Redakcja
[AKTUALIZACJA] Ustawa w drodze prac legislacyjnych została "naprawiona". Czytaj więcej >>
Zgodnie z założeniami do zmian w prawie miało być tak, że Twoje działania w oprogramowaniu (w tym testowanie), jeśli nie masz złych intencji, nie będą podlegały penalizacji. W praktyce nowa ustawa nie tylko karze za takie testy, ale dodatkowo podnosi za nie kary. Nie ma znaczenia jakie masz intencje w testowaniu ogólnodostępnych aplikacji.
Już teraz w polskim prawie przewidziane są kary za szukanie luk, przy czy nie ma znaczenia czy dana osoba działa w dobrej wierze, czy też w chce komuś zaszkodzić (art. 269b Kodeksu karnego). Jaki pisze Dziennik Internautów: Problem został dostrzeżony przez obecną minister cyfryzacji. W listopadzie ubiegłego roku Anna Streżyńska zaproponowała dodanie do Kodeksu karnego tzw. kontratypów przestępstw czyli przepisów wyłączających karalność wytwarzania i posiadania wspomnianych urządzeń lub programów w celach prowadzenia badań naukowych związanych z cyberbezpieczeństwem oraz w celu testowania systemów komputerowych za zgodą ich administratora. Propozycja została ciepło przyjęta w środowiskach związanych z bezpieczeństwem komputerowym. Niestety jak dotąd jej nie zrealizowano, a tymczasem Ministerstwo Sprawiedliwości postanowiło zaostrzyć karanie przestępstwa określonego w art. 269b. Propozycja tego zaostrzenia pojawiła się właśnie w projekcie o konfiskacie rozszerzonej.
Nowe zapisy zostały przemycone w nowelizacji Kodeksu karnego, który wprowadza tzw. konfiskatę rozszerzoną, czyli zabieranie gangsterom majątków, którego dorobili się na przestępstwach. Niestety wraz z ustawą pojawiły się zapisy, które nakładają kary na tych, którzy w oprogramowaniu szukają luk, nawet jeśli robią to w dobrej wierze.
Nowy projekt art. 269b. podwyższa karę więzienia z 3 do 5 lat i brzmi następująco:
§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Dla testerów oprogramowania otwartym pytaniem pozostaje: Co jest pozyskaniem programu komputerowego przystosowanego do popełnienia przestępstwa? Przecież praktycznie każde narzędzie testerskie służące do analizy oprogramowania może być takim programem! Oto kilka przykładów:
- plugin do przeglądarki sprawdzający podatność strony na XSS
- dowolne narzędzie do podglądania i modyfikowania ruchu sieciowego (np. Fiddler)
- automatyczne skanery linków na stronie internetowej (np. Xenu).
Wydaje się również, że jeśli w polu logowania do aplikacji zdarzy się Wam wpisać: "admin/admin", to właśnie złamaliście prawo i możecie na 5 lat pójść do więzienia.
Źródła
