JUDr. Michal Rampášek
JUDr. Michal Rampášek je advokát spolupracujúci s advokátskou kanceláriou WISE3. Vo svojej praxi sa venuje najmä právu IKT, trestnému právu, kybernetickej bezpečnosti a ochrane osobných údajov. Je členom pracovnej skupiny SAK pre elektronizáciu výkonu advokácie a Asociácie kybernetickej bezpečnosti.
Úvod
Hacking je spravidla spájaný s prienikom do informačných systémov so zlým úmyslom. Takáto forma hackingu je v zásade trestná. Existuje však aj hacking s dobrým úmyslom, takzvaný etický hacking (známe aj pod anglickým pojmom white hat hacking). Etickí hackeri nachádzajú zraniteľné miesta v produktoch, službách a informačných systémoch a odlišujú sa (od black hat hackerov) tým, že ich nezneužívajú, ale nahlasujú zraniteľnosti priamo správcovi systému.
Etický hacking v praxi prebieha v zásade v dvoch formách.
V prvom prípade sa tak deje na základe písomnej zmluvy medzi organizáciou ako objednávateľom služieb a hackerom, resp. spoločnosťou, ktorá poskytuje služby penetračného testovania. Najčastejšie ide o zmluvu o výkone penetračného testovania, ktorá vymedzuje, ktorý informačný systém, resp. časť má byť predmetom testovania, v akom časovom období sa má testovanie vykonať a pod. V tomto prípade je miera právneho rizika pre etického hackera, resp. penetračného testera pomerne limitovaná. V praxi nevytvára riziko, i keď ani v tomto prípade nemožno úplne právne riziká vylúčiť (najmä pri zásahu do práv tretích osôb). Okrem toho existujú aj platformy, ktoré na základe vopred daných pravidiel (tzv. bug bounty program), sprostredkúvajú, resp. moderujú a zastrešujú vzťah medzi spoločnosťami, ktoré majú záujem preveriť bezpečnosť svojich IT systémov a etickými hackermi. Ak sprostredkovateľ, resp. moderátor overí nájdenú zraniteľnosť a táto spĺňa podmienky zadania, hacker dostane odmenu.[1]
Druhá forma etického hackingu je z právneho hľadiska riziková, pretože etický hacker v tomto prípade koná vo vlastnom mene, bez výslovného súhlasu organizácie, na ktorej informačné systémy útočí.
Slovenský právny poriadok (predovšetkým Zákon o kybernetickej bezpečnosti[2] a Trestný zákon[3]), európska smernica NIS[4] a ani medzinárodné štandardy ISO, nepoznajú, resp. nerozlišujú medzi pojmami etický, či neetický, v spojitosti s hackingom, či nahlasovaním zraniteľností. Výklad toho čo je etické a čo už nie je často predmetom rôznych sporov, pričom každý môže mať inú predstavu, čo v prípade hackingu je a čo už nie je etické.
Trestný zákon nerozlišuje medzi páchateľmi (hackermi) podľa ich motívu (pohnútky) či úmyslu. Na etický hacking sa v zásade vzťahujú ustanovenia Trestného zákona o jednotlivých tzv. počítačových trestných činoch, teda najmä trestný čin neoprávneného prístupu do počítačového systému podľa § 247 Trestného zákona.
V tomto článku sa snažím formulovať odpoveď na základnú otázku – ako môže pôsobiť etický hacker bez toho, aby mu hrozilo riziko vzniku trestnoprávnej zodpovednosti, resp. toto riziko bolo minimalizované? Otázky civilnej zodpovednosti, najmä v podobe zásahu do práv duševného vlastníctva, obchodného tajomstva či prípadne zodpovednosti za škodu v tomto prípade ponechám stranou, pretože presahujú rámec tohto článku.
Viaceré prípady, predovšetkým z minulého roka (napríklad únik dát z Národného centra zdravotníckych informácií), opätovne nastolili tému definície a hraníc toho, čo chápeme pod dovoleným či etickým hackingom, a to predovšetkým v oblasti verejného sektora.
Jedna vec je istá, etický hacking by mal a dokonca musí byť umožnený, pretože ide o legitímny, a sme presvedčení, že aj legálny spôsob, ako udržiavať čo najvyššiu úroveň kybernetickej bezpečnosti služieb, produktov a informačných systémov subjektov tak v súkromnom ako aj vo verejnom sektore.
Zraniteľnosť
V kontexte informačných technológií a kybernetickej bezpečnosti je zraniteľnosť správaním alebo súborom podmienok prítomných v systéme, produkte, komponente alebo službe, ktoré porušujú implicitné alebo explicitné bezpečnostné politiky. Norma ISO/IEC 27000:2018 definuje zraniteľnosť ako slabinu aktíva alebo opatrenia, ktorá by potenciálne mohla byť zneužitá jednou alebo viacerými hrozbami.[5] Návrh smernice NIS 2[6] zase pod zraniteľnosťou chápe slabé miesto, náchylnosť alebo chybu prostriedku, systému, procesu alebo kontroly, ktoré môžu byť zneužité v rámci kybernetickej hrozby.[7]
Útočníci využívajú slabé miesta na ohrozenie dôvernosti, integrity, dostupnosti, či prevádzky informačných systémov. Zraniteľnosť často vyplýva zo zlyhaní programu alebo systému bezpečne zvládnuť nedôveryhodný, resp. neočakávaný vstup. Medzi príčiny, ktoré vedú k zraniteľnostiam, patria chyby v softvéri alebo konfigurácii, nedopatrenia pri výbere dizajnu a nedostatočne bezpečné špecifikácie protokolu a formátu.[8]
Zverejnenie zraniteľnosti je kritickým prvkom pre podporu a údržbu akéhokoľvek produktu alebo služby vystavených hrozbám. Konkrétne, norma ISO/IEC 29147:2018 poskytuje usmernenia na prijímanie správ o potenciálnych zraniteľnostiach, usmernenia na zverejňovanie informácií o náprave zraniteľnosti, termíny a definície špecifické pre zverejnenie zraniteľnosti, koncepty zverejnenia zraniteľnosti, okolnosti spojené so zverejnením zraniteľnosti a príklady techník, politík a komunikácie. Táto norma dopĺňa systém riadenia informačnej bezpečnosti podľa normy ISO 27002:2013 (Informačné technológie – Bezpečnostné metódy- Pravidlá dobrej praxe riadenia informačnej bezpečnosti) v opatrení týkajúcom sa riadenia technickej zraniteľnosti (opatrenie 12.6.1).
