facebook LinkedIN LinkedIN - follow
IT SYSTEMS 9/2016 , IT Security , IT právo

Kde jsou hranice etického hackingu?

Lze v průběhu letu beztrestně hacknout Boeing 737?



PwC LegalV polovině minulého roku informovala zahraniční i tuzemská média o americkém hackerovi, kterému se prostřednictvím palubního zábavního systému podařilo nabourat přímo do řízení letadla a získat přístup k jeho interním procesům včetně ovládání motorů. Kontroverzní hacker Chris Roberts, který je známý svými předchozími bezpečnostními průniky, tehdy dobrovolně o svých výsledcích informoval pověřené autority s žádostí o odstranění nedostatků. Tento postup následně probudil diskuzi o tom, zda je tzv. etický hacking dostatečně regulován.


S rozvojem informačních a komunikačních technologií je neoddělitelně spojena také vyšší míra provázanosti těchto technologií se záležitostmi každodenního života. V důsledku toho už jen s obtížemi hledáme odvětví, kde není, ať už ve větší či menší míře, využíváno technologického pokroku ke zlepšení efektivity a zjednodušení práce. Informační systémy ale nejsou dokonalé a nezřídka se mohou stát terčem útoku zvenčí. Takový postup není samozřejmě úplně žádoucí a je trestán na území většiny států. Nabízí se zde ale otázka, jak pohlížet na aktivity, které vedou k odhalení nějaké bezpečnostní slabiny, aniž je tato slabina zneužita?

V současné době nemálo světových společností či organizací veřejně vybízí k aktivnímu vyhledávání bezpečnostních mezer nebo způsobů obcházení technického zabezpečení jejich softwarových produktů (tzv. reward nebo bounty programy). Za odhalené zranitelnosti čeká úspěšného hackera odměna sahající až do výše 100.000 amerických dolarů. Etický hacking je zde chápán jako alternativa ke klasickému komerčnímu testování (např. penetračním testům) s tím rozdílem, že zde netestuje konkrétní subjekt za předem jasně daných podmínek, ale prakticky kdokoli. Takové testování je samozřejmě mnohem bližší reálnému provozu a hrozbám.

Problém nastává v situaci, kdy dochází k takovému jednání bez souhlasu či vědomí oprávněného vlastníka, autora či provozovatele napadeného systému. V této souvislosti se mluví o tzv. grey-hat hackers, kteří většinou na vlastní pěst vyhledávají bezpečností nedostatky nebo chyby, aniž by z jejich strany docházelo ke škodlivým zásahům nebo v úmyslu někoho ohrozit. Motivací pro takové jednání může být zvědavost, prestiž nebo také méně či více diskrétní upozornění na možné riziko. Právě tato skupina hackerů se v souvislosti s výše uvedeným počínáním Chrise Robertse dostala do popředí zájmů světových medií i vládních orgánů pro kybernetickou bezpečnost.

V IT komunitě převládá názor, že jednání grey-hat hackers je pozitivní právě proto, že objektivně přispívá ke zvýšení bezpečnosti a kvality software, a chrání tak jeho uživatele. Objevují se ale i opačné reakce, kdy firma nebo organizace na odhalenou zranitelnost svého systému či software nejen nereaguje pozitivně, ale dokonce ihned podává trestní oznámení za pokus o průnik do svého systému nebo pokus o prolomení ochrany svého software.

Mezinárodní úroveň ochrany

Na mezinárodní úrovni probíhá ochrana proti neoprávněnému hackingu (neboli slovy právní úpravy zásahu do technických prostředků) prostřednictvím několika dohod, které mají za cíl stanovit určitý minimální standard zabezpečení. Za nejvýznamnější dohody v této oblasti lze bezesporu považovat Smlouvu Světové organizace duševního vlastnictví o právu autorském nebo Smlouvu Světové organizace duševního vlastnictví o výkonech výkonných umělců a zvukových záznamech. Uvedené smlouvy mají v současné době téměř 100 smluvních stran. Česká republika k oběma smlouvám přistoupila 10. října 2002. Mezi další významné mezinárodní dokumenty patří např. Úmluva Rady Evropy o kyberkriminalitě nebo Bernská úmluva o ochraně literárních a uměleckých děl.

Pravidla nastavená v rámci výše uvedených mezinárodních dohod se pak dále promítají do národních právních řádů jednotlivých států. Přiměřená právní ochrana a zavedení účinných právních opatření proti obcházení technických prostředků zabezpečení by měla být poskytnuta současně při zhodnocení následujících faktorů:

  1. Účinnost (efektivnost) – obecně platí, že technické prostředky, které lze obejít příliš jednoduše nebo náhodou, jsou neúčinné, a tudíž by neměly být právem chráněny.
  2. Užití – předpokladem poskytnutí ochrany technickým prostředkům autorského díla je užití tohoto díla autorem v souladu s příslušnými právními předpisy. Jinými slovy, zásah do technických prostředků ochrany u autorských děl, která nejsou chráněna autorským zákonem (tzv. volná autorská díla), by neměl podléhat regulaci ze strany veřejné moci.
  3. Souhlas – postihována by také neměla být taková obcházení technických prostředků, kde k zásahu dal souhlas autor nebo jiná oprávněná osoba nebo jsou povolena ze zákona.

