SYSTEM BEZPIECZEŃSTWA W CYBERPRZESTRZENI RP ebook

Wstęp

Współczesne społeczeństwo często jest nazywane społeczeństwem informacyjnym, społeczeństwem trzeciej fali lub cyberspołeczeństwem. Na określenie nowej cywilizacji używane są również takie terminy, jak: era informacyjna, era kosmiczna, era elektroniczna czy też globalna wioska. Istnieje wiele definicji. Można przyjąć, że społeczeństwo informacyjne to takie, które posiada instrumenty techniczne i prawne, ale przede wszystkim ma wiedzę, która pozwala mu z tych instrumentów korzystać; dlatego często mówimy o społeczeństwie opartym na wiedzy. Jednym z podstawowych obszarów wiedzy TIK (technologie informacyjno-komunikacyjne – Information and Communication Technologies), którego znaczenie wciąż rośnie, jest bezpieczeństwo. Według „Computerworld Polska” (luty 2016, nr 2/1057) wartość rynku związanego z cyberbezpieczeństwem wrosła w 2014 r. w Polsce o 8 proc. i przekroczyła 300 mln dolarów. Z tym faktem wiąże się wzrost zatrudnienia w sektorze TIK, a tendencja ta według analityków ma się utrzymać do 2019 r. Tym samym specjalizacja z zakresu cyberbezpieczeństwa pojawia się na liście najbardziej poszukiwanych kompetencji. Szacunki wskazują także, iż wojsko potrzebuje co roku przynajmniej około 50 specjalistów w zakresie cyberbezpieczeństwa, w tym ekspertów w zakresie kryptografii, organizacji oraz bezpieczeństwa systemów teleinformatycznych, z dobrą znajomością regulacji prawnych związanych z tym obszarem.

Od pewnego czasu pojęcie bezpieczeństwa państwa silnie wiąże się z bezpieczeństwem sieci i cyberprzestrzeni. Należy zaznaczyć, że bezpieczeństwo w cyberprzestrzeni zawsze było obecne w polityce bezpieczeństwa i obronności państwa jako ważny obszar łączący procedury oraz instrumenty prawne ochrony danych, informacji i systemów. Jest ono niezbędnym elementem prawidłowego postępu naukowo-technicznego i jako takie określa potrzeby ochrony tego obszaru nie tylko z punktu widzenia użyteczności, ale również ze względu na przeciwdziałanie zupełnie nieznanym dotąd zagrożeniom. W dziedzinie cyberbezpieczeństwa pojawia się wiele określeń, takich jak: bezpieczeństwo informatyczne, cyberbezpieczeństwo, bezpieczeństwo teleinformatyczne. W dobie globalnej informatyzacji, także sfery publicznej, w warunkach rozwoju portali społecznościowych, wszechobecnego mailingu, czyli wiadomości rozsyłanych na wiele adresów e-mailowych zgromadzonych w bazie danych, często dochodzi do nieuprawnionych działań, które mogą stanowić naruszenie dóbr osobistych, prawa własności czy praw konsumenckich. Jednak coraz częściej pojawiają się także cyberzagrożenia innego typu, które dotykają struktur władzy publicznej i samego państwa. Współcześnie, kiedy strefa prywatności człowieka wolna od ingerencji osób trzecich stopniowo się kurczy, w jednakowym, a może nawet większym stopniu proces ten dotyczy obszaru prawidłowego działania administracji publicznej oraz jej służb, także sił zbrojnych.

Przetwarzanie informacji w przestrzeni wirtualnej powoduje, iż konieczne staje się regulowanie kwestii dostępu do nich; dostęp ów może się bowiem stać źródłem zagrożeń, nawet w przypadku, kiedy nie mają one charakteru niejawnego. Coraz częściej ataki na informacje lub przy wykorzystaniu informacji przyjmują charakter masowy i wielokierunkowy. Ale nie tylko o ochronę informacji tu chodzi. Zagrożenia, jak określa to definicja cyberprzestrzeni, mogą wynikać z relacji między sieciami, między sieciami i komputerami, a także z relacji użytkowników z sieciami i komputerami; dotyczy to również relacji między użytkownikami oraz między komputerami.

Na ten globalny charakter zagrożeń związanych z bezpieczeństwem w cyberprzestrzeni wskazują kolejne debaty dotyczące przyszłych uregulowań prawnych. Jedną z nich była konferencja na temat „System bezpieczeństwa w cyberprzestrzeni RP”, która odbyła się 11 grudnia 2018 r. w Sejmie RP, a której organizatorami byli: Komisja Obrony Narodowej Sejmu RP, Komisja Administracji i Spraw Wewnętrznych Sejmu RP we współpracy z Katedrą Prawa Mediów, Własności Intelektualnej i Prawa Nowych Technologii Instytutu Prawa i Administracji Obronnej Wydziału Bezpieczeństwa Narodowego Akademii Sztuki Wojennej w Warszawie. W trakcie tego dyskursu pojawiła się dyrektywa wskazująca na potrzebę budowy systemu cyberbezpieczeństwa w Polsce obejmującego różne obszary działania jednostki i państwa oraz różne poziomy interwencji regulacyjnej. Efektem tych analiz jest przekazana w Państwa ręce publikacja. Należy zaznaczyć, że praca ta stanowi samodzielną monografię obejmującą szereg zagadnień, albowiem także poruszana w niej problematyka cyberbezpieczeństwa to obszar interdyscyplinarny obejmujący sektor publiczny oraz sektor prywatny.

Wobec wskazanych powyżej uwarunkowań konieczne stało się ukierunkowanie rozważań naukowych na zagadnienia związane z cyberbezpieczeństwem. To także konieczny element prawidłowego rozwoju społeczeństwa w zakresie organizacji i zarządzania obronnością państwa, zarówno w kontekście zewnętrznego bezpieczeństwa państwowego, jak i bezpieczeństwa wewnętrznego, praktycznie na każdym poziomie funkcjonowania społeczeństwa i samej administracji (struktura rządowa oraz samorządowa z organizacją krajowej infrastruktury państwa).

Należy zatem przyjąć, że cyberbezpieczeństwo jest zjawiskiem interdyscyplinarnym, korzystającym z dorobku wielu innych dziedzin (w tym z różnych dziedzin prawa). Aby jednak wyodrębnić je z całego systemu prawa i administracji publicznej (w tym drugim przypadku przede wszystkim organizacyjnie i podmiotowo), konieczne jest określenie zakresu działania, jakiego sfera ta dotyczy (zarówno w sensie przedmiotowym, podmiotowym, organizacyjnym, jak i funkcjonalnym). Dopiero wówczas będzie możliwe usystematyzowanie przedstawionej problematyki. W naszym przekonaniu jest to zabieg niezbędny w obliczu rozwoju TIK i cyberprzestrzeni oraz zagrożeń z nimi związanych dla obronności państwa i bezpieczeństwa jednostki. Wstępna diagnoza postawiona w niniejszej pozycji stanowi pierwszy krok w próbach dookreślenia zakresu merytorycznego systemu cyberbezpieczeństwa RP.

Waldemar Kitler

Katarzyna Chałubińska-Jentkiewicz

Katarzyna Badźmirowska-Masłowska

I

Odpowiedzialność w cyberprzestrzeni

RP

Katarzyna Chałubińska-Jentkiewicz1

Odpowiedzialność w sieci – diagnoza stanu obecnego

Dynamiczne zmiany cywilizacyjne obserwowane w ostatnich latach na całym świecie są skutkiem gwałtownego rozwoju technik informacyjnych oraz wspomagających je technologii informacyjno-komunikacyjnych. Nową sferą oddziaływania tych procesów jest cyberprzestrzeń jako piąty obszar działań obronnych. Według W. Kitlera dziedziny bezpieczeństwa mogą mieć swoją odrębność i być powiązane z określonymi sektorami państwa, lecz są takie – i będzie ich coraz więcej – które nie mają charakteru branżowego, ale transsektorowy, transdyscyplinarny. Do takich należy np. bezpieczeństwo informacyjne, cybernetyczne, antyterrorystyczne, ustrojowe, informacji niejawnych2. W powszechnym rozumieniu bezpieczeństwo jest postrzegane przede wszystkim w negatywnym znaczeniu jako stan cechujący się brakiem zagrożeń, ale także brakiem niebezpieczeństw, pewnością, spokojem, ochroną przed zagrożeniami3. Osiąga się je przez ochronę zasobów informacyjnych państwa, ochronę przed działaniami wrogimi (dezinformacja i propaganda), a także utrzymywanie zdolności do działań ofensywnych wobec sprawców tych działań. Pojęcie „bezpieczeństwo sieci i informacji” zostało zdefiniowane w Rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 460/2004 z 10 marca 2004 r., ustanawiającym Europejską Agencję do spraw Bezpieczeństwa Sieci i Informacji, jako „odporność sieci lub systemu informacyjnego na zdarzenia przypadkowe lub działania nielegalne albo podstępne, naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych oraz związanych z nimi usług oferowanych lub dostępnych przez te sieci i systemy”4.