Ďalšie súvisiace činnosti, ktoré prebiehajú medzi prijatím a zverejnením správ o zraniteľnosti, sú opísané v ďalej norme, ISO/IEC 30111:2019 (Informačné technológie — Bezpečnostné techniky — Procesy riešenia zraniteľnosti).
V nižšie uvedených právnych predpisoch a usmerneniach sa stretneme s pojmami „zodpovedné“ či „koordinované“ postupy pre oznamovanie (zverejňovanie) zraniteľností.
Smernica NIS 2 a koordinované zverejňovanie informácií o zraniteľnosti
Smernica NIS[9] 2 vo svojom návrhu prestavuje nádej pre rozšírenie a povinné implementovanie postupov koordinovaného zverejňovania zraniteľností. V návrhu smernice NIS 2 sa stanovuje rámec pre koordinované zverejňovanie informácií o zraniteľnostiach a od členských štátov sa vyžaduje, aby poverili jednotky CSIRT, aby konali ako dôveryhodní sprostredkovatelia a uľahčili interakciu medzi oznamujúcimi subjektmi a výrobcami alebo poskytovateľmi produktov a služieb informačných a komunikačných technológií (IKT). Agentúra ENISA[10] sa v návrhu smernice poveruje, aby pre zistené zraniteľnosti vyvinula a spravovala európsky register zraniteľností.
Návrh smernice NIS 2 v recitáloch 27 a 28 a v článku 6 jasne zvýrazňuje, že „pokiaľ ide o zverejňovanie informácií o zraniteľnosti, obzvlášť dôležitá je koordinácia medzi oznamujúcimi subjektmi a výrobcami alebo poskytovateľmi produktov alebo služieb IKT. Koordinované zverejňovanie informácií o zraniteľnosti sa riadi štruktúrovaným procesom, v rámci ktorého sa zraniteľnosti hlásia organizáciám takým spôsobom, ktorým sa danej organizácii umožňuje diagnostikovať zraniteľnosť a zabezpečiť jej nápravu pred tým, ako sa podrobné informácie o zraniteľnosti poskytnú tretím stranám alebo verejnosti. Koordinované zverejňovanie informácií o zraniteľnosti by malo zahŕňať aj koordináciu medzi oznamujúcim subjektom a organizáciou, pokiaľ ide o načasovanie nápravy a zverejnenie zraniteľností.“ Návrh smernice NIS 2 počíta s tým, že členské štáty zavedú politiku na podporu a uľahčenie koordinovaného zverejňovania informácií o zraniteľnosti. Jednotka CSIRT[11] by mala mať úlohu „koordinátora“, či „dôveryhodného sprostredkovateľa“, ktorý v prípade potreby uľahčuje interakciu medzi oznamujúcim subjektom a výrobcom alebo poskytovateľom produktov alebo služieb IKT.
Hľadanie cesty
V súčasnosti chýba právny rámec na európskej úrovni doplnený vnútroštátnymi právnymi predpismi, ktorý by v súlade s usmerneniami a odporúčaniami definovanými v spomenutých normách ISO/IEC 29147:2018 a ISO/IEC 30111:2019 poskytoval právny základ pri zisťovaní a zverejňovaní zraniteľností. Jednotlivé členské štáty Európskej únie tak postupne – niektoré viac, niektoré menej – hľadali vlastnú cestu k stanoveniu postupu pri oznamovaní zraniteľností a definovaní okolností, za ktorých etickému hackerovi nehrozí postih. S príchodom smernice NIS 2 však prichádza nádej, že sa dočkáme istej harmonizácie aj v tejto oblasti.
