Niektóre osoby, posiadające wiedzę dotyczącą bezpieczeństwa teleinformatycznego, korzystając z różnych serwisów internetowych, czasem nie mogą się oprzeć sprawdzeniu, czy nie są one podatne na ataki np. SQL injection. Czy takie testowanie jest dopuszczalne i zgodne z prawem?


Tego rodzaju „testowanie” będzie dozwolone jedynie za zgodą właściciela takiego serwisu/systemu. W przeciwnym wypadku osoby dokonujące takiego „sprawdzenia”, narażają się na odpowiedzialność karną np. z tytułu art. 267 § 1 i 2 kodeksu karnego.

 

Samo odnalezienie podatności, bez przełamania zabezpieczeń lub uzyskania dostępu do systemu (o ile to w ogóle możliwe z technicznego punktu widzenia), nie będzie jeszcze niezgodne z prawem. Jednak jeśli „sprawdzanie” polega na próbach uzyskania dostępu do systemu lub przełamania zabezpieczeń, to odnalezienie podatności może już stanowić przestępstwo.

 

Warto pamiętać, że karalny jest już sam czyn, którego skutkiem jest uzyskanie bez uprawnienia dostępu do systemu informatycznego lub jego części, nawet bez złamania jakiegokolwiek zabezpieczenia.

 

Osobom, które chcą sprawdzać serwisy w zakresie ich podatności na ataki i nie narażać się na odpowiedzialność karną polecam całą masę serwisów stworzonych właśnie w takim celu.

 

Jeśli właściciel serwisu/systemu zleci wykonanie tego rodzaju testów, to uprawnienie sięga tak daleko, jak ustalą to strony umowy. Bez zgody właściciela uzyskanie dostępu do informacji, systemu może podlegać karze.

 
Jaki jest wymiar kary za wykonywanie takich testów?


Kodeks karny przewiduje za to przestępstwo karę grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

 

A jeśli, mamy dobre intencje – tzn. znalezione błędy będziemy chcieli zgłosić autorowi?

 

Wtedy musimy liczyć, że ten się na nas nie pogniewa, podziękuje za nasz trud i nie zawiadomi policji o popełnionym przestępstwie. Przestępstwem jest każde nieuprawnione uzyskanie dostępu, więc bez zgody właściciela nie powinno się prowadzić tego typu działań.

Trzeba zaznaczyć, że jest to przestępstwo ścigane na wniosek pokrzywdzonego, więc dopóki ten nie złoży wniosku o ściganie sprawa nie zostanie wszczęta.


2016-07-14 18:00:00 Presented by Martin S