Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


15.07.2022

Nowa wersja BDRSuite

Vembu Technologies, dostawca oprogramowania do ochrony danych w środowiskach fizycznych,...
15.07.2022

Zarządzanie końcówkami

baramundi software opublikowało nową wersję narzędzia do ujednoliconego zarządzania...
15.07.2022

Cyberzwiadowca

FortiRecon to kompleksowe narzędzie do ochrony przed cyfrowym ryzykiem (Digital Risk...
15.07.2022

Kontrola audiowizualna

Optoma wprowadziła oprogramowanie zintegrowane z chmurową platformą Microsoft Azure do...
15.07.2022

Chmura bezpieczeństwa

Cisco przedstawiło plan stworzenia Security Cloud – globalnej, zintegrowanej, opartej na...
15.07.2022

Nowy laptop do pracy zdalnej

Wielozadaniowość pracy hybrydowej to idea, która była inspiracją dla inżynierów Della...
15.07.2022

Monitoring bez zakłóceń

Firma Axis Communications proponuje nową serię kamer wyposażonych w najnowsze technologie...
15.07.2022

Na poziomie petabajtów

Dostępny jest nowy model HD6500 firmy Synology, pierwszy z serii HD zaprojektowany z...
15.07.2022

Procesory na rynku...

irma AMD ogłosiła, że procesory Threadripper PRO 5000 WX w lipcu br. będą oferowane przez...

Aspekty prawne testów penetracyjnych

Data publikacji: 14-07-2022 Autor: Charlotta Lendzion

Przyjmowano wiele metodyk i rodzajów testów. Nie ulega jednak wątpliwości, że ich głównym celem jest jak najlepsza jakość wytwarzanego oprogramowania, jego bezpieczeństwo, zgodność prawna, a po wejściu w życie rodo – również ochrona danych osobowych.

 

Dla organizacji testowanie oznacza nie tylko spełnienie wymogów prawnych, ale również dbałość o własne interesy – tajemnicę przedsiębiorstwa czy chociażby własność intelektualną. To dbanie o to, aby nie dopuścić do wycieku danych osobowych, finansowych czy innego rodzaju informacji mających wartość gospodarczą. Kreując proces testów w danej organizacji, należy rozważyć różne ewentualności, które wpływają na wiele kontekstów prawnych i biznesowych, zwłaszcza jeśli oprogramowanie ma być poddane testom penetracyjnym przez daną organizację lub w sytuacji, w której dana organizacja chce, aby takie testy były przeprowadzone przez zewnętrzny podmiot.


> Weryfikacja systemu


Testy penetracyjne (ang. penetration tests) to inaczej autoryzowana weryfikacja oprogramowania (legalny atak) mająca na celu sprawdzenie, czy system informatyczny jest bezpieczny. Ocenia się go z perspektywy podatności na potencjalny atak. Celem takich testów jest wykrycie wszelkiego rodzaju błędów, luk w systemie informatycznym czy słabości, które mogą być przyczyną potencjalnego włamania i nieautoryzowanych czynności.


Wprowadzenie rozwiązań cyfrowych wiąże się z potrzebą przeprowadzania różnych testów. Również w sieci można znaleźć rozmaite stanowiska dotyczące testów penetracyjnych, ale nie ulega wątpliwości, że przyjmuje się trzy główne rodzaje testów penetracyjnych:

 

  • testy czarnej skrzynki (ang. black box) – osoba testująca nie ma wiedzy na temat systemu informatycznego;
  • testy białej skrzynki (ang. white box) – osoba testująca zapoznaje się z dokumentacją, architekturą czy też innymi kwestiami dotyczącymi testowanego oprogramowania;
  • testy szarej skrzynki (ang. grey box) – łączenie dwóch powyższych sposobów testowania.


Warto nadmienić, że metoda czarnej skrzynki jest najbardziej zbliżona do potencjalnego ataku hakerskiego. Głównie dlatego, że osoba testująca nie zna systemu, wszelkiej architektury i musi tak pokierować swoją pracą i przyjąć takie rozwiązania, aby zlokalizować wszelkie potencjalne luki, błędy w konfiguracjach czy w innych obszarach, które mogą prowadzić do włamania.


