Rzecz o prawie

Phishing kontrolowany - ataki internetowe nie muszą naruszać prawa

Adobe Stock
Ataki internetowe nie muszą naruszać prawa.

Jednym ze sposobów ataku internetowego jest phishing. Polega na podszyciu się pod kogoś, by uzyskać informacje od ofiary. Zazwyczaj polega na wysłaniu maila łudząco podobnego do oryginalnego, który otrzymujemy np. z banku, serwisu społecznościowego, sklepu internetowego, firmy kurierskiej. W przesyłce takiej zwykle jest albo prośba o podanie danych osobowych, albo identyfikacyjnych w serwisie internetowym, albo odnośnika do strony udającej serwis danego podmiotu, na której wprowadza się dane identyfikacyjne, następnie przesyłane do sprawcy ataku. To zachowanie przestępne określa art. 190a § 2 kodeksu karnego.

Phishing kontrolowany jest też elementem testów bezpiecznego zachowania w sieci. Stosuje się go np. w wewnętrznej sieci przedsiębiorcy, by edukować pracowników, uświadomić im zagrożenia internetowe i wyczulić na nie, a także by przetestować ich zdolność prawidłowego reagowania na niebezpieczeństwa płynące z sieci. Celem tego podszywania się nie jest więc uzyskanie informacji. Nie ma też niebezpieczeństwa, że osoba niepowołana – spoza grupy docelowej, dla której trening jest przygotowany – będzie miała do niego dostęp.

Twarz hakera

Serwis internetowy, ewentualnie konkretna strona internetowa jest często przedmiotem prawa autorskiego, czyli utworem lub jego częścią. Podobnie może być z wiadomością przesyłaną pocztą elektroniczną. Zgodnie z art. 29 ustawy o prawie autorskim i prawach pokrewnych wolno przytaczać utwory lub ich urywki w innym utworze, jeżeli jest to uzasadnione celami cytatu. Niewątpliwie utworem jest też system informatyczny do prowadzenia treningu bezpiecznego zachowania w sieci, który zawiera symulację phishingu. Test taki wykorzystuje zazwyczaj jedynie szatę graficzną jednej ze stron serwisu, która stanowi niewielki procent systemu testującego. Celem jest dokładne zapoznanie się z technikami hakerów, aby zrozumieć, jak działają i gdzie może czyhać niebezpieczeństwo. Cytowanie grafiki w całości jest uzasadnione, bo to element, z którym bezpośrednio styka się odwiedzający stronę WWW. Celem tego dozwolonego zapożyczenia jest nauczanie, jak prawidłowo zachować się w sieci i wyjaśnienie, jak działają przestępcy komputerowi. Istnieje więc związek między wykorzystaną treścią a głównym dziełem – systemem informatycznym, bez czego cel przedsięwzięcia treningowego nie mógłby być osiągnięty.

Po wpisaniu danych identyfikacyjnych na symulowanej stronie i ich zatwierdzeniu powinna się pojawić informacja, że szata graficzna strony WWW została wykorzystana w celach treningowych, a prawa do tego utworu lub jego części ma określony podmiot. Zasadne jest też wskazanie źródła cytatu, np. adresu oryginalnej strony.

Dozwolone użycie

Gdy firma znajduje się w treści utworu, przedsiębiorca mógłby zarzucić naruszenie prawa do niej, wynikające z kodeksu cywilnego. Działanie to nie wydaje się jednak bezprawne, wynika z przepisów o cytowaniu utworu, w którym może zawierać się firma. Podobnie jest z czynem nieuczciwej konkurencji, o którym mowa w art. 5 ustawy o zwalczaniu nieuczciwej konkurencji. Symulacja phishingu nie narusza interesu przedsiębiorcy, np. właściciela strony WWW. To dlatego, że użytkownik poddany symulowanemu atakowi dowie się o tym działaniu, a więc nie wystąpią żadne przesłanki, które mogłyby uzasadniać nieuczciwe postępowanie w stosunku do firmy.

Phishing kontrolowany jest zgodny również z art. 13 ust. 2 ustawy. Wprawdzie naśladowanie cech funkcjonalnych strony WWW – jej szaty graficznej, mogłoby wprowadzić w błąd użytkownika, jednak system treningowy, po wpisaniu i zatwierdzeniu danych przez użytkownika, poinformuje go o teście. Podobnie jest z innymi formami ataku, np. przy bezpośrednim wykorzystaniu wiadomości e-mail. Wyklucza to niekorzystny skutek dla podmiotu i użytkownika. Działania takie przynoszą wręcz korzyść obu. Z serwisu naśladowanego będą korzystali świadomi użytkownicy, którzy wiedzą, jak chronić swoje dane.

Jeżeli w cytowanej szacie graficznej będzie znajdował się znak towarowy, symulacja phishingu nie naruszy również ustawy–Prawo własności przemysłowej. Użycie znaku jest konieczne do wskazania przeznaczenia serwisu treningowego jako narzędzia do nauki i rozpoznawania zagrożeń, np. fałszywych stron WWW.

Autor jest radcą prawnym

Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL