Testowanie niezgodne z nowym prawem. Poprawki.

Niedawno informowaliśmy, że testowanie, a w szczególności bug bounty może być jeszcze surowiej karane. Na szczęście pojawiły się poprawki, które zniwelowały tamtą propozycję.

 

Przypominamy - nowy projekt art. 269b. podwyższał karę więzienia z 3 do 5 lat za działania, które w naszej opinii są testowaniem:

§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

 

Na szczęście Senat RP wprowadził znaczące poprawki do zmian w ustawie:

w art. 1 w pkt 8 w poleceniu nowelizacyjnym po wyrazach „w art. 269b” dodaje się dwukropek, pozostałą treść oznacza się jako lit. a oraz dodaje się lit. b w brzmieniu:

b) po § 1 dodaje się § 1a w brzmieniu:

§ 1a. Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.

 

Zapis ten sam w sobie oddziela hakera od testera i zwalnia go z odpowiedzialności karnej za testowanie. Senat jednak idzie dalej i dodatkowo proponuje:

w art. 1 dodaje się pkt 9 w brzmieniu:

9) po art. 269b dodaje się art. 269c w brzmieniu:

Art. 269c. Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.

 

W skrócie nawet jeśli tester znalazł lukę w oprogramowaniu, ale poinformował twórcę o problemie, to nie popełnia przestępstwa. Uzasadnienie ustawodawcy nie pozostawia wątpliwości co do celu wprowadzanych poprawek:

Celem kolejnych dwóch poprawek 2 i 3 jest wyjaśnienie sytuacji prawnej osób i innych podmiotów zajmujących się bezpieczeństwem teleinformatycznym.

Elementem tych działań jest testowanie systemów i sieci teleinformatycznych, np. poprzez dokonywanie włamań do systemów komputerowych.

Wykorzystane do tego są urządzenia i programy komputerowe, których wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie stanowi czyn zabroniony.

W celu umożliwienia jasnej oceny legalności działania danych osób konieczne stało się, poprzez zmianę art. 269b i dodanie art. 269c Kodeksu karnego, wprowadzenie przepisów przewidujących:
– wyłączenie przestępności czynu, jeżeli działania objęte znamionami przestępstwa miały na celu zabezpieczenie systemu lub sieci teleinformatycznej przed popełnieniem przestępstwa,
– wyłączenie przestępności działania sprawcy, który za uprzednią zgodą dysponenta sieci sprawdza bezpieczeństwo tego systemu lub sieci, a działanie to nie naruszyło niczyjego interesu i nie wyrządziło szkody,
– wyłączenie karalności działań nieuzgodnionych z dysponentem systemu lub sieci, jeżeli sprawca niezwłocznie powiadomił dysponenta o stwierdzonych zagrożeniach, a jego działanie nie spowodowało szkód.

 

Komisja Sprawiedliwości i Praw Człowieka pozytywnie zaopiniowała poprawki i wnosi o ich przyjęcie.

Problem niesławnego artykułu 269b ciągnął się przez wiele lat. Przez wielu był traktowany jako martwy przepis, ale trzeba było powiedzieć o doskonałym przykładzie złego prawa. Na szczęście zostało to naprawione z korzyścią dla wszystkich zainteresowanych testowaniem stron.

Dziękujemy Maciejowi Chmielarzowi za udostępnienie informacji.

 

Źródła

 

 

 

Wakacyjne terminy szkoleń

 

10-11.07.17 - Warszawa

Testowanie aplikacji internetowych


10-12.07.17 - Wrocław

ISTQB Poziom Podstawowy (Foundation Level)


19-21.07.17 - Wisła

ISTQB Poziom Podstawowy (Foundation Level)


24-27.07.17 - Kazimierz Dolny

Zawód Tester

 

Partnerzy

Narzędzia testerskie