Embed Size (px)
Citation preview
Polskie Towarzystwo Informatyczne 2011
MACIEJ SZMIT (RED.) ADAM BAWOROWSKI ARTUR KMIECIAK PRZEMYSŁAW KREJZA ANDRZEJ NIEMIEC
ELEMENTY INFORMATYKI
SĄDOWEJ
Strona | 2
Elementy Informatyki Sądowej
Strona | 3
Strona | 4
Elementy Informatyki Sądowej
Maciej Szmit (red.) Adam Baworowski
Artur Kmieciak Przemysław Krejza
Andrzej Niemiec
Polskie Towarzystwo Informatyczne
Warszawa 2011
Strona | 5
Recenzenci: dr Arkadiusz Lach
dr inż. Andrzej Romanowski
(CC) BY-NC-ND 2011 Maciej Szmit, Adam Baworowski, Artur Kmieciak, Przemysław Krejza, Andrzej Niemiec
ISBN: 978-83-60810-44-6
(e-book)
Redakcja techniczna: Maciej Szmit Projekt okładki: Maciej Szmit
Projekt dysku CD: Marcin Wolfram
Autorzy rozdziałów: Wstęp: Maciej Szmit
Rozdział 1: Maciej Szmit Rozdział 2: Przemysław Krejza Rozdział 3: Adam Baworowski
Rozdział 4: Artur Kmieciak Rozdział 5: Andrzej Niemiec
Utwór może być powielany i rozpowszechniany zgodnie z wymogami licencji CC BY-NC-ND
.
Polskie Towarzystwo Informatyczne Zarząd Główny
ul. Puławska 39/4; 02-508 Warszawa tel. (+48 22 838 47 05) , e-mail: [email protected]
www.pti.org.pl
Strona | 6
Spis treści
WSTĘP ....................................................................................................................... 9 Prawa autorskie .................................................................................................. 10
Licencja CC by-nc-nd ....................................................................................... 11
ROZDZIAŁ 1. SPECYFIKA INFORMATYKI SĄDOWEJ. UWAGI TERMINOLOGICZNE I METODOLOGICZNE ................................................................................................. 20
Informatyka ......................................................................................................... 20
Prawometria ....................................................................................................... 21
Informatyka prawnicza ....................................................................................... 22
Cybernetyka prawnicza ....................................................................................... 24
Informatyka śledcza, sądowa, kryminalistyka komputerowa ............................. 25
Pojęcia „analogowy” i „cyfrowy” ........................................................................ 26
Informacja a jej nośniki ....................................................................................... 27
Bezpieczeostwo informacji i jego atrybuty ......................................................... 30
Uwierzytelnianie ................................................................................................. 34
O niektórych zadaniach biegłego informatyka ................................................... 36
Bibliografia .......................................................................................................... 39
ROZDZIAŁ 2. NAJLEPSZE PRAKTYKI W POSZUKIWANIU I ZABEZPIECZANIU DOWODÓW ELEKTRONICZNYCH............................................................................. 42
Dowód elektroniczny .......................................................................................... 42
Rozpoznanie potencjalnych możliwości dowodowych ....................................... 45
Zabezpieczanie dowodów ................................................................................... 46
Komputery, laptopy ........................................................................................ 48
Komputery pełniące funkcje biznesowe (serwery) ......................................... 49
Różne nośniki danych typu dysk zewnętrzny, pendrive, itd. .......................... 50
Strona | 7
Telefony komórkowe ...................................................................................... 50
Aparaty cyfrowe, kamery, sprzęt audio .......................................................... 51
Drukarki ........................................................................................................... 52
Satelitarne systemy nawigacyjne (GPS) .......................................................... 53
Skimmery i inne urządzenia szpiegujące ......................................................... 53
Inne nośniki danych ........................................................................................ 53
Podsumowanie ................................................................................................... 55
Bibliografia .......................................................................................................... 55
ROZDZIAŁ 3. WIADOMOŚCI SPECJALNE BIEGŁEGO LUB SPECJALISTY W POSTĘPOWANIU KARNYM, W KTÓRYM UJAWNIONO DOWÓD ELEKTRONICZNY . 56
Powołanie biegłego informatyka w celu zabezpieczenia i ujawnienia danych
informatycznych .................................................................................................. 57
Oszustwa na portalach aukcyjnych ..................................................................... 67
Nieuprawnione uzyskanie programu komputerowego ...................................... 72
Zakooczenie ........................................................................................................ 75
Bibliografia .......................................................................................................... 75
ROZDZIAŁ 4. PRAWO AUTORSKIE DO PROGRAMÓW KOMPUTEROWYCH ............. 76 Program komputerowy jako przedmiot prawa autorskiego ............................... 76
Podmiot prawa autorskiego ................................................................................ 79
Autorskie prawa majątkowe do programów komputerowych ........................... 79
Problematyka dozwolonej dekompilacji. ............................................................ 81
Zagadnienie dozwolonego użytku programów komputerowych ....................... 83
Umowa o przeniesienie autorskich praw majątkowych do programu
komputerowego.................................................................................................. 84
Umowa licencyjna ............................................................................................... 86
Strona | 8
Wolne oprogramowanie ..................................................................................... 87
Zasady odpowiedzialności karnej za naruszenia prawa autorskiego do
programów komputerowych .............................................................................. 89
Bibliografia ........................................................................................................ 102
ROZDZIAŁ 5. NORMY JAKO DOKUMENTY ODNIESIENIA DO OCENY NALEŻYTEJ STARANNOŚCI WYWIĄZYWANIA SIĘ Z UMÓW TWORZENIA I WDRAŻANIA OPROGRAMOWANIA. ........................................................................................... 103
Wstęp ................................................................................................................ 103
Proces powstawania normy .............................................................................. 106
Systemy normalizacji ........................................................................................ 107
Norma ISO 9001 – systemy zarządzania jakością - wymagania ........................ 108
Certyfikacja osób ............................................................................................... 110
Nadzorowanie informatyki przez zarządy firm ................................................. 111
Cykl życia oprogramowania i cykl życia systemu .............................................. 112
Poziom dojrzałości firmy informatycznej .......................................................... 114
Jakośd oprogramowania ................................................................................... 115
Normy dotyczące bezpieczeostwa informacji................................................... 116
Jakośd i bezpieczeostwo informacji w pracy biegłego ...................................... 118
Normy słownikowe ........................................................................................... 119
Wykaz najważniejszych norm ........................................................................... 120
Stosowane skróty .............................................................................................. 120
Strona | 9
WSTĘP
Maciej SZMIT*
Informatyka jest – wśród dziedzin sądowych – nauką stosunkowo
młodą, a jednocześnie, podobnie jak i w innych aspektach życia,
zdobywającą sobie nieporównywalnie szybko ogromne znaczenie.
Wystarczy wspomnieć, że obecnie – jak się szacuje – w ponad 70% spraw
sądowych wykorzystuje się dowody w postaci cyfrowej. Jest to zresztą
naturalną konsekwencją upowszechniania się technik informatycznych w
życiu codziennym: w Polsce funkcjonuje ponad 12 milionów komputerów
osobistych, ponad połowa gospodarstw domowych ma dostęp do Internetu,
z którego korzysta już ponad 20 milionów Polaków. Zrozumiałe jest zatem,
że problemy związane z wykorzystaniem narzędzi informatycznych
pojawiają się coraz częściej na salach sądowych.
Jednocześnie znajomość i wykorzystanie narzędzi informatycznych
w wymiarze sprawiedliwości pozostawiają sporo do życzenia. Obok – na
szczęście coraz liczniejszych – osób i instytucji profesjonalnie zajmujących
się informatyką śledczą i sądową, a także prawem nowych technologii,
ciągle jeszcze można zetknąć się choćby z niszczeniem śladów
dowodowych spowodowanym brakiem fachowej wiedzy o sposobie ich
zabezpieczania czy z pytaniami do biegłych, świadczącymi o zupełnym
niezrozumieniu przez strony, a czasami i przez organ procesowy, nie tylko
szczegółów technicznych ale i istoty sporu. Również opinie biegłych
informatyków stosunkowo często – i niestety nie zawsze bezzasadnie –
bywają podważane, nie tylko zresztą ze względów technicznych ale – chyba
przede wszystkim – z uwagi na daleko idącą skłonność do wypowiadania
się na tematy wykraczające poza zakres wiadomości specjalnych, służenie
którymi jest ich zadaniem.
Nie sposób nie wspomnieć również o problemach finansowych i
organizacyjnych, dotyczących zresztą i biegłych innych specjalności,
wynikających z istniejącego stanu prawnego i przyjętych rozwiązań
systemowych. W przypadku informatyki problemy te są o tyle donioślejsze,
że częstokroć nie da się a priori ocenić czasochłonności przeprowadzenia
badania nośnika informacji nie mając wiedzy o jego pojemności, bowiem
podobnie wyglądające nośniki mogą mieć pojemności różniące się o dwa a
nawet trzy rzędy wielkości, a więc stu czy tysiąckrotnie.
* Katedra Informatyki Stosowanej Politechniki Łódzkiej, biegły z listy Sądu Okręgowego
w Łodzi, [email protected]
Strona | 10
Niniejsza książka napisana została przez praktyków: biegłych
sądowych z zakresu informatyki oraz prawników zajmujących się prawem
komputerowym. Rzecz jasna w pracy o takiej objętości nie można było
nawet pobieżnie omówić wszystkich czy choćby tylko najważniejszych
zagadnień występujących na styku prawa i informatyki, stąd też
zdecydowaliśmy się na arbitralny wybór czterech zagadnień najbliższych
autorom:
zabezpieczania dowodów cyfrowych (rozdział 2),
współpracy prawnika z biegłym lub specjalistą badającym ślady
dowodowe w postępowaniu karnym (rozdział 3),
wybranym aspektom prawa autorskiego do programów
komputerowych (rozdział 4)
oraz
roli norm w ocenie staranności wywiązywania się z umów tworzenia
i wdrażania oprogramowania (rozdział 5).
Pierwszy rozdział poświęcony jest podstawowym pojęciom i
zasadom związanym z opiniowaniem informatycznym i stanowi
wprowadzenie w problematykę informatyki sądowej.
Książka w swoim zamierzeniu przeznaczona jest dla praktyków i
pisana przez praktyków, co oczywiście musiało wpłynąć na jej układ i
budowę. Tam gdzie to możliwe, preferowaliśmy zwięzłość, nie wchodząc w
akademickie rozważania, jednocześnie jednak staraliśmy się, aby konieczne
uproszczenia i syntetyczny sposób przedstawienia niektórych zagadnień nie
wypaczały ich istoty. W założeniu książka przeznaczona jest dla prawników
oraz pracowników służb mających styczność z zabezpieczeniem dowodów
informatycznych i współpracą z biegłymi i specjalistami, choć staraliśmy
się ją napisać w sposób zrozumiały również dla laików.
Prawa autorskie
Informatyka jako dyscyplina sądowa nie doczekała się w Polsce -
póki co - większego opracowania, chcieliśmy więc poczynić pierwszy krok
w tym kierunku, a jednocześnie napisać książkę, która będzie mogła służyć
jako poradnik, przydatny z praktycznego punktu widzenia. Z tego też
względu zdecydowaliśmy się na wydanie książki na jednej z odmian licencji
CC – tak aby każdy potrzebujący mógł – pozostając w zgodzie z prawem –
korzystać z niej w postaci wydruku, dokumentu elektronicznego czy
papierowej oryginału. Z tego też względu zdecydowaliśmy się na jej
rozpowszechnianie w oparciu o licencję Creative Commons BY-NC-ND
(Uznanie autorstwa - Użycie niekomercyjne - Bez utworów zależnych) w
Strona | 11
wersji polskiej 3.0 (poniżej pełny tekst licencji1)
Licencja CC by-nc-nd
UTWÓR (ZDEFINIOWANY PONIŻEJ) PODLEGA NINIEJSZEJ
LICENCJI PUBLICZNEJ CREATIVE COMMONS ("CCPL" LUB
"LICENCJA"). UTWÓR PODLEGA OCHRONIE PRAWA
AUTORSKIEGO LUB INNYCH STOSOWNYCH PRZEPISÓW PRAWA.
KORZYSTANIE Z UTWORU W SPOSÓB INNY NIŻ DOZWOLONY
NA PODSTAWIE NINIEJSZEJ LICENCJI LUB PRZEPISÓW PRAWA
JEST ZABRONIONE.
WYKONANIE JAKIEGOKOLWIEK UPRAWNIENIA DO UTWORU
OKREŚLONEGO W NINIEJSZEJ LICENCJI OZNACZA PRZYJĘCIE I
ZGODĘ NA ZWIĄZANIE POSTANOWIENIAMI NINIEJSZEJ
LICENCJI.
1. Definicje
a. "Utwór zależny" oznacza opracowanie Utworu lub Utworu i
innych istniejących wcześniej utworów lub przedmiotów praw
pokrewnych, z wyłączeniem materiałów stanowiących Zbiór. Dla
uniknięcia wątpliwości, jeżeli Utwór jest utworem muzycznym,
artystycznym wykonaniem lub fonogramem, synchronizacja Utworu
w czasie z obrazem ruchomym ("synchronizacja") stanowi Utwór
Zależny w rozumieniu niniejszej Licencji.
b. "Zbiór" oznacza zbiór, antologię, wybór lub bazę danych
spełniającą cechy utworu, nawet jeżeli zawierają nie chronione
materiały, o ile przyjęty w nich dobór, układ lub zestawienie ma
twórczy charakter. Utwór stanowiący Zbiór nie będzie uznawany za
Utwór Zależny (zdefiniowany powyżej) w rozumieniu niniejszej
Licencji.
c. "Rozpowszechnianie" oznacza wprowadzanie do obrotu, użyczenie
lub najem oryginału albo egzemplarzy Utworu lub Utworu
Zależnego.
d. "Licencjodawca"oznacza osobę fizyczną, osoby fizyczne,
jednostkę organizacyjną lub jednostki organizacyjne oferujące
Utwór na zasadach określonych w niniejszej Licencji.
1 Źródło: http://creativecommons.org/licenses/by-nc-nd/3.0/pl/legalcode
Strona | 12
e. "Twórca" oznacza (z zastrzeżeniem Par. 8(f)), w odniesieniu do
utworów twórcę lub podmiot, na rzecz którego prawa autorskie
przysługują w sposób pierwotny, lub w przypadku niemożności
ustalenia tych podmiotów, wydawcę lub producenta, a dodatkowo:
i. w przypadku artystycznych wykonań - aktorów, recytatorów,
dyrygentów, instrumentalistów, wokalistów, tancerzy i
mimów oraz inne osoby w sposób twórczy przyczyniające
się do powstania wykonania;
ii. w przypadku fonogramu lub wideogramu - producenta
fonogramu lub wideogramu;
iii. w przypadku nadań programów - organizację radiową lub
telewizyjną;
iv. w przypadku pierwszych wydań - wydawcę, który jako
pierwszy w sposób zgodny z prawem opublikował lub w
inny sposób rozpowszechnił utwór, którego czas ochrony już
wygasł, a jego egzemplarze nie były jeszcze publicznie
udostępniane;
v. w przypadku wydań naukowych i krytycznych - tego, kto po
upływie czasu ochrony prawa autorskiego do utworu
przygotował jego wydanie krytyczne lub naukowe, nie
będące utworem;
vi. w przypadku baz danych niespełniających cech utworu -
producenta bazy danych.
f. "Utwór" oznacza przedmiot praw autorskich lub praw pokrewnych
lub bazę danych niespełniającą cech utworu udostępniane na
podstawie niniejszej Licencji, z zastrzeżeniem Par. 8(f).
g. "Licencjobiorca" oznacza osobę fizyczną lub jednostkę
organizacyjną korzystającą z uprawnień określonych niniejszą
Licencją, która nie naruszyła uprzednio warunków niniejszej
Licencji w odniesieniu do Utworu, lub która mimo uprzedniego
naruszenia uzyskała wyraźną zgodę Licencjodawcy na
wykonywanie uprawnień przyznanych Licencją.
h. "Publiczne Wykonanie" oznacza publiczne wykonanie,
wystawienie, wyświetlenie, odtworzenie oraz nadawanie i
reemitowanie, a także publiczne udostępnianie Utworu w taki
sposób, aby każdy mógł mieć do niego dostęp w miejscu i w czasie
przez siebie wybranym.
i. "Zwielokrotnianie" oznacza wytwarzanie jakąkolwiek techniką
egzemplarzy Utworu, w tym techniką drukarską, reprograficzną,
zapisu magnetycznego oraz techniką cyfrową.
Strona | 13
2. Dozwolony użytek. Żadne postanowienie niniejszej Licencji nie zmierza
do ograniczenia, wyłączenia lub zawężenia sposobów korzystania
nieobjętych prawem autorskim lub uprawnień wynikających z ograniczeń
lub wyjątków od ochrony prawa autorskiego wynikających z przepisów
prawa autorskiego lub innych znajdujących zastosowanie przepisów.
3. Udzielenie licencji. Zgodnie z postanowieniami niniejszej Licencji,
Licencjodawca udziela niniejszym Licencjobiorcy nieodpłatnej i
niewyłącznej licencji na korzystanie z Utworu na terytorium całego świata,
na czas nieoznaczony (do momentu wygaśnięcia praw autorskich), na
następujących polach eksploatacji:
a. Zwielokrotnianie Utworu, włączanie Utworu do jednego lub więcej
Zbiorów, Zwielokrotnianie Utworu włączonego do Zbiorów;
b. Rozpowszechnianie oraz Publiczne Wykonanie Utworu w tym
Utworu włączonego do Zbiorów; oraz
c. Pobieranie danych z Utworu oraz ich wtórne wykorzystanie.
Powyższe uprawnienia Licencjobiorca może wykonywać na wszystkich
rodzajach nośników, we wszystkich rodzajach środków przekazu, oraz we
wszystkich aktualnie znanych formatach. Powyższe uprawnienia obejmują
także uprawnienie do dokonywania modyfikacji Utworu koniecznych z
technicznego punktu widzenia w celu wykonania uprawnień w różnych
środkach przekazu, nośnikach lub formatach, jednakże Licencjobiorca nie
może korzystać z i rozporządzać Utworami Zależnymi. Wszystkie prawa
wyraźnie nie udzielone przez Licencjodawcę uważa się za zastrzeżone,
włączając w to w szczególności uprawnienia określone w Paragrafie 4(d)
oraz 4(f).
W zakresie, w jakim prawo właściwe wdrażające Dyrektywę Parlamentu
Europejskiego i Rady Nr 96/9 z 11.3.1996 r. o prawnej ochronie baz danych
przyznaje Licencjodawcy prawa wyłączne do Utworu (lub do jego części)
stanowiącego bazę danych niespełniającą cech utworu, Licencjodawca
zrzeka się tego prawa. W przypadku, gdy takie zrzeczenie się jest
nieskuteczne w świetle prawa właściwego, Licencjodawca zobowiązuje się
do niewykonywania tego prawa.
4. Ograniczenia. Uprawnienia przyznane w Paragrafie 3 podlegają
następującym ograniczeniom:
Strona | 14
a. Licencjobiorca może Rozpowszechniać lub Publicznie Wykonywać
Utwór jedynie zgodnie z postanowieniami niniejszej Licencji oraz
pod warunkiem dołączenia kopii niniejszej Licencji lub wskazania
wskazania jednolitego identyfikatora zasobu (URI), pod którym
znajduje się tekst niniejszej Licencji do każdego egzemplarza
Utworu Rozpowszechnianego lub Publicznie Wykonywanego.
Licencjobiorca nie może oferować ani narzucać żadnych warunków
w związku z Utworem, które ograniczają postanowienia niniejszej
Licencji lub możliwość korzystającego z Utworu wykonywania
uprawnień udzielonych temu korzystającemu zgodnie z
postanowieniami niniejszej Licencji.
Licencjobiorca nie może udzielać sublicencji.
Licencjobiorca nie może zmieniać lub usuwać oznaczeń Utworu
odnoszących się do niniejszej Licencji oraz zawartej w niej klauzuli
uchylenia się od odpowiedzialności na żadnym egzemplarzu Utworu
Rozpowszechnianym lub Publicznie Wykonywanym.
Rozpowszechniając lub Publicznie Wykonując Utwór,
Licencjobiorca nie ma prawa stosować żadnych skutecznych
zabezpieczeń technicznych w stosunku do Utworu, ograniczających
możliwość wykonywania praw wynikających z Licencji przez
korzystającego z Utworu, który uzyskał Utwór od Licencjobiorcy.
Niniejszy Paragraf 4(a) stosuje się również do Utworu włączonego
do Zbioru, jednak Licencjobiorca nie jest zobowiązany objąć Zbioru
postanowieniami niniejszej Licencji.
W przypadku stworzenia przez Licencjobiorcę Zbioru, na wezwanie
któregokolwiek z Licencjodawców Licencjobiorca jest zobowiązany
w rozsądnym zakresie usunąć ze Zbioru wszelkie oznaczenia
wymagane na podstawie Paragrafu 4(c), wedle wezwania.
b. Licencjobiorca nie może wykonywać żadnych udzielonych w
Paragrafie 3 uprawnień w jakikolwiek sposób, który skierowany jest
głównie na uzyskanie korzyści handlowej lub pieniężnego
wynagrodzenia przeznaczonego na cele prywatne. Wymiana Utworu
na inne chronione prawem autorskim utwory przez wymianę
cyfrową plików, lub też w inny sposób, nie jest w rozumieniu
Strona | 15
niniejszej Licencji sposobem, który skierowany jest na uzyskanie
korzyści handlowej lub pieniężnego wynagrodzenia przeznaczonego
na cele prywatne, o ile w związku z wymianą Utworu nie pobiera się
żadnego wynagrodzenia pieniężnego.
c. Rozpowszechniając lub Publicznie Wykonując Utwór lub
jakikolwiek Zbiór, Licencjobiorca jest zobowiązany, o ile nie
otrzymał wezwania zgodnie z Paragrafem 4(a), zachować w stanie
nienaruszonym wszelkie oznaczenia związane z prawno-autorską
ochroną Utworu oraz zapewnić, stosownie do możliwości
używanego nośnika lub środka przekazu oznaczenie:
i. imienia i nazwiska (lub pseudonimu, odpowiednio) Twórcy,
jeżeli zostały one dołączone do Utworu, oraz (lub) nazwę
innych podmiotów jeżeli Twórca oraz (lub) Licencjodawca
wskażą w oznaczeniach związanych z prawno-autorską
ochroną Utworu, regulaminach lub w inny rozsądny sposób
takie inne podmioty (np. sponsora, wydawcę, czasopismo)
celem ich wymienienia ("Osoby Wskazane");
ii. tytułu Utworu, jeżeli został dołączony do Utworu; oraz
iii. w rozsądnym zakresie URI, o ile istnieje, który
Licencjodawca wskazał jako związany z Utworem, chyba że
taki URI nie odnosi się do oznaczenia związanego z prawno-
autorską ochroną Utworu lub do informacji o zasadach
licencjonowania Utworu.
Oznaczenia wymagane na podstawie niniejszego Paragrafu 4(c)
mogą być wprowadzone w jakikolwiek rozsądny sposób, przy czym
w przypadku Zbioru przynajmniej w tych wszystkich miejscach,
gdzie uwidocznione są oznaczenia odnoszące się do twórców
pozostałych części lub wkładów w sposób przynajmniej tak samo
widoczny jak te inne oznaczenia, o ile dokonano uwidocznienia
oznaczeń wszystkich twórców pozostałych części lub wkładów.
Dla uniknięcia wątpliwości, Licencjobiorca może wykorzystywać
oznaczenia wymagane w niniejszym Paragrafie wyłącznie dla celów
wskazania właściwych podmiotów w sposób określony powyżej, a
wykonując uprawnienia z niniejszej Licencji, Licencjobiorca nie
może w sposób dorozumiany ani wyraźny stwierdzać lub sugerować
istnienia powiązania, poparcia lub aprobaty ze strony Twórcy,
Licencjodawcy oraz (lub) Osób Wskazanych dla Licencjobiorcy lub
sposobu korzystania z Utworu przez Licencjobiorcę, o ile co innego
nie wynika z odrębnego zezwolenia Twórcy, Licencjodawcy oraz
Strona | 16
(lub) Osób Wskazanych wyrażonego na piśmie pod rygorem
nieważności.
d. Dla uniknięcia wątpliwości:
i. Niezbywalne prawo wynagrodzenia i przymusowe
pośrednictwo. Jeżeli według prawa właściwego:
Licencjodawcy przysługuje niezbywalne prawo do
wynagrodzenia, lub
korzystanie z Utworu w określony sposób jest
możliwe jedynie za pośrednictwem osoby trzeciej, a
Licencjodawca nie może skutecznie wyłączyć takiego
przymusowego pośrednictwa niniejszą Licencją,
to Licencjodawca zastrzega sobie wyłączne prawo do takiego
wynagrodzenia oraz zastrzega takie przymusowe
pośrednictwo bez ograniczeń;
ii. Zbywalne prawo wynagrodzenia z tytułu licencji
ustawowych oraz przymusowe pośrednictwo. Jeżeli
według prawa właściwego:
Licencjodawca nie może się sprzeciwić
wykorzystaniu Utworu na określone sposoby, a
przysługuje mu za to zbywalne prawo do
wynagrodzenia,
korzystanie z Utworu w określony sposób jest
możliwe jedynie za pośrednictwem osoby trzeciej,
lecz Licencjodawca może wyłączyć takie
przymusowe pośrednictwo, lub
domniemywa się, że osoba trzecia może występować
na rzecz Licencjodawcy,
to Licencjodawca zastrzega sobie wyłączne prawo do takiego
wynagrodzenia, zastrzega takie przymusowe pośrednictwo
lub zastrzega takie domniemanie (odpowiednio) w zakresie,
w jakim Licencjobiorca korzysta z Utworu w celu lub w
sposób, który różni się od użytku niekomercyjnego
dozwolonego na podstawie Paragrafu 4(b), a w przeciwnym
przypadku zrzeka się takiego wynagrodzenia, przymusowego
pośrednictwa oraz wyłącza takie domniemanie
(odpowiednio); oraz
Strona | 17
iii. Wynagrodzenia umowne oraz członkostwo w organizacji
zbiorowego zarządzania.Licencjodawca zastrzega sobie
prawo do pobierania wynagrodzenia, osobiście bądź za
pośrednictwem organizacji zbiorowego zarządzania, za
każde wykonywanie przez Licencjobiorcę uprawnień
przyznanych niniejszą Licencją w celu lub w sposób inny niż
dozwolone w Paragrafie 4(b) użycie niekomercyjne.
e. Dla uniknięcia wątpliwości, ograniczenia, o których mowa w
Paragrafach 4(a) do 4(d), nie mają zastosowania do takich Utworów
lub ich części, które spełniają definicję Utworu w rozumieniu
niniejszej Licencji wyłącznie dlatego, że stanowią bazę danych
niespełniającą cech utworu.
f. Niniejsza licencja nie narusza praw osobistych Twórcy ani
Licencjodawcy w zakresie, w jakim prawa te są chronione przez
prawo właściwe, a niniejsza Licencja lub odrębne porozumienie
zawarte na piśmie pod rygorem nieważności nie stanowi skutecznie
inaczej.
