegają jednocześnie przepisom różnych krajów. Firmy chmurowe często muszą balansować między sprzecznymi wymaganiami prawnymi.
Międzynarodowe porozumienia
Aby ułatwić ustalanie jurysdykcji i współpracę prawną, niektóre kraje zawierają porozumienia, np.:
Tarcza Prywatności UE-USA (obecnie już nieobowiązująca),
Inicjatywy bilateralne dotyczące wymiany danych.
Podsumowanie
Ustalanie jurysdykcji w chmurze opiera się na kombinacji lokalizacji danych, siedziby dostawcy usług, zapisów umownych i eksterytorialnych przepisów prawnych. Dla organizacji korzystających z chmury kluczowe jest zrozumienie, jakie przepisy mają zastosowanie do ich danych i jakie ryzyko ze sobą niosą. .
Współpraca różnych państw w zakresie cyberprzestępczości przynosi liczne korzyści, ale nie jest pozbawiona wyzwań i problemów, które mogą wpływać na jej efektywność. Oto główne problemy, które można dostrzec na przykładzie Polski i Stanów Zjednoczonych:
Różnice w regulacjach prawnych
Ochrona danych osobowych (RODO vs. CLOUD Act)
Problem: Polska jako państwo członkowskie UE, musi przestrzegać RODO, które nakłada ścisłe zasady dotyczące ochrony danych osobowych. Jednocześnie USA korzysta z CLOUD Act, który umożliwia dostęp do danych przechowywanych przez amerykańskie firmy IT, nawet jeśli dane te znajdują się w UE.
Konflikt: RODO wymaga zgody użytkownika lub krajowych organów na przekazywanie danych poza UE, co może być sprzeczne z amerykańskimi żądaniami dostępu do danych.
Efekt: Opóźnienia w dostępie do dowodów cyfrowych lub ryzyko naruszenia przepisów UE.
Różne podejście do prywatności
USA ma bardziej liberalne podejście do monitorowania danych w imię bezpieczeństwa narodowego, co budzi obawy w krajach UE, w tym w Polsce, o nadmierne ingerencje w prywatność obywateli.
Trudności proceduralne
Czasochłonność procedur MLAT
Problem: Procedury wzajemnej pomocy prawnej (MLAT) są biurokratyczne i czasochłonne, co jest nieefektywne w dynamicznych sytuacjach, takich jak ataki ransomware czy włamania do systemów IT.
Efekt: Cyberprzestępcy mogą ukrywać swoją działalność, zanim dowody zostaną zebrane, a ich działania mogą eskalować.
Brak jednolitych procedur
Polska i USA, mimo współpracy, wciąż nie mają zharmonizowanych procedur, które umożliwiałyby szybką wymianę informacji lub dowodów w postępowaniach karnych. Brakuje również uproszczonych mechanizmów dla przypadków nagłych.
Jurysdykcja nad danymi
Geograficzne rozproszenie danych
W epoce chmury obliczeniowej dane często są przechowywane w różnych lokalizacjach, co prowadzi do problemów z ustaleniem, które przepisy prawne mają zastosowanie.
Efekt: Opóźnienia w śledztwach i trudności w uzyskaniu dostępu do kluczowych danych.
Konflikty kompetencji
Gdy Polska prowadzi śledztwo, a dane znajdują się na serwerach w USA (lub odwrotnie), może dochodzić do sporów o to, który kraj ma prawo do dostępu do tych danych i ich wykorzystania.
Braki techniczne i zasobowe
Niedobory w Polsce
Polska, mimo utworzenia CBZC, wciąż ma ograniczone zasoby ludzkie i technologiczne w porównaniu do USA.
Efekt: Trudności w równorzędnej współpracy w skomplikowanych śledztwach wymagających zaawansowanej analizy danych lub szybkiej reakcji na incydenty.
Nierówności w dostępnych narzędziach
Amerykańskie służby mają dostęp do bardziej zaawansowanych technologii analitycznych, sztucznej inteligencji i systemów monitorowania, co może prowadzić do asymetrii w działaniach.
Ataki z terytoriów państw trzecich
Cyberprzestępcy z Rosji, Chin i innych państw
Wielu cyberprzestępców, którzy atakują Polskę i USA, działa z krajów, które nie współpracują w zwalczaniu cyberprzestępczości (np. Rosja, Korea Północna, Chiny).
Problem: Brak możliwości skutecznego ścigania sprawców z tych terytoriów, mimo współpracy polsko-amerykańskiej.
Wykorzystywanie państw „przechowalni” danych
Cyberprzestępcy często wykorzystują serwery w państwach, które są mniej zaawansowane technologicznie i nie mają silnych systemów współpracy prawnej.
Koordynacja międzynarodowa
Złożoność operacji wielostronnych: Operacje przeciwko globalnym grupom cyberprzestępczym, takim jak REvil czy Emotet, wymagają współpracy wielu państw jednocześnie. Problemy z koordynacją działań, np. z synchronizacją czasu ataków na infrastrukturę przestępców czy z podziałem odpowiedzialności za dalsze śledztwa.
Wyzwania językowe i kulturowe: Różnice językowe, proceduralne i kulturowe między służbami Polski i USA mogą prowadzić do nieporozumień lub opóźnień w komunikacji.
Wzrost zagrożeń związanych z AI i technologiami przyszłości
Narzędzia cyberprzestępców: Cyberprzestępcy coraz częściej wykorzystują sztuczną inteligencję i zaawansowane technologie (np. deepfake) do oszustw, co utrudnia śledztwa. Polska może nie mieć takich samych możliwości jak USA w przeciwdziałaniu takim zagrożeniom.
Rozwój technologii szyfrujących: Przestępcy korzystają z zaawansowanych systemów szyfrujących, co utrudnia dostęp do ich komunikacji lub danych nawet w przypadku międzynarodowej współpracy.
