Etický hacking a výskum kybernetickej bezpečnosti

JUDr. Michal Rampášek

JUDr. Michal Rampášek je advokát spolupracujúci s advokátskou kanceláriou WISE3. Vo svojej praxi sa venuje najmä právu IKT, trestnému právu, kybernetickej bezpečnosti a ochrane osobných údajov. Je členom pracovnej skupiny SAK pre elektronizáciu výkonu advokácie a Asociácie kybernetickej bezpečnosti.

Problematike etického hackingu z pohľadu trestného práva som sa venoval v mojom predošlom príspevku (BSA 4/2022), pričom osobitne som poukázal na úlohu programov koordinovaného oznamovania zraniteľností.[1] V tomto smere pokračujem analýzou etického hackingu a predovšetkým výskumu kybernetickej bezpečnosti, tentokrát z pohľadu autorského práva a ochrany počítačových programov.

Výskum, etický hacking a penetračné testovanie

Nezávislý výskum kybernetickej bezpečnosti a bezpečnostnú komunitu považujem za dôležité hnacie sily napredovania v oblasti kybernetickej bezpečnosti. Preto je potrebná podpora pre ochranu výskumníkov v oblasti bezpečnosti, ktorí konajú v dobrej viere. Pred tým, ako sa dostanem k samotného výskumu kybernetickej bezpečnosti, považujem za potrebné objasniť spojitosť pojmov penetračné testovanie, etický hacking a výskum kybernetickej bezpečnosti.

Penetračné testovanie je späté s etickým hackingom až tak, že sa tieto pojmy často používajú zameniteľne, avšak existuje medzi nimi určitý rozdiel.

Anglické Národné centrum pre kybernetickú bezpečnosť (National Cyber Security Centre) definuje penetračné testovanie ako: „Metódu získania istoty v oblasti bezpečnosti IT systému pokusom o prelomenie časti alebo celej bezpečnosti tohto systému pomocou rovnakých nástrojov a techník ako protivník.“[2] Český Národný úrad pre kybernetickú a informačnú bezpečnosť zase definuje penetračné testovanie ako „jeden ze způsobů proaktivní ochrany snažící se odhalit slabá místa v obraně dříve, než je někdo zneužije. Jedná se tedy o reálnou simulaci útoku, kdy dochází k pokusu proniknout do testovaného systému. Cílem penetračního testování je identifikovat zranitelnosti a navrhnout, jak tyto nedostatky odstranit.“[3]

Penetračné testovanie a testovanie zraniteľností je jednou z povinností vyplývajúcich pre povinné osoby v Českej republike. Povinnosť vykonať penetračné testovanie alebo testovanie zraniteľností je výslovne (na rozdiel od slovenskej právnej úpravy kybernetickej bezpečnosti) upravená v rámci riadenia zmien a aplikačnej bezpečnosti, vo vyhláške o kybernetickej bezpečnosti českého Národného úradu pre kybernetickú a informačnú bezpečnosť.[4]

Na penetračné testovanie sa môžeme pozrieť z dvoch hľadísk. Po prvé je to pohľad znútra, teda pohľad poskytovateľa (vendora) produktu alebo služby informačných a komunikačných technológií (ďalej len „IKT“). V takom prípade je penetračné testovanie pravidelnou súčasťou životného cyklu vývoja softvéru (Software Development Life Cycle – SDLC) ako jeden z procesov overovania bezpečnosti (security assurance). Z druhého hľadiska ide o metódu, ktorú používajú tretie osoby na odhaľovanie a oznamovanie zraniteľností v takých produktoch či službách IKT. V tomto prípade ide o široké spektrum subjektov od externých penetračných testerov konajúcich na objednávku poskytovateľa produktu alebo služby IKT až po samostatných etických hackerov či výskumníkov kybernetickej bezpečnosti (cybersecurity researcher, alebo len security researcher). Ďalej sa budem venovať penetračnému testovaniu z druhého spomenutého hľadiska, a to konkrétne z pohľadu výskumu bezpečnosti.

Aj medzinárodná norma normy ISO/IEC 29147 uvádza, že oznamovateľom zraniteľností je často výskumník bezpečnosti, pričom však zdôrazňuje, že každý jednotlivec, či organizácia môže pôsobiť ako oznamovateľ. Profesionálni výskumníci môžu pôsobiť samostatne alebo ako súčasť organizácie. Niektorí výskumníci sú spojení s univerzitami alebo inými akademickými inštitúciami.[5]

Z uvedeného vyplýva, že etický hacking a výskum kybernetickej bezpečnosť sú úzko spojené, pričom výskum bezpečnosti je širší pojem zahŕňajúci aj činnosti, ktoré sú vlastné etickému hackingu.

V ďalšom texte budem používať pojem „výskumník“ aj pre označenie etického hackera v oblasti nezávislého výskumu kybernetickej bezpečnosti.

Čo je výskum kybernetickej bezpečnosti

Výskum by sa podľa môjho názoru mal vykladať široko, aby zahŕňal napríklad technický rozvoj a demonštračné činnosti, základný výskum, aplikovaný výskum a výskum financovaný zo súkromných zdrojov.