Należy podkreślić, że bezpieczeństwo informacyjne jako tylko jeden z elementów cyberbezpieczeństwa zostało poddane regulacjom na gruncie przepisów karnych (patrz – Przestępstwa przeciwko informacji – rozdz. 33 k.k.5), przepisów ustawy o ochronie danych osobowych oraz przepisów ustawy o ochronie informacji niejawnych. Wpływ na bezpieczeństwo mają wszystkie interakcje społeczne, a sama kultura bezpieczeństwa określa, jaki jest stosunek danej społeczności do ryzyka, zagrożeń i bezpieczeństwa oraz jakie wartości w tym zakresie uważane są za istotne. Podstawowa konstrukcja internetu opiera się na otwartości zarówno architektury jego infrastruktury, jak i kultury jego twórców i użytkowników. Prostota i łatwość łączenia różnych komputerów pozwoliła na ogromne rozszerzenie liczby użytkowników, a otwarta filozofia jego kształtowania stworzyła z niego ogromnie atrakcyjne, interakcyjne na wielu poziomach medium”6.

Cyberprzestępczość jest zjawiskiem stosunkowo nowym, jednak bardzo szybko się rozwijającym. Obecnie prawie każdy ma możliwość korzystania z sieci teleinformatycznej i dostępu do jej zasobów. Cyberprzestępczość z racji coraz bardziej powszechnego dostępu do sieci może godzić w interesy państwa, które część swoich spraw przenosi na pole sieci teleinformatycznej, co czasem może nawet doprowadzić do podważenia jego suwerenności7. Dzieje się tak, ponieważ nie wszyscy użytkownicy dobrze rozumieją mechanizmy działania sieci teleinformatycznej, co prowadzi do swego rodzaju ignorancji własnego bezpieczeństwa w cyberprzestrzeni8. Cyberprzestępczość obejmuje zarówno te czyny, które stanowią odzwierciedlenie przestępczości w świecie rzeczywistym, jak i zupełnie nowe zjawiska, charakterystyczne wyłącznie dla cyberprzestrzeni, a stanowiące zagrożenia dla jednostki czy państwa. W Raporcie głównym o zagrożeniach bezpieczeństwa narodowego wyróżniono około 50 typów zagrożeń, przy czym 18 z nich zawarto w Krajowym Planie Zarządzania Kryzysowego, wśród nich zagrożenie cyberterroryzmem9. W przypadku ataków cybernetycznych wymieniono jedynie możliwe skutki ataków cybernetycznych dla ludzi i mienia. Jako potencjalne skutki dla ludności wymienia się: zagrożenie dla życia i zdrowia ludzi spowodowane zakłóceniami systemów energetycznych, sterowania ruchem itp., utratę zaufania do instytucji publicznych, brak możliwości realizacji zadań merytorycznych, brak możliwości komunikacji.

Jako potencjalne skutki dla mienia wymienia się tak zasadnicze punkty, jak: znaczące straty finansowe i gospodarcze oraz skutki społeczne, zakłócenia zaopatrzenia w energię, paliwa, żywność, wodę pitną, zakłócenia pracy infrastruktury przesyłowej.

Z kolei zarządzanie kryzysowe obejmuje wprawdzie swoim zakresem sieci teleinformatyczne, ale bardziej jako jeden z typów sieci przesyłowych, i zarazem w ogóle nie uwzględnia warstwy udostępniania, przetwarzania i przechowywania informacji, która przenika wszelkie aspekty funkcjonowania społeczeństwa informacyjnego. W dokumencie Sprawozdanie z szacowania ryzyka cyberprzestrzeni w administracji rządowej w 2013 r. przyjęto następujące główne kategorie i podkategorie zagrożeń: zagrożenia ukierunkowane na informacje (kradzież informacji celem publikacji bądź sprzedaży, fałszowanie informacji), zagrożenia ukierunkowane na infrastrukturę teleinformatyczną (usunięcie danych, zakłócenie funkcjonowania, przejęcie systemu teleinformatycznego), awarie IT, niedostateczne kompetencje10.

Podejście regulatorów do zagadnienia cyberprzestrzeni, cyberbezpieczeństwa i cyberodpowiedzialności wynika z utożsamiania tego rodzaju ochrony z potrzebą przeciwdziałania atakom nakierowanym na same sieci, co wydaje się nieuzasadnione, zwłaszcza w kontekście analizy pojęcia cyberprzestrzeni11. Wskazane powyżej rozumienie cyberprzestrzeni przeniknęło do języka prawnego razem z początkiem obowiązywania ustawy z 30 sierpnia 2011 r. o zmianie ustawy o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych innych ustaw12. Polska definicja pojęcia cyberprzestrzeni znajduje się w ustawie z 29 sierpnia 2002 r. o stanie wojennym oraz kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej13. Kolejną definicję legalną pojęcia cyberprzestrzeni zawiera ustawa z 21 czerwca 2002 r. o stanie wyjątkowym14. Według powyższej ustawy przez cyberprzestrzeń rozumie się „przestrzeń przetwarzania i wymiany informacji tworzoną przez systemy teleinformatyczne określone w art. 3 pkt 3 ustawy z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne15, wraz z powiązaniami między nimi oraz relacjami z użytkownikami”16. Taką samą definicję legalną zawiera ustawa z 18 kwietnia 2002 r. o stanie klęski żywiołowej17. Ustawy te odnoszą się do zachowań w płaszczyźnie wirtualnej, w jakiej poruszają się podmioty prawa w momencie wystąpienia jednego z trzech stanów nadzwyczajnych. Przyjęta w Założeniach Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej koncepcja krajowego systemu cyberbezpieczeństwa obejmuje m.in. przebudowanie definicji cyberprzestrzeni i jej rozciągnięcie na sferę kluczowych operatorów funkcjonujących w sferze gospodarczej.

Pojęcie cyberprzestrzeni można zatem sformułować jako syntezę wszystkich fizycznych i technicznych środków pozwalających na wymianę informacji drogą elektroniczną oraz relacji użytkowników posiadających dostęp do jej zasobów.

Cyberbezpieczeństwo czy bezpieczeństwo sieci jest pojęciem odnoszącym się do zapewnienia ochrony i przeciwdziałania zagrożeniom, które dotykają samej cyberprzestrzeni, jak i funkcjonowania w cyberprzestrzeni, a dotyczy to zarówno sektora publicznego, jak i prywatnego oraz ich wzajemnych relacji. Aczkolwiek zgodnie z art. 2 pkt 4 ustawy z 5.07.2018 r. o krajowym systemie cyberbezpieczeństwa18 – cyberbezpieczeństwo oznacza odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Zatem definicja ta odnosi się jednak do zagadnień technicznej natury i ochrony sieci jako takiej. Natomiast na rzecz tego stanowiska, zgodnie z którym cyberbezpieczeństwo ma charakter znacznie szerszy, interdyscyplinarny, przemawia charakterystyka pojęcia cyberzagrożenia jako pojęcia obejmującego swoim zakresem incydenty, jakie pojawiają się w cyberprzestrzeni19. Przy czym incydentem zgodnie z art. 2 pkt 5 ustawy o krajowym systemie cyberbezpieczeństwa jest incydent – zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo. Natomiast zgodnie z art. 2 pkt 6 incydent krytyczny to incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV. Incydent poważny to incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej; incydent istotny – incydent, który ma istotny wpływ na świadczenie usługi cyfrowej w rozumieniu art. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 z 30 stycznia 2018 r. ustanawiającego zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych oraz parametrów służących do określenia, czy incydent ma istotny wpływ, zwanego dalej „rozporządzeniem wykonawczym 2018/151”20. Incydent w podmiocie publicznym – incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego – to czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu.

Całość tych zjawisk dzieje się w równoległej przestrzeni stanowiącej nowe pole dla ludzkich działań, na którą są przenoszone zachowania i rozwiązania stosowane w świecie realnym. Prawodawcy z różnych szczebli, zarówno międzynarodowego, jak i krajowego, wprowadzają nowe regulacje. Doprowadziło to do dezaktualizacji zjawiska, jakim była bezkarność działania nielegalnego w sieci. Należy zauważyć, że cyberprzestrzeń pod względem przyjmowania czy tworzenia nowych reguł zachowania jest bardziej plastyczna niż rzeczywistość. Ta jej podatność niesie ze sobą udogodnienia oraz zupełnie nowe wyzwania dla prawodawcy. Udogodnieniem jest łatwość wprowadzania regulacji adekwatnie do tych obowiązujących w świecie rzeczywistym, jednak przepisy tak ustalone często spotykają się z blokowaniem lub zwyczajną ignorancją ze strony użytkowników sieci teleinformatycznej, w szczególności ze względu na brak instrumentów dochodzenia roszczeń czy ścigania przestępczości. Jednym z kluczowych problemów jest ustalenie podmiotów odpowiedzialnych za zapewnienie cyberbezpieczeństwa, podmiotów odpowiedzialnych za nielegalne działania w sieci, głównie związane ze świadczeniem usług, oraz za działania niepożądane, stanowiące efekt aktywności komputerów. Te trzy obszary wyznaczają trzy kierunki badań związanych z odpowiedzialnością w cyberprzestrzeni.