Współpraca z sektorem prywatnym
Brak wystarczającej koordynacji: Firmy technologiczne w USA, takie jak Google, Meta czy Amazon, mają kluczowe znaczenie dla śledztw, ale współpraca z nimi bywa trudna. Problemem są różnice w przepisach i wewnętrznych politykach korporacji mogą opóźniać przekazywanie danych.
Zaufanie firm do organów ścigania: W Polsce firmy mogą mieć obawy co do przekazywania danych ze względu na obostrzenia RODO, a w USA niektóre korporacje stawiają własne interesy nad współpracą z rządami.
Podsumowanie
Główne problemy we współpracy Polski i USA w zakresie cyberprzestępczości wynikają z różnic w przepisach prawnych, trudności proceduralnych, wyzwań technicznych oraz dynamicznego rozwoju zagrożeń cybernetycznych. Chociaż współpraca przynosi pozytywne efekty, dalszy jej rozwój wymaga:
Uproszczenia procedur prawnych (np. MLAT).
Harmonizacji przepisów dotyczących ochrony danych.
Rozwoju zasobów technologicznych i ludzkich w Polsce.
Zacieśnienia współpracy z sektorem prywatnym oraz w ramach organizacji wielostronnych, takich jak NATO i UE.
Współpraca między Polską a Stanami Zjednoczonymi w zakresie zwalczania cyberprzestępczości odbywa się w ramach dwustronnych umów, międzynarodowych konwencji oraz współpracy instytucji zajmujących się cyberbezpieczeństwem. Wynika ona z rosnącej skali cyberzagrożeń, takich jak ataki ransomware, hacking, oszustwa internetowe, czy działalność w darknecie, która wymaga szybkiej wymiany informacji i wspólnych działań.
Podstawy prawne współpracy Polska-USA
a) Konwencja Budapeszteńska o cyberprzestępczości (2001)
Zarówno Polska, jak i USA są stronami Konwencji Budapeszteńskiej, która jest podstawą międzynarodowej współpracy w walce z cyberprzestępczością. Dzięki Konwencji doszło do:
ustalenia zasad wymiany informacji w celu zabezpieczania dowodów elektronicznych;
uzgodnienia zasad wzajemnej pomocy w dochodzeniach, takich jak identyfikacja sprawców czy neutralizacja infrastruktur wykorzystywanych w atakach.
b) Dwustronne umowy o pomocy prawnej (MLAT)
Polska i USA współpracują na podstawie umowy o wzajemnej pomocy prawnej (Mutual Legal Assistance Treaty). MLAT reguluje wymianę dowodów w postępowaniach karnych, w tym danych cyfrowych przechowywanych na zagranicznych serwerach. Dzięki MLAT Polska może uzyskać dostęp do danych przechowywanych przez amerykańskie firmy IT, takie jak Google, Microsoft czy Meta (Facebook), co jest kluczowe w wielu sprawach.
c) CLOUD Act (Clarifying Lawful Overseas Use of Data)
CLOUD Act umożliwia amerykańskim władzom przekazywanie danych przechowywanych przez amerykańskich dostawców usług chmurowych na potrzeby śledztw prowadzonych przez Polskę.
Współpraca na podstawie CLOUD Act jest szczególnie ważna w sprawach związanych z danymi przechowywanymi w chmurze.
Główne instytucje współpracujące
W Polsce:
a) Polska Policja (Centralne Biuro Zwalczania Cyberprzestępczości – CBZC)
CBZC, utworzone w 2022 roku, odpowiada za zwalczanie cyberprzestępczości na poziomie krajowym i międzynarodowym. CBZC ściśle współpracuje z amerykańskimi służbami, np. FBI, w sprawach takich jak ataki ransomware czy przestępstwa w darknecie.
b) CERT POLSKA
CERT Polska jest kluczowym ośrodkiem w wymianie informacji o zagrożeniach cybernetycznych i współpracy z międzynarodowymi partnerami, w tym amerykańskimi CERT-ami.
W USA:
Federal Bureau of Investigation (FBI): FBI prowadzi współpracę z Polską w ramach globalnych operacji przeciwko cyberprzestępcom, m.in. poprzez swój Cyber Division.
U.S. Secret Service (USSS): USSS, oprócz ochrony kluczowych osób w państwie, zajmuje się cyberprzestępstwami finansowymi i wspiera polskie organy ścigania w wykrywaniu oszustw.
CISA (Cybersecurity and Infrastructure Security Agency): CISA współpracuje z Polską w zakresie analizy zagrożeń cybernetycznych i ochrony infrastruktury krytycznej.
Formy współpracy Polska-USA w walce z cyberprzestępczością
a) Wymiana informacji
Polska i USA korzystają z mechanizmów takich jak 24/7 Network, koordynowanego przez Interpol, który pozwala na szybkie przekazywanie informacji o zagrożeniach i przestępstwach w cyberprzestrzeni.
b) Wspólne operacje międzynarodowe
Polska i USA uczestniczyły we wspólnych operacjach przeciwko grupom ransomware i dark web:
Emotet (2021): Polska odegrała kluczową rolę w likwidacji jednej z największych sieci botnetów, współpracując z Europolem, FBI i innymi krajami.
Hydra Market: Polska współpracowała z USA przy zamknięciu jednego z największych rynków w darknecie.
Zabezpieczanie dowodów elektronicznych
Współpraca w zakresie dostępu do danych przechowywanych na serwerach amerykańskich firm, np. Google, Amazon czy Facebook. Polska policja korzysta z procedur MLAT oraz CLOUD Act, by skutecznie uzyskać dane niezbędne do śledztw.
d) Szkolenia i wymiana doświadczeń
Polskie służby, takie jak CBZC, uczestniczą w szkoleniach organizowanych przez FBI i inne amerykańskie agencje. Wymiana doświadczeń obejmuje techniki śledcze, analizy zagrożeń cybernetycznych oraz strategie zwalczania ransomware i phishingu.