Zatiaľ čo bezpečnostný výskum sa stáva čoraz dôležitejšou súčasťou modernej architektúry kybernetickej bezpečnosti, nejasné právne prostredie obmedzuje výskumníkov v ich činnosti pri ochrane osobných zariadení a kritickej infraštruktúry.[6]

Výskum bezpečnosti je prínosom pre verejnosť tým, že umožňuje výskumníkom odhaliť zraniteľnosti, potom varovať užívateľov a upozorniť spoločnosti na tieto zraniteľnosti, a vyvinúť nové, bezpečnejšie verzie počítačových programov (softvéru).

Výskum bezpečnosti je nevyhnutný pre fungovanie a bezpečnosť nášho moderného sveta. Odhalenie slabých miest v dobrej viere výskumníkmi robí komplexné technológie transparentnejšími a pomáha spoločnostiam navrhovať bezpečnejšie produkty.[7] Nezávislí výskumníci v oblasti bezpečnosti objavili niektoré z najdôležitejších nedostatkov kybernetickej bezpečnosti za posledné desaťročie, ako napríklad Heartbleed, Shellshock a DROWN.[8]

Výrobca alebo poskytovateľ certifikovaných produktov a služieb musí zverejniť akceptované metódy na prijímanie informácií o zraniteľnosti od výskumníkov v oblasti bezpečnosti.[9]

Kybernetická bezpečnosť je síce relatívne mladá oblasť výskumu, no už teraz má široké zameranie. Existujú viaceré prístupy k vymedzeniu či deleniu podoblastí kybernetickej bezpečnosti. Podľa autorov Edgara a Manza medzi najznámejšie podoblasti výskumu kybernetickej bezpečnosti patria:[10]

  1. Detekcia útoku (skúma vzorce a správanie útokov s cieľom odhaliť ich výskyt),
  2. Bezpečnosť softvéru (zameriava na pochopenie toho, prečo existujú zraniteľnosti v softvéri, kde sa bežne vyskytujú, ako ich odhaliť a ako im predchádzať),
  3. Malvér/Analýza hrozieb (zameriava sa na pochopenie správania a taktiky hrozieb a vektorov útokov),
  4. Riadenie rizík (sa zameriava na to, ako merať a kvantifikovať stav kybernetickej bezpečnosti), a
  5. Kryptografia (zameraná na vývoj bezpečných komunikačných algoritmov a protokolov, kľúčovou súčasťou je kryptoanalýza).

Iní autori[11] analýzou najcitovanejších vedeckých článkov 98 373 autorov v doménach kybernetickej bezpečnosti a informačnej bezpečnosti dokázali určiť nasledovných 12 výskumných domén a roztriediť ich na základe ich aktuálnej úrovne aktivity: kryptografia (I a II), senzorové siete, ukrývanie informácií, detekcia narušenia, malvér, biometria, kybernetické fyzické systémy, autentifikácia, použiteľná bezpečnosť (usable security), kontrola prístupu a kvantová kryptografia.

Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) považuje za prioritné nasledovné oblasti výskumu:

1.     Bezpečnosť údajov,

2.     Dôveryhodné softvérové platformy,

3.     Riadenie a odozva na kybernetické hrozby,

4.     Dôveryhodné hardvérové platformy,

5.     Kryptografia,

6.     Bezpečnostné postupy a nástroje zamerané na používateľa, a

7.     Bezpečnosť digitálnej komunikácie.[12]

(Ne)oprávnený zásah do práva k počítačovému programu

Samotné testovanie bezpečnosti, predovšetkým proces penetračného testovania často zahŕňa skopírovanie zdrojového kódu testovaného počítačového programu na dátový nosič (napr. na pevný disk alebo pamäťovú kartu, prípadne aj ručné kopírovanie na kúsok papiera).

Nedá sa tiež vylúčiť, že za účelom testovania výskumník bude musieť preložiť počítačový program z formy zdrojového kódu do formy výstupného (strojového) kódu (t. j. kompilácia) alebo častejšie opačným smerom (t. j. dekompilácia).

Rovnako tak výskumník bude vykonávať zmeny v zdrojovom kóde, napr. prelomením bezpečnosti počítačového programu, čo spôsobí, že sa počítačový program bude správať inak, ako zamýšľal jeho tvorca.

Pri zverejnení informácie o zraniteľnosti môže byť nevyhnutné aj zverejniť, aspoň sčasti, zdrojový kód programu. Okrem toho, za určitých okolností môžu aktivity výskumníkov, ktorí sa podieľajú na odhaľovaní bezpečnostných zraniteľností, vyžadovať prekonanie či obchádzanie technológie správy digitálnych práv (DRM) aplikovanej na skúmaný počítačový program.

Nedá sa teda vylúčiť, že testovanie bezpečnosti, predovšetkým pri penetračnom testovaní môže zasahovať do práva na ochranu počítačových programov, pokiaľ bude prebiehať bez súhlasu vykonávateľa práv k dotknutému programu. Konkrétne sú kritickými nasledovné spôsoby nakladania s počítačovým programom: kopírovanie (vyhotovenie rozmnoženiny) hoc aj časti počítačového program, jeho preklad, zmena alebo iný druh zásahu, verejné šírenie a v neposlednom rade prekonanie technologického opatrenia na ochranu počítačového programu.

Digital Millennium Copyright Act

V roku 1998 Kongres Spojených štátov amerických schválil zákon o autorských právach k digitálnemu obsahu (Digital Millennium Copyright Act, ďalej len „DMCA“), ktorý zmenil a doplnil právnu úpravu v oblasti ochrany autorských práv tak, aby riešil dôležité časti vzťahu medzi autorským právom a internetom.