5. Oświadczenia, Zapewnienia oraz Wyłączenie odpowiedzialności
JEŻELI STRONY NIE POSTANOWIĄ INACZEJ W ODRĘBNYM
POROZUMIENIU SPORZĄDZONYM NA PIŚMIE POD RYGOREM
NIEWAŻNOŚCI, LICENCJODAWCA UDOSTĘPNIA UTWÓR W
TAKIEJ FORMIE W JAKIEJ ZAPOZNAŁ SIĘ Z NIM
LICENCJOBIORCA I W NAJDALEJ IDĄCYM STOPNIU NA JAKI
POZWALA PRAWO WŁAŚCIWE NIE SKŁADA ŻADNYCH
ZAPEWNIEŃ ORAZ NIE UDZIELA ŻADNYCH GWARANCJI A
TAKŻE WYŁĄCZA RĘKOJMIĘ, CZY TO WYRAŹNĄ,
DOROZUMIANĄ CZY INNĄ, W SZCZEGÓLNOŚCI DOTYCZĄCYCH
TYTUŁU, MOŻLIWOŚCI KORZYSTANIA Z UTWORU ZGODNIE Z
JEGO PRZEZNACZENIEM, PRZEZNACZENIA UTWORU DO
KONKRETNEGO CELU, CO DO TEGO, ŻE NIE NARUSZA ON PRAW
INNYCH OSÓB, BRAKU JAWNYCH LUB UKRYTYCH WAD,
DOKŁADNOŚCI, WYSTĘPOWANIA LUB NIEWYSTĘPOWANIA
WAD WIDOCZNYCH JAK I UKRYTYCH. PRAWO WŁAŚCIWE
MOŻE NIE ZEZWALAĆ NA NIEKTÓRE SPOŚRÓD POWYŻSZYCH
WYŁĄCZEŃ, WIĘC MOGĄ ONE NIE MIEĆ ZASTOSOWANIA.
6. Ograniczenie odpowiedzialności
Strona | 18
O ILE PRAWO WŁAŚCIWE NIE STANOWI INACZEJ, W ŻADNYM
WYPADKU LICENCJODAWCA NIE ODPOWIADA WOBEC
LICENCJOBIORCY NA ŻADNEJ PODSTAWIE PRAWNEJ ZA ŻADNE
SZCZEGÓLNE, PRZYPADKOWE LUB NASTĘPCZE SZKODY
WYNIKAJĄCE Z NINIEJSZEJ LICENCJI LUB WYKORZYSTANIA
UTWORU, NAWET JEŻELI LICENCJODAWCA ZOSTAŁ
POWIADOMIONY O MOŻLIWOŚCI WYSTĄPIENIA TAKICH SZKÓD.
7. Wygaśnięcie
a. Licencja automatycznie wygasa w przypadku jakiegokolwiek jej
naruszenia przez Licencjobiorcę. W takim przypadku licencje osób,
które otrzymały od Licencjobiorcy Zbiór, nie wygasają, o ile osoby
te nie naruszają postanowień tych licencji. Paragrafy 1, 2, 5, 6, 7
oraz 8 pozostają w mocy po wygaśnięciu niniejszej Licencji.
b. Zgodnie z powyższymi postanowieniami Licencja udzielana jest na
czas nieoznaczony (do momentu wygaśnięcia praw autorskich).
Niezależnie od tego Licencjodawca zachowuje prawo do
udostępnienia Utworu na innych warunkach, lub do zaprzestania
udostępniania Utworu, z tym jednak zastrzeżeniem, że taka decyzja
Licencjodawcy nie będzie stanowiła wypowiedzenia lub innego
rozwiązania niniejszej Licencji (lub też innej licencji udzielonej na
podstawie niniejszej Licencji), która raz udzielona Licencjobiorcy w
pełnym wymiarze obowiązuje dopóki nie nastąpi jej wygaśnięcie
zgodnie z postanowieniem poprzedzającym.
8. Postanowienia różne
a. Za każdym razem, gdy Licencjobiorca Rozpowszechnia lub
Publicznie Wykonuje Utwór lub Zbiór, Licencjodawca oferuje
korzystającym licencję na Utwór na takich samych warunkach jakie
uzyskał Licencjobiorca na podstawie niniejszej Licencji.
b. Jeśli jakiekolwiek postanowienie niniejszej Licencji jest nieważne
lub bezskuteczne w świetle obowiązującego prawa, jego nieważność
lub bezskuteczność nie wpływa na pozostałe postanowienia Licencji.
W przypadku braku dodatkowego porozumienia między stronami,
nieważne lub bezskuteczne postanowienie powinno być
interpretowane tak, aby zachować jego ważność i skuteczność oraz
brzmienie możliwe bliskie brzmieniu pierwotnemu.
c. Żadnego z postanowień niniejszej Licencji nie uznaje się za
uchylone, a żadnego naruszenia nie uznaje się za zaakceptowane,
Strona | 19
dopóki druga strona, pod rygorem nieważności, nie uzna pisemnie
takiego uchylenia lub też nie wyrazi na piśmie następczego
zezwolenia na naruszenie.
d. Niniejsza Licencja zawiera całość postanowień pomiędzy stronami
dotyczących udostępnianego na jej podstawie Utworu. Wszystkie
nie ujęte w tej Licencji postanowienia, porozumienia lub
oświadczenia dotyczące Utworu uznaje się za nieistniejące.
Licencjodawcy nie wiążą żadne dodatkowe postanowienia podane
mu do wiadomości przez Licencjobiorcę w jakikolwiek sposób.
Wszelkie zmiany Licencji wymagają umowy pomiędzy
Licencjodawcą a Licencjobiorcą wyrażonej na piśmie pod rygorem
nieważności.
e. Ten punkt został pominięty.
f. Wyrażenia użyte w niniejszej Licencji należy rozumieć zgodnie z
Ustawą z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych
(Dz. U. z 2000 r. Nr 80, poz. 904 t. jedn. z późn. zm.) oraz zgodnie z
Ustawą z 27 lipca 2001 o ochronie baz danych (Dz. U. z 2001 r. Nr
128 poz. 1402 z późn. zm.), o ile prawem właściwym jest prawo
polskie. W żadnym przypadku zakres niniejszej Licencji nie może
być szerszy niż zakres odpowiedniego prawa wyłącznego określony
zgodnie z przepisami prawa właściwego.
Strona | 20
ROZDZIAŁ 1.
SPECYFIKA INFORMATYKI SĄDOWEJ. UWAGI
TERMINOLOGICZNE I METODOLOGICZNE
Maciej SZMIT*
Wśród prawników, podobnie zresztą jak i w dużej części środków
przekazu, słowa „informatyczny”, „elektroniczny” czy „cybernetyczny”
używane są często dość nieprecyzyjnie. Z zasadniczych powodów w
niniejszej książce operować będziemy pojęciami informatycznymi,
pozostawiając cybernetykę praz elektronikę2 innym specjalistom.
Informatyka3
Słowo „informatyka” zostało wprowadzone do języka polskiego w
1968 roku4. Pochodzi ono od francuskiego informatique, które to słowo
zostało po raz pierwszy użyte w roku 1962. Oprócz terminu francuskiego
funkcjonowały podówczas również angielskie takie jak “Computer
Science”, “Information Science”, “Computing and Information Sciences”,
”Information and Computer Science”, „Informatics”5. Akademia Francuska
w komunikacie z 6 kwietnia 1967 roku zawarła następującą definicję:
„Informatyka – nauka o racjonalnym przetwarzaniu, szczególnie przez
maszynę automatyczną, informacji traktowanej jako nośnik wiadomości i
podstawa komunikowania się w dziedzinach technicznych, ekonomicznych
i społecznych”6. Słownik Języka Polskiego z 1979 roku podawał definicje
„dyscyplina naukowa zajmująca się zastosowaniem maszyn
matematycznych”7 oraz „dyscyplina naukowa zajmująca się teorią
informacji naukowej, technicznej i ekonomicznej”. Drugie ze znaczeń,
obecnie już nie stosowane, jest zapożyczeniem z języków takich jak rosyjski
* Katedra Informatyki Stosowanej Politechniki Łódzkiej, biegły z listy Sądu Okręgowego w
Łodzi, [email protected]. 2 Niestety pojęcie „dowodu elektronicznego” ugruntowało się już w języku prawniczym,
zaś „podpisu elektronicznego” – w języku prawnym, należy jednak z całą mocą podkreślić,
że informatyk i elektronik to specjaliści z dwóch zupełnie różnych nauk, choć współczesne
komputery budowane są jako urządzenia elektroniczne. 3 Poniżej wykorzystano fragment artykułu [Lisiak-Felicka, Szmit 2009] .
4 Jako ciekawostkę można podać, że Stanislaw Lem (np. w „Summa technologiae” z 1964
roku) używał słowa „informacjoniści” na określenie informatyków (współcześnie
„informacjonizm” albo „informacjonalizm” jest pojęciem z dziedziny socjologii). 5 Zob.[Marczyński 1969] .
6 Za: [Corge 1981] .
7 Słownik Języka Polskiego, PWN, Warszawa, 1979.
Strona | 21
(информатика oznacza informację naukowo-techniczną) czy angielski
(amerykańskie słowo informatics, znaczy to samo co information science,
czyli “gromadzenie, klasyfikację, przechowywanie i rozpowszechnianie
zapisanej wiedzy”8). Słownik Wyrazów Obcych PWN z 1997 nazywa już
informatykę „nauką o tworzeniu i wykorzystywaniu systemów
komputerowych”9 i – jak się wydaje – ta definicja jest już ustaloną i
powszechnie przyjętą w krajowym piśmiennictwie, jakkolwiek w
odniesieniu do poszczególnych tzw. „informatyk szczegółowych”
funkcjonuje jeszcze czasami pomieszanie pojęć informatyki i teorii
informacji naukowej10
.
Prawometria
Pojęcie prawometrii (ang. jurimetrics) zostało wprowadzone11
w
1949 roku w artykule L. Loevingera „Jurimetrics – the Next Step Forward”
opublikowanym w „University of Minnesota Law Review” 1949 vol 33.
Jakkolwiek konstrukcja tego neologizmu nasuwa skojarzenie z – dość ściśle
specjalizowanymi – dyscyplinami pomocniczymi innych nauk, przede
wszystkim z ekonometrią i demometrią, początkowo prawometria miała
zajmować się zastosowaniem w prawie najróżniejszych metod ilościowych
(od analizy ilościowej zachowań sędziego, poprzez zastosowanie teorii
informacji, czy zastosowanie komputerów do gromadzenia i wyszukiwania
informacji prawnej), co oczywiście było zbyt szerokim, jak na jedną
dyscyplinę wiedzy zestawem przedmiotów badawczych12
. Prawometria jest
pojęciem, które – jak się wydaje – obecnie wyszło praktycznie z użycia,
8 Webster’s New Collegiate Dictionary. Merriam, Springfield, 1980.
9 Słownik Wyrazów Obcych PWN, Warszawa, 1997. Ta sama definicja jest również
powtórzona w internetowym wydaniu Słownika Języka Polskiego
http://sjp.pwn.pl/lista.php?co=informatyka (odsyłacz sprawdzony 9 maja 2010), jakkolwiek
dodane jest drugie znaczenie „szeroko rozumiana działalność informacyjna”. 10
Dotyczy to na przykład tzw. informatyki prawniczej. W pracy [Petzel 1999] s. 27
wymieniono między innymi definicję „informatyki tradycyjnej” wg J. Wróblewskiego:
„wszelkie procesy gromadzenia, przechowywania i udostępniania informacji, a także nauka
o tych procesach obejmująca zarówno podstawy teoretyczne jak i wiedzę instrumentalną
obejmującą urządzenia i instytucje obsługujące te procesy”. 11
Za: [Petzel 1999] s. 17. Tamże znajduje się obszerna krytyka podejścia Loevingera, który
zdaniem jej Autora, skłonny był absolutyzować znaczenie metod ilościowych. 12
Na marginesie można zauważyć, że w Polsce podobny problem (łączenia informatyki,
która jest przecież od dobrych kilkudziesięciu lat samodzielną nauką, z innymi naukami
operującymi zastosowaniami metod ilościowych) pojawił się i poniekąd jeszcze trwa w
przypadku informatyki i ekonometrii (istnieją nawet kierunki studiów o nazwie
„informatyka i ekonometria”, co jest archaizmem).
Strona | 22
przynajmniej w Polsce13
, wydaje się, że wskazane byłoby natomiast
mówienie o „statystyce sądowej”, jako że ekonometria czy demometria są
dyscyplinami zajmującymi się modelowaniem i symulacją procesów
(odpowiednio gospodarczych i demograficznych) przy użyciu
zaawansowanych metod statystycznych i matematycznych, natomiast w
odniesieniu do prawa – przynajmniej w warunkach krajowych – prowadzi
się raczej wyłącznie proste badania statystyczne14
, niewiele wykraczające
poza elementarne statystyki opisowe.
Informatyka prawnicza
Termin „informatyka prawnicza” pojawił się po raz pierwszy w
polskiej literaturze w artykule J. Wróblewskiego „Informatyka prawnicza –
możliwości zastosowania cybernetyki” opublikowanym w „Państwie i
Prawie” nr 3 4 z 1971 roku. Jak się wydaje, do dziś prawnicy mają pewien
kłopot ze zdefiniowaniem informatyki prawnicznej. Dla przykładu w pracy
[Wiewiórowski, Wierczyński 2004] mówi się, że „informatycy uważają
informatykę prawniczą co najwyżej za jedną z tzw. informatyk
szczegółowych, czy też - bardziej prawidłowo – informatyk
zastosowaniowych, prawnicy natomiast traktują ją jako odrębną dyscyplinę
niezależną od informatyki”15
. W pracy [Petzel 1999] Autor stwierdza wręcz,
że „informatyka prawnicza jest dyscypliną, która w obecnym stadium
rozwoju nie ma precyzyjnie określonego przedmiotu”16
. Jeśli dodać do tego,
wspomniane wcześniej, pomieszanie pojęć informatyki i teorii informacji
naukowej, to rzeczywiście pojęcie informatyki prawniczej staje się nieco
niejasne.
Wydaje się, że najlepiej informatykę prawniczą i jej stosunek do
prawa nowych technologii oddaje E. Achtelik zgodnie ze stanowiskiem,
13
W krajach anglojęzycznych pojęcie to funkcjonuje, choć w nieco innym rozumieniu. Na
przykład najstarsze czasopismo poświęcone prawometrii „Jurimetrics: The Journal of Law,
Science, & Technology” definiuje swoją problematykę w sposób następujący:„Jurimetrics
is a forum for the publication and exchange of ideas and information about the relationships
between law, science, and technology in all areas, including: Physical, life, and social
sciences, Engineering, aerospace, communications, and computers, Logic, mathematics,
and quantitative methods. The uses of science and technology in law practice, adjudication,
and court and agency administration Policy implications and legislative and administrative
control of science and technology”. Jest to więc istotne rozszerzenie w stosunku nawet do
pierwotnej definicji podanej powyżej. Zob. [Jurimetrics]. 14
Z nowszych pozycji poświęconych pomiarowi przestępczości można wymienić prace J.
Błachut, przede wszystkim [Błachut 2007]. 15
Zob. [Wiewiórkowski, Wierczński 2004] s. 24 i nast. 16
Zob. [Petzel 1999] s. 25. Tamże można znaleźć obszerną dyskusję na temat
funkcjonujących definicji tego terminu.
Strona | 23
według którego przedmiotem informatyki prawniczej są wszystkie
problemy wynikające ze sprzężenia zwrotnego informatyka-prawo (takie jak
systemy informatyczne w prawie, automatyzacja systemów informacji
prawnej i jej wyszukiwanie itd.), natomiast „z odwrotnej relacji prawa do
informatyki wywodzi się prawo informatyczne, zwane też
komputerowym”17
(przy czym współcześnie mówi się raczej szerzej o
„prawie nowych technologii”18, albo węziej np. o „prawie Internetu” 19
).
We wspomnianej już wielokrotnie pracy [Petzel 1999] Autor
podaje20
następującą strukturę informatyki prawniczej (zob. Rysunek 1):
Rysunek 1. Struktura informatyki prawniczej. Według: [Petzel 1999] s. 28.
Do informatyki prawniczej nie zalicza się natomiast: zastosowania
komputerów i oprogramowania, pomocniczego w pracy prawnika bądź
wykorzystywanego w pracy codziennej oraz technologii transmisji głosu i
obrazu poprzez urządzenia elektroniczne lub sieć wykorzystywane podczas
czynności procesowych, jak również zastosowania maszyn elektronicznych
przy przeprowadzaniu obliczeń i działań statystycznych oraz w
prawometrii21
. Jest to podejście analogiczne do stosowanego na przykład w
informatyce ekonomicznej, która też nie zajmuje się bliżej systemami
wspomagania prac biurowych koncentrując się nad zastosowaniami
17
Zob. [Kolasińska, Rut 1983] s. 47. 18
Zob. np. [Świeszkowski 2005], [Kamiński 2005]. 19
Zob. np. [Podrecki 2007]. 20
Zob. np. [Petzel 1999] str 28. 21
Zob. [Wiewiórkowski, Wierczyński 2004] s. 24 i nast.
Informatyka
prawnicza
Zagadnienia
związane z tworzeniem
komputerowych systemów
wyszukiwania informacji prawnej
Zagadnienia
związane z tworzeniem
systemów automatycznego
rozstrzygania
Zagadnienia
związane z tworzeniam
systemów faktograficznych
Informatyka
prawnicza
Zagadnienia
związane z tworzeniem
komputerowych systemów
wyszukiwania informacji prawnej
Zagadnienia
związane z tworzeniem
systemów automatycznego
rozstrzygania
Zagadnienia
związane z tworzeniam
systemów faktograficznych
Strona | 24
istotnymi z punktu widzenia organizacji gospodarczych, w szczególności
systemami informatycznymi zarządzania22.
Cybernetyka prawnicza
Jak się wydaje również rozróżnienie pomiędzy cybernetyką a
informatyką prawniczą sprawiało sporo trudności Autorom piszącym o nich
z prawniczego punktu widzenia. W pracy [Kolasińska, Rot 1983] znajduje
się następujące rozróżnienie:
„Jedyne kryterium rozdzielania zagadnień zaliczanych do
cybernetyki prawniczej od zagadnień stanowiących przedmiot badawczy
informatyki prawniczej może stanowić stopień ich przydatności do
ewentualnego przetwarzania informacji o prawie (...) Należy więc uznać, że
im stopień tej przydatności jest większy, tym rozważania są bliższe
informatyce prawniczej, a zarazem bardziej techniczne. Przy małym stopniu
przydatności mamy do czynienia z cybernetycznymi analizami modelowymi
(prowadzonymi z reguły na wyższym stopniu abstrakcji)”23
. Jeszcze mniej
ścisłe, to jest – świadczące o elementarnej nieznajomości rzeczy – poglądy
referuje w swojej pracy [Petzel 1999] pisząc wręcz, że „część autorów stoi
na stanowisku, iż cybernetyka i informatyka są jedną dyscypliną naukową
(...) Ma to swoje konsekwencje dla określenia wzajemnego stosunku
cybernetyki prawniczej i informatyki prawniczej, które są w tym
rozumieniu również jedną dyscypliną naukową”.
W rzeczywistości cybernetyka (zajmująca się systemami sterowania
oraz związanym z tym przetwarzaniem i przekazywaniem informacji) i
informatyka (zajmująca się technicznymi aspektami przetwarzania
informacji, w szczególności w systemach komputerowych) są odrębnymi
naukami24
. Poprawna jest zatem definicja cybernetyki prawniczej w ujęciu
zawartym w pracy [Wiewiórowski, Wieczerzyński 2004], gdzie cybernetyka
prawnicza to „nauka o systemach sterowania procesami opisanymi przez
prawo oraz o przekazywaniu i przekształcaniu informacji w tych
systemach”, zaś jej zadaniami są: „Modelowanie zjawisk występujących w
prawie” oraz „Modelowanie sposobu stosowania konkretnych norm
prawnych” 25
. Powstaje pytanie, czy tak rozumiana cybernetyka prawnicza,
która w tym ujęciu byłaby, jak się wydaje, częścią cybernetyki społecznej
(socjocybernetyki), w ogóle funkcjonuje, bowiem liczba prac naukowych
22
Zob. np. [Szmit 2003] s. 12. 23
[Kolasińska, Rot 1983] s. 46. 24
Choć w języku potocznym czasami rzeczywiście mówi się o „cyberprzestrzeni” czy
„cyberprzestępczości”. 25
Zob. [Wiewiórkowski, Wierczyński 2004] s. 24 i nast.
Strona | 25
dotyczących tego rodzaju tematyki jest znikoma.
Informatyka śledcza, sądowa, kryminalistyka
komputerowa
W literaturze funkcjonuje szereg określeń dotyczących wiedzy i
praktyk związanych z wykorzystaniem informatyki dla potrzeb wymiaru
sprawiedliwości. Część informatyków chętnie używa określenia
„informatyka śledcza”, z kolei niektórzy prawnicy wolą określenie
„kryminalistyka komputerowa”26
. Nazwa „informatyka sądowa” wydaje się
lepsza o tyle, że nie każde zagadnienie związane z opiniowaniem sądowym
z zakresu informatyki musi mieć charakter „śledczy” (zresztą pojęcie
śledztwa przywodzi raczej na myśl prokuraturę, policję czy inne służby
prowadzące postępowania przygotowawcze) czy dotyczyć sprawy karnej27,
biegli wydają przecież choćby również tzw. opinie abstrakcyjne, to jest nie
wymagające badań empirycznych28.
Pojęcie informatyki sądowej jest używane stosunkowo rzadko29
.
Czasami jest ono utożsamiane z informatyką śledczą30
, czasami wręcz z jej
26
Funkcjonują również takie barbaryzmy językowe jak np. „forensyka komputerowa” (z
ang. computer forensic). 27
Opiniowanie może być konieczne również w sprawie cywilnej czy w postępowaniu
administracyjnym i z tego rodzaju sytuacjami biegli informatycy mają również do
czynienia. 28
Zob. np. [Kegel, Kegel 2004] s. 126. 29
Pojęcie informatyki sądowej jest użyte m.in. w:
projekcie rozporządzenia Ministra Sprawiedliwości w sprawie podstawowych dziedzin
i specjalności biegłych do projektowanej ustawy o biegłych sądowych dostępnym na
stronach [KKBS] http://dobreszkoly.pl/konferencje/proj_zal/rozp5.doc,
opisie działalności naukowej krakowskiego Instytutu Ekspertyz Sądowych im. prof.
dr. Jana Sehna (wpis w bazach danych [OPI] z roku 2006
http://bazy.opi.org.pl/raporty/opisy/instyt/4000/i4282.htm),
materiałach reklamowych oprogramowania [Novell Audit] s. 10,
nazwie jednej z grup roboczych Europejskiej Sieci Instytutów Nauk Sądowych (ang.
European Network of Forensic Science Institutes), zob. [ENFSI] s. 3),
nazwie Sekcji Informatyki Sądowej Polskiego Towarzystwa Infomatycznego. 30
Zob. np. [Novel Audit], gdzie przytoczona jest następująca definicja: „Informatyka
sądowa (ang. computer forensics) – Ogólne określenie dla działań mających na celu
zachowanie, identyfikację, wyodrębnianie i dokumentację dowodów elektronicznych z
zapisów działań rejestrowanych aplikacji. Termin computer forensics został po raz
pierwszy użyty w 1991 r. podczas pierwszej sesji szkoleniowej prowadzonej w Portland w
stanie Oregon przez International Association of Computer Specialists (IACS).”
Strona | 26
fragmentami31
. Wydaje się, że – przez analogię do innych nauk sądowych,
w szczególności do medycyny sądowej – właśnie to pojęcie powinno być
używane na określenie „dyscypliny pomostowej” pomiędzy prawem a
informatyką. Nie należałoby też zawężać roli informatyki w służbie
wymiaru sprawiedliwości do badania nośników danych, wystarczy przecież
wspomnieć o zagadnieniach takich jak szyfrowanie, biometria, światy
wirtualne, specyfika programów komputerowych w świetle prawa
autorskiego itd., żeby uświadomić sobie, że rola biegłego informatyka nie
ogranicza się do ujawniania zapisów na nośnikach pamięci masowej w
postępowaniu przygotowawczym.
Pojęcia „analogowy” i „cyfrowy”
Wyrażenie „analogowy” pochodzi od wyrażenia „komputer
analogowy”. Komputery analogowe były to (mowa o urządzeniach z
pierwszej połowy XX wieku) komputery, których działanie opierało się na
analogii do innego systemu (funkcjonowały np. komputery hydrauliczne –
rozwiązania modelujące przepływy pieniądza na rynku poprzez analogię z
przepływami cieczy w zespole naczyń czy też komputery rozwiązujące
równania różniczkowe poprzez pomiary napięcia i natężenia prądu w
układach elektronicznych). Charakterystyczną cechą tych komputerów było
posługiwanie się zmiennymi analogowymi tj. sygnałami zmieniającymi się
w sposób ciągły32
.
Pojęcie „analogowy” dotyczy wielkości fizycznych zmieniających
się w sposób ciągły lub dotyczy danych przedstawianych w sposób ciągły, a
także procesów i jednostek funkcjonalnych wykorzystujących dane tego
typu”33
. Z kolei pojęcie cyfrowy „dotyczy danych składających się z cyfr, a
także procesów i jednostek funkcjonalnych wykorzystujących dane tego
typu”34
. Komplementarne do pojęcia „analogowy” jest – nie jak można by
się spodziewać i jak przyjęło się w mowie potocznej – „cyfrowy” – ale
„dyskretny”, tj. „dotyczący danych składających się z różnych elementów
takich jak znaki lub dotyczy wielkości fizycznych o skończonej liczbie
zróżnicowanych rozpoznawalnych wartości, a także procesów i jednostek
funkcjonalnych wykorzystujących dane tego typu”35
. Dla porządku warto
dodać, że dane dyskretne mogą być danymi numerycznymi (składającymi
31
We wspomnianym wcześniej wpisie Instytutu Ekspertyz Sądowych im. prof. dr. Jana
Sehna w bazach danych [OPI] http://bazy.opi.org.pl/raporty/opisy/instyt/4000/i4282.htm
jest to ujęte: „informatyka sądowa - badanie elektronicznych nośników informacji”. 32
Por. [PN-T-01016-19:1994]. 33
[PN-ISO/IEC 2382-1:1996]. 34
[PN-ISO/IEC 2382-1:1996]. 35
[PN-ISO/IEC 2382-1:1996].
Strona | 27
się z liczb) bądź alfanumerycznymi (składającymi się z liter, cyfr bądź
innych znaków, np. znaków przestankowych), zaś dane cyfrowe składają się
z cyfr (a więc pojedynczych znaków reprezentujących nieujemne liczby
całkowite)36
. Zatem ze względu na ciągłość danych bądź jej brak dane
dzielą się na analogowe i dyskretne, zaś z uwagi na sposób zapisu
zawartości – na numeryczne (w tym cyfrowe) i alfanumeryczne37
. W języku
potocznym pojęcia „liczba” i „cyfra” są nagminnie mylone (stąd zamiast
„dyskretny” używa się często pojęcia „cyfrowy”38
), niemniej nie są to
pojęcia tożsame.
Informacja a jej nośniki
Słowo „informacja” wywodzi się z łacińskiego informare
(kształtować, odciskać formę bądź przedstawiać, wyobrażać, określać).
"Informatio" oznaczało (w różnych epokach) wyobrażenie, a także
znaczenie pojedynczego wyrazu, proces formowania i jego rezultat jak
również pouczenie oraz rezultat pouczenia39
. Warto na marginesie
zauważyć, że łacińskie (zarówno starożytne – u Arystotelesa, jak i
średniowieczne – u św. Tomasza) „forma” odpowiada we współczesnej
36
[PN-ISO/IEC 2382-1:1996]. 37
Powyższe rozważania mają znaczenie choćby przy okazji art. 269 § 2 KK, w którym po
wejściu w życie [UoZUwCTInf] zwrot „komputerowy nośnik informacji” zamieniony
został na „informatyczny nośnik danych”. Definicja tego pojęcia znajduje się w art. 3 pkt 1
[UoInf]. Zgodnie z tym przepisem informatycznym nośnikiem danych jest materiał lub
urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci
cyfrowej. Pozostaje więc kwestią otwartą, czy ustawodawcy w powołanej definicji chodziło
o wszelkie dyskretne zapisu, czy też wyłącznie o zapisy składające się z pojedynczych cyfr.