Cyberprzestrzeń to współcześnie symbol rozwoju, ale także wolności i prywatności, a każda ingerencja w jej funkcjonowanie kojarzona jest z atakiem na te wartości. W państwach zaangażowanych w budowę społeczeństwa informacyjnego bezpieczeństwo cyberprzestrzeni uznawane jest za jedno z najpoważniejszych wyzwań w systemie bezpieczeństwa narodowego. Odnosi się ono zarówno do bezpieczeństwa całej instytucji państwowej, jak i poszczególnych obywateli. Dlatego zadania publiczne na rzecz bezpieczeństwa cyberprzestrzeni zajmują istotne miejsce w Systemie Bezpieczeństwa Narodowego RP. Odpowiedzialność za zapewnienie cyberbezpieczeństwa spoczywa na wszystkich użytkownikach sieci, ale znaczącą rolę odgrywają organy administracji publicznej, której jednym z podstawowych zadań są działania na rzecz zapewnienia bezpieczeństwa i porządku publicznego.

Jak już wcześniej wspomniano, jednym z priorytetowych zadań publicznych jest zapewnienie bezpieczeństwa cyberprzestrzeni jako obszaru transsektorowego. Cyberbezpieczeństwo jest o tyle ważne, iż zagrożenia występujące w cyberprzestrzeni mogą negatywnie wpłynąć na potrzeby narodowe, a ich realizacja jest istotą zadań publicznych. Do najważniejszych potrzeb narodowych zalicza się: potrzeby o charakterze ustrojowym (m.in. umacnianie ustroju społeczno-gospodarczego i porządku prawnego), ekonomicznym (m.in. rozwój kraju, wzrost gospodarczy), społecznym (zapewnienie ochrony zdrowia, zabezpieczenie społeczne, czy przeciwdziałanie wszelkim przejawom dyskryminacji), ekologicznym (ochrona środowiska naturalnego) i kulturowym (pielęgnowanie dziedzictwa narodowego, poszanowanie różnic światopoglądowych i etnicznych)21. Cyberzagrożenia mogą wpłynąć negatywnie na każdą z tych potrzeb narodowych, co tłumaczy, dlaczego bezpieczeństwo cyberprzestrzeni jest tak istotne dla prawidłowego funkcjonowania państwa. Zadania publiczne w zakresie bezpieczeństwa cyberprzestrzeni realizuje się przede wszystkim przez współpracę organów i służb publicznych odpowiedzialnych za cyberbezpieczeństwo zarówno na poziomie krajowym (sektor prywatny, organizacje pozarządowe), jak i międzynarodowym (NATO, Unia Europejska, ONZ, stowarzyszenia transnarodowe)22. Kolejnym istotnym elementem tych zadań są działania legislacyjne, czyli przygotowywanie odpowiednich przepisów prawnych ochraniających cyberprzestrzeń i tym samym zmniejszających ryzyko przeprowadzenia potencjalnych ataków23. Za strategiczne zadania w zakresie bezpieczeństwa cyberprzestrzeni należy uznać: zwalczanie zagrożeń w cyberprzestrzeni; ochronę systemów informacyjnych państwa; współpracę z sektorem prywatnym (głównie telekomunikacyjnym) w zakresie przekazywania informacji o cyberzagrożeniach; działania prewencyjne i profilaktyczne w zakresie bezpieczeństwa obywateli przed cyberzagrożeniami; śledzenie cyberprzestępstw i ściganie ich sprawców; przeprowadzanie zarówno ofensywnych, jak i defensywnych działań informacyjnych w cyberprzestrzeni, a także współpracę z innymi podmiotami Systemu Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej24.

Zadania publiczne dla jego zapewnienia wykonują różnego typu podmioty państwowe, straże, służby i inspekcje podległe Prezesowi Rady Ministrów bądź poszczególnym ministrom. Wiodącą rolę wśród nich, ze względu na swe kompetencje, pełnią: Agencja Bezpieczeństwa Wewnętrznego, Minister Cyfryzacji, Minister Spraw Wewnętrznych i Administracji oraz Minister Obrony Narodowej. Istnieje także wiele innych organów publicznych odpowiedzialnych za tę strefę, jak na przykład Prezes Urzędu Ochrony Konkurencji i Konsumenta.

Jednak kluczową rolę dla bezpieczeństwa cyberprzestrzeni odgrywa Minister Obrony Narodowej. Wraz z rozwojem cyfryzacji administracji publicznej także Siły Zbrojne uległy informatyzacji, co w efekcie doprowadziło do pojawienia się newralgicznych punktów narażonych na ataki z cyberprzestrzeni25. Nowe technologie i sieci wykorzystywane są coraz częściej w rozpoznaniu operacyjnym26 czy walce informacyjnej. Procesy te nasilają się wraz z rozwojem nanotechnologii i urządzeń zautomatyzowanych i zrobotyzowanych. Należy zauważyć, że do cyberprzestrzeni przenikają także działania ofensywne, co powoduje, iż kolejne kraje decydują się na rozwój cyfrowych zdolności ofensywnych, których celem jest odstraszanie potencjalnych agresorów27. Zmiany związane z cyfryzacją spowodowały, że w strukturach Sił Zbrojnych RP powstały specjalne jednostki zajmujące się bezpieczeństwem cyberprzestrzeni. W ramach Sztabu Generalnego WP, pod kierownictwem Dowódcy Generalnego Rodzajów Sił Zbrojnych, funkcjonuje Inspektorat Systemów Informacyjnych łączący poszczególne jednostki wsparcia teleinformatycznego, które funkcjonowały do 1 października 2013 r. Sformowanie Inspektoratu Systemów Informacyjnych dookreśliło odpowiedzialność za system zarządzania bezpieczeństwem teleinformatycznym w cyberprzestrzeni, będącej w kompetencji Ministra Obrony Narodowej. Inne zadania z zakresu bezpieczeństwa cyberprzestrzeni Sztab Generalny RP wykonuje za pomocą Zarządu Planowania Systemów Dowodzenia i Łączności. Nowo utworzoną jednostką podlegającą Ministerstwu Obrony Narodowej jest Narodowe Centrum Kryptologii, które zajmuje się badaniami i wdrażaniem rozwiązań kryptograficznych na potrzeby polskiej administracji publicznej i wojska. W ramach NCK powstaje Centrum Operacji Cybernetycznych. Kolejnym ważnym organem, który realizuje zadania dla zapewnienia bezpieczeństwa cyberprzestrzeni, jest Prezes Urzędu Komunikacji Elektronicznej, który jest organem regulacyjnym w dziedzinie rynku usług telekomunikacyjnych i pocztowych, oraz NASK odpowiedzialny za cyberbezpieczeństwo. W konsekwencji rozwoju tych usług niezwykle ważną rolę dla cyberbezpieczeństwa i porządku publicznego w cyberprzestrzeni odgrywa przede wszystkim Minister Spraw Wewnętrznych i Administracji. Kluczową funkcję pełni tu podległy Ministrowi Komendant Główny Policji. Wydział Wsparcia Zwalczania Cyberprzestępczości, będący wydzieloną komórką organizacyjną Komendy Głównej Policji, zajmuje się wykrywaniem internetowych przestępstw, analizowaniem incydentów w cyberprzestrzeni, wymianą informacji oraz współpracą zarówno z krajowymi, jak i międzynarodowymi podmiotami.

Zaznaczyć trzeba także konieczność wprowadzenia nowych regulacji w działaniach przedsiębiorców telekomunikacyjnych i operatorów jako pośredników w świadczeniu usług w cyberprzestrzeni. Trudno zaprzeczyć, że możliwość monitorowania transakcji i działań dokonywanych przez użytkowników sieci i uzyskiwania na tej drodze wiadomości o operacjach finansowych, zachowaniach i decyzjach handlowych, o zwyczajach konsumenckich itp. stwarza poważne zagrożenie dla prywatności, ochrony danych osobowych, a także generalnie poczucia bezpieczeństwa jednostki. Na brak pełnego unormowania stosunków prawnych odnoszących się do świadczenia usług elektronicznych duży wpływa ma ich globalny zasięg. Usługi te są transgraniczne, w związku z tym prawo krajowe nie może wpływać na usługi świadczone przez usługodawców innych państw, przy czym należy wyraźnie podkreślić, że ze względu na specyfikę narzędzi informatycznych i wynikającą z nich funkcjonalność, usługi świadczone drogą elektroniczną w istotnym stopniu odróżniają się od ich tradycyjnych form, co pozwala uznać rynek usług świadczonych elektronicznie za odrębny w stosunku do rynku usług występujących w klasycznym obrocie, a to z kolei wymaga innowacyjnego podejścia, także w obszarze regulacji. Rynek ten nie ma już jedynie charakteru subsydiarnego w stosunku do rynku usług tradycyjnych. Internet stał się istotnym elementem życia gospodarczego. Jest on ważnym ogniwem globalizacji usług. Nowe problemy prawne w obrocie elektronicznym „pojawiły się równie szybko, jak szybko rozwijało się u większości osób początkowe naiwne przekonanie (czy nadzieja), że internet stanowić będzie swoisty obszar wolności bez sztywnych prawnych ram, administracyjnych ograniczeń czy fiskalnych obciążeń”28.