USA (Hack the Pentagon)
Hack the Pentagon bol prvý bug bounty program (t. j. program odmeňovania za odhaľovanie zraniteľností) v histórii federálnej vlády Spojených štátov amerických. Pilotný program prebehol v roku 2016 a bol navrhnutý tak, aby identifikoval a vyriešil bezpečnostné zraniteľnosti na verejných webových stránkach Ministerstva obrany.[12] Používanie programov odmeňovania za odhaľovanie zraniteľností zo strany Ministerstva obrany prispelo k zmene postoja, v rámci ktorého niekoľko vládnych agentúr USA zmenilo postoj od vyhrážania sa etickým hackerom k tomu, že ich pozvali na účasť v rámci komplexného rámca odhaľovania zraniteľností. Aj na základe uvedených skúseností, Ministerstvo spravodlivosti USA v júli 2017 zverejnilo prvú verziu Rámca pre program oznamovania zraniteľnosti pre online systémy (Framework for a Vulnerability Disclosure Program for Online Systems).[13] Keďže rôzne organizácie môžu mať rôzne ciele a priority pre svoje programy oznamovania zraniteľnosti, americký rámec nediktuje formu ani ciele zverejňovania zraniteľnosti. Súčasťou programu je politika oznamovania zraniteľnosti, ktorá má byť verejne dostupná. Pri príprave programu a politiky dokument obsahuje usmernenia, aby sa organizácia rozhodla
- či zahrnúť všetky sieťové komponenty organizácie a/alebo údaje v programe oznamovania zraniteľnosti alebo len podmnožinu takýchto aktív,
- či má program rozlišovať a špecifikovať typy zraniteľností (a možno aj zlých bezpečnostných postupov), na ktoré sa možno zamerať
- či niektorý zo sieťových komponentov alebo údajov v rozsahu programu oznamovania zraniteľnosti zahŕňa záujmy tretích strán, a teda či by mali byť úplne vylúčené z programu alebo ich získanie od organizácie vyžadovať dodatočnú autorizáciu pred ich zahrnutím do programu
- prezrieť si ďalšie zdroje s pokynmi/odporúčaniami na vytvorenie programu oznamovania zraniteľnosti
- ako budú hlásené zraniteľnosti
- určiť dostupné kontaktné miesto v rámci organizácie, ktoré bude prijímať správy o odhalení zraniteľnosti
- určiť personál, ktorý má oprávnenie odpovedať na otázky o správaní, ktoré program oznamovania zraniteľností organizácie dovoľuje alebo nedovoľuje
- pred spustením programu oznamovania zraniteľnosti by sa mala organizácia rozhodnúť, ako bude riešiť náhodné porušenia programu oznamovania zraniteľností v dobrej viere, ako aj úmyselné porušenia
- opísať autorizované a neoprávnené správanie jednoduchými, ľahko zrozumiteľnými výrazmi
- ak bude do programu oznamovania zraniteľností zahrnutá podmnožina systémov alebo údajov organizácie, čo najkonkrétnejšie identifikujte sieťové komponenty alebo údaje v politike, ktoré patria do rozsahu programu
- popísať či program oznamovania zraniteľnosti obmedzuje prístup k určitým informáciám alebo vyžaduje špeciálne zaobchádzanie s citlivými údajmi
- vysvetliť dôsledky dodržiavania a nedodržiavania zverejnenej politiky
- vyzvať účastníkov, aby kontaktovali organizáciu kvôli objasneniu skôr, ako sa zapoja do správania, ktoré môže byť v rozpore s politikou
- zahrnúť proces kontaktovania koordinačného centra (CERT) v prípade, že zraniteľnosť ovplyvňuje aj služby alebo systémy iných organizácií, ako sú napríklad dodávatelia technológie alebo softvéru
- politika oznamovania zraniteľnosti má byť ľahko prístupná a široko dostupná.
Holandsko
V roku 2018 vydalo holandské Národné centrum pre kybernetickú bezpečnosť (NCSC) revidované usmernenie na zavedenie koordinovaného postupu oznamovania zraniteľností (Coordinated Vulnerability Disclosure, tiež známe aj ako zodpovedné oznamovanie Responsible Disclosure).[14] Okrem toho poskytuje bezpečnostným výskumníkom (usmernenie nepoužíva pojem etický hacker) návod, ako postupovať pri hľadaní a hlásení zraniteľnosti. Proces koordinovaného postupu oznamovania zraniteľností je predovšetkým záležitosťou organizácie a oznamovateľa. NCSC poskytuje podporu pre tento proces. Po konzultácii s oznamovateľom a organizáciou, sa do zdieľania informácií môže zapojiť aj NCSC s cieľom ďalej obmedzovať bezpečnostné riziká vyplývajúce zo zraniteľnosti.
Ak hlásenie o zraniteľnosti neprebehne tak, ako oznamovateľ očakáva, alebo ak oznamovateľ nechce túto zraniteľnosť nahlásiť priamo na organizáciu, môžu kontaktovať NCSC. V tomto prípade, NCSC môže v prípade potreby pôsobiť ako sprostredkovateľ.[15]
V roku 2013 zverejnila holandská prokuratúra (Public Prosecution Service) rámcové stanovisko pre zaobchádzanie s oznamovateľmi alebo etickými hackermi, ktorí sa podieľajú na zodpovednom oznamovaní. Vo všeobecnosti sa v holandskom zákone o počítačovej kriminalite nespomína „etický“ hacking. Zákon neustanovuje ani konkrétny dôvod na vylúčenie trestnej zodpovednosti pre oznamovateľa, ktorý koná z etických pohnútok. Aj keď to zákon neupravuje, neznamená to, že „etické“ motívy nemôžu hrať rolu pri posudzovaní trestnej zodpovednosti konania páchateľa.[16]
Ak spoločnosť nemá prijatú politiku koordinovaného oznamovania zraniteľnosti, pri posudzovaní týchto prípadov je samozrejme možné zohľadniť všeobecné princípy používané na koordinované oznamovanie zraniteľnosti, ako sú popísané v usmernení NSCS. Často sa však bude v týchto prípadoch viesť vyšetrovanie, aby sa posúdilo, či kroky, ktoré vykonal oznamovateľ boli potrebné a primerané daným okolnostiam. Ak oznamovateľ priamo a bezpečne komunikuje s vlastníkom IT systému o zistenej zraniteľnosti a žiadne údaje neboli vymazané ani s nimi nebolo manipulované, mohlo by to predstavovať koordinované oznámenie zraniteľnosti a nebude existovať dôvod na (ďalšie) vyšetrovanie alebo obvinenie konkrétnej osoby. Ak však boli údaje vymazané, upravené alebo skopírované, alebo ak by oznamovateľ pri získavaní prístupu do IT systému podnikol neprimerané kroky, nebude to predstavovať koordinované oznámenie zraniteľnosti a preto bude potrebné viesť ďalšie vyšetrovanie, ktoré môže viesť k obvineniu osoby oznamovateľa. Príkladom je kopírovanie citlivých osobných údajov alebo inštalácia škodlivého softvéru do systému.[17]
V súhrne bude holandský prokurátor pri posudzovaní proporcionálneho a nevyhnutného správania oznamovateľa, brať do úvahy tieto okolnosti:[18]
- Naplnil podozrivý niektorú zo skutkových podstát trestných činov v procese zisťovania a nahlasovania zraniteľnosti?
- Boli kroky podozrivého nevyhnutné v demokratickej spoločnosti, t. j. týkali sa dôležitého všeobecného záujmu?