Można tez zastanawiać się, czy za informatyczny nośnik danych można uznać na przykład
kartkę papieru zapisaną cyframi. Powołana wielokrotnie norma [PN-ISO/IEC 2382-1:1996]
definiuje po prostu „nośnik danych – przedmiot, w którym lub na którym można zapisać
dane oraz z którego dane można odzyskać”. Wprowadzenie dookreślenia „informatyczny”
jest zatem z technicznego punktu widzenia wątpliwe, szczególnie, że trudno sobie
wyobrazić, aby intencją ustawodawcy było zróżnicowanie kar za utrudnianie osobie
uprawnionej zapoznania się z informacją zawartą np. na zdjęciu, w zależności od tego, czy
było ono wydrukowane na papierze czy wyświetlone na urządzeniu typu „fotoramka” albo
czy do jego zapisu użyto wykorzystano urządzenie kodujące informacje w postaci liczb
jedno- czy wielocyfrowych. Należy raczej spodziewać się, że ustawodawca chciał
rozróżnić nielegalne operacje wykonywane na informacji. 38
Efekty procesu dyskretnego (operującego skończoną liczbą zróżnicowanych
rozpoznawalnych wartości) zapisuje się zazwyczaj w postaci liczb należących do
policzalnego zbioru, np. liczb dodatnich całkowitych od zera do dziesięciu. 39
Zob. np. [Kister 2010].
Strona | 28
polszczyźnie słowu „treść”40
, dlatego też w różnych definicjach informacji
powtarzają się odwołania do procesu przekazywania treści, na przykład:
„pewna treść będąca opisem, poleceniem, nakazem lub zakazem,
przekazywana w jakikolwiek sposób od nadawcy o odbiorcy”41
,
„relacja definiowana na elementach komunikatu K (…). Jest to treść,
czyli desygnat oznaczony jako informacja. Informacja na tym
poziomie nazywa się informacją datalogiczną i jest zapisywana jako
I(K), dla podkreślenia informacji, jaką dostarcza komunikat K
niezależnie od odbiorcy U. Aspekt pragmatyczny informacji
wymaga uwzględnienia procesu jej odbioru przez użytkownika. W
tym celu stosuje się zapis (…): I (K, U, Q)”42
,
„Informacja to relacja niematerialna, zachodząca jednocześnie
między trzema elementami: A. odtwarzanym obiektem
rzeczywistości społecznej B. tezaurusem punktu A C. społecznym
nastawieniem do A i B” 43
.
Jak się wydaje, polski ustawodawca sugerował się raczej
infologiczną definicją informacji, co widać choćby z rozróżniania w
licznych aktach prawnych pojęć „informacji” i „danych informatycznych” –
w infologii bowiem, aby mowa była o informacji, konieczny jest komunikat
(a więc przynajmniej próba realizacji jakiegoś aktu komunikacji), treść
zapisaną infolog nazwie raczej „danymi”44
.
Znacznie bardziej interesujące są nie tyle formalne definicje pojęcia,
co cechy informacji, które odróżniają ją od innych obiektów z którymi ma
do czynienia wymiar sprawiedliwości. Przede wszystkim informacja nie jest
rzeczą, ma charakter niematerialny, jest jednak zapisywana i przekazywana
przy wykorzystaniu obiektów materialnych. Dla potrzeb prawnika,
odwołując się do pojęć kodeksowych należy rozróżnić przede wszystkim
nośnik informacji od niej samej.
40
Zarówno Arystoteles jak i św. Tomasz operują bowiem pojęciami formy i materii,
podczas gdy współczesna polszczyzna przyjęła pojęcia formy i treści rozumiane na sposób
heglowski. 41
[Gościński 1977]. 42
Zob. np.: [Stefanowicz 2004]. Jest to tzw. infologiczna definicja informacji. 43
Zob. np.[BNPI] http://www.encyklopedia.biolog.pl/index.php?haslo=Informacja.Jest to
tzw. cybernetyczna definicja informacji. 44
Jest to jedno z miejsc, w których język specjalisty-informatyka może różnić się od języka
specjalisty-prawnika, informatyk będzie bowiem raczej skłonny posługiwać się pojęciami
„dane” oraz „informacja”, tak jak rozumieją je normy, ewentualnie w sensie przytoczonej
powyżej „definicji cybernetycznej”.
Strona | 29
Nośnikiem informacji jest rzecz (obiekt materialny45
), stan
parametrów fizycznych, który jest wykorzystany do symbolicznego zapisu
informacji. I tak może być nośnikiem informacji zapisana bądź
zadrukowana kartka papieru czy dysk twardy46
. Stosunkowo częstym
zadaniem biegłych informatyków jest zabezpieczenie i ujawnienie
informacji zapisanej na komputerowych nośnikach informacji. Jeśli mowa o
czynach przestępnych, stosunkowo często spotyka się w praktyce wymiaru
sprawiedliwości problemy rozróżnienia pomiędzy śladem dowodowym,
dowodem rzeczowym, „pierwotną” informacją zapisaną na nośniku a jej
kopią sporządzoną do celów badawczych czy okazowych itd. W
szczególności z praktycznego punktu widzenia problemem jest
zabezpieczanie śladów dowodowych w postaci komputerów
pokrzywdzonych bądź świadków (które traktowane są jako miejsce bądź
narzędzie popełniania przestępstwa). Zarówno samo pozyskiwanie47
, jak i
zabezpieczanie dowodów bywa uciążliwe dla świadków i pokrzywdzonych,
wiąże się bowiem z utratą dostępu do używanego przez nich narzędzia i
zapisanych na nośnikach informacji (czy – mówiąc językiem infologicznym
– danych). Praktyka działania przynajmniej części organów ścigania coraz
lepiej radzi sobie z tym problemem, dla biegłego bowiem wystarczającą jest
możliwość pracy na uwierzytelnionej, wiernej kopii binarnej48
, a oryginał
nośnika jest najczęściej wykorzystywany tylko do przygotowania takowej, z
punktu widzenia informatyki bowiem, zapisana cyfrowo informacja jest
identyczna ze swoją kopią (co łatwo zrozumieć pamiętając przytoczoną
powyżej definicję, że informacja to treść komunikatu). Po jej
sporządzeniu49
, z punktu widzenia biegłego informatyka, nie ma więc
konieczności dysponowania oryginalnym nośnikiem, co więcej, często
warunki, w których przechowywane są nośniki informatyczne w
magazynach policji, prokuratur czy sądów przyczyniają się do skrócenia ich
45
Na marginesie warto zwrocić uwagę na często spotykane w pytaniach do bieglych, a
nieścisłe, określenie „obiekt fizyczny”. W rzeczywistości również wielkości niematerialne
(takie jak natężenie pola) są wielkościai fizycznymi. 46
Dlatego na przykład artykułów 291 i 292 [KK] nie można, jak się wydaje, zastosować w
przypadku uzyskiwania samej informacji (np. zdjęcia cyfrowego pobranego z sieci
komputerowej), można natomiast w przypadku nośnika materialnego – a więc będącego
rzeczą – nośnika informacji. 47
Por. [Dworzecki 2010]. 48
Mowa o specjalnie przygotowanych kopiach (zwanych również „klonami” bądź
„kopiami binarnymi”), zachowujących atrybut wierności, czyli identyczności z orginałem.
Szerzej ten temat poruszony jest w rozdziale poświęconym praktykom zabezpieczania
dowodów. 49
Z uwagi na bezpieczeństwo zazwyczaj przygotowuje się dwie kopie na różnych
nośnikach.
Strona | 30
żywotności50
. Zgłaszane jeszcze niekiedy problemy związane z
podważaniem wnioskowania z uwierzytelnionej wiernej kopii nośnika, w
świetle przepisów proceduralnych, mogą, jak się wydaje, być rozwiązane
analogiczne, jak ma to miejsce w przypadku zapisów na nietrwałych
nośnikach analogowych. Nie ma przecież obowiązku zabezpieczenia „w
oryginale” np. obraźliwego napisu na budynku do czasu zakończenia
postępowania o naruszenie dóbr osobistych. W zupełności wystarczy jego
udokumentowanie za pomocą środków technicznych (np. zdjęć)
wykonanych przez właściwe osoby oraz zeznania wiarygodnych świadków.
Bezpieczeństwo informacji i jego atrybuty
W informatyce sądowej szczególne miejsce zajmują normy i pojęcia
związane z bezpieczeństwem informacji. Jako że informacja nie jest rzeczą,
jej bezpieczeństwo determinowane jest przez zachowanie poszczególnych
specyficznych atrybutów51
związanych z jej ochroną. Spójny system
definicji w tym zakresie zamieszczony jest w normach ISO/IEC52
.
Przez bezpieczeństwo systemu informatycznego norma [PN-
ISO/IEC 2382-8:2001] rozumie „ochronę danych i zasobów przed
przypadkowymi lub złośliwymi działaniami, zwykle poprzez podjęcie
odpowiednich przedsięwzięć”, przy czym precyzuje że „działaniami tymi
mogą być: modyfikacja, zniszczenie, dostęp, ujawnienie lub pozyskanie,
jeśli działania te nie są uprawnione”53
. Norma [PN ISO/IEC 17799:2007]
definiuje trzy podstawowe oraz cztery dodatkowe atrybuty bezpieczeństwa.
Atrybuty podstawowe, znajdujące zastosowanie również w informatyce
sądowej to poufność, integralność oraz dostępność (ang. Confidentionality,
Integrity, Availability, stąd często używany skrót CIA). Odpowiednie
50
W szczególności dotyczy to dysków twardych, w których fizycznym nośnikiem
informacji jest materiał ferromagnetyczny o dużej gęstości zapisu, wrażliwy na
temperaturę, wilgotność, pole elektryczne i magnetyczne, promieniowanie jonizujące itd.,
podczas gdy kopie wykonywane na nośniki optyczne (dysk CD, DVD, BD) są znacznie
bardziej trwałe, a wrażliwe w zasadzie wyłącznie na uszkodzenia mechaniczne, chemiczne
i termiczne. 51
O bezpieczeństwie rzeczy można mówić z punktu widzenia trwałości jej przymiotów (np.
rzecz nie została zniszczona), bądź prawa własności do niej (np. rzecz została ukradziona).
W przypadku relacji niematerialnej, jaką jest z cybernetycznego punktu widzenia
informacja, można mówić o jej bezpieczeństwie w kontekście zachowania specyficznych
atrybutów bezpieczeństwa (czy poufna informacja nie została ujawniona, czy treść
komunikatu nie została w nieuprawniony sposób zmodyfikowana, czy przekazywanie
informacji nie zostało zakłócone itd.). Por. np. [Jašek 2003], [Janošec 2007]. 52
Więcej informacji na ten temat zamieszczono w rozdziale poświęconym systemowi norm
ISO w pracy biegłego sądowego. 53
[PN-ISO/IEC 2382-8].
Strona | 31
definicje są następujące:
poufność (ang. confidentiality): własność polegająca na tym, że
informacja nie jest udostępniana lub wyjawiana nieupoważnionym
osobom, przedmiotom lub procesom,
integralność (ang. integrity), czyli własność polegająca na
zapewnieniu dokładności i kompletności aktywów54
,
dostępność (ang. availability) to jest własność bycia dostępnym i
użytecznym na żądanie upoważnionego podmiotu.
Dodatkowo norma [PN-ISO/IEC 27001:2007] wymienia cechy:
autentyczności (ang. authenticity), to jest cechy pozwalającej na
uwierzytelnienie autora informacji czyli stwierdzenia, że podpis pod
przesyłaną informacją jest autentyczny, że autorem informacji jest
rzeczywiście właściwa osoba55
,
rozliczalności (ang. accountability) – właściwości zapewniającej, że
działania podmiotu mogą być przypisane w sposób jednoznaczny
tylko temu podmiotowi56
,
niezaprzeczalności – właściwości uniemożliwiającej nadawcy
zaprzeczenie, że wysłana wiadomość pochodzi od niego,
niezawodności (ang. reliability) – właściwości oznaczającej spójne,
zamierzone zachowania i skutki.
Warto zwrócić uwagę, że powyższe definicje znakomicie sprawdzają
się również w aktach prawnych57
, choć już polski ustawodawca wprowadził
54
Rozróżnia się dodatkowo integralność danych oraz integralność systemu. 55
[PN-I-13335-1]. W niektórych źródłach można znaleźć tłumaczenie słowa „authenticity”
przez „uwierzytelnienie”, jakkolwiek tłumaczenie przyjęte w normie jest poprawne –
słowo „uwierzytelnienie” (ang. authentication) w języku polskim jest nazwą procesu
sprawdzenia i potwierdzenia autentyczności informacji. Tak jest to zresztą definiowane w
normie [PN-I-02000:2002]. 56
[PN-I-13335-1] za [ISO 7498-2:1989]. 57
Na przykład pierwszy tytuł w budapesztańskiej Konwencji o Cyberprzestępczości brzmi:
„Title 1 – Offences against the confidentiality, integrity and availability of computer data
and systems”.
Strona | 32
je do polskiego Kodeksu Karnego w sposób bardzo niedoskonały58
.
Należy też podkreślić, że powyższa lista atrybutów bezpieczeństwa
nie jest uniwersalna ani kompletna i że jest pisana z punktu widzenia
managera (interesów organizacji gospodarczej). Nie ma na niej na przykład
atrybutu prywatności, istotnego z punktu widzenia osoby fizycznej, ale już
niekoniecznie – komercyjnej firmy.
Prywatność (ang. privacy z łac. privus – pojedynczy, własny)
definiuje się zazwyczaj jako możliwość zachowania określonych
dóbr (danych, zachowań, zwyczajów, rzeczy) poza sferą publiczną.
Prawo do prywatności gwarantowane jest w szeregu aktów prawnych,
spośród których można wymienić choćby art. 47 Konstytucji RP. Pojęciami
często łączonymi z prywatnością, w szczególności jeśli idzie o kontekst
systemów i sieci teleinformatycznych, są: anonimowość, anonimizacja oraz
pseudonimizacja59
.
Anonimowość jest to atrybut bezpieczeństwa informacji polegający
na tym, że nie ma możliwości identyfikacji podmiotu (w
szczególności osoby która wykonuje jakąś czynność, na przykład
przegląda stronę WWW czy osoby, której dotyczą informacje np.
zebrane w czasie badania).
Anonimowość w odniesieniu do działań jest więc przeciwieństwem
powołanego powyżej pojęcia rozliczalności – właściwości zapewniającej, że
działania podmiotu nie mogą być przypisane w sposób jednoznaczny temu
podmiotowi. Jest to dobry przykład na subiektywizm60
pojęcia
bezpieczeństwa informacji. Osoba ceniąca sobie prywatność będzie czuła
się bezpieczniej, jeśli ma zapewnioną anonimowość, zaś pokrzywdzony
będzie czuł się bezpieczniej, jeśli organy ścigania będą w stanie
zidentyfikować tożsamość działającego (sprawcy) i przypisać mu – najlepiej
w sposób niezaprzeczalny – poszczególne przestępne działania, czyli
58
Na przykład w art. 268a KK § 1 brzmi: „Kto, nie będąc do tego uprawnionym, niszczy,
uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym
stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub
przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3”. Ustawowe
znamię czynu zabronionego obejmuje więc nie tyle pozbawienie informacji atrybutu
dostępności (jak dzieje się to na przykład w przypadku ataku Denial of Service przeciwko
systemowi w którym informacja jest przechowywana), ile utrudnienie komuś wykonanie
czynności, której skutkiem jest dostęp do danych (stosując literalną wykładnię tego
przepisu za taką sytuację można by uznać na przykład fizyczne ograniczenie komuś
dostępu do terminala, z którego można uzyskać dostęp do danych). 59
Zob. np. [Clarke 2006]. 60
Por. np. [Korzeniowski 2008] s. 71 i nast.
Strona | 33
zapewnić ich rozliczalność61
.
Warto też zauważyć że – w przeciwieństwie do prywatności – nie
istnieje akt prawny przyznający prawo do anonimowości. Prywatność
bowiem może być zachowana nie tylko w sytuacji, gdy działający podmiot
jest anonimowy, ale również w sytuacji, w której dane umożliwiające jego
identyfikację są poufne na tyle, że pozostają poza sferą publiczną (tak jak
ma to miejsce choćby w przypadku nagrań z kamer monitoringu ulicznego,
zasady dostępu do których są ściśle określone). Oczywiście jakość tak
uzyskanej prywatności zależy od zabezpieczeń (zarówno technicznych jak i
prawnych) poufności materiału, który ma nie być upubliczniany.
Anonimizacja jest to proces, w którym z danych umożliwiających
identyfikację podmiotów otrzymuje się dane nie umożliwiające
takiej identyfikacji.
Anonimizację stosuje się na przykład często w badaniach
statystycznych, w których istotne są prawidłowości dotyczące całej badanej
grupy, a nie informacje o poszczególnych jednostkach. Anonimizacją
nazywa się również wykorzystanie odpowiednich rozwiązań
informatycznych (np. anonimowego Proxy, sieci TOR62
).
Peudonimizacją (z gr. pseudōnymos - fałszywie nazwany; pseudēs
– kłamliwy, zmyślony; pseúdein – kłamać, oszukiwać) nazywa się63
użycie w miejsce rzeczywistej nazwy podmiotu (procesu bądź
osoby) – przybranej nazwy (pseudonimu).
Pseudonimizacja utrudnia identyfikację działającego podmiotu,
natomiast umożliwia przypisanie różnych danych czy czynności tej samej
61
W szczególności duże kontrowersje budzi ostatnio temat wykorzystania dowodów
pochodzących z podsłuchu/monitoringu bądź to zainstalowanego „prywatnie” (taka
praktyka jest w polskim prawie cywilnym w zasadzie niedopuszczalna),bądź też
wykorzystania w procesie cywilnym informacji z podsłuchu założonego na potrzeby
postępowania karnego (taka praktyka jest również niedopuszczalna), między innymi w
związku z głośną sprawą wykorzystania przez osobę zatrudnioną w Agencji
Bezpieczeństwa Wewnętrznego w procesie cywilnym materiałów z podsłuchu
dziennikarzy Bogdana Rymanowskiego i Cezarego Gmyza. W tej ostatniej sprawie Sąd
Okręgowy w Warszawie nie włączył podsłuchów do akt sprawy cywilnej uznając, że
stenogramów podsłuchów w procesie cywilnym wykorzystać nie można. Zob. np. [GW].
Coraz częściej jednak specjaliści od informatyki śledczej wykorzystywani są w różnego
rodzaju „postępowaniach wewnętrznych” do analiz komputerów, kont pocztowych czy
zapisów rozmów w komunikatorach. Warto zwrócić uwagę, że tego rodzaju badania muszą
być prowadzone zgodnie z prawem, może okazać się bowiem, że specjalista bądź biegły
uzyskując dostęp do informacji sam narusza prawo (w szczególności art. 267 KK). 62
Por. np. [Szmit 2008], [Lisiak_Felicka 2009]. 63
Zob. np. [Pfitzmann Hansen 2005].
Strona | 34
osobie (bez znajomości jej tożsamości). Współcześnie z pseudonimizacją
bardzo często mamy do czynienia w przypadku forów internetowych czy
grup dyskusyjnych, w przeszłości była stosowana często jako zabieg
literacki (na przykład, gdy osoba wypowiadająca się na jakieś kwestie
społeczne czy polityczne pełniła jednocześnie funkcję państwową,
występując pod pseudonimem oddzielała swoje poglądy osobiste od
oficjalnego stanowiska instytucji, w której była zatrudniona). Z użyciem
pseudonimów wiąże się szereg zagadnień związanych z prawną
możliwością bądź koniecznością ujawnienia rzeczywistej tożsamości osób
posługujących się nimi i ochroną danych osobowych. Wystarczy
wspomnieć choćby o roszczeniach wobec – znanych tylko z pseudonimów –
uczestników forów dyskusyjnych czy gier.
Uwierzytelnianie
Jednym z kluczowych zagadnień związanych z dowodami
informatycznymi jest uwierzytelnienie informacji (ang. authentication), to
jest działanie prowadzone w celu potwierdzenia, że analizowana informacja
jest tą samą informacją, która umieszczona była na nośniku w momencie
jego zabezpieczenia, czyli że treść obu komunikatów jest tożsama. W
normie [PN-ISO/IEC 2382-8:2001] zamieszczono następującą definicję:
uwierzytelnianie – działanie weryfikowania deklarowanej
tożsamości jednostki.
Zgodnie z tym, co powiedziano powyżej, informacja (czy też dane)
zapisane w postaci cyfrowej są dla celów ekspertyzy
sądowo-informatycznej identyczne ze swoją kopią binarną, o ile ta jest w
prawidłowy sposób wykonana i o ile w trakcie jej wykonywania nie
wystąpiły błędy64. Aby uwierzytelnić kopię (stwierdzić że jest wierną kopią
oryginału), stosuje się zazwyczaj różne rodzaje tzw. sum kontrolnych. W
szczególności dobrą metodą uwierzytelnienia jest skorzystanie z
mechanizmów podpisu cyfrowego oferowanych przez infrastrukturę klucza
publicznego (ang. Public Key Inffrastructure, PKI). PKI umożliwia również
skorzystanie z podpisów opatrzonych znacznikami czasowymi
pozwalających na uwierzytelnienie czasu wykonania czynności. Niestety
wykorzystanie podpisów cyfrowych (a tym bardziej znaczników czasu) jest
stosowane bardzo rzadko. W praktyce więc na przykład zapis zdarzenia
gospodarczego w większości systemów finansowo-księgowych jest bardzo
64
Kwestie właściwego zabezpieczenia śladów dowodowych zostały omówione w rozdziale
poświęconym najlepszym praktykom w poszukiwaniu i zabezpieczaniu dowodów
elektronicznych.
Strona | 35
słabo uwierzytelniony albo nie uwierzytelniony w ogóle65
, zaś czas jego
powstania jest również wysoce niepewny, zapisy na informatycznych
nośnikach danych bardzo łatwo bowiem można zmodyfikować, a wykrycie
takiej modyfikacji metodami informatyki śledczej nie zawsze musi się udać.
Stąd też często mówi się o niskiej stanowczości wniosków biegłego
wyprowadzonych z analizy z metadanych66
, współczesne systemy
operacyjne nie oferują bowiem (a przynajmniej nie włączają domyślnie)
mocnych mechanizmów uwierzytelniania informacji np. o czasie
modyfikacji pliku. Oczywiście wszystko zależy od konkretnych
okoliczności sprawy, niemniej nie można zazwyczaj wnioskować
kategorycznie wyłącznie w oparciu o nieuwierzytelnione dane
informatyczne, a tym bardziej o metadane67
.
Osobną, jakkolwiek powiązaną kwestią, jest dokumentowanie dla
potrzeb postępowania treści zamieszczonych w Internecie (w szczególności
na stronach www, w listach e-mail, na grupach dyskusyjnych news itd.).
Jak się wydaje, poważniejsze problemy występują w przypadku, gdy
dokumentacja taka musi być przygotowana przez stronę (a więc w
przypadku choćby postępowania cywilnego czy w przypadku
dokumentowania przez pokrzywdzonego przestępstw
prywatnoskargowych). W postępowaniu przygotowawczym, sądowym czy
administracyjnym organ procesowy bowiem dysponuje możliwością
powołania biegłych, którzy mogą w sposób fachowy przygotować i
uwierzytelnić dokumentację, która musi zawierać pełny zapis wyświetlonej
witryny czy wiadomości. Nie wdając się w szczegóły techniczne, należy
zdecydowanie zrezygnować z praktyki dokumentowania zawartości stron
www czy listów wyłącznie przez ich wydruki wykonane przez mniej lub
bardziej przypadkowe osoby. Nawet jeśli zdecydowano się na
potwierdzenie notarialne zgodności wydruku z widoczną na ekranie
65
Czyli z faktu istnienia na przykład w danych programu finansowo-księgowego zapisu, że
w określonym dniu wystawiona została faktura, nie można w sposób pewny wnioskować,
że takie zdarzenie rzeczywiście w tym czasie miało miejsce. 66
Metadane (ang. Meta data) to „dane na temat danych”, w szczególności tzw. czasy MAC
– modyfikacji, ostatniego dostępu i utworzenia plików na dyskach. 67
Czasami uwierzytelnienia można dokonać na podstawie treści zapisu (na przykład jeśli
na dysku podejrzanego znajdzie się informacje wyglądające jak np. tajne dokumenty,
można sprawdzić, czy rzeczywiście takie dokumenty istniały), nie można natomiast
wnioskować kategorycznie, że na przykład właściciel komputera pracował na nim
określonego dnia i o określonej godzinie, bo data utworzenia pliku zapisanego na dysku jest
właśnie taka. Można postawić co najwyżej tzw. uprawdopadabniający wniosek pozytywny
(zob. [Wójcikiewicz 2002] s. 36-37).
Strona | 36
treścią68
, bądź dysponuje się licznymi i nie budzącymi żadnych wątpliwości
zeznaniami świadków, sam wydruk zawiera jedynie statyczny obraz tego,
co było widoczne na ekranie, nie zawiera natomiast szeregu dodatkowych
informacji, które można uzyskać z odpowiednich programów (na przykład:
nazw plików zawierających obrazy, widoku animacji, kodu źródłowego
dokumentu hipertekstowego itd.). Aby uzyskać dokładną i w pełni
użyteczną kopię informacji udostępnionej w postaci cyfrowej, należy
zdecydowanie skorzystać z fachowej pomocy osoby dysponującej
wiadomościami specjalnymi, która przygotuje kopię również
niewidocznych elementów strony czy witryny i uwierzytelni ją przy
wykorzystaniu sum kontrolnych.
O niektórych zadaniach biegłego informatyka
Informatyka jest nauką zajmującą się technicznymi aspektami
przetwarzania informacji w systemach komputerowych. Stąd też biegły
informatyk może i powinien odpowiadać na pytania dotyczące tych
aspektów (w szczególności na przykład może ujawniać zapisy informacji na
różnego rodzaju nośnikach, odpowiadać na pytania dotyczące
funkcjonowania urządzeń informatycznych, takich jak na przykład routery
czy przełączniki sieciowe, analizować działanie programów
komputerowych itd.), natomiast nie można wymagać od niego interpretacji
treści przetwarzanych w systemach komputerowych – wyjąwszy oczywiście
metainformację, tj. informację o działaniu systemu komputerowego
generowaną przez sam system (tzw. logi systemowe, pliki historii, tworzone
przez system po wystąpieniu błędu krytycznego „zrzuty pamięci” itd.).
Informacja przedmiotowa (treść dokumentów przygotowywanych przez
użytkownika komputera, prawnokarna klasyfikacja zdjęć i filmów itd.)
pozostaje poza kompetencjami biegłego informatyka, to znaczy nie posiada
on w tym zakresie wiadomości specjalnych, choć oczywiście może
wypowiadać się na temat treści informacji znajdującej się w systemie w
takim zakresie, w jakim wystarczają do tego wiadomości ogólne – to jest na
przykład może stwierdzić, że na zdjęciu uwidocznione są postaci ludzkie,
natomiast nie jest w stanie stwierdzić, czy zdjęcie ma charakter
pornograficzny (wiadomościami specjalnymi potrzebnymi do wyciągania
tego rodzaju wniosków może dysponować biegły seksuolog). Podobnie to
nie biegły informatyk jest właściwy do orzekania (bo trudno nazwać to
opiniowaniem) o „legalnym” czy „nielegalnym” charakterze kopii programu
czy filmu, a tego rodzaju kwestie, niestety, często pojawiają się w
68
Praktyka taka, jakkolwiek również budząca kontrowersje w świetle przepisów o
notariacie, bywa czasami stosowana w praktyce.