Przykłady współpracy Polska-USA
a) Ataki ransomware na polskie firmy
W 2021 roku Polska i USA wspólnie badały sprawy ataków ransomware, takich jak atak na polskie instytucje medyczne i samorządowe, gdzie zaangażowane były grupy cyberprzestępcze z Rosji. FBI dostarczyło dane techniczne dotyczące infrastruktury wykorzystywanej do ataków, co pomogło w ich neutralizacji.
b) Operacje przeciwko grupom hackingowym
Polska i USA współpracowały w zwalczaniu grup hakerskich takich jak REvil, które prowadziły ataki na międzynarodowe korporacje i instytucje publiczne.
Wyzwania w współpracy Polska-USA
a) Różnice w przepisach prawnych
Polska musi przestrzegać przepisów RODO, co czasem utrudnia szybkie przekazywanie danych do USA. CLOUD Act w USA budzi kontrowersje w Europie, ponieważ umożliwia dostęp do danych bez zgody kraju, w którym są one przechowywane.
b) Jurysdykcja nad danymi: Współpraca bywa trudna, gdy dane są przechowywane w chmurze w wielu lokalizacjach, co komplikuje ustalenie, które prawo ma zastosowanie.
c) Brak jednolitych procedur: Procedury MLAT są czasochłonne, co opóźnia działania w dynamicznych sytuacjach, takich jak ataki ransomware.
Perspektywy rozwoju współpracy Polska-USA
a) Usprawnienie procedur prawnych: Polska i USA pracują nad uproszczeniem procedur wymiany danych i dowodów w sprawach cyberprzestępczości.
b) Większe zaangażowanie w NATO: W ramach NATO Polska i USA rozwijają współpracę w zakresie cyberobrony, co obejmuje wspólne ćwiczenia i wymianę informacji o zagrożeniach.
c) Rozwój technologii i narzędzi analitycznych: Wspólne inwestycje w technologie do analizy zagrożeń, takich jak systemy SI (sztucznej inteligencji), które wspierają identyfikację zagrożeń i śledzenie przestępców.
Podsumowanie
Współpraca między Polską a USA w zakresie cyberprzestępczości jest kluczowa dla skutecznego zwalczania globalnych zagrożeń. Opiera się na solidnych fundamentach prawnych, takich jak Konwencja Budapeszteńska i CLOUD Act, oraz na ścisłej koordynacji instytucji, takich jak CBZC i FBI. Pomimo wyzwań, takich jak różnice w regulacjach, współpraca ta przynosi wymierne efekty i jest stale rozwijana.
Współpraca międzynarodowa między Unią Europejską (UE) a Stanami Zjednoczonymi (USA) w zakresie zwalczania cyberprzestępczości opiera się na różnych instrumentach prawnych wspierających wymianę informacji i wspólne działania. Efektywna współpraca jest kluczowa, ponieważ cyberprzestępcy często działają w różnych jurysdykcjach, wykorzystując różnice w przepisach.
Podstawy prawne współpracy między UE a USA
a)Konwencja Budapeszteńska o cyberprzestępczości (2001)
Zarówno USA, jak i wiele krajów UE (które są sygnatariuszami Konwencji) opierają swoje działania na wspólnych standardach prawnych, określonych w tej umowie. Dzięki Konwencji zharmonizowano definicje cyberprzestępstw, takich jak hacking, ransomware czy oszustwa internetowe; ułatwiono wymianę dowodów cyfrowych i informacji między krajami; przewidziano współpracę przy dochodzeniach transgranicznych.
b) Umowy o wzajemnej pomocy prawnej (Mutual Legal Assistants Treaties, MLAT)
Umowa MLAT między USA a UE reguluje formalne procedury wymiany dowodów, takich jak logi serwerowe, dane użytkowników czy korespondencja e-mail. MLAT pozwala na uzyskanie dostępu do dowodów znajdujących się na serwerach w innym kraju, ale procedura ta może być czasochłonna.
c) CLOUD Act (USA, 2018)
Ustawa CLOUD Act umożliwia organom ścigania w USA dostęp do danych przechowywanych przez amerykańskich dostawców usług IT, nawet jeśli serwery znajdują się poza granicami USA. UE i USA współpracują w oparciu o CLOUD Act w przypadkach, gdy dane są potrzebne w dochodzeniach dotyczących cyberprzestępstw.
d) Umowa między UE a USA w sprawie danych pasażerów (PNR)
Umowa dotycząca wymiany danych pasażerów samolotów pomaga w identyfikowaniu potencjalnych cyberprzestępców lub ich powiązań z innymi grupami przestępczymi.
Główne instytucje i platformy współpracy
a) Europol i FBI
Europol, poprzez Europejskie Centrum ds. Cyberprzestępczości (EC3), współpracuje z FBI i innymi agencjami USA w sprawach związanych z cyberprzestępczością. Wspólne działania obejmują operacje przeciwko grupom zajmującym się ransomware, takim jak REvil czy DarkSide; likwidacja nielegalnych rynków w darknecie (np. Hydra, Silk Road); koordynacja przy zwalczaniu botnetów.
b) Interpol i Departament Sprawiedliwości USA
Interpol działa jako pośrednik między Europą i USA, umożliwiając szybką wymianę informacji o przestępstwach, takich jak ataki DDoS, phishing czy oszustwa finansowe.
c) Programy wymiany danych między CERT/CSIRT
Computer Emergency Response Teams (CERT) z UE i USA współpracują w zakresie wymiany informacji o nowych zagrożeniach, złośliwym oprogramowaniu czy podatnościach w systemach IT.
Współpraca CERT-ów jest szczególnie intensywna w przypadku krytycznych incydentów, takich jak globalne ataki ransomware (np. WannaCry).
d) Joint Cybercrime Action Taskforce (J-CAT)
Europol powołał J-CAT jako stały zespół do zwalczania cyberprzestępczości, w skład którego wchodzą przedstawiciele USA, FBI oraz innych krajów partnerskich.
Celem J-CAT jest koordynacja śledztw wielonarodowych w sprawach cyberprzestępstw.
