Otázkou je, jestli vůbec víme, co to kybernetická kriminalita je. Máme mnoho různých věcí, které nějakým způsobem souvisejí s počítači, počínaje útoky na osobnost, přes vydírání, šíření různých pomluv na Facebooku, krádeže dat platebních karet, mnohokrát skloňovanou dětskou pornografii a tak dále.
Kde se vzala kyberkriminalita?
Ve skutečnosti jde o prakticky všechny druhy trestné činnosti, která je alespoň trochu sofistikovanější, a nemyslím tím krádež prostou, vraždu a podobné věci, i když i ty lze páchat prostřednictvím výpočetní techniky coby věci hmotné. Kybernetická kriminalita nastoupila teprve v okamžiku, kdy nastoupily osobní počítače, kdy se počítače staly dostupnou možností pro obyčejné lidi. To byl takový první moment, tzv. zlidovění počítačů.
Druhý, a možná ještě důležitější moment, byl vznik počítačových sítí, především internetu, a hlavně možnosti vzdáleného přístupu k počítačům. Tím jsme se dostali do situace, vzhledem k jiné trestné činnosti poměrně unikátní, kdy pachatel a oběť (a případně i kořist) se mohou nacházet na zcela jiných místech od sebe vzdálených, dokonce ve formátu celé zeměkoule.
Samozřejmě další věc, která kyberkriminalitě ještě přitopila, je záležitost mobilní telefonie. Možnost oprostit se od toho, že jsme dříve byli připoutání na to fyzické místo, tam kam prostě vedly ty dva dráty, a byli jsme poměrně dobře identifikováni – kdo jsme, odkud voláme a tak dále. Dnes dochází k ještě vyššímu riziku při využití mobilní telefonie, zejména s možností využívání tzv. předplacených nebo anonymních karet. Všichni, co se díváme na televizi nebo čteme o kmotru Mrázkovi víme, že anonymní předplacené karty jsou velice dobrým nástrojem pro zatajení totožnosti pro nelegální činnost všeho druhu.
Mix výše uvedeného umožnil nastartovat kybernetickou kriminalitu. Samozřejmě nové technologie umožní sofistikovaně provozovat i to, co známe z dřívějška. Objevily se ale také zcela nové druhy podvodů, nazýváme je phishing, pharming a tak dále. O tom se ještě zmíním.
Útoky na funkčnost počítačů
Poměrně masivní a stále častější útoky na funkčnost počítačů jsou prováděny právě prostřednictvím počítačových sítí. Jsou to útoky spočívající v tom, že pachatelé, organizované skupiny, teroristé, a dokonce i jiné státy, mohou útočit na počítačovou infrastrukturu a snažit se znesnadnit či zamezit jejich fungování.
Druhá, ještě sofistikovanější úroveň, je snaha dostat se k obsahu zpráv, které jsou přenášeny sítěmi anebo k obsahu dat, které jsou v počítači zpracovávány.
Porušování autorských práv
Samozřejmě další oblastí, která je tradiční a řekněme, že v kyberprostoru se jí daří poměrně hodně, je porušování autorských práv. Příkladem je používání nebo šíření různých nelegálních kopií autorských děl, tak jak to známe ze serverů, ze kterých si lidé stahují různá autorská díla, a tato činnost může samozřejmě být tak masivní, že to skončí i ekonomickou likvidací producentů nebo autorů děl. Ze skutkové podstaty § 270 trestního zákoníku je to poměrně společensky nezanedbatelný problém.
Další druhy trestné činnosti
Máme samozřejmě další druhy trestné činnosti, které jsou v souvislosti s počítači páchány snáze a radostněji než na papíru. Jde například o neoprávněné nakládání s osobními údaji a různé druhy trestné činnosti spojené s šířením informací, jako je šíření pornografie, poplašných zpráv, pomluvy, ale také další věci, které zatím ještě příliš nezdomácněly, jako je nebezpečné vyhrožování a pronásledování, nekalosoutěžní projevy páchané s využitím internetu apod.