Zatem można powiedzieć, że w ostatnich latach obserwujemy wzrost zainteresowania administracji publicznej bezpieczeństwem cyberprzestrzeni, co powoduje, że powstaje coraz więcej jednostek i organizacji zajmujących się tym problemem. Jednak dla efektywniejszego wykonywania zadań publicznych w tym obszarze konieczna jest współpraca i wymiana informacji między obszarami administracyjnymi, wojskowymi i cywilnymi. W Strategii bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń29 zaproponowano stworzenie sieci krajowych organów ds. cyberbezpieczeństwa. Według strategii unijnej krajowe organy ds. bezpieczeństwa sieci i informacji powinny współpracować i wymieniać się informacjami z innymi organami regulacyjnymi, w szczególności z organami ochrony danych osobowych, oraz regularnie publikować na specjalnej stronie internetowej nieobjęte klauzulą tajności informacje na temat aktualnych wczesnych ostrzeżeń dotyczących incydentów i zagrożeń oraz skoordynowanych reakcji. Według Komisji Europejskiej zobowiązania prawne nie powinny zastępować ani też uniemożliwiać prowadzenia nieformalnej oraz dobrowolnej współpracy, w tym między sektorem publicznym i prywatnym, mającej na celu zwiększenie poziomu bezpieczeństwa i wymianę informacji oraz najlepszych praktyk. Szczególnie ważną i przydatną platformą na poziomie UE, którą należy rozwijać, jest europejskie partnerstwo publiczno-prywatne na rzecz odporności30.

Wymienione powyżej zadania podmiotów publicznych nie wypełniają jednak katalogu niezbędnych warunków związanych z ochroną bezpieczeństwa narodowego w dobie cyfrowej. Odpowiedzialność za działania w sieci ma jednak wymiar międzysektorowy. W strategii UE Strategia bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń, którą 7 lutego 2013 r. Komisja Europejska opublikowała jako Wspólny komunikat Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów – Strategia bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń, stwierdzono, iż w przypadku podmiotów prywatnych nadal brakuje skutecznych zachęt do dostarczania wiarygodnych danych na temat incydentów w zakresie bezpieczeństwa sieci i informacji oraz ich skutków, do systemowego przeciwdziałania zagrożeniom i do inwestowania w rozwiązania w dziedzinie bezpieczeństwa. Celem zaproponowanego aktu prawnego jest zatem doprowadzenie do sytuacji, w której podmioty działające w wielu kluczowych dziedzinach (energetyka, transport, bankowość, giełdy papierów wartościowych, technologie umożliwiające świadczenie kluczowych usług internetowych, a także organy administracji publicznej) dokonują oceny zagrożeń dla bezpieczeństwa cybernetycznego, na jakie są narażone, zapewniają niezawodność i odporność sieci i systemów informatycznych przy użyciu odpowiednich strategii przeciwdziałania zagrożeniom oraz wymieniają się informacjami z właściwymi organami ds. bezpieczeństwa sieci i informacji. Systemowe przeciwdziałanie zagrożeniom w zakresie bezpieczeństwa cybernetycznego może przyczynić się do zwiększenia możliwości gospodarczych i konkurencyjności w sektorze prywatnym, czyniąc bezpieczeństwo cybernetyczne jednym z atutów oferowanych usług. Podmioty te będą zobowiązane do zgłaszania właściwym organom krajowym ds. bezpieczeństwa sieci i informacji incydentów mających znaczący wpływ na ciągłość podstawowych usług i na dostawy towarów uzależnione od sieci i systemów informatycznych.

W strategii zwrócono uwagę na potrzebę promowania dialogu i koordynacji między podmiotami cywilnymi i wojskowymi w UE, kładąc szczególny nacisk na wymianę dobrych praktyk, wymianę informacji, wczesne ostrzeżenia, reagowanie na incydenty, ocenę zagrożeń, działania informacyjne oraz na uznanie bezpieczeństwa cybernetycznego za priorytet; zapewnianie dialogu z partnerami międzynarodowymi, w tym z NATO, oraz z innymi organizacjami międzynarodowymi i wielonarodowymi centrami doskonałości, aby zapewnić skuteczne zdolności obronne, określić obszary współpracy i uniknąć powielania wysiłków.

Zdaniem Komisji Europejskiej odpowiedzialność za zwiększenie bezpieczeństwa w cyberprzestrzeni spoczywa na wszystkich podmiotach tworzących globalne społeczeństwo informacyjne, począwszy od obywateli aż po administracje rządowe. UE wspiera działania mające na celu określenie norm zachowania w cyberprzestrzeni, do których powinny się stosować wszystkie zainteresowane strony. Podobnie jak UE oczekuje od obywateli przestrzegania norm obywatelskich i społecznych oraz przepisów prawa w internecie, tak samo państwa powinny stosować się do obowiązujących norm i przepisów. W kwestiach bezpieczeństwa międzynarodowego UE zachęca do wspierania działań służących budowaniu zaufania do bezpieczeństwa cybernetycznego, aby zwiększyć przejrzystość oraz zmniejszyć ryzyko powstania nieprawdziwych wyobrażeń o podejmowanych przez państwa działaniach. Zobowiązania prawne zawarte w Międzynarodowym Pakcie Praw Obywatelskich i Politycznych, Europejskiej konwencji praw człowieka oraz Karcie praw podstawowych UE powinny być przestrzegane również w internecie. UE skoncentruje się na tym, w jaki sposób zapewnić egzekwowanie tych zobowiązań również w cyberprzestrzeni. Jeśli chodzi o zwalczanie cyberprzestępczości, stosownym instrumentem jest konwencja budapeszteńska, która jest otwarta do przyjęcia przez państwa trzecie. Stanowi ona wzór dla ustawodawstwa krajowego w dziedzinie cyberprzestępczości i jest podstawą współpracy międzynarodowej w tej dziedzinie. Jeżeli na cyberprzestrzeń rozszerzą się konflikty zbrojne, zastosowanie będzie mieć międzynarodowe prawo humanitarne oraz w stosownych przypadkach prawo praw człowieka.

Dyrektywa 2016/1148 jest pierwszym aktem prawa UE w zakresie cyberbezpieczeństwa wprowadzającym międzysektorowe regulacje. Czas na implementację dyrektywy do porządków prawnych państw członkowskich upłynął 9 maja 2018 r. Tekst dyrektywy koncentruje się wokół trzech filarów:

W zakresie filaru pierwszego każde państwo członkowskie jest zobligowane do ustanowienia organów właściwych ds. bezpieczeństwa sieci i informacji, odpowiedzialnych za monitorowanie stosowania jej przepisów w sektorach objętych jej zakresem. Z uwagi na różnice w krajowych strukturach zarządzania państwa członkowskie mogą wyznaczać więcej niż jeden właściwy organ krajowy odpowiedzialny za wykonywanie zadań związanych z cyberbezpieczeństwem operatorów usług kluczowych i dostawców usług cyfrowych.

W powyższym kontekście uwagi wymagają nowe obowiązki tzw. operatorów usług kluczowych. Usługa kluczowa oznacza usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych. Operatorem usługi kluczowej jest podmiot, o którym mowa w załączniku nr 1 do ustawy o krajowym systemie cyberbezpieczeństwa, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej. Sektory, podsektory oraz rodzaje podmiotów określa załącznik nr 1 do ustawy. Organ właściwy do spraw cyberbezpieczeństwa wydaje decyzję o uznaniu podmiotu za operatora usługi kluczowej, jeżeli: 1) podmiot świadczy usługę kluczową; 2) świadczenie tej usługi zależy od systemów informacyjnych; 3) incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Zakres podmiotowy dyrektywy został ujęty w dwóch formułach: operatorów usług kluczowych oraz dostawców usług cyfrowych. W odniesieniu do operatorów wskazanych w każdym z załączników obowiązywać mają inne wymagania. W przypadku dostawców usług cyfrowych (załącznik III) mają obowiązywać łagodne i reaktywne podejście obejmujące działania nadzorcze ex post, tzn. po zaistnieniu incydentu i tylko przez to państwo, na terenie którego dostawca usługi ma swoją siedzibę. Tym samym podmioty z załącznika III nie będą podlegały ani opisanemu wcześniej procesowi identyfikacji, ani raportowania, jak w przypadku operatorów usług kluczowych. Takie podejście jest spowodowane międzynarodowym wymiarem operatorów dostarczających usługi cyfrowe, a tym samym obawą przed fragmentaryzacją jednolitego rynku cyfrowego UE. W wyniku negocjacji ustalono, że regulacjami zostaną objęte serwisy zakupowe, wyszukiwarki internetowe oraz usługi chmury obliczeniowej. W załączniku do ustawy znajdują się wszystkie potencjalne kategorie podmiotów w poszczególnych sektorach gospodarki i działalności państwa, z których mogą być wyłaniani w drodze decyzji administracyjnej operatorzy usług kluczowych.