Przykłady współpracy w praktyce
a) Operacje przeciw ransomware
REvil: USA i UE współpracowały w celu rozbicia grupy REvil, która atakowała firmy na całym świecie, żądając okupu za odszyfrowanie danych. Dzięki koordynacji FBI, Europolu i międzynarodowych CERT-ów udało się zneutralizować część infrastruktury grupy.
b) Likwidacja botnetów
Emotet: Europol, FBI i inne agencje wspólnie przeprowadziły operację zniszczenia jednego z największych botnetów, używanych do rozprzestrzeniania złośliwego oprogramowania.
c) Zwalczanie cyberprzestępczości w darknecie
Zamknięcie Silk Road i Hydra Market to przykłady operacji, w których Europol, FBI i inne agencje współpracowały w celu wyeliminowania platform handlu narkotykami, bronią i danymi w darknecie.
Wyzwania we współpracy UE-USA
a) Różnice w przepisach prawnych: UE ma bardziej restrykcyjne przepisy dotyczące ochrony danych (np. RODO), co czasem utrudnia szybkie przekazywanie informacji do USA. Przepisy takie jak CLOUD Act budzą kontrowersje w Europie ze względu na potencjalne konflikty z RODO.
b) Jurysdykcja nad danymi w chmurze: Spory dotyczące dostępu do danych przechowywanych na serwerach w różnych lokalizacjach (np. przypadek Microsoft vs. USA).
c) Czasochłonność procedur formalnych: MLAT i inne tradycyjne mechanizmy pomocy prawnej są czasochłonne, co jest problemem w szybko zmieniającym się środowisku cyberprzestępczym.
Cechą charakterystyczną cyberprzestępczości jest to, że sprawcy takich przestępstw często działają w różnych krajach (jurysdykcjach) i wykorzystują infrastrukturę rozproszoną po całym świecie. Na współpracę międzynarodową składa się szereg mechanizmów, stosowana jest przez liczne organizacje i wykorzystuje się różnorakie narzędzie po to, aby skutecznie przeciwdziałać cyberprzestępczości.
Organizacje i inicjatywy międzynarodowe
Interpol
Interpol koordynuje międzynarodowe działania przeciwko cyberprzestępstwom, wspiera wymianę informacji między krajami i oferuje wsparcie techniczne. W strukturze Interpol-u znajduje się Cybercrime Operational Desk, który specjalizuje się w wykrywaniu i zwalczaniu cyberprzestępczości. Interpol prowadzi specjalistyczne projekty np. Cyber Fusion Centre, które łączą dane z różnych krajów w celu śledzenia globalnych kampanii cyberprzestępczych.
Europol
Europol wspiera kraje Unii Europejskiej w zwalczaniu cyberprzestępczości poprzez wymianę danych, koordynację działań i analizy techniczne. W strukturze Europol-u znajduje się EC3 (European Cybercrime Center) Centrum ds. Cyberprzestępczości, które zajmuje się atakami na infrastrukturę krytyczną, handel narkotykami, bronią i danymi w darknecie, przestępstwami związanymi z ransomware i oszustwami internetowymi.
GLACY+ (Global Action on Cybercrime)
Inicjatywa podjęta przez Unię Europejską i realizowana przez Radę Europy, która wspomaga kraje rozwijające się wprowadzać skuteczne ramy prawne i techniczne do walki z cyberprzestępczością.
CERT (Computer Emergency Response Teams)
Każdy kraj posiada swój zespół CERT lub CSIRT, który współpracuje z innymi państwami w zakresie wymiany informacji o zagrożeniach, analizie technicznej i zapobieganiu atakom.
Umowy międzynarodowe i regulacje prawne
Konwencja budapesztańska o cyberprzestępczości z 2001 roku
Konwencja stanowi najważniejszy międzynarodowy akt dotyczący zwalczania cyberprzestępczości. W jej treści ustalono definicje cyberprzestępstw np. hackingu, phishingu), ustalono procedury współpracy, tj. szybka wymiana informacji, zabezpieczanie dowodów elektronicznych i wzajemna pomoc prawna. Sygnatariuszami tej Konwencji jest ponad 60 państw z całego świata, w tym np. USA i Kanada.
Regulacje Unii Europejskiej
Wśród przepisów Unii Europejskiej, które dotyczą cyberprzestępczości i cyberbezpieczeństwa wymienić należy Dyrektywę NIS (Network and Information Security Directive, która nakłada na kraje UE obowiązek współpracy w zakresie cyberbezpieczeństwa oraz wymiany informacji o zagrożeniach. Innym aktem, który odnosi się do przypadków, gdy dochodzi do wycieku danych i obowiązku współpracy jest Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO).
Wzajemna pomoc prawna (MLAT)
Wiele krajów korzysta z umów o wzajemnej pomocy prawnej (Mutual Legal Assistance Treaties), które umożliwiają szybkie przekazywanie informacji o przestępstwach, dostęp do dowodów znajdujących się na serwerach w innych krajach.
Sposoby współpracy organów ścigania
Wymiana informacji w czasie rzeczywistym
Wiele krajów korzysta z systemów takich jak 24/7 Network, które umożliwiają szybkie przekazywanie informacji o cyberatakach. Narzędzia, takie jak SIENA (Europol), pozwalają na bezpieczne udostępnianie danych między krajami UE.
Zabezpieczanie dowodów elektronicznych
Organy ścigania często muszą współpracować z dostawcami usług IT (np. Google, Amazon, Facebook) w celu uzyskania danych znajdujących się na zagranicznych serwerach.
W przypadku firm zlokalizowanych w USA stosuje się np. przepisy CLOUD Act (Clarifying Lawful Overseas Use of Data).
Operacje międzynarodowe
Przykłady udanych działań międzynarodowych:
Emotet: Wspólne działanie Europolu, Interpolu i USA doprowadziło do zneutralizowania jednej z największych sieci botnetów na świecie.