Ustanovenie § 1201 DMCA zakazuje obchádzanie technologických ochranných opatrení (ako je šifrovanie, požiadavky na autentifikáciu, regionálne kódy, a pod.) na prístup k dielam chráneným autorskými právami vrátane softvéru bez povolenia vlastníka práv. Podľa DMCA „obísť technologické opatrenie“ znamená „dekódovať zakódované dielo, dešifrovať zašifrované dielo alebo inak vyhnúť sa, obísť, odstrániť, deaktivovať alebo narušiť technologické opatrenie bez súhlasu vlastníka autorských práv.“[13] To vytvára riziko trestnoprávnej a občianskoprávnej zodpovednosti výskumníka za nezávislý výskum v oblasti bezpečnosti, ak nezíska súhlas na každé obchádzanie opatrení od vykonávateľov autorských práv k softvéru. To brzdí nezávislosť a flexibilitu výskumníkov.[14]

Keďže väčšina softvéru je chránená autorským právom podľa právneho poriadku Spojených štátov amerických a často sú v softvéri základné technologické ochranné opatrenia, DMCA sa používa na vyhrážanie sa a stíhanie hackerov, ktorí identifikovali zraniteľnosti v softvéri.[15]

Na zmiernenie tohto širokého právneho obmedzenia pri prístupe k dielam chránených autorskými právami Kongres zaviedol dva druhy výnimiek z § 1201 DMCA. Po prvé, trvalé výnimky pre konkrétne činnosti. Po druhé, dočasné výnimky, ktoré môže Úrad pre autorské práva (Copyright Office) udeľovať na trojročné obdobie.

Jedna z trvalých výnimiek zo zákazu obchádzania technologických opatrení je na testovanie bezpečnosti počítačového programu. Testovaním bezpečnosti sa rozumie prístup k počítaču, počítačovému systému alebo počítačovej sieti výlučne na účely testovania, vyšetrovania alebo opravy bezpečnostnej chyby alebo zraniteľnosti v dobrej viere so súhlasom vlastníka alebo prevádzkovateľa takéhoto počítača, počítačového systému alebo počítačovej siete.[16] Táto výnimka je obmedzujúca – čiastočne preto, že výskumníci sú stále povinní získať predchádzajúci súhlas od vlastníka práv k počítačovému programu.

Keďže trvalá výnimka je obmedzená, mnohí výskumníci, organizácie a spoločnosti naliehali na Úrad pre autorské práva, aby využil svoju právomoc udeliť dočasnú trojročnú výnimku na testovanie bezpečnosti, ktorá by od výskumníkov nevyžadovala získanie predchádzajúceho súhlasu vykonávateľov práv.[17]

V roku 2021 Úrad pre autorské práva udelil trojročnú výnimku z § 1201 DMCA pre výskum bezpečnosti v dobrej viere, ktorý bez súhlasu obchádza technologické opatrenia, a to za nasledovných podmienok:

Výnimka sa vzťahuje len na „počítačové programy, ak sa obchádzanie vykonáva na zákonne získanom zariadení alebo stroji, na ktorom počítačový program funguje, alebo sa uskutočňuje na počítači, počítačovom systéme alebo počítačovej sieti, na ktorej počítačový program funguje so súhlasom vlastníka alebo prevádzkovateľa takéhoto počítača, počítačového systému alebo počítačovej siete, a to výlučne na účely výskumu bezpečnosti v dobrej viere.

Na tieto účely „výskum bezpečnosti v dobrej viere“ znamená prístup k počítačovému programu výlučne na účely testovania, vyšetrovania a/alebo opravy bezpečnostnej chyby alebo zraniteľnosti v dobrej viere, ak sa takáto činnosť vykonáva v prostredí navrhnutom tak, aby sa zabránilo akémukoľvek vzniku škody jednotlivcom alebo verejnosti, a ak sa informácie získané z činnosti používajú predovšetkým na podporu zabezpečenia alebo bezpečnosti triedy zariadení alebo strojov, na ktorých sa počítačový program prevádzkuje, alebo tých, ktorí takéto zariadenia alebo stroje používajú, a tieto informácie nie sú používané ani udržiavané spôsobom, ktorý uľahčuje porušovanie autorských práv.“ [18]

Dôvodmi pre pretrvávajúcu potrebu a opodstatnenosť výnimky boli predovšetkým potreba odhaľovať zraniteľnosti vo volebných zariadeniach a iných volebných systémoch v reakcii na zvyšujúcu sa agresivitu útočníkov, vrátane iných štátov a pomáhať pri podpore inovácií v automobilovom priemysle.

Platnosť tejto výnimky však vyprší uplynutím trojročného obdobia, po ktorom budú musieť výskumníci opätovne požiadať o ďalšiu dočasnú výnimku.

Stojí za zmienku, že zatiaľ čo v Spojených štátoch amerických existuje výnimka pre testovania bezpečnosti upravená v § 1201 DMCA, v práve Európskej Únie ani v právnej úprave v Slovenskej republike nič rovnaké či podobné neexistuje.