> Testy a atak


Aby testy penetracyjne były przeprowadzone legalnie, zgodnie z literą prawa, konieczne jest uzyskanie zgody strony, której infrastruktura/oprogramowanie będzie poddawane testom. Brak zgody i poddanie infrastruktury/oprogramowania atakowi jest penalizowane w prawie karnym. Zgodnie bowiem z art. 267 § 1 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (tekst jedn. DzU z 2021 r., poz. 2345 ze zm.; dalej: kk): „Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”. Natomiast w art. 267 § 2 kk czytamy, że: „Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części sytemu informatycznego”.


Należy w tym miejscu podkreślić, że próby „wejścia” do systemu czy w konsekwencji jego złamanie mogą nieść za sobą dalekosiężne konsekwencje prawnokarne. Ściganie następuje na wniosek pokrzywdzonego, a zatem w chwili, kiedy w organizacji dojdzie do takiego ataku, dana organizacja podejmuje decyzję o potencjalnym zgłoszeniu.


Warto wskazać, że po nowelizacji prawa karnego powstał art. 269c kk, którego celem jest rozszerzenie legalności pewnych czynności związanych z testami penetracyjnymi: „Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody”.

 

Omawiany art. 269c kk wskazuje również na art. 269a kk, którego treść stanowi, że: „Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”. Przykładem ataku, o którym mowa w tym przepisie, jest atak DDoS.


Art. 269c kk otwiera pewną furtkę w wykonywaniu czynności ujętych w art. 269a oraz 267 § 2 kk, jednak bardzo ważne są pobudki podmiotu, który dokonuje takich czynności, oraz spełnienie przesłanek wskazanych w tymże artykule. Choć może to budzić pewne wątpliwości – i słusznie – chociażby w kontekście ochrony tajemnicy przedsiębiorstwa czy nawet danych osobowych, bardzo ważne jest dokładne przeanalizowanie tego artykułu, gdyż porusza dwie istotne kwestie.


Po pierwsze, działanie osoby, która w sposób nieautoryzowany dokonuje czynności ujętych w art. 267 § 2 oraz 269a kk, nie może naruszać interesu publicznego lub prywatnego, a po drugie – nie może wyrządzać szkody. Już same terminy „interes prywatny” i „interes publiczny”, zawarte w art. 269c kk, nie są jasno sprecyzowane, co może budzić wątpliwości interpretacyjne. Zwłaszcza jeżeli obcy podmiot dokona złamania zabezpieczeń i choćby kierowały nim pobudki wskazane w art. 269c kk, w dalszym ciągu w kontekście innych ustaw czy ochrony danych osobowych mamy do czynienia z sytuacją złamania poufności/integralności danych, a więc z incydentem ochrony danych czy też bezpieczeństwa, poufności, tajemnicy przedsiębiorstwa, tajemnicy zawodowej. Dlatego istotnym elementem polityk prywatności, ciągłości działania i bezpieczeństwa powinno być również uwzględnienie takich scenariuszy i przygotowanie odpowiedniego planu działania. Zwłaszcza że ściganie tego przestępstwa, jak już zostało wskazane powyżej, następuje na wniosek pokrzywdzonego.

 

[...]

 

Autorka jest prawnikiem, właścicielem llegal.pl, stałym mediatorem przy Sądzie Okręgowym w Gdańsku specjalizującym się w mediacjach z zakresu własności intelektualnej. Członkini Stowarzyszenia Praktyków Ochrony Danych SPOD. Autorka książki o odpowiedzialności odszkodowawczej. Audytor wewnętrzny w zakresie bezpieczeństwa informacji oraz systemu zarządzania jakością. Certyfikowany tester oprogramowania ISTQB. Z branżą IT związana od 2012 r. Obecnie w trakcie badań naukowych w ramach pracy doktorskiej z zakresu prawa nowych technologii.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"