Spremembe kazenskega zakonika na obzorju (II)

V četrtek smo si pogledali posledice predlagane spremembe Kazenskega zakonika za varstvo materialnih avtorskih pravic. Vmes je vlada predlog sprejela, na seznamu sprememb, ki bodo imele zanimive posledice pa je poleg spremembe s področja varstva materialnih avtorskih pravic še kar nekaj kaznivih dejanj, ki jih sporočilo za javnost ne omenja.

Tako se med drugim spreminjata 221. in 237. člen KZ-1, ki govorita o vdorih v informacijske sisteme.

V prvem odstavku 221. člena se za besedo »kdor« doda besedilo »neupravičeno vstopi ali«.

V naslovu pri 237. členu se črta beseda »poslovni«.
Prvi odstavek se spremeni tako, da se glasi:
"(1) Kdor pri gospodarskem poslovanju neupravičeno vstopi ali vdre v informacijski sistem ali ga uporablja tako, da uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem vnese kakšen svoj podatek, ovira prenos podatkov ali delovanje informacijskega sistema ali neupravičeno prestreže podatek ob nejavnem prenosu v informacijski sistem, da bi sebi ali komu drugemu pridobil protipravno premoženjsko korist ali drugemu povzročil premoženjsko škodo, se kaznuje z zaporom do treh let.".

Spremenjeni 221. člen bi se tako glasil:

(1) Kdor neupravičeno vstopi ali vdre v informacijski sistem ali kdor neupravičeno prestreže podatek ob nejavnem prenosu v informacijski sistem ali iz njega, se kaznuje z zaporom do enega leta.

(2) Kdor podatke v informacijskem sistemu neupravičeno uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem neupravičeno vnese kakšen podatek, ovira prenos podatkov ali delovanje informacijskega sistema, se kaznuje za zaporom do dveh let.

(3) Poskus dejanja iz prejšnjega odstavka je kazniv.

(4) Če je z dejanjem iz drugega odstavka tega člena povzročena velika škoda, se storilec kaznuje z zaporom od treh mesecev do petih let.

Spremenjeni 237. člen pa:

(1) Kdor pri gospodarskem poslovanju neupravičeno vstopi ali vdre v informacijski sistem ali ga uporablja tako, da uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem vnese kakšen svoj podatek, ovira prenos podatkov ali delovanje informacijskega sistema ali neupravičeno prestreže podatek ob nejavnem prenosu v informacijski sistem, da bi sebi ali komu drugemu pridobil protipravno premoženjsko korist ali drugemu povzročil premoženjsko škodo, se kaznuje z zaporom do treh let.

(2) Če je bila z dejanjem iz prejšnjega odstavka pridobljena velika premoženjska korist ali povzročena velika premoženjska škoda in je storilec hotel sebi ali komu drugemu pridobiti tako premoženjsko korist ali drugemu povzročiti tako premoženjsko škodo, se kaznuje z zaporom do petih let.

Ministrstvo za pravosodje spremembo utemeljuje z:

S predlagano dopolnitvijo se v prvem odstavku 221. člena, ki določa kaznivo dejanje napada na informacijski sistem, dodaja izvršitvena oblika neupravičenega vstopa kot alternativna z neupravičenim vdorom v informacijski sistem. V računalniški stroki je uveljavljeno razlikovanje med obema oblikama napada, ki mu mora slediti tudi kazensko pravo. Tako gre
za neupravičen vstop v informacijski sistem na primer, če si storilec z metodo socialnega inženiringa pridobi tuje uporabniško ime in geslo ter se prijavi na strežnik. Storilec, ki s pomočjo posebej prirejenih programov izkoristi ranljivost informacijskega sistema strežnika, tako da ga ta spusti v informacijski sistem, pa stori dejanje neupravičenega vdora v informacijski sistem.
Uporaba dodane besede »neupravičeno« je pomembna, ker se vstopi ali vdori v
informacijski sistem lahko izvedejo tudi upravičeno, na primer, če podjetje najame osebo, da preveri ranljivost njenega informacijskega sistema. Tudi po sedanjem besedilu pri takem vdoru ne bi smelo biti kaznivega dejanja, vendar pa predlagana dopolnitev jasneje izključuje protipravnost, če gre za privolitev imetnika sistema. Na enak način so znaki izvršitve opredeljeni v predlaganem novem besedilu prvega odstavka 237. člena KZ-1.

Tako se v imenu preganjanja socialnega inženiringa vzpostavlja splošno kaznivost "neupravičenega vstopa", ob čemer pa se zastavlja kup vprašanj.

Sodobni pametni mobilni telefoni z WiFi vmesniki v veliko primerih sami vzpostavljajo povezave na odprta WiFi omrežja. Ker lastnik telefona ve za možnost nastopa protipravne posledice (neupravičen vstop), vendar mu je vseeno, če posledica nastopi, se poraja vprašanje, če se po tem predlogu ne kriminalizira čedalje večjega dela splošne populacije.

Vprašanje je tudi, kako aktiven mora biti "socialni inženiring" pri pridobivanju podatkov za "neupravičen" dostop oz. kaj sploh je "socialni inženiring" v kazenskem pravu?