W cyberbezpieczeństwie, podobnie jak w westernach, rozróżnia się „czarne kapelusze” (nieetycznych hackerów) i „białe kapelusze” (etycznych hackerów). Granica między nimi nie zawsze jest oczywista, a kluczowe pytanie brzmi: kiedy hacking jest legalny? W swoim najnowszym artykule, który ukazał się na łamach Rzeczpospolitej, odpowiada na nie Mikołaj Prochownik, ekspert KWKR ds. prawnych aspektów cyberbezpieczeństwa.
Przestępstwa internetowe są zdefiniowane w Kodeksie karnym, szczególnie w art. 267, który penalizuje nieuprawniony dostęp do informacji. Jednak istnieją sytuacje, gdy hacking może być zgodny z prawem. Art. 269c k.k. wyłącza odpowiedzialność karną dla osób działających wyłącznie w celu wykrycia błędów w zabezpieczeniach systemów, pod warunkiem niezwłocznego powiadomienia właściciela o znalezionych zagrożeniach i nienaruszenia interesu publicznego lub prywatnego.
Wraz z rosnącą obecnością technologii w naszym życiu, wzrasta liczba cyberzagrożeń. Według danych ENISA, straty światowej gospodarki wskutek cyberprzestępstw w 2020 roku sięgnęły 5,5 bilionów EUR. Najczęstsze ataki to ransomware, DDoS oraz kradzieże danych. W odpowiedzi na te zagrożenia rośnie rynek dla podmiotów prowadzących testy penetracyjne.
Testy penetracyjne (pentesty) to kontrolowane próby włamania do systemów informatycznych, mające na celu sprawdzenie poziomu bezpieczeństwa. Podstawą prawną ich przeprowadzenia jest zgoda właściciela systemu, zazwyczaj uregulowana w umowie. Niektóre przepisy, jak unijna dyrektywa NIS 2 czy Rozporządzenie DORA, nakładają obowiązek przeprowadzania pentestów na określone podmioty.
Innym legalnym sposobem testowania odporności cyfrowej są programy bug bounty, w ramach których firmy oferują nagrody za wykrycie podatności w ich systemach. Istnieją również procedury skoordynowanego ujawniania podatności (CVD), które angażują zaufanego pośrednika, który w razie potrzeby ułatwiałby kontakt między etycznymi hackerami a organizacjami, w systemach których wykryte zostały luki w zabezpieczeniach.
Jak zadbać o ochronę przed cyberatakami w kontekście prawnym? Jak współpracować z etycznymi hakerami? Co może zyskać organizacja na takiej współpracy? Na te i wiele innych pytań w swoim tekście odpowiada senior associate w KWKR, radca prawny Mikołaj Prochownik.
Serdecznie zapraszamy do lektury!