W Polsce ustawa o krajowym systemie cyberbezpieczeństwa nadała określone zadania istniejącym podmiotom, które w ramach swojej działalności zajmują się reagowaniem na incydenty komputerowe.

CERT GOV

Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL pełni rolę głównego Zespołu CERT odpowiadającego za koordynację procesu reagowania na incydenty komputerowe występujące w obszarze administracji rządowej oraz infrastruktury krytycznej. Jednym z jego podstawowych zadań jest rozpoznawanie, zapobieganie i wykrywanie zagrożeń godzących w bezpieczeństwo – istotnych z punktu widzenia ciągłości funkcjonowania państwa – systemów teleinformatycznych organów administracji publicznej lub systemu sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli i posiadaczy obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy o zarządzaniu kryzysowym.

SRnIK RON

System Reagowania na Incydenty Komputerowe Resortu Obrony Narodowej realizuje zadania w zakresie koordynacji procesów zapobiegania, wykrywania i reagowania na incydenty komputerowe w systemach i sieciach teleinformatycznych resortu obrony narodowej.

SRnIK RON zorganizowany jest w trzypoziomową strukturę zgodnie z założeniami NATO (Centrum Koordynacyjne SRnIK, Centrum Wsparcia SRnIK, które realizuje zadania zgodne z zakresem działania Zespołów CERT, oraz administratorzy systemów teleinformatycznych jednostek i komórek organizacyjnych RON).

Do głównych zadań SRnIK należy koordynacja reagowania na incydenty komputerowe, obsługa i analiza zdarzeń oraz incydentów, a także prowadzenie działań zmierzających do wzrostu świadomości dotyczącej bezpieczeństwa teleinformatycznego. W ramach podejmowanych zadań SRnIK współpracuje z jednostkami i komórkami organizacyjnymi Resortu Obrony Narodowej, jak również z organizacjami poza resortowymi, krajowymi i międzynarodowymi.

Narodowe Centrum Cyberbezpieczeństwa

W lipcu 2016 r. w ramach NASK zostało powołane Narodowe Centrum Cyberbezpieczeństwa (NC Cyber), pomyślane jako centrum szybkiego reagowania na zagrożenia i zgłaszane incydenty w cyberprzestrzeni, a w razie ewentualnych ataków – podejmowania koniecznych działań we współpracy z ośrodkami w kraju i za granicą w celu przeanalizowania natury, sposobu, zasięgu incydentu oraz wymiany informacji w celu ostrzeżenia kluczowych sektorów i instytucji. NC Cyber wydaje rekomendacje postępowania w obliczu zagrożenia oraz koniecznych działań minimalizujących skutki.

Podmioty publiczne i prywatne mogą współpracować z NC Cyber na podstawie zawartych porozumień w zakresie cyberbezpieczeństwa, mogą również delegować swoich przedstawicieli do bieżącej współpracy.

Ustawa określa obowiązki dla operatorów usług kluczowych dotyczące wdrożenia efektywnego systemu zarządzania bezpieczeństwem, obejmującego m.in. zarządzanie ryzykiem, procedury i mechanizmy zgłaszania i postępowania z incydentami czy organizację struktur na poziomie operatora. Ponadto ustawa precyzuje obowiązki nakładane na dostawców usług cyfrowych, uwzględniając istniejące w tym zakresie ograniczenia określone przez dyrektywę 2016/1148. Po pierwsze, zakłada się określenie zadań CSIRT odpowiedzialnych za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów. Po drugie, ustawa przewiduje włączenie aspektów cyberbezpieczeństwa do sfery zarządzania państwem. Dodatkowo ustawa przewiduje utworzenie Zespołu do spraw Krytycznych Incydentów jako organu pomocniczego, powoływanego w sprawach obsługi i koordynacji wymienionych incydentów krytycznych na poziomie krajowych CSIRT i RCB.

Potrzeba współpracy międzysektorowej wynika z faktu, iż proces powstawia zagrożeń jest ciągły, zatem nieustająco powiększa się katalog potrzeb reagowania na incydenty a tym samym poszerza się katalog podmiotów odpowiedzialnych za cyberbezpieczeństwo. Tym potrzebom musi sprostać właściwy dobór instrumentów prawnych. Bez negacji klasycznych środków. Demokracja cyfrowa to forma działania władzy, w ramach której wymaga się od władzy publicznej, organów administracji publicznej przeciwdziałania wszelkim tendencjom negatywnym dla bezpieczeństwa narodowego. Jednak podkreślić trzeba znaczenie organizacji pozarządowych w działaniach związanych z zapewnieniem cyberbezpieczeństwa, które stale rośnie.

Zmiany technologiczne wpłynęły także na zakres odpowiedzialności za czyny przestępcze, ale także pojawiły się nowe reguły związane z ograniczeniami tej odpowiedzialności. W prawie europejskim kwestię odpowiedzialności podmiotów świadczących usługi w internecie reguluje dyrektywa 2000/31/WE. W dyrektywie tej znalazły się przepisy odnoszące się do najbardziej popularnych usług sieciowych: mere conduit, cachingu oraz hostingu. Należy tu podkreślić, iż europejska regulacja przyjmuje model horyzontalny. Oznacza to, że przewidziane w niej wyłączenia odnoszą się do wszelkiej odpowiedzialności prawnej, w tym cywilnej, karnej i administracyjnej. Dyrektywa o handlu elektronicznym kreuje zasady wyłączenia odpowiedzialności na poziomie maksymalnym. Poszczególne państwa członkowskie mogą więc zdecydować się na wprowadzenie mniej restrykcyjnych rozwiązań.

Implementację przepisów dyrektywy o handlu elektronicznym w prawie polskim stanowią art. 12–15 u.ś.u.d.e. Zgodnie z art. 12 tej ustawy, odnoszącym się do usługi mere conduit, nie ponosi odpowiedzialności za przekazywane informacje ten, kto transmitując dane: 1) nie jest inicjatorem transmisji, 2) nie wybiera odbiorcy danych oraz 3) nie usuwa albo nie modyfikuje danych będących przedmiotem transmisji. Wyłączenie odpowiedzialności, o którym mowa w ustępie 1, obejmuje także automatyczne krótkotrwałe pośrednie przechowywanie transmitowanych danych, jeżeli działanie to ma na celu wyłącznie przeprowadzenie transmisji, a dane nie są przechowywane dłużej niż jest to w zwykłych warunkach konieczne dla zrealizowania transmisji (caching, art. 12 ust. 2 u.ś.u.d.e.).

Warunkiem koniecznym uniknięcia odpowiedzialności prawnej pozostaje więc poszanowanie integralności przechowywanych danych. Zgodnie z art. 13 ust. 2 u.ś.u.d.e. nie ponosi odpowiedzialności za przechowywane dane ten, kto przy zachowaniu warunków, o których mowa w ustępie 1, niezwłocznie usunie dane albo uniemożliwi dostęp do przechowywanych danych, gdy uzyska wiadomość, że dane zostały usunięte z początkowego źródła transmisji lub dostęp do nich został uniemożliwiony, albo gdy sąd lub inny właściwy organ nakazał usunięcie danych lub uniemożliwienie do nich dostępu, przechowywania danych przez usługobiorcę, nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.

Z kolei art. 14 dyrektywy 2000/31/WE należy interpretować w ten sposób, że ustanowiona w nim zasada ma zastosowanie do podmiotu świadczącego usługę odsyłania w internecie, jeżeli przy świadczeniu swych usług usługodawca ten nie odgrywa czynnej roli, która mogłaby sprawić, że będzie on posiadał wiedzę o przechowywanych informacjach lub miał nad nimi kontrolę. Jeżeli wspomniany usługodawca nie odgrywa takiej roli, nie może być pociągnięty do odpowiedzialności za treść przechowywanych na żądanie reklamodawcy informacji, chyba że powziąwszy wiadomość o bezprawnym charakterze tych informacji lub działalności reklamodawcy, nie podjął niezwłocznie odpowiednich działań w celu usunięcia wspomnianych informacji lub uniemożliwienia dostępu do nich.

Wskazane tu regulacje stanowią uzasadnienie tezy, że w każdym przypadku odpowiedzialność tego samego podmiotu będzie inna w zależności od tego, czy prowadzi on działalność usługową, o której mowa w ustawie o świadczeniu usług drogą elektroniczną, czy jest nadawcą bądź wydawcą. W wyniku konwergencji technologicznej, a także ekonomicznej ten sam podmiot może pełnić bardzo różne funkcje i nie jest przesądzone, iż jego status, a tym samym zakres odpowiedzialności, jest ostatecznie ustalony. Ta sytuacja wskazuje na konieczność wprowadzenia właściwych regulacji z zastrzeżeniem potrzeby synchronizowania zagadnień na każdym etapie merytorycznych działań ustawodawczych. Jest to niezbędny element tworzenia spójnego systemu ram regulacyjnych.