Strona | 37
postępowaniach przygotowawczych.
Z zagadnieniem tym związana jest kwestia wyceny wartości sprzętu
i oprogramowania. Szczególną cechą tzw. nowych technologii jest
niezwykle szybkie zastępowanie poszczególnych modeli na rynku.
Konkretny model komputera osobistego może być sprzedawany przez rok
czy półtora, po czym zastępowany jest przez inne urządzenie, zazwyczaj o
lepszych parametrach69
. Na dodatek różnice cen tego samego urządzenia w
różnych sklepach mogą dochodzić do kilkunastu procent (np. rozrzut cen od
1799 do 2100 zł). Biegły sądowy nie jest (a przynajmniej nie zawsze jest)
biegłym skarbowym, dlatego też pytania o wartość danego urządzenia
trzeba formułować bardzo precyzyjnie, to znaczy:
Określić dokładnie, o w jakim czasie mowa (o momencie
wydawania opinii, rozpoczęcia postępowania, zaistnienia skutku
czynu, samego czynu itd.).
Określić dokładnie, o jakim rodzaju wartości mowa (księgowej,
wymiennej, odtworzeniowej itd.)70
.
Dokładnie określić markę, konfigurację i parametry modelu71
oraz
rodzaj dodatkowych umów72
związanych ze sprzętem.
Wyceny oprogramowania (w sprawach dotyczących tzw.
„nielegalnych programów”) są jeszcze bardziej złożone. Dobrą praktyką jest
pozostawienie wyceny wartości poszczególnych programów – zwłaszcza
gdy mowa o wersjach wycofanych z rynku – ich producentowi bądź jego
reprezentantowi (z oczywiście zapewnieniem możliwości polemiki przez
zainteresowane strony). Biorąc pod uwagę politykę dyskryminacji
69
Istnieje tzw. prawo Moora, które mówi, że procesory podwajają swoją wydajność co 18
miesięcy. 70
Wartość urządzenia nieobecnego już w produkcji można próbować estymować bądź to
przez wartość odtworzeniową (ile kosztuje najtańsze urządzenie, które może je zastąpić),
bądź przez wartość wymienną (za ile można kupić tego rodzaju urządzenie dostępne na
rynku wtórnym, np. używane). Właściwe może być też obliczenie wartości księgowej (tj.
wartości początkowej pomniejszonej o umorzenia naliczone najczęściej wg czasu
eksploatacji). 71
Znaczną część wartości współczesnego komputera osobistego stanowi wartość dysku
twardego i pamięci RAM. Ten sam model komputera w zależności od ilości zainstalowanej
pamięci operacyjnej, rodzaju i pojemności dysku może być nawet dwukrotnie droższy. 72
Częstą praktyką (szczególnie w przypadku markowego sprzętu) jest sprzedaż rozmaitych
form tzw. gwarancji rozszerzonej. Za dodatkową opłatą sprzedawca bądź producent
świadczy dodatkowe usługi gwarancyjne – na przykład wizytę serwisu w miejscu pracy
urządzenia, gwarancję na 24 zamiast na 12 miesięcy, opcję dostarczenia urządzenia
rezerwowego gdyby naprawa miała potrwać dłużej niż założony czas (np. 12 godzin) itd. W
zależności od charakteru i okoliczności sprawy tego rodzaju usługa może być (bądź nie)
brana pod uwagę w procesie wyceny.
Strona | 38
monopolistycznej73
prowadzoną przez producentów, rzetelna wycena
wartości programu, a tym bardziej rzeczywistych strat producenta
przekracza kompetencje biegłego informatyka, tym bardziej że do jej
przeprowadzenia trzeba mieć dostęp nie tylko do informacji dotyczących
samych programów, ale i danych osoby, która z nich korzystała, jej statusu
zawodowego czy rodzinnego (w przypadku licencji „dla gospodarstw
domowych”), posiadanych wcześniejszych wersji produktów (dających
prawo do zakupu uaktualnienia)74
, a także duże wiadomości z zakresu
prawa itd.
Dodatkowo wymagania licencyjne na użytkowanie oprogramowania
często formułowane są w najdziwniejszy sposób, ograniczony jedynie
wyobraźnią posiadacza praw autorskich. Na przykład studenci uczelni
korzystających z programów akademickich (takich jak Microsoft Developer
Network Academic Alliance) mogą korzystać z oprogramowania objętego
tym programem do celów niekomercyjnych nawet po skończeniu studiów,
istnieją programy, z których wolno „legalnie” korzystać po wysłaniu
autorowi kartki pocztowej, programy, które bezpłatnie mogą użytkować
mieszkańcy niektórych krajów (a innych – nie mogą użytkować w ogóle).
Część programów licencjonowana jest „per user” (jedna i ta sama osoba
może korzystać z programu na dowolnej liczbie komputerów), inne – „per
site” (jeden program-jeden komputer), przy czym część licencji rozróżnia
73
Różne jednostki tego samego produktu sprzedawane są po różnych cenach różnym
grupom odbiorców – na przykład dla użytkowników indywidualnych, dla studentów, dla
firm komercyjnych itd. 74
Dla przykładu według cen oficjalnego dystrybutora MS firmy APN Promise na dzień 3
grudnia 2009 roku ceny detaliczne Microsoft Office 2007 w wersji polskojęzycznej
wynosiły (w przypadku zakupów w sklepie online, ceny netto):
Zestaw Office 2007 Standard PL UPG + Works 9.0 PL - 907,32 zł,
Zestaw MS Office 2007 Small Business PL UPG + Works 9.0 PL - 1065,07 zł,
Microsoft OEM Office Pro Edition 2007 Polish, V2, 1pk, licencja OEM - 944,15 zł,
Microsoft OEM Office SB Edition 2007 Polish, V2, 1pk, licencja- 757,90 zł,
Zestaw Office 2007 Professional PL UPG + Works 9.0 PL - 1218,18 zł,
Microsoft Office 2007 Small Business Edition PL - 1821,96 zł,
Microsoft Office 2007 Small Business Edition PL UPG - 1181,04 zł,
Microsoft Office 2007 Professional PL - 2112,00 zł,
Microsoft Office 2007 Professional PL AE - 781,84 zł,
Microsoft Office 2007 dla Użytkowników Domowych PL - 443,90 zł,
Microsoft Office 2007 Standard PL - 1694,04 zł,
Microsoft Office 2007 Standard PL AE - 595,70 zł,
Microsoft Office 2007 Standard PL UPG - 948,88 zł.
Jak więc widać od 443,90 do 2112 zł czyli różnice mogły być bez mała pięciokrotne, a
należy też zauważyć, że nie zawsze da się zidentyfikować z którego pakietu pochodziły
programy znalezione np. na dysku podejrzanego.
Strona | 39
sytuację użycia programów na rożnych maszynach wirtualnych
funkcjonujących na tej samej maszynie fizycznej, w grę mogą wchodzić
sytuacje, w których osoba pozyskała program „legalnie” ale użytkuje go
niezgodnie z warunkami licencji (na większej liczbie stanowisk, przez czas
dłuższy niż dozwolony). Inne są wymagania licencyjne na oprogramowanie
kupowane w wersji pudełkowej (ang. box), inne – na oprogramowanie
kupowane razem ze sprzętem (ang. OEM – Original Equipment
Manufacturer), jeszcze inne – na dodatki serwisowe (ang. service pack).
Firmy zmieniają modele licencjonowania w trakcie cyklu życia produktu,
tak więc to samo oprogramowanie kupione kilka dni później może mieć już
inne wymogi licencyjne, na dodatek należałoby rozpatrywać
dopuszczalność wymogów licencyjnych (pisanych często dla rynku
amerykańskiego) w świetle prawa Polski i Unii Europejskiej (wątpliwości
prawników budzi na przykład „wirusowy” charakter licencji GNU GPL).
Wszystko to powoduje, że informatyk nie jest właściwą osobą do
opiniowania o „legalności” oprogramowania75
.
Bibliografia
1. [BNPI] Biolog Naukowy portal informacyjny
http://www.encyklopedia.biolog.pl
2. [Corge 1981] Corge Ch.: Elementy informatyki. PWN, Warszawa, 1981.
3. [Clarke 2006] Clarke: R. Introduction to Dataveillance and Information
Privacy, and Definitions of Terms,
http://www.rogerclarke.com/DV/Intro.html#Mis
4. [Dworzecki 2010] Dworzecki J.: Taktyka i techniki interwencji,
Gliwicka Wyższa Szkoła Przedsiębiorczości, Gliwice 2010.
5. [ENFSI] European Network of Forensic Science Institutes, materiały
reklamowe,
http://www.enfsi.org/documents/brochure_polish/attach/ENFSI%20Bro
chure%20Polish%202005.pdf
6. [Gościński 1977] Gościński J.: Zarys sterowania ekonomicznego, PWN,
Warszawa 1977.
7. [GW] Dziennikarze na podsłuchu, Gazeta Wyborcza z 23.03.2010
http://www.tvp.info/informacje/polska/dziennikarze-na-
podsluchu/1494297
75
Niektóre firmy prowadzą komercyjne szkolenia dla specjalistów w zakresie wymogów
licencyjnych tej czy innej firmy. W tym sensie osoba taka może kompetentnie wypowiadać
się na temat stanowiska firmy co do jej wymogów licencyjnych, a więc być pomocną na
etapie postępowania przygotowawczego, nie może jednak ani zastąpić prawnika w ocenie
stanu prawego ani występować w roli pełnomocnika pokrzywdzonego.
Strona | 40
8. [Janošec 2007] Janošec J.: Sekuritologie – nauka o bezpečnosti a
nebezpečnosti, [w:] „Vojenské rozhledy” 2007, nr 3, s. 3-14, Praga 2007
9. [Jašek 2003] Jašek R.: Informační bezpečnost a ochrana zdraví při práci
s výpočetní technikou, Ostravská Univerzita, Ostrava 2003.
10. [Kegel, Kegel 2004] Kegel A., Kegel Z.: Przepisy o biegłych sądowych,
tłumaczach i specjalistach. Komentarz, Zakamycze, Kraków 2004.
11. [Kister 2010] Kister Ł.: Bezpieczeństwo informacyjne infrastruktury
krytycznej, [w:] Terroryzm 1/2010, Collegium Civitas, Warszawa 2010
s. 6-9.
12. [KK] Ustawa z dnia 6 czerwca 1997 r. Kodeks karny z dnia 6 czerwca
1997 r. – Kodeks karny (Dz. U. z 1997 r. Nr 88, poz. 553, z późn. zm.).
13. [KKBS] Krajowa Konferencja Biegłych Sądowych,
http://www.dobreszkoly.pl/konferencje.php,
http://www.sre.pl/konferencje/piata/sprawozd.doc
14. [Kolasińska, Rot 1983] Kolasińska E., Rot H.: Podstawy cybernetyki i
informatyki prawniczej, Wyd. Uniwersytetu Wrocławskiego, Wrocław
1983.
15. [Konstytucja] Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia
1997 r.
16. [Korzeniowski 2008] Korzeniowski L. F.: Securitologia. Nauka o
bezpieczeństwie człowieka i organizacji społecznych, EAS, Kraków
2008.
17. [Lisiak-Felicka 2009] Dominika Lisiak-Felicka, Anonimowość w sieci,
„Hakin9” nr 1/2009 (44), s. 50.
18. [Lisiak-Felicka D., Szmit M. 2009] Lisiak-Felicka D., Szmit M.: Czy
istnieje technologia informacyjna? [w:] Kiełtyka L. (red): Multimedia w
biznesie i zarządzaniu, Difin, Warszawa 2009, s. 95-104.
19. [Marczyński 1969] Marczyński R., Maszyny matematyczne, nr 1,
Wydawnictwa czasopism technicznych NOT, Warszawa, 1969 r. , s.1-5.
20. [Novell Audit] Materiały reklamowe Novell Audit,
http://www.novell.com/poland/resourcecenter/novell_audit_charakteryst
yka_techniczna.pdf
21. [OPI] Ośrodek Przetwarzania Informacji, http://www.opi.org.pl
22. [Petzel 1999] Petzel J.: Informatyka prawnicza. Zagadnienia teorii i
praktyki, K.E. Liber, 1999.
23. [Pfitzmann, Hansen 2005] Pfitzmann A., Hansen M., Anonymity,
Unlinkability, Unobservability, Pseudonymity, and Identity
Management – A Consolidated Proposal for Terminology (Version
v0.23 Aug. 25, 2005) TU Dresden ULD Kiel http://dud.inf.tu-
dresden.de/Literatur_V1.shtml
24. [PN-T-01016-19:1994] Polska Norma PN-T-01016-19:1994
Strona | 41
Przetwarzanie informacji i komputery. Terminologia. Technika
analogowa, PKN, Warszawa 1994.
25. [PN-ISO/IEC 2382-1:1996] Polska Norma PN-ISO/IEC 2382-1:1996
Technika informatyczna. Terminologia. Terminy podstawowe., PKN,
Warszawa 1996.
26. [PN-I-13335-1:1999] PN-I-13335-1:1999 Polska Norma Technika
informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów
informatycznych. Pojęcia i modele bezpieczeństwa systemów
informatycznych.
27. [PN-ISO/IEC 2382-8:2001] PN-ISO/IEC 2382-8:2001 Technika
informatyczna Terminologia Bezpieczeństwo, PKN, Warszawa 2001.
28. [PN-ISO/IEC 17799:2007] PN-ISO/IEC 17799:2007 Technika
informatyczna. Techniki bezpieczeńsywa. praktyczne zasady
zarządzania bezpieczeństwem informacji.
29. [PN-ISO/IEC 27001:2007] PN-ISO/IEC 27001:2007 Technika
informatyczna Techniki bezpieczeństwa Systemy zarządzania
bezpieczeństwem informacji Wymagania.
30. [Stefanowicz 2004] Stefanowicz, B.: Informacja, Oficyna Wydawnicza
SGH, Warszawa 2004.
31. [Szmit 2008] Szmit M: Routing cebulowy, „Hakin9” Nr 3/2008, s. 14-
16.
32. [Świerczyńska 1999] Świerczyńska D., Polski pseudonim literacki,
PWN Warszawa 1999 (wyd.2).
33. [UoZUwCTInf] Ustawa z dnia 4 września 2008 r. o zmianie ustaw w
celu ujednolicenia terminologii informatycznej (Dz.U. nr 171 poz.
1056).
34. [UoInf] Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565, z
2006 r. Nr 12, poz. 65 i Nr 73, poz. 501 oraz z 2008 r. Nr 127, poz. 817).
35. [Wójcikiewicz 2002] Wójcikiewicz J.: Ekspertyza sądowa, Zakamycze,
Kraków 2002.
Strona | 42
ROZDZIAŁ 2.
NAJLEPSZE PRAKTYKI W POSZUKIWANIU I
ZABEZPIECZANIU DOWODÓW ELEKTRONICZNYCH.
Przemysław KREJZA*
Elektroniczny świat, gdzie ponad 90% informacji porusza się drogą
cyfrową, jest bogatym i wbrew pozorom trwałym źródłem informacji
mogących mieć wartości dowodową i to nie tylko w przestępstwach
„komputerowych”. Chociaż nie ma dostępnych tego typu statystyk
policyjnych, to z praktyki wynika, że udział komputera w przestępstwach
nie ogranicza się do zwartego katalogu.
Dowód elektroniczny
Elektroniczne nośniki informacji występują w różnych rodzajach
postępowań, bądź to jako narzędzie popełnienia czynu o charakterze
przestępnym, bądź jako przedmiot wykonawczy przestępstwa czy też jako
nośnik zapisów mogących być dowodami przestępstw. Można wyróżnić
następujące „role” komputera lub zapisanej na nim informacji w
przestępstwie:
1. Komputer lub informacja na nim zapisana jako przedmiot wykonawczy:
Komputer lub jego elementy pochodzą z kradzieży,
Oprogramowanie zainstalowane na komputerze jest
zainstalowane z naruszeniem prawa bądź postanowień licencji,
2. Komputer jako narzędzie czynu o charakterze przestępnym:
Oprogramowanie zainstalowane na komputerze służyło do
przełamywania lub omijania zabezpieczeń w obcych systemach,
podsłuchu czy zakłócania pracy komputerów i sieci
komputerowych etc.
Oprogramowanie zainstalowane na komputerze służyło do
podrabiania dokumentów,
Drukarki lub inne urządzenia służyły do drukowania lub
przetwarzania fałszywych dokumentów (na przykład banknotów,
praw jazdy etc.),
3. Komputer lub zapisana na nim informacja zawiera dowody przestępstw:
Przestępca przechowuje na komputerze informacje o
okolicznościach i osobach związanych z przestępstwem na
* Stowarzyszenie Instytut Informatyki Śledczej, [email protected]
Strona | 43
przykład dealer narkotyków przechowuje informacje o
dostawcach w plikach),
Z informacji zapisanych w komputerze można odtworzyć
zdarzenia istotne z punktu widzenia postępowania (na przykład
zainstalowany komunikator za pomocą którego morderca
porozumiewał się z ofiarą).
Komputer zarówno posłużył jako narzędzie przestępstwa jak i
zawiera informacje, które mogą być dowodami (na przykład
Haker używał komputera do atakowania innych systemów i
przechowywał na nim informacje o skradzionych kartach
kredytowych).
Współczesne dochodzenie może zatem w każdym momencie
prowadzić do konieczności zabezpieczenia i analizy sprzętu
komputerowego lub znacznie częściej, dowodów zapisanych na
elektronicznych nośnikach informacji – tzw. dowodów elektronicznych.
Warto zwrócić uwagę, że w każdym przypadku, poza kradzieżą samego
urządzenia, wartość dowodową będzie posiadał zapis w komputerze a nie
sam sprzęt.
W rozumieniu prawnym dowody elektroniczne nie stanowią nowej i
samodzielnej kategorii dowodowej i należy je zaliczyć do kategorii
dowodów rzeczowych. Wartość dowodową posiada nie sam nośnik ale
zapis elektroniczny na nim zawarty. Zapis ten stanowi właściwość nośnika
na którym się znajduje. Należy zatem przyjąć, że dowodem elektronicznym
jest informacja w formie elektronicznej mogąca mieć znaczenie dowodowe
a nie np. dysk twardy na którym jest zapisana.
Informacja taka posiada cechy szczególne, które odróżniają ją od
„tradycyjnych” dowodów rzeczowych. Obrazy, dźwięk, tekst i inne dane
przechowywane na np. dyskach twardych mogą być łatwo niszczone i
uszkodzone a informacyjna właściwość nośnika może zostać zmieniona
poprzez modyfikację lub usunięcie danych, w tym również poprzez celową
manipulację. Ponadto zapis z jakim mamy do czynienia w systemach
komputerowych, umożliwia manipulację w taki sposób, że nie będzie
możliwe stwierdzenie czy i kiedy zmiany te nastąpiły. Z drugiej strony,
zrozumienie cech dowodu elektronicznego, pozwala na wprowadzenie
nowych technik, jak na przykład na zabezpieczenie tylko zawartości
nośników bez zatrzymywania sprzętu komputerowego.
Tak rozumiany dowód elektroniczny wymaga właściwego podejścia
w całym postępowaniu od zabezpieczenia, poprzez analizę, aż po
prezentację w sądzie. Odpowiednie podejście, poprzez „najlepsze praktyki”,
wprowadza informatyka śledcza. Generalnie zasady te sprowadzają się do
Strona | 44
dbania o dwie główne cechy dowodu elektronicznego - autentyczność i
wierność (integralność). Są one realizowane poprzez techniki i procedury
dzięki którym możliwe jest potwierdzenie pochodzenia i integralności
elektronicznego materiału dowodowego.
W praktyce zachowanie autentyczności i wierności opiera się o
następujące zasady76
:
Szczególnej wiedzy i doświadczenia wymagają działania
podejmowane na oryginalnym materiale dowodowym.
Wszelkie działania z elektronicznym materiałem dowodowym
powinny odbywać się z wykorzystaniem rozwiązań technicznych
uniemożliwiających modyfikację analizowanych danych – tzw.
blokerów zapisu.
Jeśli to tylko możliwe, wszelkie czynności należy prowadzić na
kopiach nośników, wykonanych na zasadzie kopii binarnej, chyba że
nie zachodzi taka potrzeba.
Zabezpieczenie danych z nośników dowodowych powinno odbywać
się w sposób umożliwiający weryfikację ich integralności, w
szczególności zaś z zastosowaniem, wyliczonej w trakcie
zabezpieczania, sumy kontrolnej.
Czynności związane z zabezpieczeniem oraz analizą dowodów
elektronicznych powinny być należycie dokumentowane w celu
umożliwienia późniejszej weryfikacji dokonanych czynności – a
zatem zabezpieczany sprzęt i nośniki powinny być prawidłowo
(jednoznacznie, z wyróżnieniem cech indywidualnych) oznakowane,
opisane w protokole zabezpieczania i oplombowane,
Specjalista/biegły powinien potrafić wykazać, co działo się z
powierzonym mu materiałem od momentu wejścia w jego
posiadanie do momentu przekazania organowi prowadzącemu
postępowanie.
Ponieważ zapisy dotyczące czasu przechowywane w urządzeniach
elektronicznych są realizowane prze konkretne urządzenia
komputerowe, szczególnej uwagi podczas zabezpieczania i analizy
materiału dowodowego wymaga weryfikacja zgodności czasu
wskazywanego przez te urządzenie z czasem rzeczywistym.
W trakcie zabezpieczania dowodów należy przyjąć zasadę
kolejności zabezpieczania od najbardziej ulotnych dowodów do
najmniej ulotnych.
76
Według; najlepszych praktyk informatyki śledczej opracowanych przez dra Arkadiusza
Lacha. Zob. [Lach 2004].
Strona | 45
Rozpoznanie potencjalnych możliwości dowodowych
Postępowanie zgodne z zasadami informatyki śledczej wymaga od
organów ścigania właściwego poszukiwania, rozpoznania i ochrony
dowodów pochodzących z urządzeń elektronicznych, zgodnie z
obowiązującymi przepisami prawnymi, dobrymi praktykami i innymi
wytycznymi. Stosowane techniki muszą być odpowiednie zarówno dla
dużych systemów komputerowych, jak i zwykłych pamięci przenośnych.
Aby dobrze zaplanować dalsze działania, w kontekście danej
sprawy, warto zastanowić się nad odpowiedziami na poniższe pytania:
Czy jest sens zabezpieczania/analizy urządzeń komputerowych? –
być może pozyskanie odpowiednich dowodów nie jest już możliwe,
gdyż np. sprawa dotyczy zdarzenia sprzed 10 lat.
Czy zamiast komputerów wystarczy zabezpieczyć dane?
o Komputery:
w przypadku gdy są przedmiotem wykonawczym,
jeśli służyły jako narzędzia drukowania lub
przetwarzania np. fałszywych dokumentów,
o Dane:
Jeśli będzie wymagane badanie oprogramowania
(kradzież własności intelektualnej, oprogramowanie
jako narzędzie przestępstwa, itd.),
Jeśli będzie konieczna analiza danych (np. zdjęcia o
charakterze pornografii dziecięcej, księgowość,
zapisy z rozmów, poczta elektroniczna, itd.),
Gdzie powinno zostać przeprowadzone przeszukanie danych - w
miejscu zabezpieczenia czy w laboratorium? W niektórych
przypadkach nie można zatrzymać pracy urządzeń komputerowych
gdyż np. odpowiadają za ważne procesy. W takim przypadku
niezbędne może być dokonanie oględzin na miejscu i skopiowanie
odpowiednich danych za pomocą narzędzi informatyki śledczej
(COFEE, EnCase77
FIM, F-Response)
Jacy eksperci powinni zostać zaangażowani (np. sieci komputerowe
wymagają znacznie większej wiedzy od eksperta)?
Jakie dodatkowe działania policji są niezbędne? Na przykład
zabezpieczenia danych są bardzo trudne do ominięcia, a w
niektórych przypadkach odczytanie zabezpieczonej informacji jest
niemożliwe bez posiadania hasła. Dlatego większość haseł powinna
być uzyskiwana w trakcie zabezpieczania przy przesłuchiwaniu
77
Zob. np. [Bunting, Wei 2006].
Strona | 46
świadków. W przesłuchaniu należy zatem zapytać o rodzaj aplikacji
lub oprogramowania, które były używane, jak były zabezpieczone i
jak brzmiało hasło.
Czy przed zatrzymaniem sprzętu nie zachodzi konieczność badań
przez innych biegłych (np.. tylko daktyloskopijne badania odcisków
palców na klawiaturze mogą jednoznacznie wskazać jaka osoba
ostatnio jej używała)?
Jakie mogą wystąpić problemy prawne w trakcie zabezpieczania (np.
dane mogą być objęte tajemnicą radcowską)?
Zabezpieczanie dowodów
Moment zabezpieczania dowodów elektronicznych opiera się o
problem uwierzytelnienia dowodów w sposób nie pozostawiający
wątpliwości, że zostały one uzyskane z danego komputera w określonym
miejscu i czasie78
. W zależności od sprawy, może to wymagać różnego
podejścia. np. w przypadku zdarzeń związanych z Internetem istotne mogą
być wszelkiego typu logi, odwiedzane strony WWW, adresy email, nazwy
użytkowników itp. W przypadku innych spraw mogą to być inne informacje
– np. księgowość elektroniczna. Odpowiednie spojrzenie na zdarzenie
pozwala na ustalenie czy wystarczające jest tylko badanie komputera
osobistego podejrzanego czy też zabezpieczenia wymagają serwery,
urządzenia peryferyjne czy również nośniki kopii zapasowych. W ramach
przygotowań do zabezpieczania należy wziąć pod rozwagę następujące
elementy:
Podczas zabezpieczenia dowodów należy zapewnić odizolowanie
urządzeń od osób, które mogłyby – celowo lub przypadkowo –
zmienić bądź usunąć zapisy informacji na nich się znajdujących
Jeśli komputery są podłączone do sieci komputerowej możliwa jest
zdalna ingerencja osób trzecich i np. wymazanie istotnych danych,
Niektóre informacje mogą być przechowywane nie w kluczowych
systemach tylko na pamięciach przenośnych (np. breloczki z
pamięciami USB),
Podejrzany nie musi być właścicielem urządzeń lub nośników.
Informacje mogą być przechowywane na „wspólnych” dla wielu
podmiotów serwerach, a nawet na nośnikach należących do osoby
trzeciej, do których to nośników przestępca uzyskał dostęp bez jej
wiedzy i zgody
Przechowywane w systemach informacje są często chronione
78
por. np. [Carrier 2006].
Strona | 47
uprawnieniami administratora, których podejrzany może nie
posiadać.
W systemie informatycznym mogą być przechowywane informacje
prawnie chronione, np. tajemnica radcowska.
Informacje mogą być zabezpieczone za pomocą haseł, kluczy
szyfrowych, kluczy fizycznych i innych urządzeń z kontrolą dostępu.
Zabezpieczanie, ze względu na szczególną cechę dowodów
elektronicznych, jaką jest możliwość szybkiego zniszczenia zapisów, w
pierwszej kolejności powinno obejmować uniemożliwienie dostępu do
komputerów oraz niedopuszczenie do wydostania się na zewnątrz
informacji o trwającym zabezpieczaniu materiału dowodowego (w
szczególności w przypadku, gdy taka informacja może być ostrzeżeniem dla
przestępcy). Jednocześnie należy pamiętać, że nie zawsze posiadacz sprzętu,
na którym znajdują się informacje o popełnieniu przestępstwa jest jego
sprawcą, zaś informacje odeń uzyskane mogą pozwolić na szybkie ustalenie
istotnych dla sprawy okoliczności.