- Zahŕňalo správanie podozrivého primerané kroky (boli prostriedky zvolené v pomere k cieľu, ktorý sa mal dosiahnuť)? Inými slovami, ako hacker získal prístup do IT systému? Ak by boli za týmto účelom vykonané nejaké neprimerané úkony, napr. ako sú popísané v usmernení NSCS, nebude to predstavovať „etický“ hacking.
- Mohol subjekt, ktorý ho zverejňuje, prijať iné možné opatrenia? Inými slovami, bola zraniteľnosť okamžite nahlásená vlastníkovi IT systému alebo tak oznamovateľ neurobil, aby napríklad vymazal svoje stopy alebo manipuloval, kopíroval alebo vymazal údaje? Ak boli nejaké stopy vymazané alebo s údajmi manipulované, skopírované alebo vymazané, nebude to predstavovať koordinované oznamovanie zraniteľnosti.
Ako je uvedené vyššie, môže byť potrebné najskôr začať vyšetrovanie a považovať oznamovateľa za podozrivého, aby bolo možné zodpovedať vyššie uvedené otázky.
Stanovisko holandskej prokuratúry teda zdôrazňuje, že zodpovedné nahlásenie zraniteľnosti v žiadnom prípade nezbavuje oznamovateľa rizika trestného stíhania. V prípade pochybností chce prokuratúra vedieť posúdiť, či oznamovateľ nezašiel priďaleko.[19]
Francúzsko
Za zmienku stojí francúzsky prístup k riešeniu problematiky zodpovedného oznamovania zraniteľností. V roku 2016 došlo k novelizácii francúzskeho Zákonníka obhajoby (Code de la défense) na základe článku 47 Zákona č. 2016-1321 o Digitálnej republike,[20] ktorým bol doplnený nový článok L.2321-4 Zákonníka obhajoby v nasledovnom znení:
„Pre potreby bezpečnosti informačných systémov povinnosť ustanovená v § 40 Trestného poriadku[21] (pozn. ide o ustanovenie obdobné § 3 ods. 2 slovenského Trestného poriadku, tzv. súčinnosť štátnych orgánov a právnických osôb) sa nevzťahuje na osobu v dobrej viere, ktorá odovzdá informácie o existencii zraniteľnosti týkajúcej sa bezpečnosti systému automatizovaného spracovania údajov národnému bezpečnostnému orgánu pre informačné systémy (pozn. Agence nationale de la sécurité des systèmes d’information – ANSSI).“
„Národný bezpečnostný orgán zachováva mlčanlivosť o totožnosti osoby, ktorá je pôvodcom prenosu, ako aj o podmienkach, za ktorých sa prenos uskutočnil.“
„Národný bezpečnostný orgán môže vykonať technické operácie nevyhnutne potrebné na charakterizáciu rizika alebo hrozby uvedenej v prvom odseku tohto článku na účely varovania hostiteľa, prevádzkovateľa alebo osoby zodpovednej za informačný systém.“
Francúzsky zákonodarca teda zvolil pre ochranu etických hackerov riešenie aj v oblasti trestného práva. Napriek uvedenému je vždy možné, že postihnutý subjekt podá voči etickému hackerovi trestné oznámenie. Francúzsky bezpečnostný orgán ANSSI by však mal mierniť prípadne odvetné kroky dotknutej spoločnosti voči etickému hackerovi a prispievať tak k lepšej ochrane etických hackerov.[22]
Slovensko
Na Slovensku sme sa inšpirovali holandským prístupom a po vzore usmernenia holandského Národného centra pre kybernetickú bezpečnosť (NCSC) v roku 2019 zverejnilo Národné centrum kybernetickej bezpečnosti SK-CERT[23] Návod na oznamovanie zraniteľností.[24] Ten obsahuje odporúčaný postup tak pre oznamovateľa, ako pre postihnutý subjekt (výrobcu, vlastníka, prevádzkovateľa zraniteľného systému). Návod má „slúžiť ako pomôcka pre bezpečnostných výskumníkov, bezpečnostných aktivistov, ale aj pre laickú verejnosť.“[25] Vytvorenie uceleného návodu na oznamovanie zraniteľností je prvým dôležitým krokom, ako určiť štandardy pri zodpovednom oznamovaní problémov na produktoch a službách v súkromnom aj verejnom sektore.[26]
V návode SK-CERT postihnutým subjektom okrem iného odporúča prijať a implementovať proces oznamovania zraniteľností, bližšie však jeho obsah nerozvádza. Ďalej ich upozorňuje na možnosť postihnutých subjektov oznamovateľa za oznámenie zraniteľnosti odmeniť či „vypísať odmenu“ za nachádzanie zraniteľností vo svojich produktoch.
Návod SK-CERT vnímam určite ako hodnotný podklad na riešenie nastolenej problematiky. Avšak v súčasnom znení ho nemožno považovať za efektívny nástroj, použiteľný pri obrane etický hackerov pred prípadnými negatívnymi (odvetnými) krokmi postihnutého subjektu, teda najmä v prípadnom trestnom konaní. Návod má čisto odporúčací charakter, aj keď obsahuje určité štandardy postupu pre etického hackera, súd ani orgány činné v trestnom konaní nie sú viazané zohľadniť či v konkrétnom prípade oznamovateľ postupoval podľa uvedeného návodu pri skúmaní protiprávnosti konania, prípadne pri posúdení naplnenia závažnosti (materiálnej stránky) trestného činu.