V trestním zákoníku máme rovněž několik skutkových podstat, které se přímo týkají počítačů, které se snaží chránit počítače a počítačovou komunikaci. Jsou to např. ustanovení § 230 – neoprávněný přístup k počítačovému systému a nosiči informací, § 231 – opatření a přechovávání „všeho možného“, tj. přístupového zařízení nebo hesla k počítačovému systému a jiných takových dat, nástrojů a postupů. Toto je rámcové vymezení, v detailu si dovolím odkázat na literaturu.
Pojem kyberkriminality
Obecná definice je trochu širší a umožňuje nám pod ní subsumovat i řadu dalších závadných jednání, kterými může někdo využívat vlastnosti počítačů a počítačových sítí pro páchání trestné činnosti. Čili pod pojmem kybernetická kriminalita chápeme všechny činnosti, všechnu trestnou činnost, ve které se vyskytuje počítač, a to hardware, software, data nebo některá část anebo větší množství počítačů, a to samostatných nebo propojených do počítačové sítě.
Obecně vzato se počítač nebo počítačová síť vyskytují ve dvou rolích. Jako předmět trestné činnosti, tzn. cíl útoku, nikoli však jako věc movitá. Čili pokud pachatel uchopí dlažební kostku, vybije okno, vběhne dovnitř, vezme notebook a poběží s ním do nejbližší zastavárny, nebude to patřit do oblasti počítačové kriminality. Stejně tak pokud je tentýž notebook použit v jiné situaci, například coby předmět, kterým je manžel či manželka udeřen do hlavy a zbaven života – to také nepatří do oblasti počítačové kriminality. Všechno ostatní ano.
Nakročili jsme k druhé roli počítače, a to je nástroj trestné činnosti. Jde o nástroj velice efektivní. Čili můžeme si říci, že kybernetická kriminalita je trestná činnost odehrávající se v kyberprostoru.
Kdo jsou pachatelé kybernetické kriminality?
Vy určitě v různých novinových článcích a na podobných místech čtete o tom, že nějací hackeři něco udělali, možná jste někde slyšeli o crackeřích, už určitě ale nevíte kdo je to freaker a darker, ale to všechno je napsáno v mé knize. Nicméně ve většině případů nejsou těmi pachateli hackeři, o kterých se často píše. Pachateli trestné činnosti v oblasti kybernetické kriminality jsou nejčastěji čtyři skupiny pachatelů nebo organizátorů trestné činnosti.
V prvé řadě jsou to cizí státy. Jde o kybernetickou válku, tak jako dnes provozuje Rusko v souvislosti s Ukrajinou válku informační, tak jako Izrael zaútočil na centrifugy vyrábějící látky pro atomovou bombu, a přiznám se, nevím, jestli v Iráku nebo Iránu, já si ty země běžně pletu, prostřednictvím viru, který napadl odstředivky na výrobu uranu, a tak dále.
Další kategorií jsou samozřejmě teroristé. Teroristé jsou schopni zejména v rámci tzv. asymetrických konfliktů zaútočit na stát velice účinně prostřednictvím počítačových sítí.
V mnoha případech si to neuvědomíte, ale nejnebezpečnější jsou vlastně zaměstnanci. Zaměstnanci jsou ti, kteří mají přístup ke všemu, kteří mají obvykle dostatečná oprávnění, dostatečné možnosti a informace na to, aby vaše data poškodili, modifikovali, odcizili, prodali či použili k vydírání. To všechno už jsem zažil, to všechno už se tady stalo. Jenom si dovolím upozornit, že to samozřejmě mohou být i data soudu, mohou to být data advokátní kanceláře, mohou to být data kohokoliv, kdo má nějaké zaměstnance.
Pokud by někoho tyto záležitosti více trápily, dovolím si odkázat na můj článek v Bulletinu advokacie, přesně řečeno v čísle 3/2015, kde zejména pro advokáty podrobně rozebírám otázku zabezpečení počítačových dat, ať už před pachateli zvenčí nebo před útokem policejních složek v rámci prohlídek jiných prostor. Doporučuji velice vaši pozornosti.
