Wielu badaczy od dawna zastanawia się nad konsekwencjami tak szybkie-go postępu technologiczneszybkie-go, próbując jednocześnie odpowiedzieć na py-tania co będzie dalej. W. Januszko pisze między innymi: „Rewolucja
1 T. Goban-Klas, P. Sienkiewicz, Społeczeństwo informacyjne: szanse, zagrożenia, wyzwania, Wydawnictwo Fundacji Postępu Telekomunikacji, Kraków 1999, s. 5.
macyjna doprowadziła do utworzenia globalnej sieci komputerowej (Inter-netu) oraz milionów sieci lokalnych stale albo okresowo z nim połączo-nych. Większość dochodu narodowego rozwiniętych gospodarek pochodzi z sektora informacyjnego, a realokacja i globalny dostęp do informacji są kluczowym czynnikiem wzrostu wydajności i konkurencyjności przemysłu.
(…). Z drugiej zaś strony trzeba być świadomym zagrożeń występujących na tej drodze. Otwartość i demokratyzacja będące cechą dnia dzisiejszego rodzi pokusę dla fanatyków, terrorystów, hakerów mogących i mających niepowtarzalną szansę zachwiać podstawami krajów, narodów czy cywili-zacji. Niebezpieczeństwem może tu być fakt narastającego rozwarstwienia społecznego grup społecznych, krajów i narodów na tych, którzy do tej epoki będą dobrze przygotowani i na tych, którzy nie będą w stanie jej sprostać”2.
Cyberbezpieczeństwo jest zatem pojęciem bardzo pojemnym i trudnym do zdefiniowania. M. Madej i M. Terlikowski rozumieją je jako „zdolność określonego podmiotu do pozyskania i zachowania, w formie niezmienio-nej bez jego zgody i wiedzy, wszelkiego rodzaju informacji utrwaloniezmienio-nej w postaci cyfrowej oraz możliwość jej bezpiecznego (tzn. nienarażonego na przechwycenie, zniszczenie lub nieuprawnioną modyfikację) przetwarza-nia, przesyłania i upowszechniania”3. Jest to bardzo ogólna definicja, którą odnieść można do różnych typów podmiotów, w cyberprzestrzeni obecnie funkcjonują bowiem, zarówno osoby prywatne oraz ich grupy, jak i insty-tucje, przedsiębiorstwa, stowarzyszenia, państwa i wspólnoty regionalne czy międzynarodowe (o charakterze pozamilitarnym i militarnym). Dla każdego z użytkowników sieci teleinformatycznych bezpieczeństwo infor-macyjne oznacza więc zupełnie coś innego.
Autorzy publikacji Cyberbezpieczeństwo – wyzwanie współczesnego pre-zesa4, opracowanej na podstawie raportu KPMG International (Cyber secu-rity: a failure of imagination by CEOs) uważają, że aktualnie cyberbezpie-czeństwo to problem dotyczący każdej firmy, choć nie wszyscy szefowie i pracownicy firm to sobie uświadamiają. Badania przeprowadzone w roku 20155 wskazują, że 72% prezesów firm z trudem nadąża za rozwojem technologii. I choć ok. 50% ankietowanych prezesów uważa6, że ich firmy
2 W. Januszko, Czy podążanie współczesnych społeczeństw w stronę struktur sieciowych stwarza szanse czy zagrożenia?, bbc.uw.edu.pl/Content/20/09.pdf (online: 10.07.2017).
3 M. Lakomy, Cyberprzestrzeń jako nowy wymiar rywalizacji i współpracy państw, Wydaw-nictwo Uniwersytetu Śląskiego, Katowice 2015, s. 17.
4 Cyberbezpieczeństwo – wyzwanie współczesnego prezesa, KPMG, 2016.
5 Ibidem.
6 Deklarowana gotowość firmy na cyberataki zależy od położenia geograficznego – w Sta-nach Zjednoczonych 87% prezesów uważa, że ich firmy są przygotowane, w Europie mniej niż jedna trzecia.
są przygotowane na ewentualne incydenty związane z cyberbezpieczeń-stwem i w połowie badanych firm powołano dyrektorów do spraw cyber-bezpieczeństwa lub zespoły zajmujące się tą problematyką, to ponad 20%
firm wcale nie planuje ich zatrudnienia, a ponad 10% firm nie ma w pla-nach ani modernizacji obecnej technologii, ani zmian w procesach wewnę-trznych (takich jak np. udostępnianie danych, korzystanie z urządzeń) czy zewnętrznych (zbieranie danych, przetwarzanie transakcji).
