Forgot your password?
Document Actions
Právo na straně bezmyšlenky
Jste vědec v oblasti kryptografie nebo bezpečnostní technik IT systémů? Podle našich zákonodárců, respektive podle § 205 nového návrhu trestního zákoníku s největší pravděpodobností splňujete definici počítačového zločince.
Čeští kryptoanalytikové bijí na poplach. 48. schůze Poslanecké sněmovny České republiky má projednávat návrh novely Trestního zákoníku, která by měla přizpůsobit předmětnou právní normu evropské legislativě. Předmětem kontroverse je paragraf 205 "Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat", který v navrhované úpravě zní takto:
>
Kdo neoprávněně vyrobí, uvede do oběhu, doveze, vyveze, proveze, nabízí, zprostředkuje, prodá nebo jinak zpřístupní, sobě nebo jinému opatří nebo přechovává zařízení nebo jeho součást, postup, nástroj nebo jakýkoli jiný prostředek, včetně počítačového programu, vytvořený nebo přizpůsobený k spáchání trestného činu neoprávněného přístupu k počítačovému systému a poškození a zneužití záznamu v počítačovém systému a na nosiči informací podle § 204 nebo trestného činu porušování tajemství dopravovaných zpráv podle § 157 odst. 1 písm. b), c), počítačové heslo, přístupový kód, postup nebo podobná data, pomocí nichž lze získat přístup k počítačového systému nebo jeho části, bude potrestán odnětím svobody až na jeden rok, propadnutím věci nebo zákazem činnosti.
Odnětím svobody až na tři léta, propadnutím věci nebo zákazem činnosti bude pachatel potrestán, spáchá-li čin uvedený v odstavci 1 jako člen organizované skupiny, nebo získá-li takovým činem pro sebe nebo pro jiného značný prospěch.
Odnětím svobody na šest měsíců až pět let nebo propadnutím majetku bude pachatel potrestán, získá-li činem uvedeným v odstavci 1 pro sebe nebo pro jiného prospěch velkého rozsahu.
> V čem je problém tohoto na první pohled bohulibé úpravy mající postihovat crackery a jiné zlé hochy? Podle známého českého odborníka na kryptoanalýzu Vlastimila Klímy je podle téže úpravy možno kriminalizovat také výuku kryptoanalýzy, tvorbu a používání programů pro bezpečnostní audity počítačových sítí. Úmluva Rady Evropy, ze které navrhovaná novela vychází, totiž obsahuje oproti své české právní aplikaci jeden malý ale významný detail - pachatel musí svým jednáním sledovat protiprávní cíl. Oproti tomu § 205 hovoří pouze o "neoprávněné" manipulaci s kryptoanalytickou technologií. Kdo rozhodne, co je oprávněná a neoprávněná manipulace? Stát? Bude pro zkoumání takových postupů a audit nepřeberného množství pořítačových sítí potřeba zvláštní licence? Nebo tato činnost bude přístupná pouze vybraným pracovníkům policie, BIS, armády apod. jakýmsi agentům 007 s povolením nikoliv zabíjet, nýbrž pracovat s šiframi, auditními nástroji apod.?
>
Podle tiskové zprávy uveřejněné např. na serveru Britské listy např. "pracovní činnost bezpečnostního administrátora počítačové sítě by mohla být trestná. Když podle nějaké nové kryptoanalytické metody vytvoří nebo použije program, který odhaluje slabá přihlašovací hesla, metodou práce se nijak neliší od hackera. Jeho úmyslem je zjistit, zda uživatelé nepoužívají slabá hesla a zabránit tomu, aby se systém nemohl stát předmětem útoku hackerů. Úmyslem hackera je slabá hesla využít a do systému proniknout. Oba dva opět používají stejné prostředky, liší se jedině cílem."