Čtvrtým a nejčastějším „uživatelem“ výnosů páchaní kybernetické kriminality jsou organizované skupiny. Organizovaný zločin, který kyberprostor používá pro praní peněz, pro nelegální převody a pro všechny ostatní další činnosti, ke kterým lze počítače využít. My při odhalování a dokazování kybernetické kriminality máme řadu problémů. Problém jurisdikce, problém, aby vůbec byla trestná činnosti odhalena, abychom dokázali, kdo je pachatelem a dokázali jsme mu, že jde o jeho trestnou činnost. Problémem jsou i chybějící nebo nedobře popsané skutkové podstaty nového trestního zákoníku, byť ten je samozřejmě daleko sofistikovanější, než byl trestní zákoník předchozí.
Problém jurisdikce
Zatímco při fyzickém útoku na nějaké technické zařízení můžeme poměrně dobře identifikovat, kde došlo ke spáchání trestného činu, v situaci dálkového přístupu a používání virtuálních počítačů, cloudů a podobných „hrůz“ v oblasti IT, o kterých jistě stále více čtete, však máme problém: servery se mohou nacházet kdekoli na světě. Mohou se nacházet v jakémkoli výpočetním centru nadnárodní společnosti a vy, když zadáváte nějakou adresu do internetového prohlížeče, ale i do sofistikovanějších programů, tak vůbec nevíte, kde na světě se vaše data v ten moment nacházejí.
To má samozřejmě fatální dopady jak v oblasti civilního práva, například co se týká odpovědnosti za škodu, tak z hlediska trestního procesu, kdy vlastně nevíme, kde se ten trestný čin stal, nevíme, jakým způsobem postupovat.
Máme tři možné přístupy. Buď se můžeme pokoušet aplikovat standardní kritéria místní působnosti, podle nějaké fyzické lokalizace informací. To je tradiční konzervativní přístup. Snažíme se nějakým způsobem, podle principu zásady teritoriality a personality podle trestního zákoníku, s místní příslušností vypořádat. Problém je v tom, že skutečně mnohdy nevíme, kde se ten trestný čin odehrál, kde byl pachatel, kde je poškozený a tak dále.
Řešením je vytvoření nového konceptu, nových kritérií pro aplikaci principů místní působnosti. To se svým způsobem už dnes děje. Děje se to prostřednictvím rozhodovací praxe různých soudů, ale samozřejmě nemůžeme hovořit o jednotnosti. Mimochodem v Rakousku teď začal spor, kdy rakouský občan žaluje Facebook kvůli špatnému nakládání s osobními údaji. První námitka Facebooku byla nepříslušnost soudu – my jsme americká firma, nás tady nemá kdo co žalovat. Facebook samozřejmě neuvádí pravdu, protože když si zakládáte účet, uzavíráte smlouvu s evropským Facebookem.
Samozřejmě koncept místní příslušnosti bude pořád na pořadu dne. Řešením by možná bylo konstatovat, že existuje nějaká informační vrstva bez místní jurisdikce státu. V podstatě něco podobného jako je eurozatykač, mohlo by to fungovat na bázi Evropské unie, mohlo by to fungovat na základě Úmluvy Rady Evropy o kyberkriminalitě. Osobně si ale myslím, že řešením je něco, co by bylo celosvětové, protože můžete mít nějaké ujednání v rámci EU, ale v tom případě se pachatel přestěhuje někam na Šalamounovy ostrovy a ujednání EU je nám platné jako „mrtvému zimník“. Řešením by možná byl mezinárodní soud pro kyberkriminalitu.
Problematika odhalování kyberkriminality
Druhým problémem je odhalování kyberkriminality. Existuje mnoho fází, které provázejí trestný čin od jeho vzniku až do případného potrestání pachatele.
Může nastat situace, kdy vlastně vůbec nezjistíme, že k něčemu došlo. To je v oblasti počítačů velice časté, míra latence je vysoká. Nebo skutky, kde bylo sice zjištěno, že se staly, ale nejsou vyhodnoceny jako činy trestné. Máme potom skutky, kdy se zjistilo, co se stalo, jsou vyhodnoceny jako činy trestné, ale potenciální oznamovatel má důvody pro jejich utajení. To je velice častá záležitost například ve finančním sektoru, protože banky nemají zájem snižovat svoji důvěryhodnost tím, že přiznají, že k nějaké trestné činnosti u nich došlo. Máme potom skutky, které byly odhaleny, byly oznámeny, ale policie nenalezla pachatele. Buď neexistuje vůbec žádný podezřelý, anebo existuje, ale nepodařilo se šetření ukončit sdělením obvinění. Pravdou ale je, že dnes policie mnohdy funguje v opačné variantě, tj. snaží se každé šetření ukončit sdělením obvinění bez ohledu na to, jestli je člověk obviněn po právu.
