Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Je všeobecně známým faktem, že díky překotnému rozvoji oboru legislativa v ICT poněkud pokulhává za praxí. Jistě, je pravdou, že mnohé „klasické“ zákony se dají použít i v kybernetickém prostoru, ale není tomu tak vždy.

Boží mlýny melou pomalu

Velmi složitě se třeba prokazuje, kdože v danou chvíli u počítače skutečně seděl – a kdože tedy má za určitý úkon zodpovědnost. Příkladem jsou třeba internetové kavárny, kde se uživatelé střídají jako na běžícím pásu. Z hlediska práva je to pak trochu zvláštní snaha francouzské vlády přenést absolutní zodpovědnost za veškeré aktivity na majitele informačního systému (v daném případě na majitele kavárny).

Kromě toho nesmíme zapomínat, že virtuální prostor nezná hranic – zatímco klasické právo ano. Toho pochopitelně obratně využívají útočníci a pružně přemisťují své aktivity do míst či zemí, které jsou pro ně zaslíbené. Úspěšná takto byla třeba Austrálie, kde za opakované prohřešky v oblasti spamu hrozí pokuta až 1,1 mil. australských dolarů za každý den porušení zákona! Tyto tvrdé sankce způsobily, že rozesílatelé spamu usoudili, že jednodušší než soudit se (a riskovat tvrdou a drahou porážku) je přesunout svoji činnost do jiných zemí. Což sice problém spamu v globálním měřítku neřeší, ale zároveň ukazuje, že i proti nevyžádané poště lze nasadit zbraně, před nimiž se rozesílatelé spamu musí sklonit.

Právo bez hranic

Když už jsme u spamu, můžeme si na něm ilustrovat i rozdíl mezi legislativou v jednotlivých zemích. Ta se rozděluje podle dvou základních přístupů. Prvním z nich je opt-out, což znamená, že můžete dostávat elektronickou poštu až do doby než ji vysloveně odmítnete. Princip opt-in zase umožňuje posílat elektronickou poštu jen těm, kdo s tímto úkonem vyslovili souhlas.

Zásada opt-out je přitom značně kontroverzní, protože pro rozesílatele spamu není nic jednoduššího, než když se uživatel odhlásí z jednoho seznamu, přeřadit ho automaticky do druhého. Uživatel se tak může zbláznit a spamu chodí čím dál více. Navíc tento princip ani neřeší, kde rozesílatel spamu k e-mailovým kontaktům přišel. Jen výjimečně se podaří někoho „přistihnout“, jak nedodrží (jinak snadno dodržitelné) podmínky a z něj se pak stane exemplární příklad. Nicméně se jedná jen o pověstnou špičku ledovce.

Právě opt-out je princip americké legislativy (však jsou také Spojené státy rájem rozesílatelů spamu). Úprava se nazývá Controlling the Assault of Non-Solicited Pornography and Marketing Act a platná je od 1. ledna 2004. Zákon je nazývaný jako CAN-SPAM, což se dá přeložit jako „zapouzdřit spam“ nebo také uštěpačně „můžeš spamovat“.

Evropská unie naproti tomu prosazuje princip opt-in deklarovaný Direktivou o ochraně soukromí a elektronické komunikaci (č. 2002/58/EC - Directive on privacy and electronic communications). Jenomže ještě nikdo nepřišel na princip, jak vymáhat evropské právo na americké půdě…

Cesty vedou za mříže

Naštěstí situace není úplně tragická a stále více pachatelů kybernetických útoků končí v rukou spravedlnosti – a následně jsou odpovídajícím způsobem za svoji nelegální činnost „odměňováni“. A když už nic jiného, tak počítačovým útokům postupně mizí punc beztrestnosti, který si v uplynulých letech získaly.

Třeba německý autor škodlivých kódů Sasser a Netsky Sven Jaschan byl za svoji „práci“ odsouzený k podmíněnému vězení v délce 21 měsíců a nepodmíněným třiceti hodinám veřejně prospěšných prací.

A pak tady máme celou řadu dalších hackerů, kteří skončili v rukou zákona. Nejméně rok nebudou bolet oči od práce u monitoru Petera Moshou (37), který byl v USA odsouzen ke dvanáctiměsíčnímu vězení a pokutě 120 tisíc dolarů za rozesílání nevyžádané elektronické pošty. Moshou z Auburndale na Floridě rozeslal milióny kopií spamu, v nichž inzeroval finanční služby. Přitom modifikoval adresu odesílatele, takže bylo obtížné zjistit, odkud zpráva pochází. Tím znemožňoval příjemcům zpráv se odhlásit dle výše zméněného amerického zákona

Ve Španělsku byl nedávno zadržený 18letý mladík, který byl obviněný za průnik do informačního systému americké námořní základny v San Diegu. Zadržený dle oficiálního prohlášení „vážným způsobem kompromitoval korektní operace a bezpečnost v údržbářském suchém doku pro nukleární ponorky“. Američtí specialisté zahájili vyšetřování v okamžiku, kdy zaznamenali neoprávněný přístup do počítače Ministerstva obrany na námořní základně Point Loma v San Diegu. Všechny stopy přitom vedly právě do Španělska. Bezprostředně po zadržení podezřelého prohlásila americká ambasáda v Madridu, že zatím nebyl ze strany USA provedený žádný další úkon.

Zadržený hacker byl členem skupiny zaměřené na pronikání do počítačových systémů. Zdokumentováno je, že na svém kontě jich má nejméně sto se škodou přes 500 tisíc dolarů. Policie jej dopadla na základě svědectví čtyř dalších členů skupiny, kteří zůstávají na svobodě.

Mnoho zemí ale paragrafy, jako je tvorba či šíření počítačových virů nebo neoprávněný průnik do informačního systému, nezná. Přesto si policie dokáže poradit: třeba když v japonském městě Kjótó zadržela tři muže, kteří byli zapojeni do infikování uživatelů P2P sítě Winny pomocí trojského koně. Ten ukazoval obrázky populárních animovaných postaviček, zatímco mazal na počítačích soubory s muzikou a filmy. To jim v Japonsku mohlo projít, protože zdejší zákony jsou vůči počítačovým agresorům značně benevolentní. Nicméně obvinění nakonec bylo přece jen vzneseno – za porušování autorských práv. Ve svém trojském koni totiž neoprávněně použili výše uvedené obrázky animovaných postaviček…

Těžké časy v Pákistánu

Pozor si pro příště budou muset dát počítačoví útočníci, kteří se budou fyzicky nacházet na území Pákistánu. Prezident Asif Ali Zardáni totiž podepsal zákon, podle kterého je za kybernetický terorismus možné uložit až trest smrti. Nejvyšší trest by měl být vynesený pouze v případě, že počítačový útok „způsobí smrt nějaké osoby“.

To náš světadíl tak radikální není a Evropská komise připravuje plán k prosazení zákonů v jednotlivých zemích EU, který by ustavoval povinnost hlásit elektronické bezpečnostní problémy. Vždyť (dle RSA) není plných 89 procent incidentů nikde hlášeno! Takže možní poškození se vůbec nemusí dozvědět, že jsou ohroženi a že by mohli třeba změnou chování předejít některým problémům.

A pokud už hovoříme o legislativě, Indie uvažuje, že by pod hrozbou sankcí zakázala nezabezpečené WiFi sítě: místní policie nedávno provedla domovní prohlídku u člověka, který podobnou síť měl a kterou využívali ke komunikaci teroristé zodpovědní za bombový útok se 42 mrtvými. Procesy s lidmi neoprávněně využívajícími WiFi přitom již proběhly v USA a chystají se třeba v Belgii.