>
Proti navrhované úpravě se ozvala řada významných osobností z IT i právního světa, akademické i komerční sféry. I když se jedná pravděpodobně o problém zapříčiněný spíše omezenou chápavostí předkladatelů znění paragrafu, byla by právní norma v této podobě snadno zneužitelná k rozsáhlému potlačování svobody slova, legitimní obrany proti zločinu i akdademických svobod při výzkumu nových technologií.
>
Kdo neoprávněně vyrobí, uvede do oběhu, doveze, vyveze, proveze, nabízí, zprostředkuje, prodá nebo jinak zpřístupní, sobě nebo jinému opatří nebo přechovává zařízení nebo jeho součást, postup, nástroj nebo jakýkoli jiný prostředek, včetně počítačového programu, vytvořený nebo přizpůsobený k spáchání trestného činu neoprávněného přístupu k počítačovému systému a poškození a zneužití záznamu v počítačovém systému a na nosiči informací podle § 204 nebo trestného činu porušování tajemství dopravovaných zpráv podle § 157 odst. 1 písm. b), c), počítačové heslo, přístupový kód, postup nebo podobná data, pomocí nichž lze získat přístup k počítačového systému nebo jeho části, bude potrestán odnětím svobody až na jeden rok, propadnutím věci nebo zákazem činnosti.
Odnětím svobody až na tři léta, propadnutím věci nebo zákazem činnosti bude pachatel potrestán, spáchá-li čin uvedený v odstavci 1 jako člen organizované skupiny, nebo získá-li takovým činem pro sebe nebo pro jiného značný prospěch.
Odnětím svobody na šest měsíců až pět let nebo propadnutím majetku bude pachatel potrestán, získá-li činem uvedeným v odstavci 1 pro sebe nebo pro jiného prospěch velkého rozsahu.
> V čem je problém tohoto na první pohled bohulibé úpravy mající postihovat crackery a jiné zlé hochy? Podle známého českého odborníka na kryptoanalýzu Vlastimila Klímy je podle téže úpravy možno kriminalizovat také výuku kryptoanalýzy, tvorbu a používání programů pro bezpečnostní audity počítačových sítí. Úmluva Rady Evropy, ze které navrhovaná novela vychází, totiž obsahuje oproti své české právní aplikaci jeden malý ale významný detail - pachatel musí svým jednáním sledovat protiprávní cíl. Oproti tomu § 205 hovoří pouze o "neoprávněné" manipulaci s kryptoanalytickou technologií. Kdo rozhodne, co je oprávněná a neoprávněná manipulace? Stát? Bude pro zkoumání takových postupů a audit nepřeberného množství pořítačových sítí potřeba zvláštní licence? Nebo tato činnost bude přístupná pouze vybraným pracovníkům policie, BIS, armády apod. jakýmsi agentům 007 s povolením nikoliv zabíjet, nýbrž pracovat s šiframi, auditními nástroji apod.?
>
Podle tiskové zprávy uveřejněné např. na serveru Britské listy např. "pracovní činnost bezpečnostního administrátora počítačové sítě by mohla být trestná. Když podle nějaké nové kryptoanalytické metody vytvoří nebo použije program, který odhaluje slabá přihlašovací hesla, metodou práce se nijak neliší od hackera. Jeho úmyslem je zjistit, zda uživatelé nepoužívají slabá hesla a zabránit tomu, aby se systém nemohl stát předmětem útoku hackerů. Úmyslem hackera je slabá hesla využít a do systému proniknout. Oba dva opět používají stejné prostředky, liší se jedině cílem."
>
Proti navrhované úpravě se ozvala řada významných osobností z IT i právního světa, akademické i komerční sféry. I když se jedná pravděpodobně o problém zapříčiněný spíše omezenou chápavostí předkladatelů znění paragrafu, byla by právní norma v této podobě snadno zneužitelná k rozsáhlému potlačování svobody slova, legitimní obrany proti zločinu i akdademických svobod při výzkumu nových technologií.
EDU-Nix - náš (skoro)jmenovec :-)