W dokumencie Polityka ochrony cyberprzestrzeni Rzeczypospolitej Polskiej przyjęto, iż bezpieczeństwo cyberprzestrzeni to zespół przedsięwzięć organizacyjno-prawnych, technicznych, fizycznych i edukacyjnych mający na celu zapewnienie niezakłóconego funkcjonowania cyberprzestrzeni. Z kolei cyberatak to celowe zakłócenie prawidłowego funkcjonowania cyberprzestrzeni, a cyberprzestępstwo to czyn zabroniony popełniony w obszarze cyberprzestrzeni31. Definicje te wypracowano w oparciu o działania, które należy podjąć w sferze domeny cyfrowej. Zatem cyberprzestępczość definiowana jest jako rodzaj przestępczości, w której komputer jest albo narzędziem, albo przedmiotem przestępstwa. Pojęcie to obejmuje wszelkie rodzaje przestępstw, które popełniono przy udziale komputera lub sieci teleinformatycznych lub które były nakierowane na te urządzenia. Jednak komputer może być także sprawcą. Dlatego trzecim obszarem, który wymaga odrębnej i poszerzonej analizy odpowiedzialności związanej z funkcjonowaniem cyberprzestrzeni, jest strefa działania komputerów. W 1997 r. Garri Kasparow, jeden z wybitnych szachistów światowych, przegrał partię z programem Deep Blue – wyspecjalizowanym superkomputerem, zaprogramowanym przez IBM i skonstruowanym za cenę 10 mln dolarów.

Zdolność komputerów do analizy i rozwiązywania problemów, także w obszarze etyki, tworzy interesujące zagadnienia dotyczące odpowiedzi na pytania, co jest moralne, a co nie jest moralne, czym jest dobro, a czym jest zło, co jest dozwolone, a co powinno być zakazane w ujęciu prawnym. Te dylematy są podstawowym elementem określającym stopień odpowiedzialności. Jeśli przyjmujemy, że komputery są coraz bardziej samodzielne w myśleniu i procesie decyzyjnym, to czy można przyjąć, że mają także świadomość istnienia moralności? Czy pojęcie moralności może być przedmiotem rozważań maszyny i czy komputery mają moralność, narzuconą czy własną? Wydaje się, że jest to klucz do odpowiedzi na pytania związane z odpowiedzialnością za działania w cyberprzestrzeni. Sądy próbują przypisać odpowiedzialność za szkody wyrządzone ludziom przez maszyny kierowane sztuczną inteligencją. Czy sztuczna inteligencja ma osobowość prawną, czy tym samym ma zdolność do czynności prawnych? Czy komputery mogą być odpowiedzialne za swoje działania? Wydaje się, że jest to kwestia posiadania osobowości prawnej. W różnych stanowiskach teoretyków prawa, jak na przykład Ugo Pagallo, autora The Law of Robots, dowodzi się, iż powinniśmy rozróżniać zachowanie robotów jako narzędzi interakcji międzyludzkich oraz jako podmiotów w sferze prawnej.

Uznanie komputera kierowanego sztuczną inteligencją za podmiot odpowiedzialny za wyrządzone szkody wydaje się kwestią czasu. Sędzia Curtis Karnow proponuje utworzenie podmiotu prawnego, który określa jako „elektroniczną osobowość”. Mimo że producenci sztucznej inteligencji po wyprodukowaniu robota będą uciekać od odpowiedzialności za jego działania, to jednak wydaje się, że wciąż będą odpowiedzialni na zasadach rękojmi. Prawna doktryna cyberodpowiedzialności będzie szczególnie istotna w obliczu zmian życia, w warunkach rozwoju sztucznej inteligencji. Dzisiaj też zasady odpowiedzialności określa ukształtowane, także w sferze prawa, rozróżnienie między hardware i software. Potencjalne niebezpieczeństwo stwarzane przez sztucznie inteligentne maszyny zwiększa się, gdy stają się mobilne. Projektowanie technologii czy technik sztucznej inteligencji i cyborga będzie miało istotne znaczenie w tworzeniu przyszłości, w której sztuczna inteligencja w sposób lojalny i etyczny będzie pracować dla człowieka. Oczywiście, zawsze prawo może regulować kwestie odpowiedzialności karnej czy cywilnej za niewłaściwe postępowanie, czyny zabronione, jednak dynamika rozwoju sztucznej inteligencji i robotyka znacznie przewyższają możliwości regulatorów i prawodawców. W tych okolicznościach wciąż będą dochodzić do głosu zasady etyczne i moralność podyktowane względami moralności publicznej.

Na pojęcie bezpieczeństwa w sieci czy cyberbezpieczeństwa składa się ochrona zasobów – danych, informacji, ogólnie treści cyfrowych, ochrona sieci teleinformatycznych oraz ochrona przesyłu treści za pomocą sieci, a więc samego procesu komunikowania. Ze specyfiki działania sieci wynika – jeśli przyjąć teoretycznie, że oprogramowanie antywirusowe i zapory sieciowe spełniają swoje zadania – że podobnie jak szczepionka na wirusa nie będą one działać w przypadku pojawienia się nowych zagrożeń lub modyfikacji tych już znanych.

Dlatego proces regulacji cyberprzestrzeni to wieloetapowe zadanie, wymagającej stałego monitoringu różnych działań niepożądanych społecznie. Dotyczy to także funkcjonowania maszyn.

Podsumowując należy zaznaczyć, że mistrzem szachów dzisiaj nie jest człowiek czy maszyna a jest nim zespół ludzi i komputerów. Komputery wciąż wykonują czynności, które zostały zaprogramowane, brak im intuicji i inwencji twórczej. Na szczęście ludzie są mocni w tym, w czym komputery są słabe a to stwarza potencjalne partnerstwo.

Jak powiedział Freeman Dyson (1988) Technologia to dar Boży. Jest to prawdopodobnie największy dar po darze życia. Jest to matka cywilizacji, sztuk i nauk.

Streszczenie

Artykuł dotyczy diagnozy stanu obecnego względem odpowiedzialności w trudno definiowalnym, plastycznym obszarze cyberprzestrzeni, w perspektywie bezpieczeństwa, zwłaszcza jego transsektorowej dziedziny informacyjnej; ustawowe, strategiczne i programowe rozwiązania polskie ukazane są w świetle standardów unijnych. Opracowanie obejmuje przegląd zagrożeń (głównie informacji i infrastruktury teleinformatycznej) i ich zakresów (ustrojowych, ekonomicznych, społeczno-kulturowych) oraz adresatów zobowiązanych do działań profilaktycznych i zwalczających (przede wszystkim władz publicznych, ale też innych, np. operujących na rynku podmiotów komercyjnych czy przedstawicieli społeczeństwa informacyjnego); dotyka też kwestii merytorycznej i instytucjonalnej współpracy na poziomie europejskim.

Bibliografia

Literatura

Akty prawne i inne dokumenty

Jacek Sobczak1, Witold Sobczak2

Przestępczość w cyberprzestrzeni. Pomiędzy przepisami polskimi a międzynarodowymi

Zjawisko internetu

Pojawienie się internetu i objęcie siecią praktycznie całego świata nastąpiło stosunkowo niedawno, choć wyrosło już i nawet studiuje na wyższych uczelniach pokolenie, które ze zdziwieniem dowiaduje się, że były czasy, kiedy nie istniała sieć, podobnie jak kserokopiarki, skanery, e-booki itd. Założenia, które legły u podstaw internetu, będącego w istocie rzeczy zdecentralizowanym środkiem przekazu opartym na globalnej sieci połączeń i składającym się z wielu systemów komunikacyjnych wykorzystywanych przez użytkowników, były wysoce idealistyczne. Stanowiły bowiem próbę zbudowania nowego społeczeństwa o charakterze liberalnym, cieszącego się wolnością słowa – nieskomercjonalizowanego i niezależnego politycznie3. Wszelkie reguły działania internetu miały być oparte na netykiecie – dobrowolnie przyjmowanej i przestrzeganej przez użytkowników sieci4. Wróżby prawników, że prędzej czy później internet będzie musiał zostać poddany regulacjom prawnym, większość internautów, w szczególności pochodzących ze środowisk informatyków, przyjmowała z niedowierzaniem i kwitowała pogardliwym wzruszeniem ramion. Wkrótce jednak okazało się, iż internet, wraz z rozszerzaniem się sieci, powiększaniem liczby użytkowników, tracił przysłowiową niewinność. Wśród jego użytkowników miejsce intelektualistów zaczęli zajmować biznesmeni, a w końcu stał się podstawowym narzędziem, bez którego nie mogą już się obejść miliony, a nawet miliardy zwykłych ludzi. Spowszednienie internetu spowodowało także i to, że w jego zasobach zaczęto poszukiwać treści mniej wysublimowanych, a nawet całkowicie przaśnych, takich jak informacje handlowe, gospodarcze, usługowe5, polityczne6, a nawet o charakterze erotycznym.