Dobrym zwyczajem jest sfotografowanie miejsca, w którym
znajduje się sprzęt komputerowy. Sam proces zabezpieczania powinien
przebiegać bez jakiejkolwiek „pomocy informatycznej” podejrzanych.,
Cechy właściwe dowodowi elektronicznemu pozwalają na różnorakie
podejście począwszy od zwykłego zatrzymania komputerów, skończywszy
na wyodrębnieniu przez specjalistę fragmentu danych z dużego systemu,
bez jego wyłączania. Należy pamiętać, że unieruchomienie systemów
informatycznych w czasie przeszukania czy ich zatrzymanie może
pociągnąć za sobą daleko idące konsekwencje dla posiadacza sprzętu,
począwszy od trudności natury osobistej (brak dostępu do danych takich jak
przygotowywane pisma, listy e-mail itd.), poprzez zakłócenie ciągłości
działania biznesowego (brak możliwości wystawienia faktury, naliczenia
płac itd.) aż do zagrożenia zdrowia i życia włącznie (np. unieruchomienie
komputerów stanowiących część stanowiska diagnostyki medycznej),
dlatego też działania takie należy starannie planować.
Ze względu na możliwość przypadkowej modyfikacji lub
zniszczenia danych, zaangażowani do zabezpieczania biegli i specjaliści
powinni posługiwać się zaufanymi narzędziami, a wszelkie operacje na
nośnikach dowodowych powinny być wykonywane przez urządzenia
blokujące zapis. Każdą czynność należy udokumentować w protokole
zabezpieczania oraz odnotować w nim również datę i czas systemowy
zatrzymywanych urządzeń.
Chociaż na ogół nie jest to konieczne, może być również
uzasadnione dokonanie oględzin włączonego sprzętu komputerowego, np. w
Strona | 48
celu oceny jakie są przyłączone zasoby sieciowe lub czy nie jest
zainstalowane oprogramowanie szyfrujące. Co do zasady, działania takie
powinien prowadzić specjalista. Jeśli to nie jest możliwe, wszelkie
czynności powinny być szczegółowo odnotowane a kolejne ekrany
sfotografowne do celów późniejszej analizy.
Przed odłączeniem jakiegokolwiek urządzenia należy zwrócić
uwagę, czy nie będzie konieczne zabezpieczenie danych ulotnych (pamięć
RAM), np. w przypadkach związanych z infekcjami i kradzieżami z kont
internetowych. Pozyskane w ten sposób informacje mogą być bezcenne w
dalszym badaniu przez biegłego, gdzie zwyczajne wyłączenie komputera
może trwale uniemożliwić odnalezienie dowodów. Podobnie wyłączenie
komputera, w przypadku gdy mamy do czynienia z danymi szyfrowanymi,
może doprowadzić do sytuacji w której deszyfracja nie będzie już nigdy
możliwa bez znajomości hasła. W takich przypadkach, jeśli mamy dostęp
do sytemu, należy wykonać kopię danych przed jego wyłączeniem.
W zależności okoliczności wyłączanie sprzętu należy przeprowadzić
albo zgodnie z procedurą systemu albo poprzez inne procedury (np. przez
wyjęcie wtyczki zasilania). Pierwsza z opisanych sytuacji powoduje
zapisanie dodatkowych informacji w logach systemowych oraz
uruchomienie programów przeznaczonych do uruchomienia w momencie
zamykania systemu, a więc może spowodować np. wymazanie pliku
wymiany w Windows czy uaktywnienie pozostawionego przez włamywacza
programu destrukcyjnego, druga – jako że nie zapewnia bezpiecznego
zakończenia trwających procesów zapisu – może spowodować zaburzenia
integralności danych aktualnie przetwarzanych w systemie. Odpowiedni
sposób działania należy dobrać od konkretnej sytuacji. Urządzeń
wyłączonych nie wolno pod żadnym pozorem włączać ponieważ każde
uruchomienie powoduje zmiany zapisów zawartych na nośnikach.
Poniżej znajdują się zasady zabezpieczenia urządzeń, które
najczęściej podlegają zabezpieczeniu w trakcie prowadzenia przeszukania:
Komputery, laptopy
POTENCJALNE DOWODY
Dokumenty, bazy danych, pliki graficzne, pliki video, komunikatory,
archiwa, dane skasowane, informacje z różnych stron www, aukcji
internetowych, itd. Dowody infekcji, kradzieży tożsamości i kradzieży z
bankowych kont internetowych. Własność intelektualna: tzw.”nielegalne
oprogramowanie”, cracki, programy do rozpowszechniania.
Strona | 49
NAJLEPSZE PRAKTYKI
1. Jeśli komputer jest wyłączony, nie wolno pod żadnym pozorem go
włączać Włączenie komputera spowoduje naruszenie integralności
niektórych informacji np. logów systemowych, a może również
prowadzić do uruchomienia zainstalowanych w komputerze programów
destrukcyjnych czy szpiegowskich, co w konsekwencji może
doprowadzić do zniszczenia dowodu, ostrzeżenia przestępcy itd.
2. Jeśli komputer jest włączony:
Skonsultuj się ze specjalistą informatyki śledczej,
Jeśli specjalista jest niedostępny:
Sfotografuj ekran,
Odłącz od źródła zasilania kable zasilające z tyłu komputera
(odcięcie zasilania z tyłu komputera udaremni działanie UPS-a),
Laptopy są zasilane baterią. Bateria jest zwykle ulokowana na
spodzie laptopa, gdzie zazwyczaj znajduje się przycisk lub
przełącznik pozwalający wyjąć baterię. Po wyjęciu baterii nie
należy jej wkładać z powrotem. Wyjęcie baterii może zapobiec
przypadkowemu włączeniu się laptopa.
3. Zaklej taśmą zabezpieczającą otwór każdego napędu,
4. Sfotografuj lub zrób schemat połączeń, znakując połączone komponenty
komputerowe w jednoznaczny sposób,
5. Oznakuj wszystkie końce przejściówek/kabli, by można łatwo było je
ponownie połączyć w razie potrzeby,
6. Jeśli to konieczne, zabierz wszystkie urządzenia peryferyjne, kable,
klawiatury i monitory. Dla urządzeń innych niż komputery zabierz
instrukcje obsługi, dokumentację i notatki (mogą zawierać hasła),
7. Zapakuj sprzęt co najmniej w folię ochronną a najlepiej w karton z
etykietą „ostrożnie”,
8. Przechowuj urządzenia z daleka od magnesów, nadajników radiowych i
innych elementów stwarzających potencjalne zagrożenie wpływu na
urządzenie,
9. Komputery przechowuj w temperaturze pokojowej w niezwilgoconym
pomieszczeniu
Komputery pełniące funkcje biznesowe (serwery)
POTENCJALNE DOWODY
Dokumenty, bazy danych programów księgowych, archiwa
użytkowników, logi systemowe.
Strona | 50
NAJLEPSZE PRAKTYKI
1. Skonsultuj się ze specjalistą informatyki śledczej, aby otrzymać dalsze
wsparcie,
2. Zabezpiecz miejsce przeszukania i nie pozwalaj zbliżać się osobom z
poza grupy mającej doświadczenie w obchodzeniu się systemem
sieciowym,
3. Zastanów się czy nie należy niezwłocznie odłączyć systemu od sieci
internetowej w celu uniemożliwienia dostępu z zewnątrz
4. Nie wyłączaj zasilania - odcięcie zasilania może spowodować
uszkodzenie systemu lub zakłócenia w normalnym przebiegu procesu
biznesowego,
5. W oczekiwaniu na specjalistę ustal kto posiada prawa administracyjne
do systemu. Jeśli to możliwe doprowadź do odłączenia systemu od sieci
komputerowej.
Różne nośniki danych typu dysk zewnętrzny, pendrive, itd.
POTENCJALNE DOWODY
Dokumenty, pliki graficzne, archiwa, odzyskane informacje, zapisy
związane z danymi logowania do różnych usług sieciowych.
NAJLEPSZE PRAKTYKI
1. Jeśli nie ma potrzeby, nie podłączaj urządzenia. Jeśli jest to konieczne,
odnotuj wszystkie czynności.
2. Jeśli urządzenie jest podłączone i zamontowane w systemie, należy je
odmontować zgodnie z zasadami systemu. W ostateczności po prostu
odłącz licząc się z ew. uszkodzeniami danych.
3. Zapakuj w opakowanie antystatyczne.
Telefony komórkowe
POTENCJALNE DOWODY
Książka telefoniczna, wiadomości sms, połączenia przychodzące i
wychodzące, nazwiska i inne dane kontaktowe, zdjęcia, dane logowania do
różnych usług, odzyskane informacje.
Strona | 51
NAJLEPSZE PRAKTYKI
1. Jeśli telefon jest włączony, zastanów się zanim wyłączysz.
Wyłączenie może powodować konieczność ustalenia PUK od
operatora,
Wyłączenie może aktywować opcję zablokowania urządzenia,
Włączony telefon nadal odbiera połączenia i wiadomości SMS
(może to powodować nadpisanie skasowanych informacji),
Opisz lub sfotografuj wszystkie informacje z wyświetlacza,
Odłącz zasilanie przed transportem, zabierz ładowarkę jeśli jest
dostępna,
2. Jeśli urządzenie jest wyłączone, nie włączaj go.
Włączenie urządzenia zmienia zapisane w nim informacje,
Weź pod uwagę, że opóźnienie w przeprowadzeniu ekspertyzy
może skutkować utratą informacji jeśli bateria zostanie
wyczerpana. Postaraj się o zapewnienie zasilania.
Aby przeanalizować telefon niezbędny może być kod PIN lub
PUK. Jeśli nie uzyskałeś go od posiadacza telefonu, możesz
zwrócić się do dostawcy usług. Może on zostać zidentyfikowany
poprzez numer ICC wydrukowany na karcie SIM. W Polsce 5 i 6
cyfra tego numeru oznaczają:
01 Plus Polkomtel S.A.
02 Era Polska Telefonia Cyfrowa Sp. z o.o.
03 Orange Polska Telefonia Komórkowa Centertel Sp. z
o.o.
04 Tele2 Tele2 Polska Sp. z o.o.
06 Play P4 Sp. z o.o.
07 Premium
Internet
Premium Internet S.A.
3. Zapakuj telefon co najmniej w folię ochronną a najlepiej w kartonik z
etykietą „ostrożnie”,
Aparaty cyfrowe, kamery, sprzęt audio
POTENCJALNE DOWODY
Aparaty, kamery oraz sprzęt audio mogą działać zarówno
niezależnie jak i w sieci, być wykorzystywane w warunkach domowych
oraz biznesowych. Mogą zawierać oprócz treści oczywistych, ze względu na
Strona | 52
funkcjonalność obrazy, również dokumenty i archiwa. Niektóre urządzenia
mogą być bardzo zaawansowane i przechowywać wiele informacji.
NAJLEPSZE PRAKTYKI
1. Jeśli urządzenie jest wyłączone, nie należy go włączać,
2. Jeśli urządzenie jest włączone:
Sfotografuj ekran, następnie odłącz od źródła zasilania, odłącz kable
z urządzenia.
Wyłącz urządzenie przyciskiem, a jeśli to niemożliwe, wyciągając
baterię.
Zidentyfikuj i zabezpiecz nośniki (karty pamięci) poprzez
przełączenie przełącznika zapisu w pozycję „locked”, w celu
zabezpieczenia przed przypadkowym nadpisaniem,
Zabezpiecz urządzenie
o Zabezpiecz plombą otwór lub osłonkę do instalowania kart
pamięci,
o Traktuj urządzenie jako wrażliwe – zapakuj je odpowiednio,
o Pamiętaj, że w niektórych modelach opóźnienia w
przeprowadzaniu ekspertyzy mogą skutkować utratą
informacji z powodu rozładowania baterii,
o Wraz z urządzeniem zabezpiecz wszelkie instrukcje,
odnoszące się do niego wraz z kablami zasilającymi i innymi
urządzeniami powiązanymi.
Drukarki
POTENCJALNE DOWODY
Drukarki mogą przechowywać zapisane dane, np. pliki
przygotowane do wydruku,
NAJLEPSZE PRAKTYKI
1. Odłączenie włączonej drukarki może spowodować utratę plików
czekających na wydruk!
2. Jeśli drukarka posiada zewnętrzny zasilacz – zabierz go koniecznie,
3. Sfotografuj system połączeń,
4. Wraz z drukarką zabierz wszystkie urządzenia zależne,
Strona | 53
Satelitarne systemy nawigacyjne (GPS)
POTENCJALNE DOWODY
Zapamiętane dane- tekst, obrazy/mapy, trasy, zaznaczone miejsca,
ramy czasowe podróży.
NAJLEPSZE PRAKTYKI
1) Jeśli urządzenie jest wyłączone, nie należy go włączać.
2) Jeśli urządzenie jest włączone:
Sfotografuj ekran, następnie odłącz od źródła zasilania, odłącz kable
z urządzenia.
Jeśli urządzenie ma gniazda na dodatkowe karty pamięci –
zabezpiecz je plombą.
W niektórych modelach urządzeń opóźnienia w przeprowadzaniu
ekspertyzy mogą skutkować utratą informacji z powodu
rozładowania baterii,
Zadbaj o właściwe przechowywanie urządzenia,
Jeśli to możliwe zabezpiecz wszelkie instrukcje do GPS kable
zasilające i inne urządzenia powiązane.
Skimmery i inne urządzenia szpiegujące
POTENCJALNE DOWODY
Kradzione numery kart, informacje identyfikujące ofiarę, numery
CVC i CVV dla odpowiednich kart.
NAJLEPSZE PRAKTYKI
1. Nie próbuj usuwać lub wymieniać baterii,
2. Nie dotykaj przycisków i wyłączników - niektóre z tych urządzeń
posiadają funkcję niszczenia potencjalnych dowodów,
3. Tego typu urządzenia powinny zostać natychmiast poddane ekspertyzie,
aby zapobiec utracie materiału dowodowego.
4. Urządzenia tego typu są konstruowane samodzielnie przez sprawcę, co
może wpływać dodatkowo na ich podatność fizyczną na zniszczenia.
Inne nośniki danych
Nośniki danych służą do przechowywania informacji pochodzących
z urządzeń elektronicznych. Na rynku istnieje cały szereg różnego typu
Strona | 54
nośników informacji, jak np.:
dyskietki różnych formatów,
zewnętrzne lub wymienne dyski twarde,
taśmy,
płyty kompaktowe (CD), DVD i BRD,
karty magnetyczne,
karty pamięci do komputerowego zapisu plików muzycznych
POTENCJALNE DOWODY
Głównie archiwa danych lub programów
NAJLEPSZE PRAKTYKI
1. Traktuj nośniki jako wrażliwe – zapakuj je odpowiednio – każdy nośnik
w odrębną kopertę lub pudełko tak aby zapobiec powstaniu zarysowań,
pęknięć nośnika czy i oderwaniu warstwy odblaskowej, co może
uniemożliwić odczytanie dysku,
2. Nośniki należy przechowywać z dala od magnesów, radioodbiorników
oraz chronić przed szkodliwym wpływem środowiska: ciepłem,
zimnem, brudem,
Zabezpieczony materiał należy kolejno numerować, odpowiednio i
czytelnie znakować, zgodnie z protokołem zabezpieczania, a następnie
plombować. Nanosząc wszelkie oznaczenia należy zwracać uwagę na
miejsce ich naniesienia – np. przyklejenie naklejki na płytę CD/DVD/BRD
może doprowadzić do jej zniszczenia. Należy numerowac koperty (pudełka)
w których umieszczony jest materiał natomiast nie należy pisać na
powierzchni materiału (np. płyt CD/DVD/BRD) – w niektórych
przypadkach napisy naniesione na płycie mogą same w sobie stać się
przedmiotem analizy pismoznawczej, umieszczanie dodatkowych napisów
może utrudnić bądź uniemożliwić takie badania. Wszystkie nośniki i
urządzenia wymagają przechowywania w sposób bezpieczny, z dala od
źródeł ciepła, pól elektromagnetycznych, wilgoci. Większość nośników nie
jest odporna na zarysowania lub uderzenia. W sprzedaży znajdują się
dedykowane opakowania i pudełka pozwalające przewozić np. dyski twarde
w sposób elektrostatycznie i mechaniczne bezpieczny.
Strona | 55
Podsumowanie
Zgodność zabezpieczania elektronicznego materiału dowodowego z
zasadami informatyki śledczej jest niezwykle ważnym czynnikiem w
aspekcie możliwości potwierdzenia jego wiarygodności i niezmienności w
trakcie dalszego postępowania. Proste mechanizmy jak możliwość
obliczenia sumy kontrolnej pozwalają w każdym momencie, poprzez
ponowne wyliczenie, potwierdzić, że nie nastąpiła manipulacja lub
przypadkowa modyfikacja zapisów na nośnikach źródłowych. Kopiowanie
binarna, (kopia technicznie identyczna z oryginałem), daje niespotykane dla
innych dowodów możliwości zabezpieczenia materiału oraz, na przykład,
przekazanie go do analizy równolegle kilku biegłym różnych specjalności.
Z drugiej strony wrażliwość cyfrowych nośników informacji na
uszkodzenie i niezamierzoną modyfikację (czasami zwaną kontaminacją
dowodu elektronicznego) powoduje, że niezwykle łatwo jest dowód
„zepsuć”. Dlatego niezwykle istotne jest aby najlepsze praktyki informatyki
śledczej były stosowane już teraz dla wszystkich - nawet tych najprostszych
- spraw.
Bibliografia
1. [Lach 2004] Lach A.: Dowody elektroniczne w procesie karnym.
Studio Kropka DTP. Toruń 2004.
2. [Carrier 2006] Carrier B.: File System Forensic Analiysis. Addison-
Wesley Pearson Education. Upper Saddle River 2006.
3. [Bunting, Wei 2006] Bunting S., Wei W.: EnCase Certified Examiner
Study Guide. Wiley Publishing, Inc. Canada 2006.
Strona | 56
ROZDZIAŁ 3.
WIADOMOŚCI SPECJALNE BIEGŁEGO LUB SPECJALISTY W
POSTĘPOWANIU KARNYM, W KTÓRYM UJAWNIONO DOWÓD
ELEKTRONICZNY
Adam BAWOROWSKI*
Już w 1979 roku Sąd Najwyższy zauważył, że „Korzystanie w
znacznie szerszym zakresie z wiedzy specjalistycznej i według aktualnego
jej stanu i poziomu w różnych dziedzinach winno należeć do podstawowych
elementów postępowania karnego, zwłaszcza zaś postępowania
dowodowego w sprawach złożonych pod względem faktycznym i
dowodowym. Postęp wiedzy oraz rozwój nauki w różnych dziedzinach jest
niewątpliwie szybki, bardziej specjalistyczny i obejmuje coraz to nowe
sfery życia społecznego i jednostki, jej psychiki i osobowości oraz coraz to
nowe sfery ogólnie pojętej techniki. W związku z postępem wiedzy i
rozwojem nauki w różnych jej dziedzinach następuje również postęp i
rozwój wiedzy specjalistycznej stosowanej dla potrzeb wymiaru
sprawiedliwości i organów ścigania (wyr. SN z 17 X 1979 r., I KR 140/79,
OSNPG 1980, nr 6, poz. 86).
Teza ta jest jak najbardziej aktualna w dniu dzisiejszym, w
szczególności gdy spojrzy się na wykorzystanie nowoczesnych technologii
informatycznych przez uczestników procesu a zwłaszcza sprawców czynów
bezprawnych. Oznacza to, że wymiar sprawiedliwości stanął przed
problemem fachowego wykorzystania dowodów istniejących w szeroko
pojętym świecie informatycznym zwanych danymi informatycznymi.
Procesowe wykorzystanie dowodu w formie urządzenia nie nastręcza
trudności – jest to rzecz, którą w znany powszechnie sposób można
odnaleźć, zatrzymać, dokonać oględzin lub badań. Jednakże dowodem
jakiegokolwiek działania w przestrzeni informatycznej nie jest urządzenie
lub nośnik, a właśnie dane informatyczne, które stanowią informację.
Jednakże informacja nie jest rzeczą i ujawnienie jej i wykorzystanie dla
potrzeb procesu, przy postępującym rozwoju techniki informatycznej, nie
jest wcale proste. Wiedza o możliwościach pozyskiwania i
wykorzystywania informacji zapisanej w postaci cyfrowej wymaga
wiadomości z zakresu prawa dotyczącego świata elektronicznego –
począwszy od zdawania sobie sprawy z powstawania nowej odrębnej
instytucji prawnej w postaci dokumentu elektronicznego a na interpretacji
* Adwokat, [email protected]
Strona | 57
dowodów elektronicznych skończywszy, ale też podstawowych wiadomości
z zakresu informatyki pozwalających stwierdzić jak, gdzie i kiedy tych
informacji szukać. Wiedzę o aspektach prawnych dowodów elektronicznych
posiadać powinni prawnicy, w szczególności działający na niwie wymiaru
sprawiedliwości, co jest oczywiste. Jednakże powinni oni też wykazać się
wiedzą o możliwościach poszukiwania tych dowodów, by w sposób
fachowy móc je ocenić. Przy tym orzecznictwo Sądu Najwyższego jest
jednoznaczne – tam gdzie dla rozstrzygnięcia okoliczności mających istotne
znaczenie dla rozstrzygnięcia sprawy wchodzą w grę wiadomości specjalne,
czyli które nie są dostępne dla dorosłego człowieka o odpowiednim
doświadczeniu życiowym, wykształceniu i zasobie wiedzy ogólnej (wyr. SN
z 15 IV 1976 r., II KR 48/76, OSNKW 1976, nr 10-11, poz. 133) organ
zobowiązany jest powołać osobę, która te wiadomości posiada, czyli
biegłego lub specjalistę.
Jednak biegły nie może być powołany do oceny prawa, bowiem to
organ procesowy musi posiadać takie wiadomości.
Powołanie biegłego informatyka w celu zabezpieczenia i
ujawnienia danych informatycznych
W dzisiejszej dobie wszelkie informacje mogą być przechowywane
w systemach informatycznych. Informacja taka zaś niewątpliwie może być
dowodem (zwanym dowodem elektronicznym) w postępowaniu. Istotą
dowodów elektronicznych jest to, że istnieją one jedynie w postaci zapisu
cyfrowego w formie kodu przetwarzanego przez odpowiednie
oprogramowanie i urządzenia.
W zależności od formy pierwotnego powstawania tego dowodu
przyjmuje się podział na dowody cyfrowe (elektroniczne) sensu stricto oraz
dowody zdigitalizowane79
. Dowody cyfrowe wytworzone zostały w formie
elektronicznej, zdigitalizowane zaś powstały pierwotnie w innej „realnej”
formie (np. pisemnej, zdjęcia), a dopiero poprzez użycie odpowiednich
technik informatycznych (np. skanowanie) zamienione na informatyczny,
cyfrowy równoważnik oryginału. Podział ten ma niebagatelne znaczenie dla
ujawniania pochodzenia i wprowadzania do procesu tych dowodów. Jeśli
bowiem organ dysponuje wydrukiem komputerowym, to powinien
poszukiwać jego oryginału w postaci danych zapisanych w formie cyfrowej,
bowiem jedynie dowód w takiej postaci wskazywać będzie na fakt
wytworzenia informacji ujawnionych na wydruku. Jeśli jednak okoliczności
wskazują, iż zapis cyfrowy powstał przez zdigitalizowanie zapisu 79
Zob. [Lach 2004].
Strona | 58
pierwotnie ustalonego w innej, niecyfrowej postaci, to ujawnić należy tenże
oryginał. Za przykład można tu przedstawić wprowadzenie do sieci Internet
dokumentów objętych klauzulą tajności, które miały pierwotnie postać
papierową, poprzez ich zeskanowanie. W przypadku potrzeby dokonania
oceny prawnej ujawnienia tajemnicy należałoby wykazać identyczność
tychże przedstawień, jedynym zaś sposobem na to będzie porównanie
oryginału w formie papierowej i jego kopii cyfrowej w odpowiedni sposób
wizualizowanej.
Podkreślić należy, iż każdy niemal czyn, w zależności od jego formy
stadialnej albo zjawiskowej, można popełnić używając technik
informatycznych. Zatem nie można ograniczać się do wykorzystywania
dowodów elektronicznych jedynie do sfery przestępstw tzw.
komputerowych. Koronnym tego przykładem będą sprawy o oszustwa na
aukcjach internetowych. Mimo że do znamion przestępstwa określonego w
art. 286 kk nie należy działanie poprzez media elektroniczne, to
niewątpliwie sposób działania sprawców tych czynów koncentruje się w
sieci Internet. W środowisku informatycznym bowiem odbywa się proces
wprowadzania w błąd pokrzywdzonych i utrzymywanie ich w błędzie co
skutkuje niekorzystnym rozporządzeniem przez nich swym mieniem, co też
może odbywać elektronicznie.
Zatem na początku rozważań o udziale biegłych informatyków w
wykorzystywaniu dowodów elektronicznych w procesie należy postawić
tezę: do praktycznego ujawniania, zabezpieczania i badania danych
informatycznych niezbędne są wiadomości specjalne odpowiednio
wybranego biegłego lub specjalisty. Zaś ocena prawidłowości
przeprowadzenia dowodu z opinii biegłego oraz jego ocena prawna należy
jedynie do organu, który siłą rzeczy powinien odpowiednie doświadczenie i
zasób wiedzy w tej dziedzinie.
Z powyższego wynika, iż wiele dowodów na niezgodną z prawem
działalność sprawców można odnaleźć w świecie cyfrowym, zarówno w
urządzeniach użytkowanych przez nich, w systemach teleinformatycznych
przedsiębiorstw aukcyjnych, systemach teleinformatycznych podmiotów
dostarczających połączenia z siecią Internet (providerów), jak też w
urządzeniach użytkowanych przez pokrzywdzonych. Odpowiednio zebrane
dowody elektroniczne mogą wskazywać na działanie konkretnych osób.
Należy więc przybliżyć metody ujawniania i zabezpieczania tych informacji
elektronicznych (dowodów) oraz zastanowić się, w jakich przypadkach
powołanie biegłego lub specjalisty będzie niezbędne.
Na wstępie trzeba jednak zaznaczyć, że osoby nie posiadające
wiadomości specjalnych w rozumieniu kpk w zakresie informatyki nie
powinny samodzielnie włączać urządzeń elektronicznych, uruchamiać
Strona | 59
informatycznych nośników danych, a co najważniejsze przeprowadzać
przeszukiwania zabezpieczonego sprzętu informatycznego, bowiem mogą
nieopacznie zmienić lub skasować dane informatyczne, co doprowadzi do
utraty wiarygodności dowodowej ujawnionych informacji. Jednocześnie
podkreślenia wymaga fakt, iż przeprowadzenie czynności zabezpieczenia
dowodów elektronicznych musi nastąpić niezwłocznie po uzyskaniu przez
organ uprawdopodobnionej informacji o ich istnieniu. Dowód elektroniczny
bowiem, który jest informacją zapisaną na informatycznym nośniku danych,
charakteryzuje się tym, iż może zostać łatwo dostać zmieniony, skasowany,
jak też definitywnie utracony. Zatem nie można wykluczyć sytuacji, że
sprawca dowiedziawszy się o prowadzonych czynnościach skierowanych na
jego osobę zmieni lub zniszczy dane informatyczne lub zniszczy też
informatyczny nośnik danych, pozbawiając tym samym organ znaczących, a
często jedynych dowodów.
