Systematyka oraz kwalifikacja prawna wybranych cyberprzestępstw
2. Mo dyfikowanie lub zakłócanie treści transmisji
Drugim z wymienionych cyberprzestępstw, które kierowane są przeciwko transmisji danych, jest przestępstwo bezprawnego modyfikowania lub zakłócania treści transmisji. Inaczej niż w przypadku wskazanego wyżej podsłuchu komputerowego - który narusza poufność danych, modyfikacja lub zakłócanie danych wymierzone są przeciwko integralności (autentyczności) oraz dostępności przekazu. Pomimo różnicy w określeniu przedmiotu ataku, pomiędzy oboma przestępstwami zachodzi swoiste podobieństwo genetyczne. Z uwagi na analogiczny sposób działania sprawców obu wymienionych kategorii cyberprzestępstw, modyfikowanie lub zakłócanie treści może wiązać się z jednoczesnym odczytywaniem zaburzanych pakietów danych, łącząc się wówczas funkcjonalnie z podsłuchem. Połączony w ten sposób atak wykonywany jest w konsekwencji jednocześnie przeciwko integralności, jak i poufności transmisji. W przypadku stwierdzenia możliwości zapoznania się przez atakującego z treścią nieprzeznaczonych dla niego danych (poddawanych modyfikacji) należy zatem mówić o zbiegu przestępstw bezprawnego podsłuchu oraz nieuprawnionej modyfikacji treści transmisji.
Od strony technicznej, możliwość modyfikacji lub zatrzymywania transmitowanych danych, wymaga uprzedniego przejęcia kontroli nad samą transmisją danych. W celu tym stosowane są analogiczne metody ataku, jak w przypadku bezprawnego podsłuchiwania transmisji, np. zaprezentowany wyżej atak typu man-in-the-middle wykorzystujący technikę
IP spoofing’u, czy też sygnalizowane ataki przeciwko węzłom pośredniczącym (vide część I.1 rozdziału). Zatruwanie tablic DNS może być z kolei wykorzystywane do zakłócania transmisji danych lub też przejmowania nad nią kontroli na wielką skalę (np. dla odcięcia od poczty elektronicznej całej instytucji państwowej)55
Wprowadzanie zmian w przesyłanych danych, w tym też obejmujące ich całościową podmianę, wiąże się z koniecznością włączenia się do strumienia transmisji danych oraz uzyskania możliwości dalszego przesyłania danych zmodyfikowanych lub niekompletnych. Analogicznie, jak w przypadku podsłuchu, całość działań przeprowadzana jest w sposób, który zapewnia, że komunikujące się strony pozostają w całkowitym przekonaniu
.
55 Poprzez zatrucie DNS możliwe jest wprowadzenie swoistego objazdu, kierującego pocztę elektroniczną do nieistniejącego odbiorcy. Poczta wysyłana na tak przekierowany adres nie dociera do odbiorcy, często wracając do swojego nadawcy.
187
o autentyczności przekazu. Innymi słowy, otrzymywane przez ofiary ataku dane muszą wyglądać na pochodzące z oryginalnego źródła oraz nie nosić żadnych śladów modyfikacji. Warto w tym miejscu przypomnieć, że stronami komunikacji w cyberprzestrzeni mogą być nie tylko użytkownicy, ale także w pełni zautomatyzowane systemy, co rozszerza potencjalny zakres transmisji, które mogą stać się przedmiotem bezprawnego ataku. Przykładowo, bezprawnej modyfikacji treści transmisji poddane mogą zostać dane w postaci loginu i hasła, które kierowane są przez użytkownika do systemu kontroli dostępu określonej usługi sieciowej. Celem takiego ataku może być chęć zablokowania oraz przejęcia kontroli nad kontem użytkownika (kilkukrotne wpisanie „za uprawnionego użytkownika” błędnego hasła może spowodować np. czasowe zablokowanie jego adresu IP). Wszystkie ze wskazywanych działań mogą być wykonywane zarówno indywidualnie (ręcznie) przez samego cyberprzestępcę, jak również być wynikiem działania przygotowanego przez niego oprogramowania, mogącego w sposób automatyczny nie tylko dokonywać operacji na danych, ale także wyszukiwać kolejne ofiary cyberataków.