Darknet Marketplaces: Wielonarodowe operacje (np. zamknięcie „Silk Road” i „Hydra Market”) dzięki współpracy wielu krajów.
Wyzwania w międzynarodowej współpracy
Różnice w przepisach prawnych: Każdy kraj ma swoje własne regulacje dotyczące cyberprzestępczości i prywatności, co utrudnia szybkie działania.Niektóre państwa nie są stroną Konwencji Budapeszteńskiej, co ogranicza ich zaangażowanie.
Jurysdykcja nad danymi: Dane przechowywane w chmurze mogą znajdować się na serwerach w wielu różnych krajach, co komplikuje ustalanie, które prawo ma zastosowanie.
Opóźnienia proceduralne: Tradycyjne mechanizmy pomocy prawnej (MLAT) są czasochłonne i nie zawsze dostosowane do szybkiego tempa cyberprzestępczości.
Rola przedsiębiorców w międzynarodowej współpracy
Przedsiębiorcy, szczególnie w branży IT, często współpracują z organami ścigania, udostępniając dane i wspierając analizy techniczne. Firmy takie jak Google, Microsoft czy Amazon mają dedykowane zespoły zajmujące się współpracą z organami ścigania na całym świecie.
W przypadku postępowań dotyczących cyberprzestępstw Twoje obowiązki wobec policji lub prokuratury jako przedsiębiorcy mogą obejmować różne działania, w zależności od roli, jaką w sprawie zajmujesz (np. pokrzywdzony, świadek). Przedstawiam poniżej kluczowe obowiązki przedsiębiorców związane z prowadzonymi przez organy ścigania postępowaniami:
Jako przedsiębiorca, szczególnie jeśli cyberatak dotknął Twoje systemy IT, masz prawo, a często również obowiązek zgłoszenia przestępstwa do organów ścigania. Z art. 304 Kodeksu postępowania karnego wynika, że każdy dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu, ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję.
Szczegóły zgłoszenia
W zgłoszeniu warto uwzględnić:
Datę i godzinę incydentu.
Opis okoliczności zdarzenia (np. rodzaj ataku: ransomware, phishing, DDoS).Zakres szkód (np. utrata danych, wyciek informacji).
Dane kontaktowe osób odpowiedzialnych za systemy IT w Twojej firmie.
Udostępnienie dowodów
Zabezpieczenie danych
Masz obowiązek zabezpieczyć dowody związane z incydentem, np.:
Logi z serwerów i systemów IT.
Kopie zapasowe systemów i baz danych.
Maile, pliki lub inne materiały wskazujące na przebieg ataku.
Przekazanie dowodów
Na wezwanie policji lub prokuratury musisz przekazać zgromadzone dowody. Ważne jest, aby nie modyfikować ich, aby nie mogły zostać podważone w toku postępowania.
Obowiązek współpracy z organami ścigania
Dostarczanie informacji
Organy ścigania mogą wezwać Cię do udzielenia dodatkowych informacji związanych z prowadzonym postępowaniem, np.:
Informacji o używanych systemach i ich zabezpieczeniac
Listy użytkowników, którzy mogli mieć dostęp do zaatakowanych systemów.
Szczegółów na temat zabezpieczeń i procedur bezpieczeństwa.
Obecność na przesłuchaniu
Na przesłuchanie możesz zostać wezwany jako świadek lub pokrzywdzony w celu złożenia zeznań, ewentualnie jako pokrzywdzony wniosku o ściganie.
Ochrona danych osobowych (RODO)
Powiadomienie o wycieku danych
Jeśli incydent związany jest z naruszeniem ochrony danych osobowych (np. wyciekiem danych klientów), masz obowiązek:
Zgłosić naruszenie do organu nadzorczego (w Polsce: Prezes UODO) nie później niż w ciągu 72 godzin od wykrycia incydentu (art. 33 ust. 1 Rozporządzenia RODO).
Powiadomić osoby, których dane zostały naruszone, o wycieku (jeśli incydent niesie wysokie ryzyko dla ich praw i wolności).
Przestrzeganie przepisów prawa telekomunikacyjnego (jeśli jesteś dostawcą usług)
Jeśli jesteś dostawcą usług internetowych lub telekomunikacyjnych, Twoje obowiązki mogą obejmować:
Udostępnianie logów z działalności użytkowników (zgodnie z przepisami).
Współpracę w ustalania sprawców cyberprzestępstwa.
Informowanie klientów o naruszeniach, jeśli incydent mógł wpłynąć na ich dane.
Wdrożenie działań naprawczych
Usunięcie skutków ataku
Po zabezpieczeniu dowodów powinieneś wdrożyć działania zmierzające do przywrócenia funkcjonowania systemów IT, np. przywrócenie danych z kopii zapasowej.
Audyt powłamaniowy
Warto przeprowadzić szczegółowy audyt, aby wykryć luki bezpieczeństwa, które umożliwiły atak i zabezpieczyć się w przyszłości przed podobnymi zagrożeniami.
Poufność i ochrona śledztwa
Nieujawnianie informacji
Jeśli bierzesz udział w postępowaniu jako świadek lub poszkodowany, masz obowiązek nieujawniania szczegółów śledztwa osobom trzecim. Naruszenie tego obowiązku może skutkować odpowiedzialnością karną lub cywilną.
Zgodnie z art. 241 Kodeksu karnego, kto bez zezwolenia rozpowszechnia publicznie wiadomości z postępowania przygotowawczego, zanim zostały ujawnione w postępowaniu sądowym podlega karze.
Zapewnienie dostępu do systemów (jeśli wymagane)
Jeśli organy ścigania wystąpią z odpowiednim postanowieniem o żądaniu wydania rzeczy, możesz być zobowiązany do:
Umożliwienia dostępu do Twoich systemów informatycznych w celu przeprowadzenia oględzin.
Przekazania nośników danych, które mogą być dowodem w sprawie.