Przeto do gromadzenia materiału dowodowego w postaci danych
informatycznych należy podchodzić w sposób uważny, a planując czynności
procesowe – szczególnie mieć na uwadze, iż osoby, u których mogą być
ujawnione te dowody nie powinny mieć dostępu do danych od chwili
dowiedzenia się, jakie dowody są przez organ poszukiwane. Jednocześnie
wskazać należy, iż najczęściej dane informatyczne usuwane są z nośników
poprzez ich wykasowanie, które jednak nie usuwa ich w sposób
permanentny i możliwe jest odczytanie za pomocą wyspecjalizowanego
sprzętu oraz oprogramowania, które jest w posiadaniu biegłych i
specjalistów z zakresu informatyki. Zatem, o ile nie doprowadzi się do
sytuacji, w której sprawca, zacierając ślady, zniszczy nośnik danych, to
możliwym będzie wprowadzenie do procesu karnego informacji nawet
usuniętych przez niego z tegoż nośnika.
Z powyższych rozważań wypływa więc wniosek, że niezwłocznie po
otrzymaniu uprawdopodobnionej informacji o potrzebie zabezpieczenia
dowodów elektronicznych powstanie potrzeba wydania odpowiedniego
postanowienia o zasięgnięciu opinii biegłego.
Przed wydaniem powyższego postanowienia niezbędnym jest
zebranie materiału dowodowego, który zostanie przekazany do badań.
Biegły bowiem nie jest uprawniony do poszukiwania dowodów, może
jedynie wykonać odpowiednie badania przekazanego mu materiału. Zatem
można wskazać następujące elementy, które poprzedzać muszą wydanie
postanowienia:
1. określenie kierunku postępowania;
2. zapoznanie się z materiałem dowodowym80
;
80
Zob. [Jeżewska 2005] s. 97.
Strona | 60
3. określenie powodu, dla którego wiadomości specjalne są niezbędne;
4. obranie odpowiedniego momentu powołania biegłego;
5. wybór biegłego danej specjalności.
Określenie kierunku postępowania, rozumianego jako dokonanie
subsumcji przestępnego zachowania się sprawcy, ma podstawowe znaczenie
dla wdrożenia procesu zbierania dowodów w sprawie. W zakresie
przestępstw, w dokonaniu których sprawca działał z użyciem nowoczesnych
technologii, w szczególności przestępstw tzw. komputerowych, których
znamiona zostały określone przez ustawodawcę w sposób nieostry, a nawet
w sposób pozwalający jedno i to samo zachowanie się zakwalifikować z
kilku przepisów bez stosowania instytucji zbiegu przepisów, z obranego
kierunku postępowania wynikać będzie potrzeba poszukiwania takich, a nie
innych dowodów.
Prowadzący postępowanie niewątpliwie musi zapoznać się z
zebranym materiałem dowodowym, by móc określić, czy materiał ten jest
pełny, czy też istnieje potrzeba jego uzupełnienia81
. Przekazywanie bowiem
biegłemu niepełnego materiału badawczego będzie pociągało za sobą
potrzebę wydania następnego postanowienia o uzupełnieniu opinii.
Zasięgając opinii biegłego organ procesowy musi być przekonany, iż
zachodzi potrzeba stwierdzenia okoliczności mających istotne znaczenie dla
rozstrzygnięcia sprawy i jedynie podmiot posiadający wiadomości specjalne
może wydać osąd co do tych okoliczności. Jednakże dostrzega się tu
ograniczenie – wiadomości muszą być specjalne, czyli „wiadomości nie
znane przeciętnemu człowiekowi, zdobyte przez niektóre osoby w drodze
uzyskania odpowiedniego wykształcenia bądź przez wykonywanie
określonego zawodu pozwalające na zdobycie wykształcenia w danej
dziedzinie powyżej przeciętnego poziomu”82
.
Właściwym momentem powołania biegłego w zakresie badania
danych informatycznych będzie jak najkrótszy czas od ujawnienia urządzeń
lub danych informatycznych.
Wybór biegłego o odpowiedniej wiedzy specjalistycznej będzie miał
również niebagatelne znaczenie dla wyjaśnienia okoliczności będących
podstawą jego powołania. Jak nie ulega wątpliwości, że do oględzin ciała
powołać należy lekarza o specjalizacji medycyna sądowa, a nie lekarza
psychiatrę, choć obaj biegli są lekarzami i teoretycznie powinni posiadać
odpowiednią wiedzę, tak podstawą wyboru biegłego z zakresu informatyki
będzie jego wiedza w wybranym zakresie, a nie ogólna informacja
81
Oczywiście zapoznanie się z cyfrowym materiałem dowodowym nie może być to
połączone z naruszeniem integralności zabezpieczonych dowodów, zarówno w postaci
urządzeń, jak i danych informatycznych. 82
Zob [Prusak 1999] str 1812.
Strona | 61
pochodząca z listy prezesa Sądu Okręgowego. Należy mieć bowiem na
względzie, iż informatyka jako dziedzina wiedzy i techniki posiada
kilkadziesiąt głównych działów i blisko tysiąc działów szczegółowych83
.
Zatem specjalista od budowy macierzy dyskowych może nie być specjalistą
od programowania, a specjalista od odzyskiwania danych z dysków
twardych komputerów nie musi znać się na odzyskiwaniu danych z
telefonów komórkowych. Powołanie biegłego informatyka, który nie ma
odpowiedniej wiedzy w danym zakresie może skutkować podważeniem
jego opinii. W praktyce przed powołaniem biegłego powinno się z nim
ustalić, czy posiada odpowiednie wiadomości specjalne.
Postanowienie o zasięgnięciu opinii biegłego, zgodnie z art. 194 kpk
musi zawierać następujące elementy:
1. imię, nazwisko i specjalność biegłego lub biegłych, a w wypadku opinii
instytucji, w razie potrzeby, specjalność i kwalifikacje osób, które
powinny wziąć udział w przeprowadzeniu ekspertyzy,
2. przedmiot i zakres ekspertyzy ze sformułowaniem, w miarę potrzeby,
pytań szczegółowych,
3. termin dostarczenia opinii.
Omówienie powyższych punktów nastąpi na przykładzie
dotyczącym zabezpieczenia danych informatycznych w postaci plików
graficznych na zabezpieczonym dysku twardym do sprawy dotyczącej
posiadania treści pornograficznych z udziałem małoletniego poniżej lat 15
(art. 202 § 4a kk).
W postanowieniu należy wskazać imię i nazwisko biegłego i jego
specjalność. Zatem nie wystarczy wskazać, iż organ wyznacza biegłego z
zakresu informatyki, ale należy podać jego specjalność, która będzie
umożliwiać stwierdzenie okoliczności mających istotne znaczenie dla
rozstrzygnięcia sprawy, np.:
„powołać XY - biegłego z zakresu informatyki o
specjalności (specjalizacji) ujawnianie i zabezpieczanie
danych informatycznych”.
Przepis wymaga wskazania przedmiotu ekspertyzy. Przedmiotem
będziemy nazywać wskazanie okoliczności, których wyjaśnienie zlecono
biegłemu84
. Zatem przedmiotem w naszym przykładzie będzie:
„ujawnienie danych informatycznych”
Zakres ekspertyzy oznacza granice i cel badań85
, zatem biegłego 83
Zob. [SSKI 2001]. 84 Zob. [Kopczyński 2008] s. 96. 85
Ibid., s. 98.
Strona | 62
powołuje się w tym wypadku:
„w celu stwierdzenia istnienia danych informatycznych
na dysku twardym o nr 1234567 opisanym w protokole
zatrzymania rzeczy z dnia…. o sygn. akt [...] ”,
a ujawnienie to ma nastąpić w granicach:
„ujawnienia dokonać w zakresie plików graficznych oraz
danych wskazujących na ich zapisywanie, zmienianie,
wyświetlanie, sprowadzanie i udostępnianie tych plików w
okresie od dnia [...] do dnia [...]”.
W razie potrzeby organ uprawniony jest do zadania pytań
szczegółowych. Funkcją jaką spełniają te pytania jest szczegółowe
określenie granic badań. Przy zadawaniu tych pytań należy mieć na
względzie cel procesowy, dla jakiego biegły został powołany – wyjaśnienia
okoliczności sprawy. Dlatego też pytania nie mogą wychodzić poza zakres
wiedzy biegłego, jak też wychodzący poza okoliczności zdarzenia. Pytania
powinny być uporządkowane w kolejności logicznej, muszą być konkretne i
zwięzłe, bez używania terminów niezrozumiałych86
. Oczywiście pytania te
muszą korespondować z zebranym materiałem dowodowym, który będzie
wskazywać na sposób działania sprawcy. Oprócz pytań organ może wydać
biegłemu konkretne polecenia.
W tym zakresie można wskazać na możliwość zadania
następujących pytań i poleceń:
czy na badanym dysku twardym istnieją dane
informatyczne wskazujące na fakt zapisania lub
wyświetlania plików graficznych;
czy na badanym dysku twardym istnieją dane wskazujące
na sprowadzenie powyższych plików z sieci Internet, a
jeśli tak, to czy możliwe jest ustalenie kiedy i w jaki
sposób je sprowadzono;
czy na badanym dysku twardym zainstalowany jest
program umożliwiający wymianę plików graficznych, a
jeśli tak, to czy dane informatyczne wskazują na fakt jego
ustawień umożliwiających sprowadzanie lub
udostępnianie w okresie od dnia [...] do dnia [...] plików
graficznych;
czy na badanym dysku twardym znajdują się ukryte lub
86
Ibid., s. 97.
Strona | 63
usunięte pliki graficzne, a jeśli tak to czy możliwe jest ich
odczytanie.
wykonanie kopii plików graficznych oraz danych
ustalonych zgodnie z pkt 1-4 i zapisanie ich na nośniku
optycznym o standardzie jednokrotnego zapisu danych.
Przedstawione powyżej pytania i polecenia stanowią jedynie
przykład ilustrujący wyznaczanie granic zakresu powołania biegłego.
Biegły nie jest uprawniony do wykraczania poza granice
wyznaczone przez zakres powołania, jak też oczywiście obowiązany jest do
udzielenia odpowiedzi na wszystkie zadane pytania lub odmowy
odpowiedzi na te, które wykraczają poza jego specjalność.
Analizując przedstawione w powyższym przykładzie granice
powołania biegłego, stwierdzić należy, iż nie może on zbadać przekazanego
mu dysku pod kątem ujawnienia innych plików niż graficzne. Również nie
jest uprawniony do obejścia lub przełamania zabezpieczeń danych.
Jednakże w naszym przykładzie uprawniony jest do ujawnienia plików
ukrytych.
W związku z postępującym rozwojem informatyki, a co za tym idzie
dostępnością wiedzy na temat ochrony danych informatycznych można
coraz częściej spotkać się z problemem zabezpieczenia metodą
elektroniczną, magnetyczną dostępu do danych, w tym popularną metodą
zablokowania dostępu poprzez nadanie hasła lub szyfrowania danych
informatycznych.
Napotykając urządzenie lub nośnik zawierające niedostępne lub
zaszyfrowane dane można użyć różnych metod pozwalających na poznanie
hasła umożliwiającego do nich dostęp, jednakże pamiętając przy tym o
przepisach poniżej cytowanego artykułu Kodeksu karnego:
Art. 267. § 1. Kto bez uprawnienia uzyskuje dostęp do
informacji dla niego nieprzeznaczonej, otwierając zamknięte
pismo, podłączając się do sieci telekomunikacyjnej lub
przełamując albo omijając elektroniczne, magnetyczne,
informatyczne lub inne szczególne jej zabezpieczenie, podlega
grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje
dostęp do całości lub części systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji,
do której nie jest uprawniony, zakłada lub posługuje się
urządzeniem podsłuchowym, wizualnym albo innym
urządzeniem lub oprogramowaniem.
Strona | 64
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób
określony w § 1-3 ujawnia innej osobie.
Pierwszą z metod jest zadanie przez prowadzącego postępowanie
pytania dysponentowi urządzenia lub nośnika o sposób zabezpieczenia
informacji w tym o przedmiotowe hasło. Jeśli osoba ta poda tę metodę to
organ będzie uprawniony z niej skorzystać. Jednak należy pamiętać, iż
podejrzany albo świadek pouczony o prawie wynikającym z art. 183 kpk nie
ma obowiązku podania tej informacji. Bazując na wiedzy dotyczącej
socjotechniki „łamania” haseł do systemów można też podjąć próbę
ustalenia słów kluczowych hasła – informacji dotyczących najbliższych,
znajomych, codziennych zachowań, hobby, itp. dysponenta hasła.
Jeśli jednak dysponent zabezpieczonych informacji nie ujawni
organowi sposobu zabezpieczenia należy dokonać próby jego obejścia lub
przełamania (złamania). Z uwagi jednak na dyspozycję powyżej
cytowanego przepisu próby te muszą być uprawnione. Na gruncie polskiego
prawa można postawić tezę, iż jedynym uprawnionym do obejścia lub
„złamania” hasła jest organ prowadzący postępowanie, albowiem tylko
jemu przysługują uprawnienia władcze co do ujawniania i zabezpieczania
dowodów, w tym wkraczania w sferę dóbr osobistych uczestników
postępowania.
Zgodnie z tym, co powiedziano wyżej, osoba nie posiadająca wiedzy
specjalnej nie może dokonywać ingerencji w urządzenia lub dane
informatyczne stanowiące dowód. Zatem do obejścia lub przełamania hasła
należy powołać biegłego z zakresu informatyki - specjalistę informatyki
śledczej lub kryptologa, bowiem sam organ czynności tych przeprowadzić
nie może. Aby uczynić zadość ograniczeniom prawa organ powołujący
koniecznie powinien uprawnić biegłego do obejścia albo przełamania
zabezpieczeń informacji, a więc szczegółowo określić, co do jakiego
urządzenia lub nośnika i w jaki sposób biegły jest uprawniony działać.
Przykładowo należy wskazać na następujący dotyczący tej kwestii zapis w
postanowieniu o powołaniu biegłego:
„powołać XY - biegłego z zakresu informatyki o
specjalności ujawnianie i zabezpieczanie danych
informatycznych (lub kryptologia) aby dokonać obejścia
lub przełamania zabezpieczeń informacji zgromadzonych
na zabezpieczonym informatycznym nośniku informacji
opisanym w protokole z dnia [...] o nr [...]”.
W tym miejscu należy przypomnieć, iż biegły dokonujący badań nie
jest uprawniony do obejścia lub przełamania zabezpieczeń „na własną rękę”
– bez odpowiedniego umocowania w postanowieniu. Zatem, jeśli w toku
Strona | 65
badań zabezpieczonego materiału zajdzie potrzeba dotarcia do
zabezpieczonych w jakikolwiek sposób informacji (danych
informatycznych), a w sentencji postanowienia nie znajduje się powyższy
zapis, biegły obowiązany jest uzyskać uprawnienie od organu
prowadzącego postępowanie, bowiem inaczej będzie można rozważać jego
odpowiedzialność z art. 267 kk.
W praktyce nader często można spotkać się, że organ w sprawie
toczącej się w kierunku art. 202§4a kk zadaje biegłemu pytanie: „czy na
badanym nośniku znajdują się zdjęcia zawierające pornografię dziecięcą”,
względnie „zawierające treści pornograficzne z udziałem małoletniego
poniżej 15 roku życia” lub podobne.
Pytania takie niewątpliwie nie powinny zostać zadane biegłemu z
zakresu informatyki, bowiem nie posiada on wiadomości specjalnych
pozwalających mu na stwierdzenie, co jest a co nie jest pornografią albo
określić wiek osób przedstawionych w plikach graficznych, które ma
ujawnić. Można przypuszczać, iż takie sformułowanie pytań przez organ ma
na celu zawężenie poszukiwań danych. Jednakże jest ono sprzeczne z literą
prawa nakazującą powołać biegłego zgodnie z jego wiedzą. Zatem można
zaproponować inną treść pytania, która zawęzi w sposób znaczący pole
poszukiwań przedstawień graficznych:
„czy na badanym dysku znajdują się pliki graficzne
zawierające przedstawienia postaci ludzkich”.
Na tak postawione pytanie biegły z zakresu informatyki bez
wątpienia jest w stanie odpowiedzieć.
Ostatnim elementem postanowienia o zasięgnięciu opinii biegłego
jest ustalenie terminu dostarczenia opinii, o czym stanowi art. 194 pkt 3
kpk. Termin ten wyznacza organ powołujący. Czas wykonania opinii jest
wyznaczany z jednej strony potrzebą wynikającą z toku postępowania
(terminy zakreślone ustawa) z drugiej zaś realnymi możliwościami
wykonania badań stanowiących podstawę ekspertyzy. Jak powiedziano
wyżej czynności zabezpieczające dane informatyczne mogące stanowić
dowód elektroniczny należy wdrożyć niezwłocznie po uzyskaniu informacji
o dokonaniu przestępstwa. Zatem rozważyć należy określenie terminu do
dostarczenia opinii pod kątem możliwości biegłego.
Czas trwania przeprowadzania ekspertyzy danych informatycznych
zależy od dwóch czynników:
1. liczby danych podlegających analizie zależnej od pojemności nośnika;
2. skomplikowania czynności badawczych, które musi podjąć biegły.
Zatem, należy twierdzić, że im dysk ma większą pojemność, tym
więcej danych informatycznych biegły będzie musiał zanalizować. Nadto
Strona | 66
rozwijająca się technika informatyczna coraz bardziej wpływa na możliwe
skomplikowanie badań np. z uwagi na ogólnie dostępne możliwości
kryptograficzne lub używanie przez sprawców unikatowego
oprogramowania, z którym biegły niejednokrotnie będzie zapoznawał się po
raz pierwszy. To implikuje czas trwania badań.
W praktyce należy więc przed wydaniem postanowienia o
zasięgnięciu opinii biegłego ustalić z nim przypuszczalny termin
dostarczenia opinii, bowiem pozbawione jest sensu zakreślanie nierealnego,
niemożliwego do dotrzymania terminu.
W związku w tym, że zabezpieczenie danych informatycznych jest
czynnością wymagającą wiadomości specjalnych (w postaci wiedzy i
metodach zabezpieczenia danych bez dokonywania zmian na oryginalnym
nośniku) oraz specjalistycznego sprzętu istnieje potrzeba powołania w tym
względzie biegłego informatyka, który wykona kopię binarną danych
informatycznych zgromadzonych na danym nośniku.
Powołanie to powinno mieć treść następującą:
„powołać XY - biegłego z zakresu informatyki
specjalności (specjalizacji) ujawnianie i zabezpieczanie
danych informatycznych celem wykonania kopii binarnej
danych zawartych na dysku [...]”,
Z przeprowadzonych czynności biegły obowiązany jest wydać
opinię, która musi posiadać określone informacje (art. 200 kpk):
1) imię, nazwisko, tytuł i stopień naukowy, specjalność i stanowisko
zawodowe biegłego,
2) imiona i nazwiska oraz pozostałe dane innych osób, które uczestniczyły
w przeprowadzeniu ekspertyzy, ze wskazaniem czynności dokonanych
przez każdą z nich,
3) w wypadku opinii instytucji - także pełną nazwę i siedzibę instytucji,
4) czas przeprowadzonych badań oraz datę wydania opinii,
5) sprawozdanie z przeprowadzonych czynności i spostrzeżeń oraz oparte
na nich wnioski,
6) podpisy wszystkich biegłych, którzy uczestniczyli w wydaniu opinii.
Dla niniejszych rozważań wagę ma punkt 5). Biegły obowiązany jest
zatem umieścić w opinii sprawozdanie z przeprowadzonych czynności. Przy
tworzeniu kopii danych powinnien on zawierać opis nośnika, z którego
wykonuje się kopię, użytego sprzętu oraz oprogramowania wraz z
powołaniem się na odpowiednie licencje, opis nośnika, na którym
utworzono kopię, informacje o błędach i trudnościach ujawnionych w toku
przeprowadzania czynności. Jednak należy zastanowić się jakie wnioski
biegły może wyciągnąć z przeprowadzonej czynności, która jest tylko
Strona | 67
czynnością techniczną, pozbawioną ocen. Wydaje się, że jedynym
wnioskiem z tak ujętego przedmiotu i zakresu dopuszczenia dowodu z
opinii biegłego może być jedynie stwierdzenie czy wykonana kopia danych
informatycznych jest przydatna do dalszych badań w postaci ujawnienia
danych. Tym bardziej, że biegły powinien po wykonaniu kopii binarnej
sprawdzić, czy jest ona zupełna i możliwa do odtworzenia.
Oszustwa na portalach aukcyjnych
Najczęściej popełnianym przestępstwem, do dokonania którego
wykorzystywana jest sieć Internet, jest oszustwo w portalu aukcyjnym.
Przystępując do prowadzenia sprawy o internetowe oszustwo
aukcyjne niewątpliwie pierwszą czynnością dokonaną przed wydaniem
postanowienia o wszczęciu postępowania będzie przyjęcie zawiadomienia
o podejrzeniu popełnienia przestępstwa i przesłuchanie pokrzywdzonego na
tę okoliczność. Przesłuchujący powinien dążyć do ustalenia pełnych
informacji dotyczących inkryminowanej aukcji, w tym adresu strony portalu
aukcyjnego, numeru aukcji, przedmiotu aukcji oraz daty i godziny jej
zakończenia, jak też loginu (nazwy użytkownika), którym pokrzywdzony
posługiwał się. Nadto ustalić należy wszelkie dane dotyczące
sprzedającego, w tym jego login oraz numer konta bankowego, na które
należało wpłacić wylicytowaną kwotę. Często w praktyce spotkać się
można z prowadzeniem korespondencji elektronicznej pomiędzy sprawcą a
pokrzywdzonym. Jeśli taka okoliczność zaistnieje, powinno się ustalić adres
poczty elektronicznej pokrzywdzonego i sprawcy. Najczęściej
pokrzywdzony będzie dysponował wydrukami dokonanymi ze strony
portalu aukcyjnego oraz wydrukami wiadomości ze swojego programu
pocztowego, na których będą uwidocznione powyższe dane.
Niewątpliwie od pokrzywdzonego należy odebrać powyższe
dokumenty i załączyć je do protokołu czynności.
Jednakże te dokumenty stanowiąc dostateczny dowód dla
uprawdopodobnienia zaistnienia zdarzenia mogą w toku dalszego
procedowania zostać podważone. Dzieje się tak, ponieważ z jednej strony
twierdzić można, iż mogły zostać zmanipulowane poprzez użycie np.
programu graficznego lub edytora tekstu, z drugiej zaś może się zdarzyć, że
komputer pokrzywdzonego zawierał szkodliwe oprogramowanie, które w
sposób automatyczny zmieniało dane wyświetlane i zapisywane na jego
urządzeniu.
Jak na wstępie zaznaczono wydruk informacji zgromadzonych w
systemie informatycznym jest jedynie ich wizualizacją. Nie może zatem
stanowić dowodu wskazującego z całą pewnością na istnienie tych danych
w systemie informatycznym. Jak wskazano wyżej wydruk może zostać
Strona | 68
łatwo zmanipulowany, co umożliwia właśnie podstawowe oprogramowanie
w postaci np. edytorów tekstu. W praktyce zdarza się, że pokrzywdzeni w
celu „przyjścia z pomocą” organowi tworzą kompilacje tekstów przesłanych
do nich pocztą elektroniczną, w których uwypuklają, np. poprzez
zastosowanie pogrubionej czcionki lub podkreślenia, informacje wskazujące
na dokonanie czynu zabronionego na ich szkodę, co występuje nader często
w sprawach o zniesławienie lub ochronę dóbr osobistych. Co więcej, osoby
dowodzące istnienia jakiejś informacji przedstawiają jako wydruki z poczty
elektronicznej kompilacje zdań pochodzących z różnych listów e-mail. Taki
wydruk nie może zatem stanowić dowodu potwierdzającego istnienie
źródłowej informacji, bowiem oryginalne dane cyfrowe takich „uwypukleń”
nie zawierają, a więc różnią się od ich wizualizacji przedstawionej przez
pokrzywdzonego. Zatem należy dojść do wniosku, iż dowodem
wskazującym na istnienie poszczególnych treści poczty elektronicznej będą
jedynie dane informatyczne zgromadzone w systemie informatycznym
obsługującym dane konto pocztowe pokrzywdzonego.
Dlatego też, by potwierdzić ponad wszelką wątpliwość informacje
uzyskane w formie wydruków należy dokonać ujawnienia danych
elektronicznych stanowiących te informacje.
Jedną z metod takiego potwierdzenia jest przeprowadzenie oględzin
wyświetlanych na ekranie komputera informacji dotyczących wskazanych
przez pokrzywdzonego stron aukcyjnych. Można tego dokonać na
komputerze funkcjonariusza, który w protokole oględzin wpisze dokładnie
procedurę wyświetlenia tych informacji oraz dołączy ich kopie w postaci
elektronicznej oraz wydruki87
. Jednakże do niektórych informacji dostęp
będzie chroniony loginem i hasłem ofiary przestępstwa, która słusznie może
odmówić podania swego hasła, zgodnie z zasadą bezpieczeństwa nie
udostępniania haseł osobom trzecim. W takim wypadku należy uzyskać te
informacje od portalu aukcyjnego, co jednak może być czasochłonne.
Oględzin można dokonać przed wydaniem postanowienia o wszczęciu
postępowania, w razie potrzeby z udziałem biegłego, co przewiduje
dyspozycja art. 308§1 kpk88
.
Inaczej przedstawia się sprawa potwierdzenia istnienia danych
informatycznych zawartych w przesyłanych wiadomościach e-mail. Do
87
Oględziny takie mogą być również obarczone błędem, bowiem nie można wykluczyć, iż
komputer funkcjonariusza, jako osoby nie posiadającej wiadomości specjalnych o
metodach antywirusowego zabezpieczania systemów informatycznych, również posiada
szkodliwe oprogramowanie. 88
Biegły z zakresu informatyki, jako osoba o odpowiednich kwalifikacjach i dysponująca
sprzętem i oprogramowaniem, może zapewnić wiarygodną wizualizację danych, pod
warunkiem posłużenia się tymi urządzeniami i programami.
Strona | 69
poczty elektronicznej dostęp chroniony jest hasłem i może być ona
przechowywana w różny sposób – na komputerze lub serwerze dostawcy
usług poczty elektronicznej. Gdy pokrzywdzony nie udostępni tego hasła, a
jego korespondencja przechowywana jest na jego komputerze, to pozostaje
dokonanie przez biegłego lub specjalistę ujawnienia danych poprzez
przeszukanie danych tego komputera, co może nastąpić w przypadku
biegłego jedynie po wydaniu postanowienia o wszczęciu postępowania (art.
194 kpk w zw. z art. 307§2kpk). Jednakże przeszukanie takie pociąga za
sobą powinność przekazania organowi komputera przez pokrzywdzonego,
który będzie miał przed tym opory, bowiem nie będzie chciał, by
zapoznawano się z informacjami tam zawartymi, jak też przekazanie takie
będzie skutkowało utratą na jakiś czas możliwości użytkowania komputera.
Zatem, jeśli taka praktyka upowszechniłaby się, można się spodziewać, że
pokrzywdzeni rezygnowaliby z zawiadamiania o przestępstwie.