W odniesieniu do transmisji bezprzewodowej, naruszanie dostępności komunikacji możliwe jest także poprzez fizyczne zakłócanie rozgłaszanych w eterze fal radiowych. Stosowane w tym zakresie urządzenia - nazywane z języka angielskiego jammerami56
, pozwalają na zagłuszanie fal, uniemożliwiając np. stosowanie routerów bezprzewodowych, czy telefonów komórkowych na określonym obszarze. W polskim porządku prawnym, działania tego typu wykonywane mogą być wyłącznie przez podmioty uprawnione ustawowo57
Szczególne przykłady ataków, które mogą zostać wykorzystane również do zakłócania transmisji danych (ataki typu Dos oraz Ddos - w których jako narzędzie przestępne wykorzystywana jest sama transmisja danych) przybliżone zostaną, zgodnie z przyjętą systematyką, w kolejnym punkcie rozdziału.
, które w swoim zakresie kompetencyjnym posiadają zadania związane z ochroną bezpieczeństwa ludzi oraz państwa.
Przechodząc do analizy prawnej przestępstwa modyfikacji lub zakłócania transmisji danych, w pierwszej kolejności ponownie warto odwołać się do postanowień Konwencji o cyberprzestępczości, gdzie komentowane przestępstwo określone zostało mianem „ingerencji w dane”58
56
Więcej na ten temat na stronie internetowej pod adresem: http://en.wikipedia.org/wiki/Radio_jamming. (w oficjalnym przekładzie - „Naruszenie integralności danych”).
57 Art. 178 ust. 3 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800). Pośród organów uprawnionych do stosowania poruszanego rozwiązania przepis wymienia w szczególności Policję, Agencję Bezpieczeństwa Wewnętrznego oraz Biuro Ochrony Rządu.
58
188
Zgodnie z art. 4 ust. 1 Konwencji:
„Każda ze Stron powinna zastosować takie środki legislacyjne lub inne, które skutkować będą uznaniem za przestępstwo na gruncie jej prawa krajowego, popełnionego umyślnie czynu polegającego na bezprawnym niszczeniu, usuwaniu, uszkadzaniu, modyfikowaniu lub utrudnianiu dostępu do danych komputerowych.”59
Przyjęta przez autorów Konwencji konstrukcja legislacyjna przepisu odnosi prezentowaną normę do każdego przejawu bezprawnego niszczenia, usuwania, uszkadzania, modyfikowania, czy utrudniania dostępu do danych komputerowych - bez względu na charakter danych będących przedmiotem ataku, jak również miejsce ich przetwarzania (w oficjalnym tłumaczeniu katalog ten został ujęty, jako „niszczenie, wykasowywanie, uszkadzanie, dokonywanie zmian lub usuwanie danych”). W efekcie, przytoczony przepis chroni dane komputerowe niezależnie od tego, czy:
1) atakowane dane są w jakikolwiek sposób istotne lub interesujące dla cyberprzestępcy lub też w ogóle nadają się do odczytania lub wykorzystania przez niego w jakikolwiek sposób;
2) atakowane dane są w jakikolwiek sposób istotne dla ich właściciela lub osób uprawnionych do ich przetwarzania;
3) atakowane dane przetwarzane są lokalnie, to jest wewnątrz komputera, czy też podlegają transmisji za pośrednictwem sieci teleinformatycznych (publicznych, prywatnych, przewodowych, bezprzewodowych, itd.); a także,
4) atakowane dane stanowią wytwór człowieka, czy też maszyny (np. automatycznie gromadzone logi systemowe, stanowiące swoiste dzienniki funkcjonowania systemu). Co również warto zaznaczyć, przepis art. 4 Konwencji nie wprowadza żadnego różnicowania na dane „cywilne” oraz dane „państwowe”, obejmując swoim zakresem penalizacji obydwie te kategorie jednocześnie.
Obok ogólnego wskazania przedmiotu wykonawczego ataku, na gruncie przepisu Konwencji szeroko zakreślony został także katalog form niedopuszczalnego oddziaływania na dane. Zgodnie z przyjętą regulacją, penalizacji poddane zostały wszelkie czynności polegające na niszczeniu, usuwaniu, uszkadzaniu, modyfikowaniu oraz utrudnianiu dostępu do danych komputerowych. Zgodnie z Raportem Wyjaśniającym do Konwencji, przyjęty katalog miał za zadanie zapewnienie zasobom komputerowym - to jest danym oraz
59 W oryginale: „Each Party shall adopt such legislative and other measures as may be necessary to establish
as criminal offences under its domestic law, when committed intentionally, the damaging, deletion, deterioration, alteration or suppression of computer data without right.”. Tłumaczenie własne.
189
programom, takiej samej ochrony, jakiej poddawane są rzeczy materialne60. Przywołany Raport niejako uzupełnił postanowienia Konwencji wskazując również, że pod pojęciem „tłumienie” należy rozumieć wszelkie działania mające na celu utrudnienie lub uniemożliwienie uprawnionego dostępu do określonego zasobu komputerowego61
Bazując na postanowieniach Konwencji Budapesztańskiej, nieuprawnione modyfikowanie lub uszkadzanie danych spenalizowane zostało także w przepisach Decyzji Ramowej Rady Unii Europejskiej z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne
, co w praktyce może odnosić się np. do uszkodzenia rozszerzenia pliku jednak bez naruszania jego zawartości, czy też uszkodzenia informacji o sposobie podziału dysku twardego komputera na partycje - również niewiążącego się z modyfikacjami zapisu samych danych. W obydwu tych przypadkach, pomimo braku modyfikacji zawartości poszczególnych plików komputerowych zapisanych na informatycznych nośnikach danych dochodzi do uniemożliwienia osobie uprawnionej odczytu zaatakowanych danych, jak też ich automatycznego przetworzenia przez system.
62
„Każde Państwo Członkowskie podejmuje niezbędne środki celem zapewnienia, że umyślne bezprawne usunięcie, uszkodzenie, pogorszenie, zmiana, zatajanie lub uczynienie niedostępnymi danych komputerowych w systemie informatycznym jest karane jako przestępstwo, kiedy dokonywane jest bezprawnie, przynajmniej w przypadkach, które nie są przypadkami mniejszej wagi.”
, w której art. 4 usankcjonowano - w sposób zbieżny do wskazanej wyżej regulacji Konwencji o cyberprzestępczości, że:
63
Przyjęte postanowienie Decyzji Ramowej zostało następnie przetransponowane do przepisu art. 5 Dyrektywy Parlamentu Europejskiego i Rady Nr 2013/40/UE z dnia 12 sierpnia 2013 r. dotyczącej ataków na systemy informatyczne64
„Państwa członkowskie podejmują środki niezbędne do zagwarantowania, by umyślne , otrzymując ostatecznie brzmienie:
60 Pkt 60 Raportu Wyjaśniającego. W oryginale: „The aim of this provision is to provide computer data and
computer programs with protection similar to that enjoyed by corporeal objects against intentional infliction of damage.”. Tłumaczenie własne.
61 Pkt 61 Raportu Wyjaśniającego. W oryginale: „ Suppressing of computer data means any action that prevents
or terminates the availability of the data to the person who has access to the computer or the data carrier on which it was stored.”. Tłumaczenie własne.
62
Decyzja Ramowa Rady Unii Europejskiej z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne, Nr 2005/222/WSiSW.
63 Art. 4 Decyzji Ramowej Rady Unii Europejskiej w sprawie ataków na systemy informatyczne. Przytoczony fragment pochodzi z oficjalnej polskiej wersji językowej dokumentu.
64 Dyrektywa Parlamentu Europejskiego i Rady Nr 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW. Pełny tekst dyrektywy
dostępny na stronie internetowej pod adresem:
190
i bezprawne usuwanie, uszkadzanie, pogarszanie, zmienianie lub eliminowanie danych komputerowych w systemie informatycznym lub czynienie ich niedostępnymi, było karalne jako przestępstwo, co najmniej w przypadkach, które nie są przypadkami mniejszej wagi.”