Neoprávnený prístup do počítačového systému
Pokiaľ etický hacker nezostane v úplnej anonymite, trestné stíhanie nemožno nikdy úplne vylúčiť. Pôjde predovšetkým o prípady kde postihnutý subjekt nemá zverejnenú politiku koordinovaného oznamovania zraniteľností. Existencia zverejnenej politiky koordinovaného oznamovania zraniteľností ešte však neznamená, že postihnutý subjekt nevyhodnotí konanie etického hackera ako porušenie tejto politiky a preto podá trestné oznámenie na etického hackera, resp. neznámeho páchateľa. Nemožno preto úplne vylúčiť, že bude vykonávané preverovanie pred začatím trestného stíhania, prípadne aj vyšetrovanie spojené so začatím trestného stíhania vo veci podľa § 199 ods. 1 Trestného poriadku[27] pre podozrenie zo spáchania trestného činu neoprávneného prístupu do počítačového systému podľa § 247 Trestného zákona (na účely tohto článku sa obmedzíme len na uvedený trestný čin, hoci Trestný zákon upravuje aj ďalšie tzv. počítačové trestné činy v § 247a a nasl.).
Trestného činu neoprávneného prístupu do počítačového systému sa dopustí ten,
kto prekoná bezpečnostné opatrenie, a tým získa neoprávnený prístup do počítačového systému alebo jeho časti. Aby bolo takého konanie trestným vyžaduje sa teda kumulatívne naplnenie dvoch podmienok, (i) úmyselné prekonanie bezpečnostného opatrenia, a (ii) získanie prístupu do systému (alebo jeho časti), pričom tak páchateľ musí urobiť neoprávnene, t. j. bez súhlasu poškodeného.[28] Neoprávneným prístupom do počítačového systému sa rozumie akékoľvek konanie, ktoré páchateľovi umožní neoprávnenú dispozíciu počítačovým systémom, resp. jeho časťou a využitie informačného obsahu.[29]
Kritériá pri posudzovaní etického hackingu orgánmi činnými v trestnom konaní, prípadne súdom musia byť vyhodnotené vždy podľa individuálnych okolností. Pôjde predovšetkým o skúmanie či existoval alebo existuje súhlas poškodeného (vlastníka či prevádzkovateľa počítačového systému) s konaním páchateľa.
Ku konaniu etického hackera by mal v zásade existovať súhlas vlastníka či prevádzkovateľa počítačového systému. Za takýto súhlas možno považovať nielen zmluvu o penetračnom testovaní, ale aj zverejnenie postupu koordinovaného oznamovania zraniteľností. Konanie etického hackera na základe takejto zmluvy či zverejneného postupu by sa aj v prípade podozrenia z trestného činu malo považovať za okolnosť vylučujúcu protiprávnosť činu, keďže by išlo o výkon práva a povinnosti podľa § 28 Trestného zákona[30], eventuálne v prípade, ak by napríklad takáto zmluva bola neplatná, pôjde za splnenia všetkých podmienok o súhlas poškodeného podľa § 29 Trestného zákona.[31]
Na druhej strane, hacking bez súhlasu vlastníka počítačového systému nemusí byť nevyhnutne trestný. Napríklad, ak hacker bez cieleného vykonávania útoku odhalí, že databáza prostredníctvom formulára na webovej stránke je náchylná na útok druhu SQL injection[32] a oznámi to vlastníkovi počítačového systému, môže takéto konanie spadať pod etický hacking. Rovnako tak možno pripustiť v rámci etického hackingu aj kopírovanie údajov, avšak len v rozsahu nevyhnutnom na preukázanie zraniteľnosti. Iné konania, ako je napríklad inštalovanie škodlivého softvéru (malware), vykonanie DDoS útoku[33] alebo Brute Force útoku[34] pre získanie neoprávneného prístupu do systému, podľa môjho názoru však už nebudú spadať do rámca etického hackingu.
Rizikovým scenárom je teda postup, ak sa etický hacker rozhodne testovať bezpečnosť služby (napríklad webovej stránky) s tým, že až v okamihu, keď nájde zraniteľnosť, ktorej využitím získa prístup alebo modifikuje údaje, sa ešte len rozhodne, či bude kontaktovať prevádzkovateľa služby a pokúsi sa s ním dohodnúť.
Trestné právo rozlišuje dva druhy súhlasu poškodeného. Prvým je už vyššie uvedený súhlas poškodeného ako okolnosť vylučujúca protiprávnosť činu podľa § 29 Trestného zákona. Uvedené však nemožno v tomto prípade využiť, pretože takýto súhlas musí byť udelený vždy vopred, čo pri rizikovom scenári pochopiteľne splnené nebude.
Do úvahy však prichádza súhlas poškodeného, ktorý ako procesný inštitút je upravený v § 211 Trestného poriadku. Tento súhlas je podmienkou pre trestné stíhanie pri trestných činoch taxatívne uvedených v Trestnom poriadku. Medzi nimi je aj trestný čin podľa § 247 Trestného zákona.[35] Začať a v už začatom trestnom stíhaní pokračovať, preto možno iba so súhlasom poškodeného. Ustanovenie § 211 Trestného poriadku prelamuje zásadu, že orgány činné v trestnom konaní stíhajú trestné činy z úradnej povinnosti (§ 2 ods. 5 a 6 Trestného poriadku), okrem v prípadov, ak by trestným činom bola spôsobená smrť. Rovnako je vylúčená aplikácia aj v prípade, ak je poškodeným štát, obec, vyšší územný celok, právnická osoba s majetkovou účasťou v štáte (napr. štátny podnik) alebo právnická osoba, ktorá hospodári s verejnými financiami (napr. zdravotná poisťovňa).[36]
Až relatívne donedávna sa právo poškodeného súhlasiť s trestným stíhaním priznávalo len poškodeným fyzickým osobám, a to len ak medzi poškodeným a páchateľom existoval konkrétny vnútorný pomer, teda ak páchateľom je osoba, voči ktorej by mal poškodený ako svedok právo odoprieť výpoveď (teda ide napríklad o príbuzných v priamom rade, súrodencov, manželov atď.). Zákonodarca výslovne nepriznáva dispozičné právo právnickej osobe.[37]
V roku 2020 Ústavný súd SR[38] rozšíril aplikáciu tohto ustanovenia aj pre poškodených, ktorými sú právnické osoby (s výnimkou štátu, obcí, vyšších územných celkov, právnických osôb s majetkovou účasťou štátu alebo právnických osôb, ktoré hospodária s verejnými financiami).[39] Ústavný súd výslovne uviedol, že „právny záver, podľa ktorého súhlas s trestným stíhaním sa vyžaduje len od takého poškodeného, ktorý je fyzickou osobou majúcou konkrétny vnútorný pomer k páchateľovi (nie teda od právnickej osoby), nie je pri výklade Trestného poriadku ústavne udržateľný.“[40] Čo je dôležité, nie je teda podstatný vzťah právnickej osoby k osobe potenciálneho obvineného.[41]
Vyššie uvedené teda otvára priestor pre zmierlivé urovnanie vzťahu medzi etickým hackerom a postihnutým subjektom (právnickou osobou, s výnimkou vyššie uvedených právnických osôb), aj v prípade rizikových scenárov, resp. v prípadoch kedy by bolo otázne či zvolený postup etického hackera pri nájdení a oznámení zraniteľnosti bol v súlade so zverejnenou politikou koordinovaného postupu oznamovania zraniteľnosti, alebo aspoň v súlade s návodom SK-CERT.
V neposlednom rade, aj keby formálne boli naplnené znaky trestného činu a poškodený by udelil súhlas s trestným stíhaním, musí sa posúdiť či vzhľadom na spôsob vykonania činu a jeho následky, okolnosti, za ktorých bol čin spáchaný, mieru zavinenia a pohnútku páchateľa nie závažnosť konania nepatrná. V takom prípade by nešlo o trestný čin. Uvedené však možno aplikovať len pri menej závažných trestných činoch – prečinoch.[42]
Záver (návrhy na zmenu právnej úpravy)
Je pravdepodobné, že v budúcnosti dôjde k podstatnej a najmä harmonizovanej zmene v oblasti programov oznamovania zraniteľností v rámci Európskej únie. Podľa môjho právneho názoru sa zatiaľ ako najvhodnejšie riešenie ponúka rozšíriť používanie návodu na oznamovania zraniteľnosti, ktorý je už od roku 2019 prijatý na pôde SK-CERT. Avšak na to, aby bol návod aj efektívnym nástrojom na ochranu etických hackerov bude potrebné urobiť viac. Predovšetkým bude potrebné tento návod legislatívne explicitne upraviť a prepojiť s právnymi predpismi v oblasti kybernetickej bezpečnosti, predovšetkým so zákonom o kybernetickej bezpečnosti. Ako vyplýva z medzinárodných noriem uvedených v tomto článku, ako aj z návrhu smernice NIS 2, je koordinované oznamovanie zraniteľností považované za opatrenie v oblasti kybernetickej bezpečnosti. Návod by však podľa môjho názoru mal byť doplnený o usmernenie pri tvorbe programu oznamovania zraniteľnosti, a to po vzore Rámca pre programy oznamovania zraniteľnosti pre online systémy publikovaného americkým ministerstvom spravodlivosti. V prípade schválenia návrhu smernice NIS 2 to bude nevyhnutnosť, ktorá sa pravdepodobne premietne ako zákonná povinnosť pre regulované subjekty v zákone o kybernetickej bezpečnosti. Aj na tomto mieste treba pripomenúť, že prijatie programu koordinovaného oznamovania zraniteľností sa týka subjektov súkromného sektora, ako aj verejného sektora. Povinnosť zaviesť takýto program by sa tak mala vzťahovať na subjekty, ktoré sú dnes registrované ako prevádzkovatelia základnej služby a poskytovatelia digitálnej služby, prípadne na subjekty, ktoré sa dobrovoľne rozhodnú pre certifikáciu v oblasti informačnej bezpečnosti (predovšetkým podľa známej normy ISO/IEC 27000). Prijatie programu koordinovaného oznamovania zraniteľností podľa môjho názoru bude do značnej miery eliminovať riziko vzniku (nielen) trestnoprávnej zodpovednosti etického hackera, pretože takéto dovolené konanie (konanie so súhlasom), ak nedôjde k prekročeniu nastavaných pravidiel, nebude prirodzene možné považovať za protiprávne, resp. neoprávnené.
Na vyššie uvedené zmeny v právnej úprave kybernetickej bezpečnosti by v podmienkach Slovenskej republiky mala nasledovať aj zmena v oblasti trestného práva. Hodnotou inšpiráciou je francúzska právna úprava. V tomto smere si viem predstaviť nielen doplnenie § 3 Trestného poriadku, ktorým by sa stanovila výnimka z povinnosti oznamovať orgánom činným v trestnom konaní skutočnosti nasvedčujúce tomu, že bol spáchaný trestný čin. Konkrétne v prípade konania osoby, ktorá v dobrej viere odovzdá informácie o existencii zraniteľnosti týkajúcej sa bezpečnosti systému, produktu či služby Národnému centru kybernetickej bezpečnosti SK-CERT.
Pre dostatočnú právnu istotu a povzbudenie etických hackerov by bolo vhodné ďalej aj doplniť základné skutkové podstaty tzv. počítačových trestných činov v Trestnom zákone (prinajmenšom trestný čin neoprávneného prístupu do počítačového systému podľa § 247 Trestného zákona, trestný čin neoprávneného zásahu do počítačového systému podľa § 247a Trestného zákona a trestný čin neoprávneného zásahu do počítačového údaja podľa § 247b Trestného zákona) o nové ustanovenie odseku 2 o beztrestnosti páchateľa, podľa ktorého kto spácha čin uvedený v odseku 1, nie je trestný, ak postupoval pri odhalení a oznámení zraniteľnosti v súlade s programom koordinovaného oznamovania zraniteľnosti. Súčasťou tohto postupu, predovšetkým ak sa príjme návrh smernice NIS 2, bude aj informovanie SK-CERT o zistenej zraniteľnosti.