Zároveň v Spojených štátoch prebieha diskusia o právnej reforme DMCA s cieľom rozšíriť (trvalú) výnimku pre testovanie bezpečnosti tak, aby zahŕňala oznamovanie bezpečnostných zraniteľností.[19]

Autorský zákon

V prvom rade je potrebné odpovedať na otázku, či výnimky z použitia počítačového program bez súhlasu jeho autora, resp. vykonávateľa majetkových práv sú vôbec aplikovateľné na prípady etického hackingu či výskum v oblasti bezpečnosti.

Hneď na začiatku si dovoľujem tvrdiť, že výnimky podľa slovenského Autorského zákona[20] a právnych predpisov Európskej Únie[21] špecificky určené pre počítačové programy, nemusia byť aplikovateľné, a to aj v prípade ak by výskumník (etický hacker) bol oprávneným užívateľom počítačového programu. To platí pre výnimku pre vyhotovenie rozmnoženiny počítačového programu (zdrojového kódu) a preklad kódu na účely dosiahnutia interoperability (t. j. spätné inžinierstvo), a to najmä preto, že informácie získané týmto spätným inžinierstvom možno použiť len na účely interoperability.[22] Podobne je tomu aj pri ďalšej výnimke na použitie kópie počítačového programu na pozorovanie, štúdium alebo testovanie jeho fungovania s cieľom určiť jeho myšlienky a princípy,[23] ak by oznámenie bezpečnostnej zraniteľnosti zahŕňalo vyhotovenie rozmnoženiny hoc aj časti zdrojového kódu, zapojenie sa do akejkoľvek podobnej činnosti by nebolo dovolené bez súhlasu vykonávateľa práv.

Aj keď v komentárovej literatúre existujú názory, že spätné inžinierstvo zohráva veľký význam pre spoločensky prospešné ciele ako napríklad aj v oblasti bezpečnosti,[24] takýto účel použitia výslovne nevyplýva ani z Autorského zákona ani zo Smernice o ochrane počítačových programov.

Ako už bolo naznačené vyššie, aby mohol výskumník efektívne odhaľovať zraniteľnosti počítačového programu, musí počítačový program v rámci procesu poznávania, hľadania, a odhaľovania zraniteľností použiť, a to prinajmenšom nasledovnými spôsobmi:[25]

  • vyhotovenie rozmnoženiny zdrojového kódu alebo strojového kódu počítačového programu alebo jeho časti,
  • preklad zdrojového kódu alebo strojového kódu počítačového programu alebo jeho časti (kompilácia a dekompilácia), a
  • úprava alebo iný zásah do zdrojového kódu.

Zároveň, použitie počítačového programu na účely odhaľovania zraniteľností môže byť a často aj je, spojené s prekonaním technologického opatrenia. Vedomé obchádzanie či prekonávanie účinného technologického opatrenia na ochranu práv ako aj obchádzanie nevyhnutnosti získať súhlas na použitie počítačového programu sa pritom považuje za neoprávnený zásah do autorského práva.[26]

Navyše, za neoprávnený zásah do autorského práva sa považujú aj činnosti, ktoré ho umožňujú prostredníctvom poskytnutia prístupu k potrebnému zariadeniu alebo súčiastke, bez ktorých by nebolo možné technologické opatrenie obísť.[27] V takom prípade však musia byť splnené tri základné podmienky:

  • existencia úzkej súvislosti zariadenia s obchádzaním technologických ochranných opatrení. Takáto súvislosť je daná propagáciou zariadenia a takýto účel, alebo len obmedzeným obchodne významným použitím zariadenia, alebo priamym určením zariadenia na umožnenie prekonania technologických opatrení
  • vymedzené spôsoby nakladania (t. j. vyrábanie, dovážanie, rozširovanie predajom alebo nájmom, propagovanie takého rozširovania, alebo ich vlastnenie takéhoto zariadenia), a
  • priamy alebo nepriamy majetkový prospech.

Z vyššie uvedeného je zrejmé, že výskumník by okrem samotného neoprávneného nakladania s počítačovým programom mohol zasahovať do autorského práva aj prekonaním technologického opatrenia a držbou nástrojov použiteľných na prekonávanie takýchto opatrení.

Výskum kybernetickej bezpečnosti ako výnimka podľa § 44 Autorského zákona

I keď špecifické výnimky pre počítačové programy v súčasnej právnej úprave nemožno aplikovať na činnosť vo výskume kybernetickej bezpečnosti, existuje jedna všeobecná výnimka pre použitie autorského diela vrátane počítačového programu bez súhlasu autora. Ide o použitie diela pri výskume podľa § 44 ods. 1 Autorského zákona.

Podľa citovaného ustanovenia Autorského zákona do autorského práva nezasahuje osoba, ktorá bez súhlasu autora použije zverejnené dielo vyhotovením rozmnoženiny, verejným vykonaním alebo verejným prenosom na účel názornej ukážky pri výskume, ak pri takomto použití nedochádza k priamemu alebo nepriamemu majetkovému prospechu. Táto výnimka sa podľa Autorského zákona vzťahuje na všetky diela vrátane počítačových programov.[28]

Výnimka vychádza zo Smernice o autorskom práve.[29] I keď z práva Európskej únie, je použitie tejto výnimky na počítačové programy otázne,[30] považujem toto riešenie za žiaduce aj v kontexte vývoja právnej úpravy v oblasti testovania bezpečnosti v Spojených štátoch amerických (ako bolo uvedené už vyššie).