Analogicznie, jak w przypadku postanowień Konwencji o cyberprzestępczości, zakres przedmiotowy przytoczonego przepisu Decyzji Ramowej oraz Dyrektywy określony został szeroko, bez wprowadzania jakichkolwiek ograniczeń, które odnosiłyby się do właściwości atakowanych danych, systemów, czy też sprawcy lub ofiary cyberataku. Z uwagi na zbieżność regulacji przyjętych w Decyzji Ramowej i Dyrektywie oraz Konwencji, pełne zastosowanie znajdują tu wcześniejsze uwagi, z zastrzeżeniem jednak kwestii językowej dot. sposobu tłumaczenia angielskiego wyrażenia „suppresion”. Na gruncie polskiej wersji językowej art. 4 Decyzji Ramowej wyraz ten został przetłumaczony, jako „zatajanie” – podczas, gdy w przepisach Dyrektywy tłumaczenie to zastąpiono zwrotem „eliminacja”. W kontekście tłumaczenia własnego, które przeprowadzone zostało przez autora niniejszej pracy na gruncie postanowień Konwencji o cyberprzestępczości – pojęcie „suppresion” przetłumaczono wprost, jako „tłumienie”, odwołując się wówczas do Raportu Wyjaśniającego do Konwencji o cyberprzestępczości. W dokumencie tym pojęcie „suppresion” zostało zdefiniowane, jako oznaczające wszelkie formy utrudniania lub uniemożliwiania uzyskania uprawnionego dostępu do danych komputerowych - co w ocenie Autora niniejszej dysertacji nie wiąże się bezpośrednio z polską konotacją wyrazu „zatajać”, czy też w szczególności „eliminować”. Porównując redakcję analizowanych przepisów, należy uznać, że rozbudowany, złożony zapis Decyzji Ramowej w brzmieniu „suppression or rendering inaccessible of computer data” („zatajanie lub uczynienie niedostępnymi danych komputerowych”) oraz analogiczny zapis Dyrektywy, stanowią nadmiarowe rozwinięcie samodzielnego wyrażenia „suppresion”. Przyjęte natomiast w polskiej wersji językowej Dyrektywy tłumaczenie tego zwrotu jako „eliminacja” uznać należy za mylące oraz w istocie dublujące znamię „usuwania danych”.
Na gruncie polskich regulacji krajowych, przestępstwo nieuprawnionego modyfikowania lub uszkadzania danych transmitowanych za pośrednictwem sieci podlega kwalifikacji karnej z dwóch przepisów Kodeksu karnego, to jest art. 268a oraz 269. Przepisy te przyjmują następujące brzmienie:
„Art. 268a. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.
191
§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.
Art. 269. § 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.”.
Podobnie, jak w przypadku wskazanych wyżej regulacji międzynarodowych, pochodzących z Konwencji o cyberprzestępczości oraz Decyzji Ramowej Rady Unii Europejskiej, przytoczone przepisy Kodeksu karnego nie rozdzielają penalizacji nieuprawnionej modyfikacji danych na przypadki odnoszące się do danych przekazywanych za pośrednictwem sieci, jak i tych przetwarzanych lokalnie - obejmując obie te sytuacje jednocześnie65
Zestawiając oba przytoczone wyżej przepisy art. 268a oraz 269 Kodeksu karnego w jednolitą normę prawną sankcjonującą nieuprawnione modyfikowanie lub usuwanie danych transmitowanych poprzez sieci, ogólnie stwierdzić należy, że na gruncie polskiego prawa zabroniony jest każdy czyn kierowany przeciwko integralności lub dostępności danych przesyłanych pomiędzy dowolnymi systemami, polegający na niszczeniu, uszkadzaniu, usuwaniu, zmienianiu lub utrudnianiu dostępu do danych informatycznych, jak też każdy czyn, który w istotnym stopniu zakłóca lub też uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych
. Zgodnie z przyjętym podziałem cyberprzestępstw, prowadzona w tym miejscu analiza ograniczona jest do przybliżenia kwalifikacji cyberataków dokonywanych wobec transmisji danych, pozostawiając przypadki modyfikacji danych przetwarzanych lokalnie (to jest wewnątrz komputera) dla części 4 niniejszego rozdziału.