Zgłoszenie CERT lub innego odpowiedniego organu
CERT Polska
W przypadku poważnych incydentów warto (lub czasem jest to obowiązkowe) zgłosić sprawę do CERT Polska, który wspiera przedsiębiorców w zakresie cyberbezpieczeństwa i reagowania na incydenty.
Zapobieganie podobnym incydentom w przyszłości
Wdrożenie procedur bezpieczeństwa
Po incydencie należy zaktualizować polityki bezpieczeństwa, w tym przede wszystkim zwiększyć poziom zabezpieczeń systemów IT, przeprowadzić szkolenia dla pracowników w zakresie cyberbezpieczeństwa, wdrożyć lepsze mechanizmy monitorowania i wykrywania zagrożeń.
Podsumowanie
Wszystkie te działania wymagają zarówno współpracy z organami ścigania, jak i wdrożenia odpowiednich procedur wewnętrznych. W przypadku wątpliwości zawsze warto skonsultować się z prawnikiem lub specjalistą ds. cyberbezpieczeństwa, aby mieć pewność, że działania podejmowane są zgodnie z obowiązującymi przepisami.
Sabotaż komputerowy w polskim prawie – co warto wiedzieć? (art. 269a k.k.)
Sabotaż komputerowy z perspektywy prawa
Przestępstwo sabotażu komputerowego zostało uregulowane w artykule 269a Kodeksu karnego. Przepis ten ma na celu ochronę integralności systemów informatycznych, sieci telekomunikacyjnych oraz zapewnienie bezpieczeństwa danych, które są kluczowe dla funkcjonowania firm i instytucji.
Kim jest sprawca przestępstwa sabotażu komputerowego?
Warto podkreślić, że sprawcą tego przestępstwa może być każda osoba, która umyślnie zakłóca pracę systemów komputerowych. Sabotaż komputerowy może być popełniony zarówno przez aktywne działanie (np. złośliwe oprogramowanie, manipulacja danymi), jak i przez zaniechanie, które skutkuje poważnymi konsekwencjami w funkcjonowaniu systemów informatycznych.
Co obejmuje przestępstwo sabotażu komputerowego?
Zgodnie z art. 269a k.k., oprócz czynów takich jak zniszczenie, usunięcie, uszkodzenie lub zmiana danych informatycznych (wskazanych w art. 268a k.k.), przestępstwo to obejmuje także zakłócanie pracy systemów komputerowych oraz sieci telekomunikacyjnych. Oznacza to, że każde działanie, które może poważnie zakłócić funkcjonowanie takiej infrastruktury, może zostać uznane za sabotaż komputerowy. Przykłady to rozprzestrzenianie wirusów, ataki DDoS czy nieautoryzowana modyfikacja danych.
Jaka kara grozi za sabotaż komputerowy?
Za popełnienie przestępstwa sabotażu komputerowego grozi kara pozbawienia wolności od 3 miesięcy do 5 lat. Ważne jest, że sprawa jest ścigana z oskarżenia publicznego, co oznacza, że prokuratura prowadzi postępowanie z urzędu. Jeśli prowadzisz firmę lub zarządzasz systemem informatycznym, zapobieganie tego rodzaju przestępstwom jest kluczowe, a w razie wątpliwości warto skorzystać z porady prawnej.
Sabotaż komputerowy a niszczenie baz danych – czym się różnią?
Warto także zwrócić uwagę na różnice między przestępstwem sabotażu komputerowego (art. 269a k.k.) a przestępstwem niszczenia baz danych (art. 268a k.k.). Choć oba przestępstwa wiążą się z nielegalnym działaniem na systemach komputerowych, różnią się zakresem kar oraz trybem ścigania. Istnieje również dyskusja prawna dotycząca usunięcia przepisów art. 268a k.k. z Kodeksu karnego, ze względu na powielanie normatywnych treści w art. 269a k.k.
Jeśli masz wątpliwości dotyczące tego przepisu, warto skonsultować się ze specjalistą. Tego typu sprawy wymagają dokładnej analizy i precyzyjnego stosowania przepisów.
Przykłady z orzecznictwa – jak wygląda praktyka sądowa?
Oto kilka przykładów z orzecznictwa polskich sądów, które pokazują, jak sądy podchodzą do kwestii sabotażu komputerowego:
Wyrok Sądu Okręgowego w Świdnicy z dnia 9.01.2018 r., sygn. akt IV K 720/17: W okresie od października 2013 r. do kwietnia 2014 r. w J. i K. (woj. (…)), nie będąc do tego uprawnionym, poprzez składanie fałszywych zamówień oraz transmisję danych informatycznych utrudnił dostęp do systemu komputerowego obsługującego sklep internetowy na stronie (…), istotnie zakłócając jego pracę, działając na szkodę A. L. K., co stanowiło czyn z art. 269a k.k. w zw. z art. 12 k.k.
Wyrok Sądu Okręgowego w Bydgoszczy z dnia 13 maja 2015 r., sygn. akt IV Ka 141/15: W dniu 10 października 2012 r., o godz. 18:17, nie będąc do tego uprawnionym, po uprzednim zalogowaniu się do serwisu internetowego (…), do którego podłączony jest Zespół Szkół Ogólnokształcących Nr (…) w B., dokonał zmian w systemie, usuwając konto użytkownika przypisanego do jednego z nauczycieli, P. D., co stanowiło czyn z art. 269a k.k.
Wyrok Sądu Okręgowego w Elblągu z dnia 12.02.2015 r., sygn. akt IV Ka 11/15: W dniu 31 maja 2013 r., w miejscowości Z., nie będąc do tego uprawnionym, przy pomocy karty (…) oraz oprogramowania znajdującego się na dysku laptopa wysyłał pakiety SYN, blokując pracę systemu komputerowego oraz strony internetowej, co poważnie zakłóciło pracę systemu, działając na szkodę M. Ż., czyn z art. 269a k.k.
Zabezpiecz się przed sabotażem komputerowym!