Ciekawostką jest fakt, że tylko w jednej trzeciej badanych firm dokonano zmian w procesach zewnętrznych, choć w ostatnich latach najgłośniejsze i najbardziej spektakularne zagrożenia spowodowane były za sprawą do-stawców zewnętrznych, dzięki którym cyberprzestępcy obeszli systemy zabezpieczeń atakowanych firm. Wyniki badań przeprowadzonych w roku 2016 przez Cube Research we współpracy z EY i Chubb7 są tak niepokoją-ce: 41% pracowników badanych firm nigdy nie uczestniczyło w żadnym szkoleniu z zakresu cyberbezpieczeństwa, 53% firm nie weryfikuje w ża-den sposób wiedzy pracowników uczestniczących w takich szkoleniach, w 43% firm nie używa się systemu ostrzegania o incydentach związanych z systemami teleinformatycznymi, 40% badanych firm nie posiada wdro-żonych rozwiązań pozwalających na wykrycie zagrożeń w swojej sieci tele-informatycznej, w 40% badanych firm nie testuje się bezpieczeństwa infra-struktury informatycznej przed wdrożeniem zmian w systemach telein-formatycznych itd. Cieszyć może jedynie to, że 89% firm korzysta z firewal-la, a 93% ma zainstalowany program antywirusowy. Niektórzy szefowie firm decydują się natomiast na zatrudnienie tzw. „etycznych hakerów”8, których zadaniem jest wykrycie oraz wskazanie słabości systemów telein-formatycznych.
Zagrożenia występujące w cyberprzestrzeni można zatem podzielić na takie, których źródłem jest technika (np. awarie sprzętu, zasilania itp.) i takie, których źródłem są ludzie. Do drugiej z tych grup zalicza się nie tyl-ko zagrożenia spowodowane przez ludzkie błędy (wynikające np. z nie-świadomości użytkowników lub lekceważenia obowiązków przez personel przedsiębiorstw i instytucji), ale wiele rodzajów działań, wynikających z najrozmaitszych motywacji i mających różny stopień zasięgu i szkodliwo-ści. Konwencja Rady Europy wprowadza klasyfikację cyberprzestępstw9, dzieląc je na:
7 Cyberbezpieczeństwo firm. Raport z badania,
ey.media.pl/file/attachment/1080018/1e/ey_raport_cyberbezpieczenstwo_firm.pdf (online: 1.08.2017).
8 Cyberbezpieczeństwo – wyzwanie współczesnego prezesa, op. cit.
9 M. Siwicki, Podział i definicja cyberprzestępstw, „Prokuratura i Prawo” 2012, nr 7-8;
Konwencja Rady Europy o cyberprzestępczości, sporządzona w Budapeszcie dnia 23 li-stopada 2001 r. (Dz.U. 2015 poz. 728).
1. przestępstwa przeciwko poufności, integralności oraz dostępności danych informatycznych (nielegalny dostęp do danych, nielegalne ich przechwytywanie lub naruszenie ich integralności, naruszenie inte-gralności systemu, niewłaściwe użycie urządzeń);
2. przestępstwa komputerowe (w tym komputerowe fałszerstwa oraz oszustwa);
3. przestępstwa uznane za działalność przestępczą ze względu na ich charakter lub treść informacji (pornografia dziecięca, treści rasistow-skie lub ksenofobiczne, groźby i zniewagi motywowane rasizmem lub ksenofobią);
4. przestępstwa polegające na naruszeniu praw autorskich i praw po-krewnych.
R. Tadeusiewicz10 proponuje podział cyberzagrożeń ze względu na ob-szar, stosunek do obszaru państwa lub instytucji oraz dziedzinę, której za-grożenie dotyczy. Podział ten ilustruje rysunek 1.
Rysunek 1. Podział zagrożeń ze względu na wybrane kryteria
Źródło: R. Tadeusiewicz, Zagrożenia w cyberprzestrzeni, „Nauka” 2010, nr 4.
Poważne utrudnienie w ściganiu i karaniu cyberprzestępców stanowi często problem z określeniem miejsca popełnienia przestępstwa, ponieważ przestępczość teleinformatyczną cechują często transgraniczność i wielo-miejscowość11. Tymczasem od miejsca popełnienia przestępstwa zależy to, jakie prawo zostanie wobec przestępcy zastosowane. Co prawda w takich przypadkach na ogół stosuje się tzw. zasadę terytorialności, czyli (zgodnie
10 R. Tadeusiewicz, Zagrożenia w cyberprzestrzeni, „Nauka” 2010, nr 4.
11 A. Stępniewska, Ściganie przestępstw popełnionych w cyberprzestrzeni [w:] Cyberbezpie-czeństwo, Wardyński i Wspólnicy, Warszawa 2014, ss. 16-19.
z art. 5 kodeksu karnego12) wobec sprawcy, który popełnia przestępstwo na terenie Polski (albo na pokładzie polskiego samolotu lub statku) stosuje się polskie przepisy, ale są od tej zasady wyjątki. Polskie prawo w tym względzie zbieżne jest z Konwencją Rady Europy o cyberprzestępczości13 i z dyrektywą 2013/40 Parlamentu Europejskiego i Rady dotyczącą ataków na systemy informatyczne14. Konwencja Rady Europy reguluje także zasa-dy współpracy między państwami, które ją ratyfikowały. Są one zobowią-zane do udzielania sobie pomocy prawnej przy ściganiu cyberprzestępców i prowadzeniu przeciwko nim postępowań. Prawo do odmowy takiej po-mocy przysługuje im jeśli uzna, że sprawa dotyczy przestępstwa politycz-nego lub gdy udzielenie pomocy może stanowić zagrożenie dla suwerenno-ści, bezpieczeństwa, porządku publicznego albo innych istotnych interesów państwa będącego stroną Konwencji.