Dielo sa môže použiť pri výskume, nie je však definovaný subjekt, ktorý môže dielo použiť. Okrem školy alebo výskumnej inštitúcie (napr. Slovenská akadémia vied, Kempelenov inštitút inteligentných technológií a pod.) tak môže ísť aj o inú fyzickú alebo právnickú osobu, ktorá realizuje výskum.[31]

Organizácie a pracoviská výskumu a vývoja sú podľa medzinárodnej metodiky Frascati manuál[32] začlenené do nasledujúcich sektorov:

  • podnikateľský sektor – firmy, organizácie a inštitúcie, ktorých hlavná činnosť je zameraná na výrobu výrobkov a poskytovanie služieb pre trh s cieľom zisku; zárobkové výskumné a vývojové organizácie, neziskové organizácie, ktoré poskytujú služby hlavne pre podnikateľský sektor;
  • vládny sektor – orgány a inštitúcie, ktoré poskytujú verejné služby, ktoré nemôžu z ekonomických dôvodov poskytovať iné štátom spravované organizácie a neziskové inštitúcie, spravované a prevažne financované štátom, t. j. rozpočtové organizácie;
  • vysokoškolský sektor – vysoké školy, univerzity, fakultné nemocnice a ďalšie organizácie pomaturitného vzdelávania bez ohľadu na zdroj ich financovania a ich právny štatút (aj všetky inštitúcie spravované vysokými školami alebo s nimi spojené).
  • súkromný neziskový sektor – netrhové, neziskové inštitúcie a neziskové súkromné osoby podieľajúce sa na výskume a vývoji.[33]

Podľa môjho právneho názoru by uvedená výnimka umožňovala výskum v oblasti kybernetickej bezpečnosti bez súhlasu vykonávateľa autorských práv k počítačovému programu, aj keď len do určitej miery. Obmedzeniami vyplývajúci z výslovného znenia výnimky tak bude

  • účel (t. j. len na účel názornej ukážky)
  • limitujúce možnosti použitia počítačového programu (t. j. len vyhotovením rozmnoženiny, verejným vykonaním alebo verejným prenosom)
  • nekomerčný charakter činnosti (t. j. pri tomto použití nemôže dôjsť k priamemu alebo nepriamemu majetkovému prospechu výskumníka).

Pokiaľ ide o prekonanie technologického opatrenia, v tomto prípade Autorský zákon umožňuje výnimku pre výskum podľa § 44 ods. 1 Autorského zákona, avšak táto výnimka sa nevzťahuje na poskytnutie prístupu k potrebnému zariadeniu.[34]

Použitie, držanie, prípadne aj propagovanie použitých nástrojov na prekonanie technologických opatrení počítačových programov by sa však nemalo vzťahovať na výskum v oblasti kybernetickej bezpečnosti ako aj na výrobcov či poskytovateľov zariadených určených na výskum v oblasti kybernetickej bezpečnosti, resp. ktoré sú všeobecne používané na takýto výskum. Právna ochrana autorského práva musí byť primeraná a nezakazovať tie pomôcky alebo činnosti, ktoré majú významný účel alebo použitie, okrem porušovania technickej ochrany. Ako vyplýva aj z práva Európskej Únie, táto ochrana predovšetkým nesmie brániť výskumu v oblasti kryptografie.[35] I keď výskum kybernetickej bezpečnosti zahŕňa aj ďalšie oblasti ako kryptografiu, je zrejmý účel nebrániť vývoju a výskumu. Za protiprávne by preto nemali byť považované prípady, keď niekto len podáva správu zo svojho výskumu, ako je to pri výskume bezpečnosti.[36]

Výskum kybernetickej bezpečnosti v dobrej viere (Good-faith security research)

Právna úprava, ale aj aplikačná prax bola dosiaľ zameraná na ochranu počítačových programov pred hackermi konajúcimi v zlom úmysle (kybernetickými zločincami), namiesto toho, aby podporila dôležitú prácu výskumníkov. Toto má „odradzujúci účinok“ (chilling effect) na výskumníkov vrátane etických hackerov.

Výskum bezpečnosti v dobrej viere je rozhodujúci pre zlepšenie systémov, na ktoré sa spoliehame v každej časti nášho života, od automobilov až po elektrickú sieť. V posledných rokoch sa dosiahol najmä v Spojených štátoch amerických veľký pokrok v zlepšovaní vzťahov medzi výskumníkmi, vládou a vlastníkmi informačných systémov. Programy koordinovaného oznamovania zraniteľností sa ukázali ako štandardná prax pre členov verejnosti, ktorí vykonávajú bezpečnostný výskum a oznamujú zistené zraniteľnosti organizáciám, aby ich bolo možné včas opraviť.[37]

Príkladom je aj výrobca vozidiel Tesla, ktorý umožňuje výskumníkom registrovať sa ako vopred schválený výskumník bezpečnosti v dobrej viere a zaregistrovať vozidlo Tesla ako vozidlo registrované na výskum.[38]

V záujme ochrany pre výskumníkov preto navrhujem definovať „výskum bezpečnosti v dobrej viere“ v Autorskom zákone. Takto definovaná činnosť by mala zahŕňať minimalizáciu ujmy na strane vykonávateľa práv k počítačovému programu a úsilie o čo najskoršie oznámenie objavených zraniteľností vlastníkovi informačného systému. Na druhej starne by nemalo byť dovolené konanie, ku ktorému by výskumník bol motivovaný výlučne ziskom, a nie zlepšovaním bezpečnosti, ako napríklad použitie akejkoľvek zraniteľnosti z výskumu na komerčnú činnosť pred jej oznámením.