Jeśli zarządzasz systemem informatycznym, stroną internetową lub bazą danych, ochrona bezpieczeństwa jest Twoją odpowiedzialnością. Incydenty związane z sabotażem komputerowym mogą prowadzić do poważnych strat finansowych i wizerunkowych.
Computer Sabotage in Polish Law – What is Important to Know? (Article 269a of the Penal Code)
Computer Sabotage from a Legal Perspective
The crime of computer sabotage is regulated in Article 269a of the Penal Code. This provision aims to protect the integrity of IT systems, telecommunications networks, and ensure the security of data, which are crucial for the functioning of businesses and institutions.
Who is the perpetrator of the computer sabotage crime?
It is important to emphasize that the perpetrator of this crime can be anyone who intentionally disrupts the operation of computer systems. Computer sabotage can be committed both through active actions (e.g., malicious software, data manipulation) and through omissions that result in serious consequences for the functioning of IT systems.
What does the crime of computer sabotage cover?
According to Article 269a of the Penal Code, in addition to acts such as the destruction, deletion, damage, or alteration of computer data (as specified in Article 268a of the Penal Code), this crime also includes disrupting the operation of computer systems and telecommunications networks. This means that any action that can seriously disrupt the functioning of such infrastructure can be considered computer sabotage. Examples include spreading viruses, DDoS attacks, and unauthorized data modification.
What penalty does computer sabotage carry?
The penalty for committing the crime of computer sabotage is imprisonment for a term ranging from 3 months to 5 years. It is important to note that this offense is prosecuted ex officio, meaning the prosecutor conducts the proceedings on their own initiative. If you run a business or manage an IT system, preventing such crimes is crucial, and if in doubt, seeking legal advice is advisable.
Computer Sabotage vs. Destruction of Databases – What’s the Difference?
It is also worth noting the differences between the crime of computer sabotage (Article 269a of the Penal Code) and the crime of destruction of databases (Article 268a of the Penal Code). Although both crimes involve illegal actions against computer systems, they differ in terms of penalties and the prosecution process. There is also a legal discussion about the removal of Article 268a from the Penal Code due to the overlap of normative content with Article 269a.
If you have doubts about this provision, it is worth consulting with a specialist. Such cases require thorough analysis and precise application of the law.
Case Examples – How Does Case Law Approach the Issue?
Here are a few examples from the case law of Polish courts, illustrating how courts approach the issue of computer sabotage:
Judgment of the District Court in Świdnica of January 9, 2018, case file IV K 720/17: Between October 2013 and April 2014, in J. and K. (voivodeship (…)), without authorization, by placing false orders and transmitting computer data, the defendant hindered access to the computer system servicing an online store on the website (…), significantly disrupting its operation, to the detriment of A. L. K., which constituted an offense under Article 269a of the Penal Code in conjunction with Article 12 of the Penal Code.
Judgment of the District Court in Bydgoszcz of May 13, 2015, case file IV Ka 141/15: On October 10, 2012, at 18:17, without authorization, after logging into the online service (…), to which the General Secondary School No. (…) in B. is connected, the defendant made changes to the system by deleting the user account assigned to one of the teachers, P. D., which constituted an offense under Article 269a of the Penal Code.
Judgment of the District Court in Elbląg of February 12, 2015, case file IV Ka 11/15: On May 31, 2013, in the town of Z., without authorization, using the card (…) and software on a laptop’s hard drive, the defendant sent SYN packets, blocking the operation of the computer system and the website, seriously disrupting the system’s operation, to the detriment of M. Ż., constituting an offense under Article 269a of the Penal Code.
Protect Yourself from Computer Sabotage!
If you manage an IT system, website, or database, ensuring security is your responsibility. Incidents related to computer sabotage can lead to significant financial and reputational losses.
On the Destruction of Databases from a Legal Perspective
The crime defined in Article 268a of the Penal Code is referred to as the crime of destroying databases. It concerns the protection of the security of information, which includes its confidentiality, integrity, and availability.
Article 268a § 1. Whoever, without authorization, destroys, damages, deletes, modifies, or obstructs access to computer data, or significantly disrupts or prevents the automatic processing, collection, or transmission of such data, shall be subject to a penalty of imprisonment for up to 3 years.
§ 2. Whoever, committing the act specified in § 1, causes significant financial damage, shall be subject to a penalty of imprisonment from 3 months to 5 years.
§ 3. Prosecution for the crime specified in § 1 or 2 shall be initiated at the request of the injured party.
Article 268 of the Penal Code protects the recording of information, while Article 268a refers to computer data. According to the definition in the Convention on Cybercrime, „computer data is any representation of facts, information, or concepts in a form suitable for processing in a computer system, including the relevant program causing the execution of functions by the computer system.”
Only computer data stored in electronic form is protected.
Who is the perpetrator of the crime of destroying databases, and how do they behave?
The destruction of databases occurs through action and can be committed by anyone, whereas by omission, only by a person responsible for the security of the database.
The crime involves destroying, damaging, deleting, modifying, or obstructing access to computer data, disturbing or preventing automatic processing, collection, or transmission of computer data, as a result of the perpetrator’s action, regardless of the act or omission itself.
No crime is committed if the data was supplemented in a way that did not affect its meaning, e.g., adding insignificant content to the source code. Merely gaining access to a system without damaging the data cannot lead to the assignment of this crime. In such cases, the crime under Article 267 § 2 of the Penal Code may be applied.
When determining the attribution of the act, it should be considered whether the perpetrator’s actions had any effect on the processes occurring in computer systems, i.e., whether the degree of social harm of the act is greater than negligible.
What penalty is imposed for the destruction of databases?
For the destruction of databases under § 1, the penalty is imprisonment from 1 month to 3 years. For § 2, the penalty is from 3 months to 5 years in prison.
This crime is prosecuted at the request of the injured party.
When does the crime under Article 268a occur, and when under Article 268 of the Penal Code?