Pokud bychom žili v normálním světě, tak by fungovaly poslední dvě varianty poměrně často právě v souvislosti s počítači, protože v oblasti nehmotných stop (nejde o zakrvácenou sekyru, na které se nacházejí otisky prstů pachatele) je veškeré dokazování podstatně složitější. Ze své vlastní zkušenosti mohu říci o případu pachatele z Brna. Byl to zaměstnanec jedné banky. Ten se nám po 6 nebo 7 hod. výslechu smál do očí a neříkal „já jsem to neudělal“, ale „mě to nikdy nedokážete“. A skutečně v Brně mu to ti četníci nikdy nedokázali.
Pak máme další krok, který už může vypadat úspěšněji, ale skončí podobně; je to tedy, že trestní stíhání bylo zahájeno, ale obžaloba nebyla podána, nebo byl obžalovaný zproštěn. Toto se velice často stává s nezvládnutím procesu dokazování, kdy nebyly zajištěny stopy, nebo byly zajištěny stopy chybné, nebyly zpracovány kvalitní znalecké posudky a tak dále.
Žádoucí z pozice v boji proti kybernetické kriminalitě je varianta poslední, kdy obžalovaný je uznán vinným a rozsudek nabyl právní moci poté, co jej potvrdily všechny soudní instance.
Otázka dokazování
Klíčové je, aby byl důkaz akceptovatelný příslušnými orgány. Klíčová je prokazatelnost, že se stopa nacházela na určitém místě, a že od jejího zajištění až do ukončení zkoumání nebo dokonce ukončení celého trestního procesu nebyla žádným způsobem modifikována. To se velice často opomíná. Ještě bych zmínil problém s fyzickou přítomností pachatele, který může být někde úplně jinde, problém času, kdy čas můžeme samozřejmě měnit v počítačovém systému, máme-li k tomu příslušné oprávnění, problém čitelnosti dat, kdy ne všechna data jsme s časovým odstupem schopni přečíst, problém identifikace a autentizace.
Velice často dostávám požadavek – můžete mi osvědčit, že tento mail napsala určitá osoba? Pokud ten mail není podepsán elektronickým podpisem, tak odpověď zní „Nikdy“. Všechno, co je v kyberprostoru a není opatřeno nějakým sofistikovaným nástrojem pro identifikaci a autentizaci, jakým je třeba podle českého zákona o elektronickém podpisu elektronický podpis nebo elektronická značka, nebo to neprošlo důvěryhodným systémem jako je třeba systém datových schránek, všechno ostatní lze podvrhnout.
Setkal jsem se s případem, kdy byl stíhán jednatel firmy, protože jej chtěl někdo jiný z toho místa dostat. Útočník zmanipuloval velké množství mailů, které se nacházely v databázi firmy, a to tak, že texty mailů, které si jednatel vyměňoval s jinými osobami, nahradil jinými texty, jiného obsahu, na základě kterých bylo následně dokazováno policií, že se měl jednatel dopustit nějaké nelegální činnosti proti společnosti. Přitom mail zůstal tak jak je, hlavička mailu zůstala tak, jak je, ale místo „ahoj Franto, pojď na pivo“ tam bylo napsáno „pane inženýre, prodám Vám údaje o projektu tom a tom“. S tím souvisí samozřejmě průkaznost za situace, kdy nemáme možnost to dobře vyšetřit a konáme jenom na základě „počítačových důkazů“.
Já bych se chtěl zmínit o případu, který byl řešen českými soudy. Obviněný měl páchat trestnou činnost z přípojky, která vedla do nějaké domácnosti. Byl to obviněný blízký věku mladistvého, který uveřejnil na internetu Harryho Pottera ve všech světových jazycích. Možná tu kauzu někdo znáte, soudilo se to v Olomouci. On svoji trestnou činnost popřel a ostatní členové rodiny, kteří byli v bytě, kam ta přípojka vedla, odmítli vypovídat. Nakonec díky kvalitní práci policejní a díky práci znalce, který na tom případu pracoval – tedy mě, se podařilo najít důkazy proti pachateli, podařilo se dosáhnout toho, že byl pravomocně odsouzen. Nejvyšší soud nevyhověl dovolání a Ústavní soud rozsudek „potvrdil“.