66
65 P. Kalisz, Kodeks karny. Komentarz, pod red. M. Mozgawa, M. Budyn-Kulik, P. Kozłowska-Kalisz, M. Kulik, WK, 2015, system LEX - komentarz do art. 268a.
. Zgodnie z przyjętą regulacją, wskazane
66
192
działania ścigane są na wniosek pokrzywdzonego oraz podlegają maksymalnej sankcji do 5 lat pozbawienia wolności. W przypadkach, gdy cyberatak kierowany jest przeciwko danym o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub też instytucji państwowej albo samorządu terytorialnego - czyn taki, z wyłączeniem jednak znamienia „utrudnienia dostępu do danych informatycznych”, ścigany jest z urzędu oraz podlega maksymalnej karze 8 lat pozbawienia wolności, niezależnie od stopnia zakłócenia automatycznego przetwarzania danych.
Zastosowany w obydwu jednostkach redakcyjnych zwrot „automatyczne przetwarzanie danych”, nie doczekał się swojej definicji ustawowej na gruncie Kodeksu karnego, pomimo wieloletniego już sygnalizowania w doktrynie problemu określenia znaczenia tego pojęcia67. Zgodnie z definicją „przetwarzania danych” pochodzącą z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych68
„jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”.
, przetwarzaniem danych są:
Zgodnie zaś z przepisami ustawy z dnia 5 sierpnia 2010 r. o ochronie niejawnych, pod pojęciem przetwarzania informacji niejawnych rozumie się:
„wszelkie operacje wykonywane w odniesieniu do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie”.
Jak wynika z przytoczonych definicji ustawowych, pojęcie „przetwarzania” stanowi w istocie kategorię zbiorczą, obejmującą wszelkie operacje, jakie potencjalnie można wykonywać na danych lub informacjach. W takim ujęciu każde działanie wykonywane na danych, o których stanowią przepisy Kodeksu karnego, winno być uznawane za „przetwarzanie” - niezależnie nawet od tego, czy dany rodzaj operacji został już wymyślony, czy dopiero pojawi się w przyszłości, co ma niebagatelne znaczenie dla zakresu ochrony danych informatycznych, które przetwarzane są - a w tym segregowane, w sposób automatyczny przez systemy teleinformatyczne. Odnosząc przytoczone definicje do regulacji Kodeksu karnego, należy jednak zwrócić uwagę na swoistą niekompatybilność materii ustawowej. Kodeks karny, określając przesłanki przestępstw określonych w art. 268a oraz 269 posługuje się zwrotem „automatyczne przetwarzanie, gromadzenie lub przekazywanie danych”, sugerującym, że na
67 Np. A. Adamski, Prawo karne komputerowe, CH Beck, Warszawa 2000, s. 79 i nast.
68
193
gruncie jego regulacji pojęcia „gromadzenie” oraz „przekazywanie” zostały wyłączone z zakresu wyrażenia „przetwarzanie”. W przeciwnym wypadku, obie wyjęte operacje byłby poprzedzone w redakcji przepisu zwrotem „w szczególności”. Proste odniesienie definicji pochodzących z ustaw o ochronie danych osobowych oraz o ochronie informacji niejawnych do przepisów Kodeksu karnego obarczone jest w efekcie błędem logicznym, powodującym konieczność przyjęcia założenia, że ustawodawca nieracjonalnie (a zatem wbrew założeniom Konstytucji) powtórzył wyrażenia wchodzące w skład przewidzianego obok pojęcia. Jednoznaczne rozwiązanie prezentowanego problemu wymaga wprowadzenia Kodeksowej definicji „przetwarzania danych”.