Evropská úroveň ochrany

Na evropské úrovni je regulace obcházení technických prostředků korigována již od roku 1988. Jako příklad lze uvést Směrnici o právní ochraně počítačových programů, která stanoví členským státům povinnost přijmout taková opatření, která budou mít za cíl zabránit uvádění do oběhu nebo držení jakýchkoliv prostředků pro obchodní účely, jejichž jediným účelem je usnadňovat neoprávněné odstraňování nebo vyřazování z provozu jakéhokoli technického zařízení, které mohlo být vytvořeno za účelem ochrany počítačových programů.

Obdobně další směrnice stanovují členským státům povinnost zakázat na svém území výrobu, dovoz, distribuci, prodej, pronájem nebo držení nedovolených zařízení (k obcházení technických prostředků) k obchodním účelům nebo stanovit odpovídající právní ochranu před obcházením jakýchkoli technologických prostředků, které dotyčná osoba provádí s vědomím, že takový cíl sleduje, nebo existují-li o této skutečnosti opodstatněné důkazy.

I přes výše uvedenou regulaci je třeba konstatovat, že povinnosti stanovené na evropské úrovni nejsou dostatečně specifické a konkrétní úprava je ponechána na národní úpravě členských států, od kterých je tak reálně požadováno dodržovat pouze určitý minimální standard ochrany. Z tohoto důvodu se může míra ochrany na úrovni jednotlivých evropských zemí výrazně lišit.

V srpnu tohoto roku vstoupila dále v účinnost Směrnice o bezpečnosti sítě a informačních systémů (Směrnice NIS) s cílem zvýšit úroveň společné obrany v oblasti kybernetické bezpečnosti. Směrnice předpokládá zejm. vytvoření celoevropské sítě bezpečnostních týmů a povinnost hlášení bezpečnostních incidentů pro provozovatele základních služeb v sektorech, které zahrnují energii, dopravu, bankovnictví nebo zdravotnictví. Právě druhá zmíněná povinnost, bude-li striktně dodržována ze strany povinných subjektů, může vést ke zvýšené persekuci jednání gray-hat hackers, které bylo doposud ve značné míře vnímáno spíše jako obecně společensky přínosné.

Úroveň ochrany v rámci České republiky

U softwarových produktů zabezpečených technickými prostředky lze identifikovat celkem tři vrstvy ochrany. První vrstvou je ochrana autorského díla na úrovni autorského zákona, druhou je technické zabezpečení tohoto produktu, přičemž samotná ochrana proti neoprávněnému zásahu do technického zabezpečení tvoří třetí vrstvu. Podobný model je zaveden ve většině dalších světových jurisdikcí.

Ve vztahu k ochraně technických prostředků se autorský zákon vyjadřuje poměrně jednoznačně. Ten, kdo obchází účinné technické prostředky ochrany práv, se dopouští přestupku, za nějž je možné uložit pokutu ve výši až 150.000,- Kč. Vzhledem k dané formulaci a systematice autorského zákona je patrné, že postihováno nebude jednání spadající pod jednu z výše uvedených výluk nastavených v rámci mezinárodní spolupráce (tedy účinnost, užití nebo souhlas).

Na stále větší hrozbu týkající se kybernetické kriminality reaguje také trestní zákoník, který upravuje specifickou skutkovou podstatu trestného činu neoprávněného přístupu k počítačovému systému a nosiči informací. Trestná není pouze případná krádež nebo poškození dat, ale samotný neoprávněný přístup k těmto datům, který může být sankcionován odnětím svobody až na jeden rok a propadnutím věci. Způsobení škody související s touto činností je až zvláště přitěžující okolností, která může vést k trestu odnětí svobody až na osm let. V této souvislosti je potřeba zdůraznit, že z pohledu trestního práva je často diskutován prvek účinnosti technického opatření. Část odborné veřejnosti totiž zastává názor, že skutková podstata tohoto trestného činu bude naplněna nehledě na efektivitu obcházeného zabezpečení.

Na závěr je potřeba doplnit, že je-li neoprávněným zásahem do technických prostředků způsobena škoda, bude mít takové jednání mimo veřejnoprávních také soukromoprávní důsledky. Jinými slovy kybernetický útočník bude povinen nahradit škodu, která poškozenému v důsledku tohoto zásahu vznikla.

Následky etického hackingu

Dalo by se shrnout, že v rámci českého práva není vytvořen prostor pro oblast etického hackingu ve smyslu, jaký je spojován s grey-hat hackers. Výluka nebo jiný režim není zaveden ani v rámci evropských nebo mezinárodních dohod. Nekontrolované prolamování bezpečnostních opatření totiž představuje natolik nebezpečné jednání a takový zásah do soukromí, že je nutné jej regulovat dokonce i na úrovni trestního práva. V tomto ohledu není vyloučeno, že bude postihováno i jednání, které má potenciál přispět ke zlepšení bezpečnosti a odstranit možná rizika. Současná úprava totiž nedovoluje bez souhlasu testovat zabezpečení virtuálních systémů, stejně tak jako nedovoluje např. vloupání se do střežené vládní budovy za účelem prověrky jejich bezpečnostních systémů.

Martin Brázdil Martin Brázdil
Autor článku je právníkem advokátní kanceláře PwC Legal. Během své dosavadní praxe získal zkušenosti v předních českých právních kancelářích, kde poskytoval poradenství v rámci vnitrostátních i přeshraničních projektů. Martin se specializuje zejména na oblasti IP/IT, M&A, právo evropské a právo obchodní.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.