Za súčasného právneho stavu je pre etického hackera vhodné riadiť sa politikou koordinovaného oznamovania zraniteľnosti organizácie, ak je zverejnená. Ak nie je zverejnená, tak aspoň návodom na oznamovanie zraniteľností SK-CERT. Je dôležité, aby sa etický hacker čo najviac obmedzoval na používanie najmenej invazívnych prostriedkov, nezískaval (osobných) údajov a bezodkladne oznámil zraniteľnosť či únik. To by sa malo robiť obozretne, napríklad so zašifrovanou e-mailovou správou, aby sa tretie strany nemohli dozvedieť o zraniteľnosti. Nie je vhodné ani aktívne si stanoviť vlastné podmienky, ako napríklad odmenu za nájdenú zraniteľnosť. Iniciatíva k tomu bude musieť byť na postihnutom subjekte. Nakoniec je vhodné zverejniť zraniteľnosť až po náprave (tzv. zaplátaní) zraniteľnosti.
RESUMÉ
Etický hacking a (ne)oprávnený prístup do počítačového systému
Článok sa venuje aktuálnej téme etického hackingu, predovšetkým z pohľadu trestného práva. Etický hacking a penetračné testovanie je potrebné vnímať predovšetkým ako opatrenie na zvýšenie kybernetickej bezpečnosti digitálnych produktov a služieb. Článok poskytuje analýzu základnej právnej úpravy vrátane relevantných medzinárodných štandardov v oblasti informačnej bezpečnosti a odhaľovania zraniteľností. Autor na základe právnej analýzy formuluje odpoveď na to, ako môže pôsobiť etický hacker bez toho, aby mu hrozilo riziko vzniku trestnoprávnej zodpovednosti, prípadne aby bolo toto riziko bolo minimalizované. Osobitná pozornosť je v tejto súvislosti venovaná konceptu programov koordinovaného oznamovania zraniteľností, a to nielen v súkromnom, ale aj vo verejnom sektore.
SUMMARY
Ethical hacking and (un)authorized access to a computer system.
The article deals with the current topic of ethical hacking, especially from the point of view of criminal law. Ethical hacking and penetration testing should be seen primarily as a measure to increase the cyber security of digital products and services. The article provides an analysis of the basic legislation, including relevant international standards in the field of information security and vulnerability detection. Based on the legal analysis, the author formulates an answer to how an ethical hacker can act without the risk of his/her criminal prosecution, or how this risk is minimized. In this context, special attention is paid to the concept of coordinated vulnerability disclosure programs, not only in the private but also in the public sector.
ZUSAMMENFASSUNG
Ethisches Hacken und (un)berechtigter Zugriff auf ein Computersystem
Der Artikel widmet sich dem aktuellen Thema des ethischen Hackens insbesondere vom Sichtpunkt des Strafrechtes. Das ethische Hacken und das Penetrationstesten ist es erforderlich insbesondere als eine Maßnahme zur Erhöhung der kybernetischen Sicherheit von digitalen Produkten und Dienstleistungen wahrzunehmen. Der Artikel bietet eine Analyse der grundlegenden Rechtsregelung mit relevanten internationalen Standards im Bereich der Informationssicherheit und der Schwachstellenenthüllung. Der Autor formuliert aufgrund der Rechtsanalyse die Antwort darauf, wie ein ethischer Hacker ohne drohendes Risiko der strafrechtlichen Verantwortlichkeit wirken kann, bzw. derart wirken kann, damit dieses Risiko minimiert wird. Besondere Aufmerksamkeit wird in diesem Zusammenhang dem Konzept der Programme für koordinierte Meldung von Schwachstellen nicht nur im privaten, sondern auch im öffentlichen Sektor, gewidmet.
[1] Príkladom je platforma Hacktrophy (https://hacktrophy.com/sk/), ktorá je považovaná za prvý bug bounty projekt na Slovensku
[2] Zákon č. 69/2018 Z. z. v znení neskorších predpisov
[3] Zákon č. 300/2005 Z. z. v znení neskorších predpisov
[4] Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii
[5] Čl. 3 ods. 3.77 normy ISO/IEC 27000:2018 (Informačné technológie. Bezpečnostné metódy. Systémy riadenia informačnej bezpečnosti)
[6] Návrh Smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii a o zrušení smernice (EÚ) 2016/1148 zo dňa 16. 12. 2020 (2020/0359(COD)), ďalej len „návrh smernice NIS 2“ dostupný na: https://eur-lex.europa.eu/legal-content/SK/TXT/HTML/?uri=CELEX:52020PC0823&from=EN
[7] Článok 4 bod 8 návrhu smernice NIS 2
[8] Strana vii (úvodu) ISO/IEC 29147:2018 (Informačné technológie. Bezpečnostné metódy. Odhalenie zraniteľnosti)
[9] NIS (angl. skratka Network and Information Security)
[10] Agentúra Európskej únie pre kybernetickú bezpečnosť
[11] Jednotka pre riešenie počítačových incidentov (angl. skratka Computer Security Incident Response Team). Národné centrum kybernetickej bezpečnosti, ktoré je útvarom NBÚ SR, má postavenie národnej jednotky CSIRT s pôsobnosťou pre Slovenskú republiku (§ 6 Zákona o kybernetickej bezpečnosti).