Przybliżając przepisy karne, regulacja art. 268a stanowi bezpośrednie odzwierciedlenie implementowanych postanowień Konwencji Budapesztańskiej oraz analogicznych rozwiązań przyjętych na gruncie Decyzji Ramowej Rady Unii Europejskiej z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne. Przepis art. 268a obejmuje swoim zakresem przedmiotowym każdy przypadek modyfikacji danych69
, które transmitowane są za pośrednictwem sieci, niezależnie od przyjętej przez cyberprzestępcę metody działania, jak również charakteru samych danych70
69 M. Siwicki, op. cit., s. 142 i nast.
- w tym, czy dane dostępne były wyłącznie dla indywidualnie określonych osób, czy też publicznie np. na otwartej stronie internetowej. Dla ukonstytuowania tak stypizowanego przestępstwa nie jest zatem istotne, czy zaatakowane dane mają jakiekolwiek znaczenie, czy to dla cyberprzestępcy, czy też ofiary cyberataku, jak również to, czy wiążą się z nimi jakiekolwiek prawa majątkowe lub osobiste. Nie ma znaczenia również fakt, czy atakowane dane zostały wytworzone bezpośrednio przez człowieka, czy też automatycznie przez dowolny system komputerowy (np. dane obejmujące informacje o adresach IP, z których łączono się z daną stroną internetową - tzw. logi). Wreszcie, poza znamionami przepisu pozostaje także kwestia, czy zaatakowane dane mogą zostać w jakikolwiek sposób odzyskane przez ofiarę, czy też uległy bezpowrotnej utracie (np. czy ofiara cyberataku posiada kopię zapasową zniszczonych w trakcie transmisji danych). Wszystkie wymienione w przepisie znamiona czynu karalnego mogą jednocześnie być wykonywane bezpośrednio przez sprawcę cyberataku, jak również stanowić efekt działania umyślnie uruchomionego przez niego oprogramowania wykonującego bezprawne operacje w sposób zautomatyzowany, np. wirusa komputerowego. Wprowadzenie do komentowanego przepisu alternatywnej przesłanki „zakłócenia w istotnym stopniu lub też uniemożliwienia automatycznego przetwarzania, gromadzenia lub
70
194
przekazywania danych”, pozwala na jednoznaczne objęcie przedmiotowym zakresem regulacji karnej także tych przypadków modyfikacji danych, które nie odnoszą się bezpośrednio do samej zawartości atakowanych plików, np. treści uszkadzanych dokumentów, zaś wykonywane są wobec swoistych meta-danych, wykorzystywanych przez komputery w trakcie przetwarzania danych informatycznych (np. prosta zmiana rozszerzenia pliku z .doc na .pdf powodująca niemożliwość jego otwarcia w programie przypisanym do danego typu plików w systemie operacyjnym, czy też zmiana tablicy znaków zniekształcająca sposób wyświetlania treści dokumentu). Za „istotne” zakłócenie automatycznej pracy systemu należy uznawać w szczególności zakłócenie podstawowych funkcji systemu, wpływające negatywnie na realizację przez niego usług na rzecz użytkownika lub zdolności do komunikowania z innymi systemami71
Zgodnie z art. 269 Kodeksu karnego, szczególną regulacją objęte zostały przypadki nieuprawnionego modyfikowania danych wrażliwych z punktu widzenia funkcjonowania oraz bezpieczeństwa państwa. Rozwiązanie takie - niewystępujące normatywnie na gruncie Konwencji o cyberprzestępczości, jak też przywoływanej wcześniej Decyzji Ramowej Rady Unii Europejskiej w sprawie ataków na systemy informatyczne oraz zastępującej jej Dyrektywy Parlamentu Europejskiego i Rady Nr 2013/40/UE z dnia 12 sierpnia 2013 r. dotyczącej ataków na systemy informatyczne
. Z uwagi na różnorodność systemów, ich architektur oraz funkcjonalności, przeprowadzanie oceny, czy zakłócenie działania systemu rzeczywiście było istotne, musi być dokonywane w kontekście konkretnego systemu. Z punktu widzenia