Odpowiedzialność karna sprawcy ataku typu DDoS

Przez atak typu DOS (Denial of Dervice Attacks) rozumie się różnego typu ataki na systemy komputerowe mające na celu utrudnienie lub uniemożliwienie funkcjonowania danej maszyny lub części sieci. Ataki tego typu polegają najczęściej na sztucznym generowaniu i przesyłaniu do komputera ofiary wielkiej ilości informacji. Komputer (ofiara) nie jest w stanie przeanalizować i odpowiedzieć na wszystkie napływające informacje co prowadzi do spowolnienia lub zablokowania jego działania (zawieszenia komputera). Do ataków tego typu należą między innymi: Chargen-Echo, Teradrop, DDOS, SYN flood, Nuke, Land, Smurf, Ping of Death.

Niezależnie od zastosowanej techniki ataku podstawowym jego celem jest "unieruchomienie" komputera, uniemożliwienie pracy oraz komunikacji z innymi maszynami. Działania tego typu stanowią zatem naruszenie jednego z podstawowych praw człowieka - wolności komunikowania się.

Jak stanowi art. 49 Konstytucji RP "Zapewnia się wolność i tajemnice komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony." Powyższy przepis Konstytucji znajduje realizację zarówno w przepisach prawa karnego jak i cywilnego.

W omawianym przypadku znajdzie zastosowanie art. 268 kodeksu karnego stanowiący, że:

§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3.

§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.

Niewątpliwie skuteczny atak typu DOS będzie można zakwalifikować jako działanie udaremniające lub znacznie utrudniające zapoznanie się z informacją przez uprawnionego.

Jak wskazuje się w literaturze nie dochodzi do popełnienia przestępstwa gdy uprawniony posiada kopię danych i gdy ich odtworzenie nie stworzy przy tym szczególnych trudności.

Zauważmy, że w przypadku informacji zamieszczonych na serwerze www (podobnie serwerze poczty) osobą uprawnioną do zapoznania się z informacją będzie każdy użytkownik (internauta), a nie tylko osoba która zamieściła informację lub która administruje serwerem. A zatem możliwość zapoznania się z danymi przez administratora systemu oraz ograniczony krąg osób uprawnionych (np. po odłączeniu serwera od internetu dane mogą przeglądać jedynie użytkownicy sieci LAN ) nie wyłączy odpowiedzialności karnej sprawcy ataku. Pozostanie bowiem cała rzesza użytkowników ( uprawnionych) którzy w wyniku ataku nie będą mogli zapoznać się z informacją zgromadzoną na serwerze.

Na gruncie omawianego przepisu podlega ochronnie jedynie "istotna" informacja. Przestępstwem będzie zatem atak udaremniający lub utrudniający zapoznanie się z "istotną" informacją.

Jak wskazuje się w literaturze chodzi w tym przypadku o ISTOTNĄ informację w znaczeniu obiektywnym. Przy ocenie "istotności informacji" należy brać również pod uwagę interes dysponenta informacji oraz w pewnych przypadkach interes podmiotu którego dotyczy informacja. Słusznym wydaje się postulat oceny "istotności" informacji odnosząc jej wartość do pewnego standardu obowiązującego w dziedzinie której dana informacja dotyczy. Moim zdaniem oceniając "istotność" informacji należy kierować się również nakładem pracy i środków koniecznych do "uzyskania" danej informacji.

Ustawodawca wprowadził surowszą odpowiedzialność za udaremnienie lub utrudnienie zapoznania się z informacją zgromadzoną na "komputerowym nośniku informacji". A zatem zgodnie z art. 268 § 2 k.k. w przypadku ataków typu DOS sprawca będzie podlegał karze pozbawienia wolności do lat 3. Odpowiedzialność sprawcy będzie jeszcze surowsza jeżeli w wyniku ataku wyrządzona zostanie "znaczna szkoda majątkowa". Zgodnie z art. 268 § 3 k. k. sprawca wyrządzający znaczną szkodę majątkowa podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Zgodnie z art. 115 § 7 k. k. w zw. z § 5 znaczną szkodę majątkową stanowi szkoda przekraczająca dwustukrotną wartość najniższego miesięcznego wynagrodzenia. Przestępstwo z art. 268 § 2 k. k. jest przestępstwem umyślnym. Nie będzie zatem podlegał karze użytkownik który np. w wyniku awarii programu lub sprzętu przypadkowo dokonał ataku DOS na inny host.

Ponadto atak typu DOS łączy się z odpowiedzialnością cywilną sprawcy.
Przypisy:

1. A. Dudek, Nie tylko wirusy, Helion 1998;
2. M. Dudek, Co każdy internauta wiedzieć powinien - wybrane zagadnienia osobistej polityki bezpieczeństwa. w "Internet Fenomen Społeczeństwa Informacyjnego", pod red. ks. prof. T. Zasępy;
3. Krzysztof Rzecki, Leszek Siwik, Bezpieczeństwo w systemach komputerowych;
4. Artykuł dostępny na stronach serwisu http://www.ipsec.pl/;
5. Wojtek Jakóbczyk, Ataki DoS - ICQ
6. W. Wróbel w: G. Bogdan, K . Buchała, Z. Ćwiakalski, M. Dąbrowska-Kardas, P. Kardas, J. Majewski, M. Rodzynkiewicz, M. Szewczyk, W. Wróbel, A. Zoll, Kodeks karny, Część szczególna. Komentarz, t. 2
7. A. Adamski, Prawo karne komputerowe, Warszawa 2000, str. 72
8. A. Adamski, Przestępstwa komputerowe w nowym kodeksie karnym. str. 57 w serii: Nowa Kodyfikacja Karna Krótkie Komentarze.
9. A. Adamski, Prawo karne komputerowe j.w., str. 65
10. Zwraca na to uwagę P. Kardas, Prawnokarna ochrona informacji w polskim prawie karnym, Czasopismo prawa karnego i nauk penalnych 2000/1.

Realizacja: SIPLEX Studio