In many cases, it will be necessary to decide whether to apply Article 268a or Article 268. If the perpetrator’s behavior concerns computer data that has the characteristics of information, Article 268 of the Penal Code should be applied, while for computer data, Article 268a of the Penal Code will be appropriate (lex specialis).
When can significant financial damage occur as specified in § 2 of Article 268a of the Penal Code?
The crime described in Article 268a § 2 of the Penal Code is characterized by the consequence of causing significant financial damage. The value of such damage exceeds PLN 200,000 (Article 115 § 5 of the Penal Code).
Examples of case law regarding the crime of destroying databases:
„On September 25, 2019, at an undisclosed location in the L. region, using the email address (…) and the password assigned during employment at the Centrum (…) company, based in W. at (…) St., owned by G. P., and no longer employed there, accessed, without authorization, the internet profile in the (…) service named „. (…).PL” owned by the aforementioned company, and subsequently deleted the profile along with the computer data contained therein, thereby acting to the detriment of G. P. and Centrum (…) based in W. at (…) St., owned by G. (…), pursuant to Article 268a § 1 of the Penal Code” (Judgment of the District Court in Legionowo, October 6, 2020, case No. II K 1222/19).
„From September 2013 to February 3, 2015, conducting business under the name (…) providing the implementation of the accounting and payroll system C. (…) for the company Przedsiębiorstwo Handlowo Produkcyjno-Usługowe (…), despite the termination of cooperation and a request to return the passwords, refused to provide access data to the administrator function of the C. (…) system, limiting the user’s rights to the legally purchased program, which significantly disrupted automatic data processing, preventing the company Przedsiębiorstwo Handlowo-Produkcyjno-Usługowe (…) from fully using the program, thus acting to the detriment of the company and causing a loss of no less than PLN 50,000, pursuant to Article 268a § 1 of the Penal Code in connection with Article 12 of the Penal Code” (Judgment of the District Court in Kalisz, August 31, 2020, case No. II K 357/18).
What does the Supreme Court say about the destruction of databases?
In a ruling dated September 30, 2015 (II K 115/15), the Supreme Court stated:
„Article 268a of the Penal Code penalizes two types of prohibited behavior of the perpetrator. The first is the destruction, damage, deletion, modification, and obstruction of access to computer data. The second type of behavior harms the process of proper automatic processing, collection, and transmission of computer data to a significant degree. This behavior may involve disrupting or preventing the operation of the process. The concept of disrupting automatic processing, transmission, or collection of computer data encompasses any actions that affect these processes, resulting in their improper course, delay, as well as distortion or modification of the processed, transmitted, or collected data. Prevention, on the other hand, means stopping these processes or making it impossible to initiate them.
The computer data referred to in Article 268a of the Penal Code is a record of a specific piece of information stored on a computer disk or another computer data storage medium.”
Destruction of Information, Art. 268 of the Penal Code, from the series „35 Cybercrimes in Polish Criminal Law”
Article 268 of the Criminal Code
§ 1. Whoever, without authorization, destroys, damages, deletes, or modifies the record of essential information, or otherwise prevents or significantly hinders an authorized person from accessing it, shall be subject to a fine, a restriction of liberty, or imprisonment for up to 2 years.
§ 2. If the act described in § 1 concerns information recorded on an IT data carrier, the perpetrator shall be subject to imprisonment for up to 3 years.
§ 3. Whoever, by committing the act defined in § 1 or 2, causes significant material damage, shall be subject to imprisonment from 3 months to 5 years.
§ 4. Prosecution of the offenses specified in § 1-3 shall occur upon the victim’s request.
Nature of the Crime of Information Destruction
The provision of Article 268 of the Criminal Code protects essential information, its integrity, access to it, and the interests of the person entitled to it. The crime of information destruction may be committed by anyone, provided they are not authorized to take the described actions.
This crime can be committed through the following actions mentioned as examples in the provision:
Destruction of an essential information record
Damage to an essential information record
Deletion of an essential information record
Modification of an essential information record
Other actions that prevent or significantly hinder access to it
An essential piece of information can be recorded in various forms, such as:
Notes
Magnetic tapes
Discs
Photographs
Video camera recordings
If such essential information is recorded on a data carrier, the legal qualification from § 2 of Article 268 of the Criminal Code applies. The record may be deleted or destroyed physically or electronically.
The crime is most often committed when the perpetrator uses software to delete or destroy records, including (A. Adamski, Computer Crimes, p. 71):
Computer viruses
Worms
Logic bombs
Time bombs (a type of logic bomb)
The offense defined in § 1 carries a penalty of a fine, restriction of liberty, or imprisonment for up to 2 years. A more severe penalty applies in cases involving the qualified offenses specified in § 2 and 3. The crime is prosecuted only at the victim’s request.
II. Examples of Crimes Involving Information Destruction
Example 1
The defendant was charged with committing a crime under Article 268 § 1 and 2 of the Criminal Code. On August 3, 2015, in G., at the headquarters of the company (…) s.c. J. Ż., K. Ż., G. Ż., the defendant, acting intentionally and without authorization, used the system trash mechanism between 11:39:56 and 11:42:02 to delete at least 231 files containing essential information from two hard drives (SO Gliwice, VI Ka 1076/17).
Example 2
The District Court (…) sentenced the defendants on June 23, 2016, under case file VI K 727/15. The defendants were found guilty of, on April 15, 2015, in S., acting jointly and in concert, destroying an A. brand laptop worth PLN 1,000, causing harm to M. B. (1) to remove data recorded on the IT data carrier, qualifying the act under Article 268 § 2 of the Criminal Code.
Legal Issues
Authorized Person An authorized person under this provision is often an individual working or performing tasks in state or local government bodies, legal entities, or organizational units without legal personality that process data in connection with their activities.
Significance of Information The term „essential information” is subjective. Therefore, when analyzing a case, cultural and customary factors should be taken into account. The significance should be evaluated from the public’s perspective.
Cyberlaw by Judyta 