Průkaznost důkazů činí problém velice často, zejména na úrovni Policie České republiky a jí přibíraných znalců – jsou prováděny různé nekvalifikované postupy, případně postupy nejednotné. Jeden stupeň orgánů činných v trestním řízení řekne, udělá se to takhle, jiný řekne ne, má to být takhle, ale samozřejmě poté dojde mnohdy k napáchání škod na průkaznosti důkazů. A s tím souvisí také nedostatečná metodika pro zajišťování stop v kyberprostoru.
S čím se zatím neumíme moc vypořádat?
Neumíme se vypořádat s útoky, kterým se říká DoS nebo DDoS, je to vlastně zkratka pro Denial of Service – útok na službu. Pachatel zašle prostřednictvím ne jednoho, ale obvykle celé sítě počítačů požadavky na server. Ty požadavky jsou zdánlivě legální, legitimní, a to je ten problém. Jenomže on jich místo pěti za vteřinu pošle pět tisíc nebo padesát tisíc, a ten server samozřejmě klekne.
To se stalo tuším na počátku loňského roku v České republice, kdy byl takový útok veden asi celý týden ze zahraničí. Byl veden na bankovní servery, na servery mediálních společností. Fakt je ten, že s tímto útokem se není schopna žádná organizace vypořádat. Servery prostě nemůžete dimenzovat na nekonečný počet v podstatě legitimních požadavků. Tím, že je ten požadavek legitimní, tak máme trochu problém říci, kdy to tedy je trestný čin podle ustanovení § 230 tr. zákoníku nebo není.
S JUDr. Sokolem, se kterým dosti často píšeme odborné články o IT kriminalitě, jsme se pokoušeli toto jednání teoreticky někam subsumovat, pod nějakou existující skutkovou podstatu, ale nemáme samozřejmě žádné rozhodnutí soudu, které by nám dalo či nedalo za pravdu.
Hodně teď možná čtete v novinách o 3D tisku. Ten však může založit porušování práv duševního vlastnictví, v případě, že budete tisknout něco, co je chráněno jako průmyslový nebo užitný vzor, nebo dokonce vynález. Protože si přečtete na internetu návod, můžete si vytisknout zbraň a ta zbraň, v momentě, kdy si ji vytisknete, naplní skutkovou podstatu trestného činu nedovoleného ozbrojování. Vidíte, jaké zajímavé konsekvence nám kyberkriminalita přináší.
Útoky na technologické řídicí systémy
Útoky na technologické řídicí systémy jsou věcí, které mohou být velkou noční můrou. Já si dovedu představit, že jednoho krásného dne pachatel zavře pacientům na jednotce intenzivní péče kyslík. Tečka, konec, hotovo. Útoky na řídící řízení letového provozu – to všechno se může přihodit. Co nás tedy čeká ještě dál?
Internet věci
Abych to ještě trošku více zhoršil na závěr. Další módní pojem, o kterém jste jistě slyšeli a četli, je internet věci. Co znamená internet věci? Všechno ve vašem domově, všechno v práci, vaše auto atd. bude připojeno na internet. To ale znamená, že pachatel, který bude mít interní informace i z vašeho domova (může to být rozvádějící se manžel, dítě, uklízečka, může to být kdokoliv), to nemusí zkoušet jen tak naslepo, že by nevěděl, zda je na konci drátu u vás kávovar, ale budete mít na internet připojenou zabezpečovačku nebo topení, a ten pachatel nejdřív způsobí výbuch plynu a požár a potom vám ten barák zamkne na dálku a vy budete vevnitř. To všechno se může stát za situace, kdy nekontrolovaně podlehneme fenoménu internetu věci.
BYOD
Kromě toho je další stoupající riziko, o čem jste jistě taky možná někdy četli, a to je BYOD – Bring your own device – přineste si svoje vlastní zařízení do firmy. Představa, že budou moji zaměstnanci do firmy nosit svá neprověřená, neatestovaná zařízení, na kterých můžou mít, co chtějí, a budou je připojovat do firemní sítě, to je úplné šílenství.