Výskum bezpečnosti v dobrej viere ako legálny pojem má len v Spojených štátov, na federálnej ako aj národnej úrovni, rôzne definície. Okrem už vyššie uvedenej definície, ktorej autorom je Úrad pre autorské právo (Copyright Office), možno poukázať aj na definíciu zo zákona o počítačovej kriminalite štátu Washington, podľa ktorej výskum bezpečnosti znamená „prístup k programu, službe alebo systému výlučne na účely testovania, vyšetrovania, identifikácie a/alebo nápravy bezpečnostnej chyby alebo zraniteľnosti v dobrej viere, ak sa takáto činnosť vykonáva a kde sa používajú informácie získané z tejto činnosti, predovšetkým na podporu bezpečnosti alebo ochrany.“ [39]

Záver

Postup pri odhaľovaní zraniteľností výskumníkmi musí spĺňať určité podmienky, aby bola zachovaná proporcionalita medzi dovoleným zásahom do autorského práva a ochranou záujmov vykonávateľov práv k počítačovým programom, najmä pokiaľ ide o výnimku z použitia počítačového programu, resp. zásahu do takéhoto programu len so súhlasom vykonávateľa práv. Výskum bezpečnosti a jeho právna úprava dopĺňa a mala by existovať popri programoch koordinovaného oznamovania zraniteľností. V určitých prípadoch môže byť výskum vykonávaný aj v rámci takýchto programov, teda v praxi sa môžu tieto dva prístupy kombinovať. V prípade výskumu bezpečnosti však musí existovať taká právna ochrana výskumníkov, ktorá im umožní použiť počítačový program a prekonať technologické opatrenia aj bez súhlasu autora či vykonávateľa práv, nakoľko získanie takýchto súhlasov by bolo zjavne príliš zaťažujúce, až nemožné (dokonca spojené s rizikom trestného stíhania či civilnej žaloby). To by mohlo mať odradzujúci účinok na výskum.

Koncept programov koordinovaného oznamovania zraniteľností spolu s ochranou v rámci trestného práva, by teda mal byť doplnený aj o primeranú ochranu výskumu v rámci Autorského zákona.

Pre optimálne a efektívne použitie výnimky, však navrhujem v ustanovení § 44 ods. 1 Autorského zákona pri výskume:

  1. rozšíriť okruh spôsobov použitia počítačového programu (najmenej o právo vyhotoviť rozmnoženinu zdrojového kódu alebo strojového kódu počítačového programu alebo jeho časti, právo preložiť formu zdrojového kódu alebo strojového kódu počítačového programu alebo jeho časti (kompilácia a dekompilácia), ako aj právo upraviť alebo inak zasiahnuť do zdrojového kódu
  2. doplniť účel o odhaľovanie zraniteľnosti počítačového programu a tiež
  3. doplniť definíciu výskumu v oblasti kybernetickej bezpečnosti.

Zároveň navrhujem doplnenie § 60 ods. 4 Autorského zákona[40] o nasledovnú vetu: „Ustanovenie odseku 1 a odseku 2 sa neuplatní pri použití diela podľa § 44 ods. 1 v rozsahu nevyhnutnom na účely výskumu kybernetickej bezpečnosti.“ Tým by sa výnimka z neoprávneného zásahu do autorského práva vzťahovala aj na odsek 2 citovaného § 60 Autorského zákona, teda na výrobu, distribúciu a použitie nástrojov, určených na prekonanie technologických opatrení, na účely výskumu kybernetickej bezpečnosti.

Som presvedčený, že znenie Smernice o autorskom práve ani Smernice o ochrane počítačových programov, neodporuje týmto navrhovaným zmenám v právnej úprave.

RESUMÉ

Etický hacking a výskum kybernetickej bezpečnosti

Článok sa venuje etickému hackingu a výskumu kybernetickej bezpečnosti, pričom voľne nadväzuje na článok autora publikovaný v Bulletine slovenskej advokácie č. 4/2022, v ktorom sa venoval téme etického hackingu z pohľadu trestného práva. Etický hacking a výskum kybernetickej bezpečnosť sú úzko spojené. Výskum bezpečnosti je prínosom pre verejnosť tým, že umožňuje výskumníkom odhaliť zraniteľnosti, varovať užívateľov a upozorniť spoločnosti na tieto zraniteľnosti a tým prispieť k tvorbe bezpečnejších verzií počítačových programov (softvéru). Článok poskytuje analýzu relevantnej právnej úpravy v oblasti autorského práva, pričom autor poukazuje na rozvinutú právnu úpravu v Spojených štátoch amerických a spoločenskú diskusiu o výskume kybernetickej bezpečnosti. Na základe právnej analýzy autor formuluje odpoveď na to, ako môžu pôsobiť výskumníci v oblasti bezpečnosti vrátane etických hackerov bez toho, aby im hrozilo riziko vzniku zodpovednosti za nedovolený zásah do autorských práv k počítačovému programu, prípadne, aby bolo toto riziko minimalizované. V tejto súvislosti autor na záver navrhuje aj zmenu a doplnenie ustanovení zákona č. 185/2015 Z. z. Autorského zákona v platnom znení.