Rewolucja informacyjna, której efektem był szybki rozwój i upowszechnienie się światowej sieci (efekt informatyczny), zmieniła oblicze współczesnego świata. Wpłynęła na styl życia jednostki, zmieniła sposób funkcjonowania społeczeństwa (efekt socjologiczno-psychologiczny) oraz zredefiniowała rolę państwa (efekt polityczno-prawny). Transformacja stosunków społecznych wpłynęła na zmianę systemów gospodarczych, rozwinęły się nowe wirtualne dziedziny zarówno związane z handlem, jak i finansami. Konsekwencje tych przemian są również widoczne w obszarze bezpieczeństwa.

Możliwość docierania za pośrednictwem internetu do praktycznie nieograniczonej liczby odbiorców zwróciła nań uwagę kół przemysłowo-handlowych, które dostrzegły możliwość wykorzystywania jego potencjału do komunikacji z klientami. Internet okazał się doskonałym narzędziem marketingowym oferującym bogatą gamę usług reklamowych i informacyjnych. Posługiwanie się internetem – w szczególności pocztą elektroniczną – przez polityków, przedsiębiorców, handlowców i podmioty świadczące usługi doprowadziło do tego, że odbiorca tej poczty znalazł się w sytuacji odbiorcy korzystającego z usług poczty tradycyjnej. Podobnie jak ten drugi został zasypany dziesiątkami, potem setkami i tysiącami nigdy niezamawianych reklam, anonsów i ogłoszeń, wśród których ginęły informacje naprawdę dla niego ważne i oczekiwane. Coraz więcej czasu każdy z użytkowników musi poświęcać na segregowanie informacji, na pozbywanie się niechcianej korespondencji. Praktyka taka dotyczy przede wszystkim reklam o charakterze gospodarczym. Zachęcają mniej lub bardziej nachalnie do nabycia określonych towarów lub skorzystania z określonych usług. Pojawiają się jednak także – i to dość licznie – przekazy o charakterze politycznym7, społecznym bądź religijnym8, nakłaniające do głosowania na tego czy innego polityka, poparcia partii politycznej9, określonych idei czy programów, względnie przyjęcia pewnych dogmatów religijnych10. Przyznać jednak należy, że zwłaszcza w polskiej rzeczywistości przekazy internetowe tego ostatniego typu mają charakter marginalny i ich uciążliwość dla odbiorcy jest relatywnie mniejsza. Oczywiście, wspominając o dolegliwości, należy mieć na względzie przeciętnego odbiorcę treści reklamowych, skoncentrowanego na własnych problemach i niezainteresowanego informacjami, których w danym momencie nie poszukuje.

Niestety w sieci pojawiło się wiele zjawisk niezwykle groźnych, niebezpiecznych, godzących w prawa i wolności człowieka, naruszających jego prywatność, godność, dobre imię i cześć, wymierzonych w tajemnicę środków przekazu, zasadzających się na nieuprawnionym dostępie do informacji bądź do całości lub części systemu informacyjnego, opierających się na nielegalnym podsłuchu oraz inwigilacji przy użyciu urządzeń technicznych i programów komputerowych, ujawnianiu informacji uzyskanych nielegalnie. Przy wykorzystaniu internetu można naruszać integralność zapisu informacji bądź danych, utrudniać do nich dostęp, sabotować przekaz, zakłócać pracę systemów komputerowych, by sprawnie wykorzystywać urządzenia, programy i dane, naruszać korespondencję itd. Za pośrednictwem internetu mogą być i są przekazywane treści pornograficzne, upowszechnia się zjawisko pedofilii oraz rozpowszechniany jest wyjątkowo okrutny język nienawiści11. Pojawiło się też jeszcze groźniejsze zjawisko w postaci cyberterroryzmu, godzące podstawy funkcjonowania demokratycznych państw i społeczeństw, bezpieczeństwo stosunków międzynarodowych, wolność wyborów politycznych w różnych państwach, rozmontowujące, oparte na systemach komputerowych systemy porozumiewania się bądź przesyłania energii. Niektóre z tego rodzaju czynów godzą wprost w bezpieczeństwo publiczne, gdyż wymierzone są w funkcjonowanie sił zbrojnych, aparatu bezpieczeństwa państwa, a nadto zmierzają do wywołania paniki publicznej12.

Narodom Europy, w toku wielowiekowych, okupionych śmiercią i cierpieniem wielu ludzi walk, udało się osiągnąć zakaz cenzury prewencyjnej, zniweczyć kontrolę prasy, publikacji, widowisk. Stało się to jednak w momencie, kiedy tradycyjna wymiana informacji, ograniczona do prasy, radia, telewizji, książek i spektakli, zaczęła odgrywać coraz mniejszą rolę, a jej znaczenie powoli malało pod wpływem internetu, który umożliwia zdecydowanie szybszą wymianę myśli, lecz także daje większe możliwości kontroli treści przekazu. Nagłaśniane przez prasę, często demonizowane, niebezpieczeństwa terroryzmu oraz pedofilii pojawiły się jakby na zamówienie władz publicznych jako dogodny pretekst do rozpoczęcia kontroli treści przekazywanych informacji. Tym samym władzom państw uznającym się za demokratyczne (i tak traktowanych przez ogół) udało się to, co nie powiodło się reżimom totalitarnym, to, co jest marzeniem tyranów, władców absolutnych, dyktatorów – kontrola myśli i uczuć obywateli, poznanie ich prawdziwego „ja”13.

Społeczeństwo informacyjne

Dążenie do społeczeństwa informacyjnego, będące skutkiem procesów globalizacyjnych, przebiega nieco inaczej w Europie na obszarze Unii Europejskiej i Rady Europy oraz w Stanach Zjednoczonych i Japonii14.

Po raz pierwszy wizja społeczeństwa informacyjnego pojawiła się w 1993 r. w opublikowanej przez Komisję Europejską białej księdze pod tytułem White Paper on Growth, Competitiveness, Employment. The Challenge and way forward into 21st Century15. Przedstawione w niej społeczeństwo informacyjne miało być wielką szansą dla Europy, dlatego podkreślano jego pozytywne ekonomiczne i społeczne rezultaty dla gospodarki, niewiele miejsca poświęcając negatywnym skutkom informatyzacji. Podstawowym celem strategicznym, związanym z budową społeczeństwa informacyjnego, miała być całkowita liberalizacja sektora telekomunikacji, która oprócz pobudzenia konkurencji w tej dziedzinie, na przykład przez wprowadzenie nowych operatorów, miała stanowić podłoże do utworzenia europejskiego rynku usług i produktów informacyjnych. Założenia białej księgi zostały skonkretyzowane w dokumencie Europe and the Global Information Society: recommendations to the European Council (Europa a społeczeństwo globalnej informacji), zwanym Raportem Bangemanna, opublikowanym w 1994 r.16 Raport stanowił podstawę do opracowania szczegółowych planów działań, obejmujących tworzenie nowych aktów prawnych i różne inicjatywy finansowane ze środków publicznych Unii Europejskiej. Dokument otworzył publiczną debatę na temat europejskich szans zrównoważonego rozwoju, wzmocnienia gospodarki, aktywnego konkurowania na rynkach światowych. Raport Bangemanna odzwierciedlał optymistyczny punkt widzenia przedstawiony w białej księdze i znacząco przyczynił się do aktywizacji wielu środowisk zawodowych i społecznych, widzących w technologiach teleinformatycznych szansę dla Europy17.

Kolejnym ważnym dla rozwoju społeczeństwa informacyjnego dokumentem europejskim była zielona księga Komisji Europejskiej Living and Working in Information Society. People First (Życie i praca w społeczeństwie informacyjnym. Człowiek na pierwszym miejscu) z 1996 r.18 Dokument ten był wyrazem zmian w polityce europejskiej, gdzie priorytetem stały się cele społeczne. Zielona księga koncentrowała się na problematyce społecznej i socjalnej, w tym przede wszystkim na zatrudnieniu oraz budowie społecznej solidarności, równych szans i kulturalnej różnorodności Europy. W styczniu 1999 r. opublikowano kolejną zieloną księgę, zatytułowaną Public Sector Information in the Information Society (Zielona Księga na temat informacji sektora publicznego w społeczeństwie informacyjnym)19. Poruszała ona głównie zagadnienia powszechnego dostępu, kładąc nacisk na wykorzystanie infrastruktury informacyjnej do realizacji fundamentalnych praw człowieka, takich jak wolność informacji czy prawo do informacji. Podsumowując europejskie wysiłki podejmowane w latach 1993–1999 w celu budowania społeczeństwa informacyjnego, należy podkreślić, iż koncentrowały się one na trzech priorytetach: tworzeniu środowiska industrialnego i biznesowego, pozwalającego na inwestowanie w infrastrukturę informacyjno-komunikacyjną, polityce innowacyjności oraz dialogu społecznym, prowadzącym do akceptacji zmian i uczestnictwa w zmianach20.