Zatem wydaje się, że należy w tym względzie użyć innych metod,
nie powodujących utraty przez pokrzywdzonego dostępu do jego
komputera. Taką metodą może być wykonanie przez biegłego lub
specjalistę kopii binarnej danych zgromadzonych na urządzeniu
pokrzywdzonego poprzez prawidłowe zastosowanie metod gwarantujących
niezmienność wszystkich danych (użycie tzw. blokera). Celem tych
czynności będzie ujawnienie danych poprzez przeprowadzenie przeszukania
systemu informatycznego pokrzywdzonego, a zatem będzie mogło być
przeprowadzone przez biegłego dopiero po wszczęciu postępowania.
Pozwoli to na wyselekcjonowanie odpowiednich danych i przedstawienie
ich w sposób wiarygodny jako dowodu elektronicznego oraz jego
wizualizacji. Wiarygodność ta gwarantowana będzie powagą instytucji
biegłego lub specjalisty. Przedmiot i zakres takiego powołania powinien
wyglądać następująco:
„powołać XY - biegłego z zakresu informatyki o
specjalności (specjalizacji) ujawnianie i zabezpieczanie
danych informatycznych celem dokonania kopii binarnej
danych z nośnika [...]”.
Jak zaznaczono powyżej zasięgnięcie opinii biegłego dotyczącej
ujawnienia danych informatycznych poprzez wykonanie kopii binarnej
danych zgromadzonych na nośniku i późniejsze przeszukanie go może mieć
miejsce jedynie po wydaniu postanowienia o wszczęciu postępowania.
Nadto zasięgnięcie opinii biegłego musi mieć postać postanowienia, w
którym musi być sprecyzowany przedmiot i zakres tej opinii (art. 194 pkt 2
kpk). W miarę potrzeby należy biegłemu zadać pytania szczegółowe. Biegły
związany jest przedmiotem i zakresem opinii oraz powinien odpowiedzieć
Strona | 70
na zadane mu pytania. Zatem niezmiernie ważnym jest prawidłowe
określenie przez organ ram opiniowania.
W omawianej sytuacji przedmiotem postanowienia będzie
ujawnienie danych informatycznych, zakres zaś będzie mieścił się w ramach
danych dotyczących konkretnej wiadomości e-mail. Zatem treść
postanowienia w części zlecającej odpowiednie czynności powinna
brzmieć:
„powołać XY - biegłego z zakresu informatyki o
specjalności ujawnianie i zabezpieczanie danych
informatycznych aby ujawnić wszelkie dane
informatyczne dotyczące korespondencji elektronicznej
wysłanej w dniu [...] o godzinie [...] pod adresem [...] i
otrzymanej dniu [...] o godzinie [...] z adresu [...]
zapisanych na nośniku [...], w tym danych zawartych w
wiadomościach jak i metadanych”.
W pytaniach dodatkowych, celem wyjaśnienia różnic istniejących
pomiędzy wydrukiem przekazanym przez pokrzywdzonego, a wynikiem
oględzin, można ująć:
„czy dane ujawnione noszą cechy modyfikacji, a jeśli tak,
to czy noszą one ślady modyfikacji świadomej, czy mogły
zostać zmodyfikowane przypadkowo i kiedy modyfikacja
nastąpiła?”.
Organ może też określić sposób przeprowadzenia czynności
biegłego wskazując, iż:
ujawnienie danych ma nastąpić poprzez przeszukanie
danych zawartych na kopii określonego nośnika
źródłowego;
zabezpieczenie danych ma nastąpić w formie
elektronicznej w formacie, w jakim były zapisane na
badanych nośniku oraz ich wydruku.
Powyższych czynności może dokonać również specjalista, do
którego odpowiednio stosuje się przepisy dotyczące biegłych z
wyłączeniem jednak m. in. art. 194 kpk – wydanie postanowienia o
dopuszczeniu dowodu i art. 200 kpk – wydanie opinii.
Inaczej się ma kwestia, gdy korespondencja przechowywana jest
poza komputerem pokrzywdzonego, np. na serwerach przedsiębiorców
dostarczających usługi poczty elektronicznej. Wtedy bez podania hasła
dostępowego do konta pocztowego nie jest możliwym przeprowadzenie
Strona | 71
oględzin jego zawartości. Nie będzie też właściwym powołanie dowodu z
opinii biegłego celem ujawnienia tych danych. Pozostaje zatem zwrócenie
się z odpowiednim postanowieniem do dysponenta tych danych o wydanie
ich w formie elektronicznej oraz wydruków. Przy tym w postanowieniu
należy określić w sposób szczegółowy, o które wiadomości chodzi i w jaki
sposób mają być one zapisane na nośniku.
Materiał dowodowy uzyskany podczas powyższych
czynności powinien pozwolić na ustalenie numeru (adresu) IP komputera, z
którego sprawca działał. Aby tego dokonać należy skupić się na numerze IP,
który podany jest w korespondencji elektronicznej, pochodzącej zarówno od
portalu aukcyjnego, jak i od sprawcy.
W wiadomościach pochodzących od sprawcy numer ten w
większości przypadków będzie widniał w tzw. źródle wiadomości, zwanym
nagłówkiem lub header (ang.). IP należy odczytywać w połączeniu z datą i
czasem wysłania inkryminowanej wiadomości zgodnie z zasadą, iż numer
komputera, z którego wysłano wiadomość będzie na najniższym miejscu w
zapisach nagłówka.
Po dokonaniu ustalenia numeru IP, z którego sprawca wysłał
wiadomości do pokrzywdzonego, należy ustalić dane adresowe operatora
danej sieci za pomocą powszechnie dostępnej bazy danych o abonentach
domen internetowych, pozwalających na określenie dostawcy usług
internetowych. Dla przykładu można podać następujące adresy internetowe,
z użyciem których można dokonać czynności: www.dns.pl,
www.centralops.net, www.ripe.net. Z tej czynności należy spisać notatkę i
dołączyć do niej wydruk potwierdzający wynik poszukiwań. Powyższych
czynności może dokonać organ, bowiem poszukiwanie ogólnie znanych
informacji w sieci Internet nie wymaga wiadomości specjalnych.
Jednakże przy wykonywaniu powyższej czynności można spotkać
się z sytuacją, gdy nie uzyskamy wyniku z bazy danych. Przyczyną tego
może być użycie złej bazy (np. baza danych www.ripe.net obsługuje adresy
europejskie). Należy zatem użyć innej bazy danych.
W praktyce można spotkać się również z sytuacją, w której numer IP
odczytany ze źródła wiadomości nie będzie wskazywał na komputer, z
którego sprawca działał, adres mógł zostać bowiem podrobiony (ang.
spoofed) przez wysyłającego. W takim wypadku niezbędnym jest
zasięgnięcie opinii biegłego i dokonanie próby ustalenia rzeczywistego
numeru IP nadawcy.
Przykładowe pytanie może brzmieć:
„czy na podstawie podanego w wiadomości z dnia [...] z
godziny [...] nr IP [...] można ustalić użytkownika tego
Strona | 72
numeru”.
Nieuprawnione uzyskanie programu komputerowego
Częstym przestępstwem tzw. komputerowym jest kradzież programu
spenalizowana w art. 278§2 kk. Program, o którym mowa w tym przepisie,
jest potocznie nazywany „nielegalnym”. Choć analiza wskazanego przepisu
w kontekście „nielegalności programu komputerowego” nie jest
przedmiotem niniejszego opracowania, to jednak należy wskazać na kilka
przykładowych elementów, które mogą wskazywać na jego uprawnione
uzyskanie i użytkowanie przez posiadacza:
1. posiadanie oryginalnego nośnika
2. posiadanie dowodu zakupu
3. posiadanie pudełka
Jednak w świetle prawa polskiego, w szczególności unormowań
Ustawy z dnia 4 lutego 1994r. o prawie autorskim i prawach pokrewnych
nie ma żadnych szczególnych wymogów, w tym wyżej wymienionych89
,
potwierdzania prawa do uzyskania i użytkowania programu poza umową
cywilno-prawną zawartą na piśmie, która może mieć postać umowy
przenoszącej majątkowe prawa autorskie do programu lub licencji. Umowa
licencyjna jest najczęściej spotykaną podstawą uprawnionego korzystania z
programu komputerowego.
Kluczowym dla rozpatrywania czynu z art. 278§2 kk są przepisy art.
65 - 68 cyt. wyżej Ustawy, które wskazują na ustawowy zakres licencji:
Art. 65. W braku wyraźnego postanowienia o przeniesieniu
prawa, uważa się, że twórca udzielił licencji.
Art. 66. 1. Umowa licencyjna uprawnia do korzystania z utworu
w okresie pięciu lat na terytorium państwa, w którym
licencjobiorca ma swoją siedzibę, chyba że w umowie
postanowiono inaczej.
2. Po upływie terminu, o którym mowa w ust. 1, prawo uzyskane
na podstawie umowy licencyjnej wygasa.
Art. 67. 1. Twórca może udzielić upoważnienia do korzystania z
utworu na wymienionych w umowie polach eksploatacji z
określeniem zakresu, miejsca i czasu tego korzystania.
89
Jedynie dla celów podatkowych podatnik jest obowiązany zgodnie z Ustawąz dnia 29
sierpnia 1997 r. Ordynacja podatkowa oraz Ustawą z dnia 11 marca 2004r. o podatku od
towarów i usług (VAT) przechowywać dowody zakupu do czasu przedawnienia roszczeń
podatkowych.
Strona | 73
2. Jeżeli umowa nie zastrzega wyłączności korzystania z utworu
w określony sposób (licencja wyłączna), udzielenie licencji nie
ogranicza udzielenia przez twórcę upoważnienia innym osobom
do korzystania z utworu na tym samym polu eksploatacji
(licencja niewyłączna).
3. Jeżeli umowa nie stanowi inaczej, licencjobiorca nie może
upoważnić innej osoby do korzystania z utworu w zakresie
uzyskanej licencji.
4. Jeżeli umowa nie stanowi inaczej, uprawniony z licencji
wyłącznej może dochodzić roszczeń z tytułu naruszenia
autorskich praw majątkowych, w zakresie objętym umową
licencyjną.
5. Umowa licencyjna wyłączna wymaga zachowania formy
pisemnej pod rygorem nieważności.
Art. 68. 1. Jeżeli umowa nie stanowi inaczej, a licencji udzielono
na czas nieoznaczony, twórca może ją wypowiedzieć z
zachowaniem terminów umownych, a w ich braku na rok
naprzód, na koniec roku kalendarzowego.
2. Licencję udzieloną na okres dłuższy niż pięć lat uważa się, po
upływie tego terminu, za udzieloną na czas nieoznaczony.
Oczywistym jest, iż umowa licencyjna może zawierać jeszcze inne,
szczegółowe przepisy nakładające na użytkownika programu dodatkowe
obowiązki i zastrzeżenia, jednak jej postanowienia nie mogą być niezgodne
z powyższym przepisem.
Na rynku programów spotykamy się z wieloma typami licencji,
które mogą być odpłatne lub darmowe. Spotkać się tu można z nazwami:
shareware, freeware, open-source. Niektóre z licencji uprawniają
użytkownika do korzystania z programu wyłącznie w ramach użytku
domowego, inne pozwalają również na użytek komercyjny, jeszcze inne
pozwalają dokonać określonej liczby uruchomień. Zatem od postanowień
licencyjnych będzie zależało, czy posiadacz programu jest jego prawnym
użytkownikiem, czy też korzysta z niego bez umocowania prawnego.
W judykaturze90
i w praktyce organów ścigania, ale też sądów,
można spotkać się z następującymi pytaniami do biegłego z zakresu
informatyki w rozpatrywanej kwestii:
1. „czy w zabezpieczonym komputerze lub nośnikach znajduje się
90
Zob. np. [Jeżewska 2005] s. 149.
Strona | 74
nielegalne oprogramowanie?”
2. „kto posiada prawa autorskie do ujawnionego programu?”
Stwierdzić należy, że tak zadane pytania są błędne. Biegły z zakresu
informatyki nie może bowiem wypowiadać się co do prawa. To przecież
rolą organu jest stwierdzenie, czy ujawniony program jest używany zgodnie
z prawem (np. licencją) czy też nie. Również pytanie o to, kto posiada
prawa autorskie nie podając przy tym, czy chodzi o prawa osobiste, czy
majątkowe, jest chybione, bowiem wynikać to będzie z licencji
ujawnionego programu.
Jak się wydaje jedynym prawidłowym poleceniem wydanym
biegłemu w zakresie ujawnienia oprogramowania będzie sformułowanie:
„czy ujawniono programy komputerowe na badanym
nośniku, a jeśli tak to jakie, ze wskazaniem na nazwę,
wersję, producenta, datę zapisania na nośniku, datę
zainstalowania, datę zapoznania się użytkownika z
licencją”.
Następnie należy zadać następujące pytania i polecenia
„jeśli przy aktywacji programu należy podać kod kiedy i
jaki kod aktywacyjny wpisano do programu?”
„wydrukować licencję każdego z ujawnionych
programów”.
Przy ocenie zgodnego z prawem uzyskania programu należy, m. in.
wziąć pod uwagę postanowienia licencyjne i po zapoznaniu się z nimi
wydać postanowienie o uzupełnieniu postanowienia poprzez zadanie
pytania np. o liczbę instalacji danego programu – jeśli z licencji wynika
określona dozwolona liczba takich działań.
Z uwagi na podniesienie tematu zgodnego z prawem uzyskania
programu komputerowego nie sposób jest wskazać na dominująca praktykę
biegłych z zakresu informatyki, którzy uprzedzając decyzje uprawnionych
organów, wskazują w opiniach ujawnienie „nielegalnego oprogramowania”,
mimo że nie wchodziło to w zakres powołania. Z tym postępowaniem
koresponduje zachowanie się organów, które bezkrytycznie procedują na
podstawie takiej opinii, nie wskazując na uchybienie.
Takie postępowanie należy napiętnować i jeszcze raz podkreślić, że
biegły jest uprawniony do opiniowania zgodnie z zakresem i celem
powołania, jednak oczywistym jest, iż w toku prowadzenia badań biegły
może ujawnić fakty wskazujące na możliwość popełnienia jeszcze innych
czynów karalnych niż te opisane w postanowieniu o wszczęciu
postępowania lub postanowieniu o przedstawieniu zarzutów. Dzieje się tak,
Strona | 75
ponieważ w celu ujawnienia konkretnych informacji wskazanych w
postanowieniu o powołaniu, biegły będzie musiał zaznajomić się ze
wszelkimi innymi danymi zgromadzonymi na nośniku. W takiej jednak
sytuacji biegły ma obowiązek powiadomienia organu o dokonanym
ujawnieniu i uzyskać dalsze wytyczne do badań, które powinny być
wyartykułowane w następnym postanowieniu.
Zawiadomienie takie będzie wypełniało dyspozycję art. 304§1 kpk –
powszechnego obowiązku zawiadomienia o popełnieniu przestępstwa.
Zakończenie
Zdając sobie sprawę z faktu, iż powyższe rozważania zaznaczyły
jedynie niektóre kierunki wykorzystania wiedzy specjalnej biegłych i
specjalistów, to jednak należy mieć nadzieje, że będą przydatne do
wyznaczania zakresów i celów opinii wydawanych przez biegłych z zakresu
informatyki w innych, nie wskazanych w opracowaniu, sprawach zawisłych
przed odpowiednimi organami.
Bibliografia
1. [Lach 2004] Lach A.: Dowody elektroniczne w procesie karnym.
Studio Kropka DTP. Toruń 2004.
2. [Jeżewska 2005] Jeżewska J.: Od oględzin do opinii biegłego. Poradnik
dla prowadzących postępowanie karne, Wyd. 2, Dom Wydawniczy
ABC, 2005
3. [Kopczyński 2008] Kopczyński G.: Konfrontacja biegłych w polskim
procesie karnym, Oficyna Wolters Kluwer, Warszawa 2008
4. [Prusak 1999] Prusak F.: Komentarz do kodeksu postępowania karnego,
Wydawnictwo Prawnicze, Warszawa 1999
5. [SSKI 2001] Szkolny słownik komputer Internet, Wydawnictwo Europa,
2001
Strona | 76
ROZDZIAŁ 4.
PRAWO AUTORSKIE DO PROGRAMÓW KOMPUTEROWYCH
Artur KMIECIAK*
Program komputerowy jako przedmiot prawa autorskiego
Zgodnie z treścią art. 1 ust. 1 ustawy z dnia 4 lutego 1994 r. o prawie
autorskim i prawach pokrewnych przedmiotem prawa autorskiego jest
utwór czyli każdy przejaw działalności twórczej o indywidualnym
charakterze, ustalony w jakiejkolwiek postaci, niezależnie od wartości,
przeznaczenia i sposobu wyrażenia . W szczególności przedmiotem prawa
autorskiego są utwory: wyrażone słowem, symbolami matematycznymi,
znakami graficznymi (literackie, publicystyczne, naukowe, kartograficzne
oraz programy komputerowe), plastyczne, fotograficzne, lutnicze,
wzornictwa przemysłowego, architektoniczne, architektoniczno-
urbanistyczne i urbanistyczne, muzyczne i słowno-muzyczne, sceniczne,
sceniczno-muzyczne, choreograficzne i pantomimiczne; audiowizualne (w
tym filmowe).
Z przyjętej definicji utworu jako przedmiotu ochrony prawa
autorskiego rozumianego jako dowolnego przejawu działalności twórczej o
indywidualnym charakterze niezależnie od wartości, przeznaczenia i
sposobu jego wyrażenia, wynikają pewne istotne konsekwencje. Mają one
praktyczne znaczenie szczególnie w przypadku programów
komputerowych gdzie bardzo często granica między działalnością twórczą o
indywidualnym charakterze a rozwiązaniami o charakterze intuicyjnymi,
granica między działalnością nie tyle twórczą ile odtwórczą, jest niezwykle
trudną do wytyczenia. Dlatego też poza ochroną prawa autorskiego
pozostają odkrycia, idee, procedury, metody i zasady działania oraz
koncepcje matematyczne, ochroną tą objęte jest jedynie sposób ich
wyrażenia a nie one same. (art. 21 prawa autorskiego)
Przedmiotem ochrony prawa autorskiego może być zatem także
program komputerowy o tyle, o ile jest on przejawem działalności twórcy o
indywidualnym charakterze. Można zatem przyjąć istnienie takich
programów komputerowych, co do których przepisy prawa autorskiego nie
będą miały zastosowania, to znaczy tych programów, które nie będą w
stanie spełnić przesłanki indywidualności czy oryginalności.
Niewątpliwe w przypadku programów komputerowych przesłanka
indywidualności (oryginalności, niepowtarzalności) może sprawiać jeszcze
* Adwokat, [email protected]
Strona | 77
większe trudności interpretacyjne niż te, jakie mogą się pojawić wobec
utworów wyrażonych w bardziej tradycyjnej formie. Wynika to z samej
„natury” programu komputerowego, który w swojej elementarnej postaci
jest po prostu ciągiem instrukcji interpretowanych przez procesor -
jednostkę obliczeniową komputera.
Współczesne programy komputerowe to częstokroć bardzo
rozbudowane narzędzia informatyczne o wysokim poziomie złożoności,
wzbogacone dodatkowo o całe zaplecze logistyczne i organizacyjne, bez
którego trudno sobie w ogóle wyobrazić ich funkcjonowanie - wystarczy
wskazać na rozbudowane programy księgowo-finansowe, których
przeznaczenia nie można zrozumieć bez ich otoczenia organizacyjno-
technicznego. Z drugiej jednak strony, każdy program komputerowy, w
swojej podstawowej, elementarnej postaci, jest ciągiem instrukcji,
komentarzy oraz deklaracji i struktur danych, czyli opisu obiektów
procesów powtarzalnych, w których trudno dostrzec jakąkolwiek
oryginalność, jakikolwiek przejaw działalności twórcy o indywidualnym
charakterze. Przeciwnie, w przypadku instrukcji matematycznych mamy do
czynienia nie tyle z działalnością twórczą ile z odtwórczą – odtwarzaniem
procesów występujących w przyrodzie. Oczywiście ich twórczy charakter
może przejawiać się w indywidualnym, oryginalnym sposobie w jaki twórca
może z nich zrobić użytek – w końcu z powszechnie używanych słów
można pisać niepowtarzalne wiersze, nie zmienia to jednak faktu, że
matematyczna „natura” programów komputerowych była przyczyną wielu
wątpliwości co do tego, czy prawo autorskie jest odpowiednim narzędziem,
które ma regulować bardzo specyficzną materię prawnych aspektów
informatyki. Wątpliwości tym większych, że istniało rozwiązanie
alternatywne w postaci prawa patentowego.
Nie ma tu miejsca na opis tych wszystkich wydarzeń, które
przesądziły o tym, że to prawo autorskie, a nie „konkurencyjne” prawo
patentowe stało się punktem odniesienia dla regulacji prawnych
dotyczących oprogramowania, W ocenie wielu, między innymi samego
Billa Gatesa, był to wybór dosyć szczęśliwy, w tym sensie, że potencjalnie
możliwy wybór prawa patentowego, jako bardziej „restrykcyjnego” mógłby
stanowić poważną przeszkodę dla rozwoju sektora informatycznego. Należy
jednak podkreślić, że poddanie programów komputerowych jakiemukolwiek
reżimowi prawnemu, nawet jeśli był to jedynie reżim prawa autorskiego,
spotkało się z gwałtownym oporem tych spośród programistów, dla których,
tak jak dla Richarda Stallmana, objęcie regulacją prawną, dotychczas wolnej
od niej, hakerskiej enklawy, było niczym innym jak zamachem na wolność
Strona | 78
badań naukowych91
.
Wybór prawa autorskiego miał zatem istotny wpływ na
dalszy rozwój przemysłu informatycznego ale nie był to z pewnością wpływ
jednostronny. Przeciwnie, można nawet mówić o swoistym sprzężeniu
zwrotnym – poddanie programów komputerowych regulacjom prawa
autorskiego miało także wpływ na samo prawo autorskie i przyczyniło się
z pewnością do zmiany jego modelu, przekształcając go na tyle, że można
wręcz mówić - biorąc pod uwagę specyfikę prawnoautorskiej ochrony
programów komputerowych - o odrębnej dyscyplinie autorskiego prawa
komputerowego.
Niezależnie jednak od wspomnianej powyżej specyfiki
punktem wyjścia dla dalszych rozważań jest fakt, iż wobec programów
komputerowych stosujemy te same zasady ochrony prawnej co wobec
programów literackich. Zasadę taką formułuje wprost art. 74 ust. 1 ustawy z
dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych. W świetle
przepisu „programy komputerowe podlegają ochronie jak utwory literackie,
o ile przepisy niniejszego rozdziału nie stanowią inaczej.” Kluczowe
znaczenie w cytowanym przepisie ma zdanie drugie: „o ile przepisy nie
stanowią inaczej”. Zdanie to bowiem jest kluczem do zrozumienia specyfiki
prawnoautorskiej ochrony programów komputerowych, która odróżnia ją od
ogólnych zasad ochrony przewidzianej przez prawo autorskie. Zasady
ochrony prawnoautorskiej programów komputerowych różnią się bowiem
od tych jakie stosuje się wobec utworów literackich i to różnią się w wielu
miejscach w bardzo istotny sposób.
Okolicznością na która warto już na wstępie zwrócić uwagę,
szczególnie w przypadku praw autorskich do programów komputerowych,
jest element międzynarodowy, szczególnie w aspekcie transgranicznego
charakteru Internetu i łatwości z jaką za jego pośrednictwem możliwym jest
rozpowszechnianie oprogramowania, w tym także rozpowszechnianie w
sposób sprzeczny z regułami prawa autorskiego. Zgodnie z
postanowieniami polskiej ustawy jej przepisy stosuje się wobec utworów:
których twórca lub współtwórca jest obywatelem polskim lub
których twórca jest obywatelem państwa członkowskiego Unii
Europejskiej, lub państw członkowskich EFTA – stron umowy o
Europejskim Obszarze Gospodarczym, lub
które zostały opublikowane po raz pierwszy na terytorium
Rzeczypospolitej Polskiej albo równocześnie na tym terytorium i za
91
Rozwój sytuacji zmusił jednak Stallmana do rewizji stanowiska i poddanie tworzonego
przez siebie oprogramowania regulacji prawa autorskiego, choć przy zachowaniu
podstawowych założeń ruchu Wolnego Oprogramowania.
Strona | 79
granicą, lub
które zostały opublikowane po raz pierwszy w języku polskim, lub
które są chronione na podstawie umów międzynarodowych, w
zakresie, w jakim ich ochrona wynika z tych umów.
Podmiot prawa autorskiego
Zgodnie z treścią art. 8 ust. 1 podmiotem prawa autorskiego, jest
twórca, o ile ustawa nie przewiduje inaczej. Takim wyjątkiem od zasady, iż
prawo autorskie do utworu przysługuje twórcy wprowadza przepis art. 74
ust.3 prawa autorskiego, zgodnie z którym prawa majątkowe do programu
komputerowego stworzonego przez pracownika w wyniku wykonywania
obowiązków ze stosunku pracy przysługują pracodawcy, o ile umowa nie
stanowi inaczej (strony mogą zatem ustalić, że autorskie prawa majątkowe
do programu pozostają przy twórcy, mimo że program napisany został w
ramach stosunku pracy).
W przypadku gdy wobec utworu prawo przysługuje kilku twórcom,
zasadą jest to, że prawo to przysługuje im wspólnie w jednakowych
częściach, choć jest też możliwe ustalenie różnych udziałów, na podstawie
wkładów pracy twórczej. Jeśli zatem program zaprojektowany został tak,
że jest możliwym ustalenie wkładu poszczególnych programistów jest
możliwe, każdy z nich może domagać się ustalenia równych udziałów w
autorskim prawie majątkowym do programu stosunkowo do swojego
wkładu twórczego w jego powstanie.
Autorskie prawa majątkowe do programów
komputerowych
Zgodnie z treścią art. 74 ust. 2 prawa autorskiego wobec programów
komputerowych stosujemy środki ochrony przewidziane dla utworów
literackich, przy czym ochrona ta obejmuje jedynie wszystkie formy jego
wyrażenia. Idee i zasady będące podstawą jakiegokolwiek elementu
programu komputerowego, w tym podstawą łączy, nie podlegają ochronie.
Wobec autorskich praw osobistych ustawa nie przewiduje
zasadniczo większych odstępstw poza wyłączeniem stosowania przepisu art.
16 pkt 3-5 prawa autorskiego, czyli w zakresie:
1. nienaruszalności treści i formy utworu oraz jego rzetelnego
wykorzystania;
2. decydowania o pierwszym udostępnieniu utworu publiczności
3. nadzoru nad sposobem korzystania z utworu.
W pozostałym zakresie zasady dotyczące ochrony autorskich praw
osobistych nie odbiegają od tych jakie ustawa przewiduje wobec utworów
Strona | 80
literackich. Jeśli chodzi natomiast o ochronę autorskich praw majątkowych
ustawa różnice miedzy zasadami ogólnymi prawa autorskiego a
szczególnymi zasadami dotyczącymi ochrony autorskich prawa
majątkowych do programów komputerowych są o wiele dale idące niż to w
przypadku autorskich praw osobistych. W pierwszym rzędzie dotyczy to tak
zwanych pól eksploatacji, których regulacja w przepisie art. 74 ust. 4 prawa
autorskiego, dotycząca wyłącznie programów komputerowych jest regulacją
szczególną wobec katalogu pól eksploatacji wskazanym w przepisach
ogólnych prawa autorskiego92
co oznacza, że winny być stosowane w
pierwszej kolejności.
Autorskie prawa majątkowe do programu komputerowego obejmują
zatem prawo do:
po pierwsze, trwałego lub czasowego zwielokrotnienia programu
komputerowego w całości lub w części jakimikolwiek środkami i w
jakiejkolwiek formie. W zakresie, w którym dla wprowadzania,
wyświetlania, stosowania, przekazywania i przechowywania
programu komputerowego niezbędne jest jego zwielokrotnienie,
czynności te wymagają zgody uprawnionego.