SUMMARY

Ethical Hacking and Cybersecurity Research.

The article is devoted to ethical hacking and cyber security research, and follows the author’s article published in the Slovak Advocacy Bulletin no. 4/2022, in which he addressed the topic of ethical hacking from the point of view of criminal law. Ethical hacking and cybersecurity research are closely related. Security research brings benefit to public since it allows researchers to detect vulnerabilities, warn users and companies on such vulnerabilities and thereby contributes to the creation of more secure computer programs (software). The article provides an analysis of the relevant legislation in the field of copyright law, while the author points to the developed legislation in the United States of America and the social debate on cybersecurity research. On the basis of legal analysis, the author formulates an answer to how security researchers, including ethical hackers, can operate without risking liability for unauthorized interference with copyright protection of the computer program, or minimizing such risk. In this context, the author also suggests amending the provisions of Act no. 185/2015 Coll. Copyright Act as amended.

ZUSAMMENFASSUNG

Ethisches Hacking und die Forschung der kybernetischen Sicherheit

Der Artikel ist dem ethischen Hacking und der Forschung der kybernetischen Sicherheit gewidmet, wobei dieser frei an den im Bulletin der slowakischen Rechtsanwaltschaft Nr.4/2022 veröffentlichten Artikel anknüpft, in dem sich der Autor dem Thema des ethischen Hacking vom Sichtpunkt des Strafrechtes gewidmet hat. Das ethische Hacking und die Forschung der kybernetischen Sicherheit sind eng verbunden. Die Forschung der Sicherheit ist auch für die Öffentlichkeit gewinnbringend dadurch, dass es den Forschern ermöglicht, die Verletzbarkeiten zu enthüllen, die Benutzer zu warnen und die Gesellschaften auf die Schwachstellen aufmerksam zu machen und dadurch zur Herstellung von zuverlässigeren Computerprogrammversionen (Software) beizutragen. Der Artikel bietet die Analyse der erheblichen Rechtsregelung im Bereich des Urheberrechtes, wobei der Autor auf die hoch entwickelte Rechteregelung in den Vereinigten Staaten von Amerika und die gesellschaftliche Diskussion zur Forschung der kybernetischen Sicherheit hinweist. Aufgrund der rechtlichen Analyse wird vom Autor die Antwort darauf formuliert, wie die Forscher im Bereich der Sicherheit sowie die ethischen Hacker wirken können, ohne sich dem Risiko der Haftung wegen unerlaubten Eingriffs in die Urheberrechte zum Computerprogramm auszusetzen, eventuell, um dieses Risiko zu minimieren. In diesem Zusammenhang schlägt der Autor zum Schluss auch die Änderung und die Ergänzung der Bestimmungen des Gesetzes Nr. 185/2015 der Gesetzsammlung – des Urhebergesetzes in der geltenden Fassung, vor.


[1] Rampášek, M. (2022): Etický hacking a (ne)oprávnený prístup od počítačového systému, Bulletin slovenskej advokácie č. 4/2022

[2] National Cyber Security Centre: Guidance. Penetration Testing. dostupné na: https://www.ncsc.gov.uk/guidance/penetration-testing

[3] Národní úřad pro kybernetickou a informační bezpečnost (2022): Penetrační testování – Úvod do problematiky, verzia 1.0, str. 8, dostupné na: https://www.nukib.cz/download/publikace/podpurne_materialy/2022-03-07_Penetracni-testovani_v1.0. pdf

[4] Porov. § 11 ods. 3 a § 25 ods. 1 Vyhlášky č. 82/2018 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

[5] Článok 5 bod 5.5.4 normy ISO/IEC 29147:2018 (Informačné technológie. Bezpečnostné metódy. Odhalenie zraniteľnosti)

[6] Halderman, J., Center for Democracy and Technology, U. S. Technology Policy Committee of the Association for Computing Machinery: Long Comment regarding a proposed exemption under Under 17 U. S. C. §1201, str. 8 dostupné na: https://www.acm.org/binaries/content/assets/public-policy/ustpc-jt-long-comment-copyright-ofc-dmca.pdf

[7] Hall, J. et al. (2017), The Importance of Security Research, dostupné na: https://cdt.org/insights/the-importance-of-security-research-four-case-studies/

[8] Opsahl, K. (2021): Standing With Security Researchers Against Misuse of the DMCA, dostupné na: https://www.eff.org/deeplinks/2021/06/dmca-security-researcher-statement

[9] Čl. 55 ods. 1 písm. c) Nariadenia EP a Rady (EÚ) č. 2019/881 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti)

[10] Edgar, T., Manz, D. (2017): Research methods for cyber security. Cambridge, MA: Syngress, str. 57 a 58

[11]Katsikeas, S., et al. (2021) Research communities in cyber security: A comprehensive literature review. Computer Science Review, dostupné na: https://www.sciencedirect.com/science/article/pii/S157401372100071X#b74

[12] ENISA (2021): Cybersecurity Research Directions for the EU’s Digital Strategic Autonomy, strana 11 a nasl. dostupné na: https://www.enisa.europa.eu/publications/cybersecurity-research-directions-for-the-eu2019s-digital-strategic-autonomy/

[13] Porov. ustanovenie § 1201 odsek (a) (3) (A) DMCA, dostupné na: https://www.law.cornell.edu/uscode/text/17/1201#fn002021