Pojęcie cyberprzestrzeni

Pojęcie „cyberprzestrzeni” narodziło się w obszarze dość odległym od prawa, bo w powieści Burning Chrome, będącej pierwszym tomem trylogii Neuromancer Williama Gibsona, amerykańskiego pisarza science fiction. Równolegle pisarz posługiwał się jednak terminem „matrix” – matryca. Cyberprzestrzeń spopularyzowały filmy opierające się na motywach wspomnianej trylogii, a mianowicie Matrix i Johny Mnemonic21. Do powszechnego użytku określenie „cyberprzestrzeń” weszło w początkach lat 90. wraz z rozwojem technologii informacyjnych. Uznaje się ją za ściśle związaną z globalizacją22 i powstaniem społeczeństwa informacyjnego23. Odtąd definiowana jest jako przestrzeń komunikacyjna tworzona przez system powiązań internetowych24. Pojmowana była jako przestrzeń współpracy, niosąca za sobą zarówno pozytywne, jak i negatywne skutki. Do tych drugich zaliczano zwykle możliwości kontrolowania społeczeństwa za pomocą specjalnych narzędzi teleinformatycznych stosowanych przez służby państwowe, co określano mianem cyberinwigilacji, oraz możliwość wykorzystywania sieci przez przestępczość zorganizowaną (cyberprzestępczość) i do działań terrorystycznych (cyberterroryzm)25. Wskazuje się także, że cyberprzestrzeń jest obszarem, w którym możliwe jest prowadzenie działań wojennych (cyberwojna)26.

Cyberprzestrzeń zdefiniował Departament Obrony Stanów Zjednoczonych, wskazując, że jest to „współzależna, powiązana ze sobą sieć infrastrukturalna technologii informacyjnej, obejmująca internet, sieci telekomunikacyjne, systemy komputerowe oraz systemy kierujące procesami produkcji i kontroli w sektorach strategicznych dla bezpieczeństwa narodowego”27.

Pojęcie „cyberprzestrzeni” jest używane, jak wynika z powyższych rozważań, jako synonim „sieci”, ale bywa, że odnosi się je także do telekomunikacji jako fenomenu pozwalającego na łączenie się. „Widzialnym” jego przewodem są przewody, satelity, przekaźniki telekomunikacyjne, telewizory, telefony, komputery, a „niewidzialnym” – różne formy oprogramowania, przeglądarki, narzędzia do surfowania w sieci teleinformatycznej28.

Pozostając w kręgu koncepcji amerykańskich, trzeba zwrócić uwagę na definicję zawartą w Narodowej Strategii dla Bezpiecznej Cyberprzestrzeni. W jej treści stwierdzono: Our Nation’s critical infrastructures are composed of public and private institutions in the sectors of agriculture, food, water, public, health, emergency services, government, defense, industrial base, information and telecommunications, energy, transportation, banking and finance, chemicals and hazardous materials, and postal and shipping. Cyberspace is their nervous system —the control system of our country. Cyberspace is composed of hundreds of thousands of interconnected computers, servers, routers, switches, and fiber optic cables that allow our critical infrastructures to work. Thus, the healthy functioning of cyberspace is essential to our economy and our national security29.

Sąd Najwyższy USA zdefiniował cyberprzestrzeń (ang. cyberspace), jako „niekończącą się konwersację o światowym zasięgu”. Wskazuje się przy tym, że cyberprzestrzeń jest miejscem nieograniczonej wymiany informacji, rozwoju życia społecznego, uczestniczenia w kulturze, utrzymywania różnego rodzaju więzi personalnych za pośrednictwem komputera30.

W doktrynie, łącząc cyberprzestrzeń z licznymi przestępstwami, wskazuje się, że tożsamość w cyberprzestrzeni może przybrać trzy wymiary: tożsamości rzeczywistej, fikcyjnej i anonimowej. Wyróżnia się także tożsamość biurokratyczną i biograficzną, do tej pierwszej zaliczając dane przyporządkowane do określonej osoby w celu odróżnienia od innych i przybierające często postać numeru31. Żałować należy, że w obszarze naukowym tak rzadko zwraca się uwagę na te kwestie i dochodzi do przykrych sytuacji, kiedy później zaistniała na rynku wydawniczym, zajmująca się tą samą dziedziną działalności co piszący wcześniej kolega, beztrosko funkcjonuje pod oczywiście swoim imieniem i nazwiskiem, nie zwracając uwagi na to, że jest to imię i nazwisko w literaturze występujące. Niekiedy zmusza to wcześniej publikującego badacza do tłumaczenia, że teksty, które pojawiają się tu i ówdzie, nie są jego tekstami, a ten, który później zaistniał na rynku w pełnej glorii, daje do zrozumienia, że rozmaite książki, artykuły to jego dzieła. Tymczasem wystarczyłoby w niektórych sytuacjach posłużyć się drugim imieniem, a w razie jego braku po prostu imię takie przybrać.

W literaturze zaproponowano definicję „cyberprzestrzeni globalnej”, stwierdzając, że jest to system wymiany przetwarzania informacji (danych) funkcjonujących zgodnie z formalnymi zasadami i uregulowaniami prawnymi, obowiązującymi na terytorium poszczególnych państw, działający dzięki połączeniu zasobów technicznych zlokalizowanych na terytorium każdego z nich. Cyberprzestrzeń RP proponuje się w doktrynie zdefiniować jako system wymiany, przetwarzania informacji (danych) funkcjonujących zgodnie z formalnymi zasadami i uregulowaniami prawnymi obowiązującymi na terytorium RP, działający dzięki połączeniu zasobów technicznych zlokalizowanych na jej terytorium32.

System prawny Rady Europy wobec przestępstw w cyberprzestrzeni

Stopniowo pojęcie cyberprzestrzeni znalazło stałe obywatelstwo w języku potocznym33 i zaczęło wdzierać się do języka prawniczego, a potem prawnego. W Konwencji Rady Europy o cyberprzestępczości z 23 listopada 2001 r.34 nie użyto jednak terminu „cyberprzestrzeń”. Natomiast w tytule Konwencji, w polskim tłumaczeniu oraz w preambule i w art. 46 ust. 1 lit. b posłużono się określeniem „cyberprzestępczość”, ale w art. 1 poświęconym definicjom nie wyjaśniono jego treści35. Prace nad Konwencją Rady Europy o cyberprzestępczości były dość żmudne. Na pewnym etapie włączyła się w nie Rada Unii Europejskiej, wskazując, że powodem takiego kroku był przyjęty Plan działania Unii Europejskiej w sprawie wspierania bezpiecznego wykorzystania sieci Internet. We wspólnym stanowisku z 27 maja 1999 r. zadeklarowano, że państwa członkowskie będą wspierać sporządzenie projektu Konwencji Rady Europy o cyberprzestępczości, wskazując, że przepisy Konwencji powinny odpowiednio uzupełnić prawo materialne i objąć przestępstwa przeciwko poufności, integralności oraz dostępności danych komputerowych, przestępstwa związane z komputerami, tak jak komputerowe oszustwo i fałszerstwo oraz przestępstwa związane z treścią, takie jak pornografia dziecięca. Nie odniesiono się jednak w tym dokumencie do pojęcia cyberprzestrzeni36.

Do innych poza Konwencją o cyberprzestępczości do inicjatyw Rady Europy w analizowanym obszarze wypada zaliczyć projekty: GLACY – Global Action against Cybercrime, Cybercrime@Octopus, organizację corocznych konferencji Octopus Interface, Partnerstwo Wschodnie – Współpraca przeciwko Cyberprzestępczości (Eastern Partnership – Cooperation against Cybercrime – Project on Cybercime@EAPII).

Godzi się jednak zauważyć, że Konwencję tę poprzedził raport „Przestępstwa związane z komputerem. Analiza polityki legislacyjnej”37 Organizacji Współpracy Gospodarczej i Rozwoju (Organization for Economic Co-operation and Development) opublikowany w 1985 r. W jego treści znalazła się robocza definicja przestępstwa komputerowego rozumianego jako każde bezprawne, nieetyczne i nieuprawnione zachowanie, którego przedmiotem jest automatyczne przetwarzanie lub transmisja danych. Ważne było także wyróżnienie pięciu kategorii zachowań godzących w funkcjonowanie sieci komputerowej: oszustwa komputerowego, fałszerstwa komputerowego, uszkodzenia danych komputerowych lub programów, naruszenia praw autorskich do programu komputerowego i nieuprawnionego uzyskania dostępu do komputera lub systemu telekomunikacyjnego w wyniku naruszenia zabezpieczeń38.

Przeciwdziałanie przestępczości w cyberprzestrzeni w systemie prawa międzynarodowego uniwersalnego (powszechnego)