Útoky přes sociální sítě
Počítejme s tím, že nadále porostou útoky prostřednictvím sociálních sítí. A to nikoliv útoky na čest a duševní zdraví, jak to zatím ze sociálních sítí známe. Budou to útoky sofistikovanější. Budou to útoky takové, abyste si virus, který bude monitorovat, co píšete na klávesnici, nainstalovali prostřednictvím Facebooku. A jsou to už dnes běžné podvody typu, že z vás někdo vyláká nějaký peníz na Facebooku, protože se vydává za vašeho tzv. „kamaráda nebo přítele“.
Závěrem
Co říci tedy závěrem? Čím více věcí bude připojeno, stane se součástí kyberprostoru, s tím větším rizikem musíme počítat. Je samozřejmě otázkou, zda právní řády včetně oborů práva trestního, nebo oborů jako jsou kriminologie a kriminalistika, budou dostatečně připraveny na technologický vývoj. Neříkám, že právo musí neustále reagovat na každou změnu v reálném životě. Pamatuji si, jak jsem na jedné přednášce vykládal o tom, jaký je běžný způsob vytváření legislativy: „Máme nějakou technologickou novinku. Poté, co ji někdo objeví, přijdou obchodníci, ti to nějakým způsobem rozšíří mezi uživatele, pak se to již nabaluje jako sněhová koule a žije svým vlastním životem. Vzadu klopýtají právníci, kteří se to pokoušejí vtěsnat do právního řádu.“ V ten moment mne jeden významný advokát opravil – Vladimíre, oni neklopýtají, oni jedou ve svých luxusních bavorácích. Ale výsledný efekt je stejný a já si myslím, že je to dobře. Právní řád nesmí reagovat na každou hloupost. Upřímně řečeno nechápu, proč máme zvláštní skutkové podstaty pojednávající o čmárání po zdech, jenom proto, že je to zrovna in. Ale na druhou stranu nesmí zůstat příliš dlouho konzervativní, protože pak ty skutkové podstaty prostě nebudeme mít.
Stále více budeme potřebovat odborníky, zejména znalce. Ale zatímco ještě před 5 lety jsem hovořil hlavně o znalcích, dnes bych chtěl zdůraznit jinou věc, my potřebujeme především soudce. My potřebujeme kvalitní a kvalifikované soudce, pro které nebude klávesnice počítače něco, na co se budou bát sáhnout. Pro které bude kyberprostor něčím, do čeho se nebudou obávat vstoupit. Budou schopni a ochotni – zažil jsem již před lety u Krajského soudu v Brně, provádět ohledání kyberprostoru prostřednictvím počítače přímo v soudní síni.
Toto všechno jsou výzvy, a já se domnívám, že tímto směrem by mělo být zaměřeno i školení, další tedy vzdělávání soudců. Nebude-li mít soudce povědomí o této oblasti, tak se domnívám, že nebude moci kvalifikovaně v takovýchto složitých věcech týkajících se kyberkriminality věci rozhodovat.
Ve všem, co jsem zde nepředstavil, si dovolím odkázat na literaturu. V nakladatelství Aleš Čeněk vyšla právě moje nová kniha „Kybernetická kriminalita“. Je to zcela nové „drobné“ 636 stránkové dílko, pojednávající o všem, co nějak souvisí s kybernetickou kriminalitou. Troufnu si říci, že je tam vše, protože to je výsledek mé třicetileté praxe. Budete-li však mít pocit, že tam něco není, dejte mi vědět. Vypisuji tímto veřejnou odměnu v podobě láhve francouzského vína pro toho, kdo přijde s nějakým námětem, odhalením toho, co jsem opomenul, ačkoliv je právě aktuální.
Kongres Právní prostor 2015
Ve dnech 21. a 22. dubna 2015 se v Seči u Chrudimi konal již 5. ročník odborného kongresu Právní prostor. Záštitu nad letošním ročníkem převzali Ministerstvo spravedlnosti ČR, Ministerstvo vnitra ČR, Soudcovská unie ČR a Svaz průmyslu a dopravy ČR.
Více informací o kongresu naleznete na http://www.kongrespravniprostor.cz/
Diskuze k článku ()