[14] Geiger, H. (2017): Copyright Office Calls For New Cybersecurity Researcher Protections. Dostupné na: https://www.rapid7.com/ja/blog/post/2017/06/28/copyright-office-calls-for-new-cybersecurity-researcher-protections/

[15] Software Vulnerability Disclosure in Europe: Technology, Policies and Legal Challenges: Report of a CEPS Task Force, 2018, strana 35, dostupné na: https://www.ceps.eu/wp-content/uploads/2018/06/CEPS%20TFRonSVD%20with%20cover_0.pdf

[16] Porov. ustanovenie § 1201 odsek (a) (3) (A) DMCA, dostupné na: https://www.law.cornell.edu/uscode/text/17/1201#fn002021

[17] Príkladom sú aktivity spoločnosti Rapid7, Bugcrowd, a HackerOne, napríklad dostupné na: https://www.rapid7.com/blog/post/2016/03/15/rapid7-bugcrowd-and-hackerone-file-pro-researcher-comments-on-dmca-sec-1201/

[18] Nariadenie Úradu pre autorské práva (Copyright Office), Kongresová knižnica (Library of Congress) zo dňa 28. 10. 2021: Exemption to Prohibition on Circumvention of Copyright Protection Systems for Access Control Technologies. Federal Register, dostupné na: https://www.federalregister.gov/d/2021-23311/p-240

[19] Software Vulnerability Disclosure in Europe: Technology, Policies and Legal Challenges: Report of a CEPS Task Force, 2018, strana 48 dostupné na: https://www.ceps.eu/wp-content/uploads/2018/06/CEPS%20TFRonSVD%20with%20cover_0.pdf

[20] Zákon č. 185/2015 Z. z. Autorský zákon v platnom znení (ďalej len „Autorský zákon“)

[21] Najmä Smernica EP a Rady 2009/24/ES z 23. apríla 2009 o právnej ochrane počítačových programov (ďalej len „Smernica o ochrane počítačových programov“)

[22] § 89 ods. 3 Autorského zákona

[23] § 89 ods. 2 písm. c) Autorského zákona

[24] ADAMOVÁ, Zuzana, HAZUCHA, Branislav. § 89 [Výnimky a obmedzenia majetkových práv autora k počítačovému programu]. In: ADAMOVÁ, Zuzana, HAZUCHA, Branislav. Autorský zákon. 1. vydanie. Bratislava: C. H. Beck, 2018, s. 687

[25] Porov. § 19 ods. 4 Autorského zákona, taktiež a contrario § 89 ods. 2 a 3 Autorského zákona

[26] § 60 ods. 1 Autorského zákona

[27] § 60 ods. 2 Autorského zákona

[28] ADAMOVÁ, Zuzana, HAZUCHA, Branislav. § 44 [Použitie diela na vyučovacie účely a pri výskume]. In: ADAMOVÁ, Z. et al. (2018), s. 335

[29] Článok 5 ods. 3 písm. a) Smernice 2001/29/ES Európskeho parlamentu a Rady z 22. mája 2001 o zosúladení niektorých aspektov autorských práv a s nimi súvisiacich práv v informačnej spoločnosti (ďalej len „Smernica o autorskom práve“)

[30] Výnimky z práv k počítačovým programom sú určené článkami 5 a 6 Smernice o ochrane počítačových programov (recitál 50 Smernice o autorskom práve). Porov. ADAMOVÁ, Zuzana, HAZUCHA, Branislav. § 89 [Výnimky a obmedzenia majetkových práv autora k počítačovému programu]. In: ADAMOVÁ, Z. et al. (2018), s. 689

[31] Ibid. ADAMOVÁ, Z. et al. (2018), s. 335

[32] Návod OECD pre zber a vykazovanie údajov o výskume a experimentálnom vývoji, dostupné na: https://www.oecd.org/sti/inno/frascati-manual.htm

[33] Národné koordinačné centrum kybernetickej bezpečnosti, dostupné na: https://kyberkomunita.sk/pracovna-skupina-c-6-veda-vyskum-inovacie/

[34] porov. § 60 ods. 4 Autorského zákona, daná výnimka platí len pre samotné obchádzanie opatrenia podľa odseku 1 tohto ustanovenia, nie však aj na odsek 2

[35] porov. Smernica o autorskom práve, recitál č. 48.

[36] ADAMOVÁ, Zuzana, HAZUCHA, Branislav. § 60 [Obchádzanie technologického ochranného opatrenia]. In: ADAMOVÁ, Z. et al. (2018), s. 440.

[37] Pfefferkorn, R. (2020): The importance of protecting good-faith security research, dostupné na:

http://cyberlaw.stanford.edu/blog/2020/09/importance-protecting-good-faith-security-research

[38] https://www.tesla.com/en_eu/legal/security

[39] V tomto prípade sa pre výskum bezpečnosti používa označenie “White hat security research”, porov. § 9A.90.030zákona štátu Washington o počítačovej kriminalite, dostupný na: https://app.leg.wa.gov/RCW/default.aspx?cite=9A.90.030

[40] Súčasné znenie § 60 ods. 4 Autorského zákona: „Ustanovenie odseku 1 sa neuplatní pri použití diela podľa § 40§ 42 až 44§ 4646a§ 4949a51b51c a 53 v rozsahu nevyhnutnom na využitie danej výnimky alebo obmedzenia.“

Najčítanejšie