[12] Článok Hack the Pentagon, dostupný na: https://www.hackerone.com/hack-the-pentagon
[13] Ministerstvo spravodlivosti USA: Rámec pre program odhaľovania zraniteľnosti pre online systémy, verzia 1.0 (Júl 2017), dostupný na: https://www.justice.gov/criminal-ccips/page/file/983996/download
[14] National Cyber Security Centre (NCSC): Coordinated Vulnerability Disclosure: the Guideline, publikovaný 2.10. 2018, dostupný na: https://english.ncsc.nl/publications/publications/2019/juni/01/coordinated-vulnerability-disclosure-the-guideline
[15] Ibidem, strana 14
[16] Software Vulnerability Disclosure in Europe : Technology, Policies and Legal Challenges: Report of a CEPS Task Force, Jún 2018, strana 27 dostupné na: https://www.ceps.eu/wp-content/uploads/2018/06/CEPS%20TFRonSVD%20with%20cover_0.pdf
[17] Ibidem
[18] Ibidem
[19] Článok Ethical hacking and criminal law, zo dňa 24. 4. 2019, dostupný na: https://www.meijerscanatan.nl/en/ethisch-hacken-en-het-strafrecht/
[20] Citovaný právny predpis je dostupný na: https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000033202746/
[21] Podľa § 40 francúzskeho trestného poriadku citovaného v článku L2321-4: „Každý štátny orgán, každý štátny úradník alebo štátny zamestnanec, ktorý sa pri výkone svojich funkcií dozvie o trestnom čine alebo priestupku, je povinný to bezodkladne oznámiť prokurátorovi a odovzdať tomuto sudcovi všetky informácie, správy a doklady s tým súvisiace.“
[22] Článok Hacker éthique : la législation française enfin claire ?, zo dňa 26. 10. 2016, upravený dňa 3. 1. 2022, dostupný na: https://www.silicon.fr/hacker-ethique-legislation-francaise-claire-160842.html
[23] SK-CERT (angl. skratka Slovak Computer Emergency Response Team) je útvar Národného bezpečnostného úradu, ďalej len „SK-CERT“.
[24] Návod na oznamovanie zraniteľností, dostupný na: https://www.sk-cert.sk/sk/oznamovanie-zranitelnosti/index.html
[25] Tlačová správa NBÚ (SK-CERT) zo dňa 4. 11. 2019, dostupná na: https://www.nbu.gov.sk/2019/10/07/tlacova-sprava/index.html
[26] Ibidem
[27] Zákon č. 301/2005 Z. z. v znení neskorších predpisov
[28] Podľa čl. 2 písm. d) smernice EP a Rady 2013/40/EÚ o útokoch na informačné systémy sa pod pojmom „bez oprávnenia“ rozumie konanie uvedené v tejto smernici vrátane prístupu, zásahu alebo zachytávania údajov, ktoré nie je povolené zo strany vlastníka či iného držiteľa práv systému alebo jeho časti, alebo ktoré nie je povolené vnútroštátnym právom.
[29] KLIMEK L., ZÁHORA J., HOLCR K,. Počítačová kriminalita v európskych súvislostiach.1. vyd., Bratislava: Wolters Kluwer, 2016, strana 153
[30] Podľa ods. 1 cit. ustanovenia, čin inak trestný nie je trestným činom, ak ide o výkon práva alebo povinnosti vyplývajúcich okrem iného zo zmluvy, ktorá neodporuje všeobecne záväznému právnemu predpisu ani ho neobchádza; spôsob výkonu práv a povinností nesmie odporovať všeobecne záväznému právnemu predpisu.
[31] Podľa ods. 1 cit. ustanovenia, čin inak trestný nie je trestným činom, ak bol vykonaný so súhlasom poškodeného a nesmeruje proti jeho životu alebo zdraviu.
[32] SQL injection je typ útoku, ktorý napáda databázovú vrstvu vsunutím (injection) kódu prostredníctvom neošetreného alebo nesprávne ošetreného vstupu a umožňuje vykonať vlastný SQL príkaz.
[33] Útok typu odoprenia služby (Denial of Service – DoS). Pokiaľ sa na takomto útoku podieľa viacero strojov útočiacich súčasne, útok sa nazýva distribuovaný, v skratke DDoS.
[34] Útok hrubou silou (Brute Force) spočíva v tom, že útočník odošle veľa hesiel alebo prístupových fráz, teda ide o pokus o rozlúštenie šifry bez znalosti jej kľúča na dešifrovanie.
[35] Trestný poriadok v stanovení § 211 ods. 1 uvádza ešte odkaz na pôvodný názov trestného činu podľa § 247 Trestného zákona (poškodenie a zneužitie záznamu na nosiči informácií), čo však nepovažujem za prekážku, ktorú by aplikačná prax nevedela preklenúť výkladom.
[36] HAMRANOVÁ, Denisa. § 211 [Súhlas poškodeného]. In: ČENTÉŠ, Jozef, KURILOVSKÁ, Lucia, ŠIMOVČEK, Ivan, BURDA, Eduard a kol. Trestný poriadok II. 1. vydanie. Bratislava: C. H. Beck, 2021, marg. č. 3.
[37] Ibidem, marg. č. 2
[38] Nález Ústavného súdu Slovenskej republiky č. k. II. ÚS 185/2020 z 27. augusta 2020, publikovaný Zbierke nálezov a uznesení pod č. 30/2020
[39] Uvedené ustanovenie Trestného poriadku nemožno použiť ak je poškodeným štát, obec, vyšší územný celok, právnická osoba s majetkovou účasťou štátu alebo právnická osoba, ktorá hospodári s verejnými financiami, nakoľko to Trestný priadok výslovne vylučuje (§ 211 ods. 2 Trestného poriadku).
[40] Nález Ústavného súdu Slovenskej republiky č. k. II. ÚS 185/2020 z 27. augusta 2020, publikovaný Zbierke nálezov a uznesení pod č. 30/2020
[41] Ibidem. Ústavný sud v publikovanej právnej vete nálezu výslovne uviedol, že „To platí bez ohľadu na z povahy veci vyplývajúcu absenciu vzťahu poškodeného (ako právnickej osoby) k osobe potencionálneho obvineného, ktorý je vymedzený v naostatok označenom ustanovení (právo poškodeného odmietnuť vypovedať proti dotknutej osobe ako svedok).“
[42] Porov. § 10 ods. 1 a ods. 2 Trestného zákona