EU pripravlja hujše kazni za hekerje

Odbor Evropskega parlamenta za državljanske svoboščine, pravosodje in notranje zadeve (LIBE) je ta teden obravnaval dva zelo zanimiva predloga. V torek so proti nekaterim pričakovanjem potrdili obnovitev sporazuma o izmenjavi podatkov o letalskih potnikih z ZDA [1], dan prej pa so še zdajšnji tekst direktive EP in Sveta o napadih na informacijske sisteme [2]. Glavna nota slednje so poenotene in strožje kazni za vdore v informacijski sistem, po novem do dve leti zapora za vdore v informacijski sistem, v kvalificiranih primerih pa do 5 let zapora. Za kvalificirane se štejejo vsi vdori, ki so uperjeni na ti. "ključno infrastrukturo", izvedeni z namenskim programom (botneti, DDOS orodja, orodja za masovno krajo gesel) oz. izvedeni v okviru hudodelske združbe. Za primere uporebe tuje digitalne identitete ("IP spoofing") pa parlamentarci posebej zahtevajo kazen do treh let zapora.

To so minimalne najvišje zagrožene kazni, se pravi, kazni, ki jih morajo zagotavljati kazenski zakoniki držav članic in ki jih potem lahko sodišče izreče krivemu storilcu kaznivega dejanja vdora v informacijski sistem v najhujših primerih. Države seveda lahko določijo še strožje kazni, vendar bo za večino njih že predlagan dvig sorazmerno visok. Slovenski KZ-1 (221. oz. 237. člen) bo, na primer, kljub lanski ponovni kriminalizaciji vstopa v informacijski sistem (KZ-1B) nujno rabil še eno osvežitev, ker ne pozna vseh omenjenih kvalificiranih okoliščin in ker za goli vstop oz. vdor v informacijski sistem trenutno predvideva največ 1 leto zapora, torej premalo. Hujše kazni sicer veljajo v primeru neupravičene uporabe tega sistema (do treh let oz. v primeru povzročitve velike škode od treh mesecev do pet let), oz. za koristoljubne zaposlene v primeru zlorab poslovnih informacijskih sistemov, kjer je določena kazen do treh let zapora oz. pet v primeru povzročene velike škode.

Posebej bo treba kriminalizirati tudi proizvodnjo in promet z računalniškimi programi, namenjenimi napadom na informacijske sisteme (ti. cyber-attack tools). O tem smo precej poslušali že lani in potem tudi spremljali tekom lova na domnevnega slovenskega pisca botneta Mariposa. Komisija, Parlament in Svet se še niso izjasnili, ali bo za kaznivost potreben izključen namen napada, zgolj pretežni ali celo gola možnost, zagotovo pa trenutni na mizi ni izjeme za raziskovalno delo (ti. research exception). To bi lahko v sivo ali celo črno cono postavilo številne varnostne inženirje, ki aktivno iščejo varnostne pomanjkljivosti in z dobavitelji aktivno sodelujejo pri njihovi odpravi (ne manjka člankov z naslovom EU law plans to arrest security experts), ali pa jih za debele zneske prodajajo željnim kupcem v poslovni in vladni sferi. V odgovor na javno zelo odmevne primere prisluškovanja s strani časopisov in korporativnega hekanja bo lahko po novem kazenska odgovornost zadela tudi pravne osebe, posebej če bodo nabavljala taka orodja ali če bodo zaposlovala ali najemala "hekerje" za vdore v informacijske sisteme.

Končno sta predvidena še proaktivna izmenjava podatkov in intenzivnejše mednarodno pravosodno sodelovanje na področju kibernetske kriminalitete.

Poročevalka parlamenta za zadevo, Monika Hohlmeier (Nemčija, EPP), je pred glasovanjem opozorila, da je direktiva potrebna kot odgovor na "resne napade, dostikrat izpod prstov organiziranega kriminala, ki uporabnikom, podjetjem in širši družbi povzročajo več milijard evrov letne škode". Potrebo po poenotenju in povišanju kazni je nato utemeljila takole: "Noben proizvajalec avtomobilov ne sme prodati vozila brez vgrajenih varnostnih pasovov, kajti če če bi, bi moral odgovarjati za [morebitne poškodbe] v primeru nesreče. Takšna pravila rabimo tudi v virtualnem svetu". Ostali člani komiteja so predlog potrdili s 50 glasovi za, 1 proti in 3 vzdržanimi člani, brez da bi razčistili, kdo je tu proizvajalec avta in kaj varnostni pas. Je pa treba priznati, da predlog parlamenta v določenih delih konkretizira izvorno besedilo izpod prstov komisije in mu s tem dviguje jasnost in pravno pravnost.

Direktiva je v igri že od predlani, sprejema pa se lahko nadejamo še to poletje. Spremembe kazenskih zakonikov bi po tej časovnici najbrž prišle na vrsto prihodnje leto.

^{[1] Plenarno glasovanje bo aprila in tudi če pade, bo stari sporazum iz 2007 veljal še dobri dve leti.
[2] Naši prevajalci so jo v tekstu pomotoma prevedli kot uredbo, kar ni isto.}