Po drugie, prawo do tłumaczenia, przystosowywania, zmiany układu
lub jakichkolwiek innych zmian w programie komputerowym, z
zachowaniem praw osoby, która tych zmian dokonała.
Po trzecie, prawo do rozpowszechniania, w tym użyczenia lub
najmu, programu komputerowego lub jego kopii.
O ile przepis art. 74 ust. 4 prawa autorskiego rozszerza katalog pól
eksploatacji autorskich prawa majątkowych do programów komputerowych,
wobec tych przewidzianych przez przepisy ogólne, o tyle art. 75 prawa
autorskiego określa ograniczenia autorskich praw majątkowych do
programów komputerowych. Przepis ten w ust. 1 stanowi, iż jeżeli umowa
nie stanowi inaczej, czynności wymienione w art. 74 ust. 4 pkt 1 i 2 (prawo
do zwielokrotnienia programu i jego tłumaczenia) nie wymagają zgody
uprawnionego, jeżeli są niezbędne do korzystania z programu
komputerowego zgodnie z jego przeznaczeniem, w tym do poprawiania
92
Zgodnie z treścią art. 50 prawa autorskiego odrębne pola eksploatacji stanowią w
szczególności: 1) w zakresie utrwalania i zwielokrotniania utworu – wytwarzanie określoną
techniką egzemplarzy utworu, w tym techniką drukarską, reprograficzną, zapisu
magnetycznego oraz techniką cyfrową; 2) w zakresie obrotu oryginałem albo
egzemplarzami, na których utwór utrwalono – wprowadzanie do obrotu, użyczenie lub
najem oryginału albo egzemplarzy; 3) w zakresie rozpowszechniania utworu w sposób inny
niż określony w pkt 2 – publiczne wykonanie, wystawienie, wyświetlenie, odtworzenie
oraz nadawanie i reemitowanie, a także publiczne udostępnianie utworu w taki sposób, aby
każdy mógł mieć do niego dostęp w miejscu i w czasie przez siebie wybranym.
Strona | 81
błędów przez osobę, która legalnie weszła w jego posiadanie, chyba że
strony w umowie ustaliły inaczej (art. 75 ust. 1 prawa autorskiego). Z
redakcji przepisu wynika, że po pierwsze umowa (np. licencja) może
przewidywać obowiązek uzyskania takiej zgody, a następnie, że zgody
takiej wymaga zawsze rozpowszechnianie (użyczenie, najem) programu lub
jego kopii.
W każdym razie, niezależnie od ewentualnych ustaleń stron, nie
wymaga zgody uprawionego sporządzenie przez licencjobiorcę kopii
zapasowej, jeżeli jest to niezbędne do korzystania z programu
komputerowego. Jeżeli umowa nie stanowi inaczej, kopia ta nie może być
używana równocześnie z programem komputerowym (art. 75 ust. 2 pkt 1
prawa autorskiego).
Dalej nie wymaga także zgody uprawnionego obserwowanie,
badanie i testowanie funkcjonowania programu komputerowego w celu
poznania jego idei i zasad przez osobę posiadającą prawo korzystania z
egzemplarza programu komputerowego, jeżeli, będąc do tych czynności
upoważniona, dokonuje ona tego w trakcie wprowadzania, wyświetlania,
stosowania, przekazywania lub przechowywania programu komputerowego
(art. 75 ust. 2 pkt 2 prawa autorskiego). Przeprowadzanie tego typu testów i
analiz pozostaje poza obszarem regulacji prawa autorskiego pozostają w
zgodzie z jego naczelną zasadą, iż nie podlegają jego ochronie idee oraz
zasady będące ich podstawą. Uzyskane zatem w wyniku takich testów i
analiz rezultaty mogą być swobodnie publikowane i wykorzystywane do
projektowania innych, nawet konkurencyjnych programów komputerowych.
Problematyka dozwolonej dekompilacji.
W świetle przepisu art. 75 ust. 2 pkt 3 prawa autorskiego nie
wymaga zezwolenia uprawionego zwielokrotnianie kodu lub tłumaczenie
jego formy jeżeli jest to niezbędne do uzyskania informacji koniecznych do
osiągnięcia współdziałania niezależnie stworzonego programu
komputerowego z innymi programami komputerowymi, o ile zostaną
spełnione ściśle określone warunki.
Zgodnie z wyrażoną w art. 74 ust. 2 prawa autorskiego, iż ochrona
przyznana programowi komputerowemu obejmuje wszystkie formy jego
wyrażenia, ochrona taka obejmuje także program komputerowy wyrażony
w postaci kodu wynikowego, zrozumiałego jedynie dla maszyny - i w takiej
właśnie postaci jest dostarczany z standardowych „zamkniętych” licencjach.
Pomijając w tym miejscu oprogramowanie typu open source, o którym to
jeszcze będzie mowa, standardowe oprogramowanie komercyjne (choć nie
tylko komercyjne) udostępnianie jest użytkownikom (licencjobiorcom) w
postaci binarnej, nieczytelnej dla człowieka. Program komputerowy może
Strona | 82
być także wyrażony w postaci kodu źródłowego, czyli w postaci czytelnych
dla człowieka ciągu instrukcji i deklaracji matematycznych opisujących
operacje jakie ma wykonać jednostka obliczeniowa komputera. W postaci
kodu źródłowego, napisanego w jednym z tak zwanych języków
programowania (jak na przykład język C++ czy Java) program jest
zrozumiały dla człowieka, który posiadając odpowiednie kwalifikacje może
taki program analizować i modyfikować – w takiej jednak postaci nie jest
zrozumiały dla komputera. Aby zawarte w nim instrukcje mogły być
wykonane przez komputer kod źródłowy musi być przetłumaczony na język
maszynowy czyli skompilowany z kodu źródłowego do kodu wynikowego
(maszynowego). Proces automatycznego tłumaczenia kodu napisanego w
języku programowania na kod maszynowy, zrozumiały dla komputera
nazywamy kompilacją, która jest dokonywana za pomocą
wyspecjalizowanego programu zwanego kompilatorem.
Możliwa jest także operacja odwrotna w stosunku do procesu
kompilacji. Proces taki nazywamy dekompilacją - jest to proces polegający
na odtworzeniu przybliżonej postaci źródłowej programu jedynie na
podstawie jego kodu wynikowego. Dekompilacja to proces zazwyczaj
znacznie bardziej złożony od kompilacji – mając do dyspozycji program
jedynie w postaci binarnej, zrozumiałej jedynie dla komputera, próbujemy
uzyskać program w postaci kodu źródłowego, czytelnego dla człowieka.
Co do zasady, przepisy prawa autorskiego nie upoważniają innych
osób do przeprowadzania dekompilacji programów objętymi autorskimi
prawami majątkowymi innych osób – poza ściśle określonymi przypadkami
tak zwanej dozwolonej dekompilacji opisanymi właśnie w przepisie art. 74
ust. 2 pkt 3 prawa autorskiego. Dlatego też jest on dopuszczalny przez
prawo tylko przy spełnieniu ściśle określonych warunków:
a) czynności te dokonywane są przez licencjobiorcę lub inną osobę
uprawnioną do korzystania z egzemplarza programu komputerowego
bądź przez inną osobę działającą na ich rzecz,
b) informacje niezbędne do osiągnięcia współdziałania nie były
uprzednio łatwo dostępne dla osób, o których mowa pod lit. a,
c) czynności te odnoszą się do tych części oryginalnego programu
komputerowego, które są niezbędne do osiągnięcia współdziałania
Dodatkowo, informacje uzyskane w drodze takiej dekompilacji nie
mogą być:
1) wykorzystane do innych celów niż osiągnięcie współdziałania
niezależnie stworzonego programu komputerowego;
Strona | 83
2) przekazane innym osobom, chyba że jest to niezbędne do
osiągnięcia współdziałania niezależnie stworzonego programu
komputerowego;
3) wykorzystane do rozwijania, wytwarzania lub wprowadzania do
obrotu programu komputerowego o istotnie podobnej formie
wyrażenia lub do innych czynności naruszających prawa autorskie.
Zagadnienie dozwolonego użytku programów
komputerowych
Należy podkreślić, że tak daleko idące odmienności nie wyczerpują
całej specyfiki prawnoautorskiej ochrony programów komputerowych.
Przepis art. 77 prawa autorskiego wyłącza stosowanie wobec programów
komputerowych całego szeregu ogólnych zasad prawa autorskiego, co w
pierwszym rzędzie dotyczy wyłączenia wobec programów komputerowych
tak zwanego dozwolonego użytku. Jest to jedna z tych fundamentalnych
różnic, co do zakresu ochrony prawnoautorskiej miedzy tą przewidzianą dla
programów komputerowych, a tą jaka prawo autorskie przewiduje wobec
wszystkich innych utworów, chronionych na zasadach ogólnych.
Ogólne przepisy prawa autorskiego, a mianowicie art. 23
przewiduje, że bez zezwolenia twórcy wolno nieodpłatnie korzystać z już
rozpowszechnionego utworu w zakresie własnego użytku osobistego.
Zakres własnego użytku osobistego obejmuje korzystanie z pojedynczych
egzemplarzy utworów przez krąg osób pozostających w związku osobistym,
w szczególności pokrewieństwa, powinowactwa lub stosunku
towarzyskiego. Przepisy szczególne dotyczące praw autorskich do
programów komputerowych, a mianowicie art. 77 wyłączają stosowanie
przepisów ogólnych o dozwolonym użytku prywatnego w stosunku do
programów komputerowych. Dodatkowo, wyłączenie dozwolonego użytku
obejmuje także wszystkie te jego przypadki szczególne, które znalazły
swoje odrębne, wykraczające poza art. 23, uregulowanie. Artykuł 77 prawa
autorskiego wyłącza zatem kategorycznie stosowanie w zakresie tak
zwanego dozwolonego użytku publicznego następujących przepisów prawa
autorskiego93
:
art. 231
– dozwolony użytek w zakresie przejściowego lub
incydentalnego zwielokrotnienia utworów, niemający
samodzielnego znaczenia gospodarczego;
93
Wyłączeniu nie podlega praktycznie jedynie uregulowane z art. 29 prawa autorskiego.
Strona | 84
art. 27 – dozwolony użytek w zakresie działalności instytucji
naukowych;
art. 28 – dozwolony użytek w zakresie działalności bibliotek szkół i
archiwów;
art. 30 – dozwolony użytek w zakresie działalności ośrodków
informacji i dokumentacji;
art. 331 – dozwolony użytek dla dobra osób niepełnosprawnych;
art. 332 – dozwolony użytek dla celów bezpieczeństwa publicznego
lub na potrzeby postępowań administracyjnych, sądowych;
art. 333 – dozwolony użytek – uzasadniony promocją i reklamą
wystawy publicznej;
art. 334 – dozwolony użytek w związku z prezentacją lub naprawą
sprzętu;
art. 335 – dozwolony użytek – w postaci obiektu budowlanego, jego
rysunku, planu lub innego ustalenia, w celu odbudowy lub remontu
obiektu budowlanego.
Umowa o przeniesienie autorskich praw majątkowych do
programu komputerowego
Na treść prawa autorskiego składają się niezbywalne,
nieograniczone w czasie autorskie prawa osobiste obejmujące w
szczególności prawo autorstwa utworu, oznaczenia utworu swoim
nazwiskiem lub pseudonimem albo do udostępniania go anonimowo,
nienaruszalności treści i formy utworu oraz jego rzetelnego wykorzystania,
decydowania o pierwszym udostępnieniu utworu publiczności i nadzoru nad
sposobem korzystania z utworu oraz autorskich praw majątkowych
obejmujących wyłączne prawo do korzystania z utworu i rozporządzania
nim na wszystkich polach eksploatacji oraz prawo do wynagrodzenia za
korzystanie z utworu.
Jak to już zostało powiedziane autorskie prawa osobiste są
niezbywalne, nie mogą być zatem przedmiotem obrotu. Inaczej niż to ma
miejsce w przypadku autorskich praw majątkowych, które mogą być
dziedziczone, i które mogą być przenoszone na inną osobę w drodze umów
cywilnoprawnych. W drodze takiej umowy twórca może przenieść całość
autorskich praw majątkowych na nabywcę, a nabywca, o ile umowa nie
stanowi inaczej, może przenieść te prawa na dalsze osoby. Umowa taka
musi być zawarta w formie szczególnej czyli w formie pisemnej pod
rygorem nieważności, co oznacza, że niezachowanie formy pisemnej
Strona | 85
powoduje nieważność takiej umowy. Przeniesienie autorskich następuje w
zasadzie za wynagrodzeniem, choć stronom pozostawiona jest w tym
zakresie swoboda i mogą kwestię przejścia prawa za wynagrodzeniem czy
bez wynagrodzenia ustalić dowolnie.
Umowa o przeniesienie autorskich praw majątkowych obejmuje
tylko te pola eksploatacji, które zostały wyraźne w niej wymienione, istnieje
zasadnicza zgoda co do tego, że nie jest skuteczna klauzula umowna wedle
której strony ustalają, że umowa przenosi prawa do utworu na wszystkich
możliwych polach eksploatacji. Ma to znaczenie nie tylko w zakresie praw i
obowiązków stron wynikających z umowy ale może przesadzać o kwestii
odpowiedzialności karnej, o czym będzie mowa w dalszej cześć. Jeśli
chodzi o ustawową definicję pola eksploatacji to przepisy prawa autorskiego
nie tyle formułują jego ustawową definicję ile zawierają przykładowy
katalog takich odrębnych pól eksploatacji.
W przypadku odrębnych pól eksploatacji programów
komputerowych należy pamiętać o tym, że prawa autorskie obejmują
wszelkie formy jego wyrażenia, a zatem odrębnym polem eksploatacji jest
na przykład program komputerowy wyrażony w formie tradycyjnego druku,
to samo dotyczy programu wyrażanego w formie binarnej, czytelnej tylko
dla komputera, jak i w postaci czytelnej dla człowieka kodu źródłowego.
Praktyczne znaczenie jeśli chodzi o odrębne pola eksploatacji może mieć
kwestia udostępnienia programu w Internecie. Spór wśród przedstawicieli
doktryny co do tego, czy Internet jest odrębnym polem eksploatacji został
rozstrzygnięty na rzecz pozytywnej odwiedzi na tak sformułowane pytanie –
publikacja w Internecie jest publikacją na odrębnym polu eksploatacji. Jeśli
zatem umowa o przeniesienie autorskich praw majątkowych ma obejmować
także prawo nabywcy do publikacji programu w sieci umowa taka winna
wskazywać na Internet jako na odrębne pole eksploatacji.
Bardzo ważną zasadą wprowadzoną przez przepis 41 ust. 4 prawa
autorskiego jest, że umowa może dotyczyć tylko tych pól eksploatacji, które
są znane w chwili jej zawarcia. Oznacza to, że o ile nastąpiło w przeszłości
przeniesienie autorskich praw majątkowych, a w chwili zawarcia umowy
nie były znane pola eksploatacji, które z przyczyn technicznych powstały
później, to nie można zakładać, że zawarta uprzednio umowa o
przeniesienie praw autorskich niejako automatycznie obejmowała także
przyszłe, nieznane w chwili jej zawarcia, pola eksploatacji. Istnieje
zasadnicza zgoda co do tego, że digitalizacja utworu, czyli nadanie mu
postaci cyfrowej, jest odrębnym polem eksploatacji w rozumieniu prawa
autorskiego i uprzednie zawarcie umowy o przeniesienie autorskich praw
majątkowych do utworu na wszystkich znanych w momencie zawarcia
umowy polach eksploatacji, nie może dotyczyć tego pola, które powstało
Strona | 86
później, już po zawarciu umowy. W takim wypadku uznaje się, że prawa
majtkowe twórcy do utworu pozostają przy nim jeśli chodzi o takie nowe,
nieznane uprzednio pole eksploatacji, mimo przeniesienia uprzednio na
wszystkich znanych w chwili zawarcia umowy polach eksploatacji.
Umowa licencyjna
Drugą z umów cywilnoprawnych regulowaną przez prawo autorskie
jest umowa licencyjna. Jest to umowa, której treścią jest udzielone przez
twórcę upoważnienia dla innej osoby do korzystania z utworu na
wymienionych w umowie polach eksploatacji z określeniem zakresu,
miejsca i czasu tego korzystania (art. 67 prawa autorskiego). Licencjobiorca
nie może udzielić licencji dalszej, chyba że umowa licencyjna to przewiduje
i podobnie jak to ma miejsce w przypadku umowy przenoszącej autorskie
prawa majątkowe, licencja musi wyraźnie wskazywać na odrębne pola
eksploatacji, co do których upoważnienie zostało udzielone.
Licencja może zastrzegać wyłączność korzystania z utworu przez
licencjobiorcę w określony sposób (licencja wyłączna) lub też dopuszczać
udzielenia przez licencjobiorcę upoważnienia innym osobom do korzystania
z utworu na tym samym polu eksploatacji (licencja niewyłączna).
Dodatkowo inne istotne różnice między licencją niewyłączną a wyłączną to
konieczność udzielenia licencji wyłącznej w formie pisemnej pod rygorem
nieważności oraz to, że uprawniony z licencji wyłącznej może dochodzić,
samodzielnie, niezależnie od twórcy roszczeń z tytułu naruszenia autorskich
praw majątkowych, w zakresie objętym umową licencyjną.
Wobec tego, że umowa licencyjna jest po prostu umową
cywilnoprawną jak każda inna, to wobec niej należy stosować ogólne
zasady prawa cywilnego, oczywiście z uwzględnieniem wszystkich
odmienności wprowadzanych przez prawo autorskie. Umowa licencyjna
może zatem być zawarta zarówno na czas oznaczony jak i na czas
nieoznaczony. Jeśli licencji udzielono na czas nieoznaczony, twórca może
ją wypowiedzieć z zachowaniem terminów umownych, a w ich braku na rok
naprzód, na koniec roku kalendarzowego. Licencję udzieloną na okres
dłuższy niż pięć lat uważa się, po upływie tego terminu, za udzieloną na
czas nieoznaczony. W przypadku programów komputerowych wiele licencji
udzielanych jest na czas oznaczony, po upływie którego, prawa do
korzystania z programu wygasają jak to ma miejsce w przypadku
oprogramowania typu shareware. Oprogramowanie typu shareware jest
najczęściej udostępniane na okres próbny (wersja trial) lub z góry
zastrzeżonym limitem uruchomień, po których to prawa do korzystania z
udostępnionego programu wygasają i dla dalszego korzystania z programu
koniecznym jest wykupienie jego „komercyjnej” wersji (licencji odpłatnej).
Strona | 87
Na rynku dostępne są różne typy licencji – z wyłączeniem przepisów
bezwzględnie obowiązujących (takim przepisem jest przepis o
obowiązkowej pisemnej formie licencji wyłącznej) - strony mają zasadniczo
pełną swobodę w uregulowaniu zasad korzystania z licencjonowanego
oprogramowania. Obok licencji typu shareware możemy wskazać na
licencje typu:
adware czyli typ bezpłatnych licencji, na których rozpowszechniane
są programy wyświetlające reklamy (jako oprogramowanie typu
adware opisuje się bardzo często programy zawierające funkcje
wykonywane bez wiedzy użytkownika, oprogramowanie potocznie
określane często jako „szpiegujące”, zawierające tak naprawdę
szkodliwy czy też „złośliwy” kod, takie oprogramowanie należy
jednak odróżnić od licencji typu adware)
freeware czyli licencje, na których udostępniane jest
oprogramowanie bez obowiązku wnoszenia opłat licencyjnych ale
bez udostępnienia użytkownikowi kodu źródłowego programu i
zawierające pewne ograniczenia co to zakresu korzystania z
programu (na przykład – tylko do użytku prywatnego).
wolne licencje, w tym licencje typu open source
Wolne oprogramowanie
Licencja jest zasadniczo umową cywilnoprawną upoważniającą
licencjobiorcę jedynie do korzystania z utworu na określonych warunkach
(na określonych polach eksploatacji, odpłatnie czy nieodpłatne, na zasadach
wyłączności czy też nie). Większość z nich nie przewiduje z zasady prawa
licencjobiorcy do modyfikacji udostępnionego programu.
Należy jednak pamiętać, że istnieją licencje programów
komputerowych, które obejmują także także prawo do modyfikacji
programu. Są to programy zaprojektowane i rozpowszechnianie na tak
zwanych wolnych licencjach z licencją GPL na czele. Generalna Licencja
Publiczna GNU (ang. GNU General Public License, GNU GPL) jest
instytucją projektu GNU – projektu nowego, „wolnego” systemu
operacyjnego autorstwa programisty Richarda Stallmana.
Celem Stallmana i założonej przez niego Fundacji Wolnego
Oprogramowania (ang. Free Software Foundation) było zaprojektowanie
takiego oprogramowania, które mogłoby być rozwijane i rozpowszechniane
bez ograniczeń wprowadzanych dotychczas przez prawo autorskie. Wolne
Oprogramowanie miało realizować kilka podstawowych zasad, kilka
„wolności”, wśród których wymienić należy prawo do wprowadzania
modyfikacji programu i dostosowania go do własnych potrzeb. Generalna
Strona | 88
Licencja Publiczna miała być narzędziem prawnym, które w założeniu jej
twórców miało służyć realizacji celów z pozoru wzajemnie się
wykluczających. Z jednej strony chodziło o zapewnienie niczym
nieskrępowanego rozwoju oprogramowania, a z drugiej strony nałożenie na
programistów takich ograniczeń, które pozwolą na zachowanie
„wolnościowego” charakteru tworzonego przez nich oprogramowania.
Cel ten udało się osiągnąć poprzez wprowadzenie do postanowień
licencji GPL warunku, który można w sprowadzić do prostej zasady -
„wolno Tobie wziąć program i dowolnie z niego korzystać, a nawet
dowolnie go modyfikować, musisz jednakże efekt swojej pracy udostępnić
innym tak, aby i oni mogli dostosować efekt Twojej pracy do własnych
potrzeb”. Chyba nie bez przyczyny podkreśla się „wirusowy” charakter
licencji GPL, która niejako „infekuje” własnymi zasadami tworzone na jej
podstawie oprogramowanie94
.
Najbardziej znanym projektem programistycznym opublikowanym
na licencji GPL jest system operacyjny GNU/Linux i rozpowszechniany
wraz z nim prawdziwy arsenał oprogramowania – począwszy od
specjalistycznego oprogramowania naukowego po programy najzupełniej
amatorskie, których jakość bardzo często pozostawia wiele do życzenia.
Swój oszałamiający, globalny sukces, Linux zawdzięcza wyjątkowo trafnej,
jak się okazało, decyzji swojego twórcy, fińskiego programisty Linusa
Torvaldsa, który postanowił opublikować pierwszą wersję swojego projektu
właśnie na licencji GPL. Od tej chwili każdy zainteresowany mógł dowolnie
modyfikować i dostosowywać Linuxa do własnych potrzeb, oczywiście pod
tym tylko warunkiem, że efekt swojej pracy udostępni innym tak aby i oni
mogli dowolnie dostosowywać program do własnych potrzeb.
Choć z pewnością GNU/Linux jest najbardziej znanym
oprogramowaniem opublikowanym na wolnej licencji GPL to oczywiście
nie jest jedyny. Podobnie sama licencja GPL nie jest jedyną wolna licencją.
Wśród tych ostatnich szczególnie warto zwrócić uwagę na licencję BSD
(ang. Berkeley Software Distribution License). Jest to licencja wyjątkowo
liberalna i to nawet tak daleko liberalna, że inaczej niż to ma miejsce w
przypadku licencji GPL, pozwala na rozpowszechnianie oprogramowania
94
„Możesz modyfikować swoją kopię czy kopie Programu oraz dowolne jego części,
tworząc przez to pracę opartą na Programie, jak również kopiować i rozprowadzać takie
modyfikacje i pracę na warunkach podanych w pkt.1 powyżej - pod warunkiem
przestrzegania całości poniższych wymogów: (...)Musisz doprowadzić do tego, aby każda
rozpowszechniana lub publikowana przez ciebie praca, która w całości lub części zawiera
Program, albo pochodzi od niego lub jego części, była w całości i bezpłatnie
licencjonowana dla wszelkich stron trzecich na warunkach niniejszej Licencji”. Zob.:
http://www.gnu.org.pl/text/licencja-gnu.html
Strona | 89
nawet bez udostępnienia kodu źródłowego, a nawet włączenia go do
oprogramowania zamkniętego – jedynym istotnym warunkiem jest jedynie
ujawnienie informacji o jego twórcy i treści samej licencji. Najbardziej
znanym oprogramowaniem rozpowszechnianym na tej licencji jest protokół
Open SSH umożliwiający szyfrowaną komunikację w sieciach
komputerowych.
Pisząc o wolnym oprogramowaniu konieczne jest jeszcze jedno
zastrzeżenie. Otóż, powszechna praktyką jest używanie w sposób zamienny
pojęcia wolnego oprogramowania z pojęciem oprogramowania open source.
Nie jest to jednak właściwe, jako że choć ruch Open Source wywodzi się w
prostej linii z ruchu Wolnego Oprogramowania to jednak zarówno cele ich
obu, a także środki ich realizacji nie pozostają tożsame i nie są to po prostu
synonimy oznaczające jedno i to samo zjawisko. Nie ma tu miejsca dla
rozważanie różnic między nimi, tym bardziej, że są to bardzo często różnice
bardzo subtelne, warto w każdym razie podkreślić, że takie różnice istnieją i
znajdują swoje odzwierciedlenie w postanowieniach licencji. Najważniejsze
jest to, aby organy prowadzące postępowanie wiedziały, że istnieją różne
typy licencji, że licencje nie zawsze muszą być odpłatne, że istnieją takie,
które zezwalają na ingerencję w kod źródłowy, co oznacza prawo
użytkownika do modyfikowania programu, że zezwalają na praktycznie
nieograniczone powielanie i dystrybucję oprogramowania i do tego
pobieranie za to wynagrodzenia. Nie ma jednej „wzorcowej” licencji,
obowiązkowo odpłatnej, ograniczonej jedynie do korzystania z programu w
jego wersji binarnej.
Zasady odpowiedzialności karnej za naruszenia prawa
autorskiego do programów komputerowych
Na wstępie rozważań dotyczących zagadnień związanych z zasadami
odpowiedzialności karnej w przypadku naruszenia praw autorskich do
programów komputerowych należy wspomnieć o pewnym, bardzo istotnym,
aspekcie praktycznym. Nie może ulegać wątpliwości, że w olbrzymiej
większości postępowań, których przedmiotem jest naruszenie osobistych
lub majątkowych praw autorskich do programów komputerowych
podstawowe (czasem wręcz decydujące) znaczenie dla przebiegu sprawy ma
opinia biegłego z zakresu informatyki. Pomoc biegłego okazuje się
zazwyczaj niezbędna, co nie może dziwić, biorąc pod uwagę specyfikę tej
dziedziny nauki jaką jest informatyka. Rozstrzygniecie sprawy zależeć
będzie od ustalenia szeregu okoliczności wymagających wiadomości
specjalnych.
Strona | 90
O ile jednak sama potrzeba dopuszczenia dowodu z opinii biegłego nie
powinna być przedmiotem jakiejkolwiek kontrowersji, o tyle wiele
wątpliwości w aktualnej praktyce wymiaru sprawiedliwości musi budzić
sposób w jaki dowód ten jest przeprowadzany. Dotyczy to w szczególności
sposobu w jaki organ prowadzący postępowanie formułuje pytania do
biegłego. Nieprawidłowy sposób w jaki zostają postawione pytania do
biegłego może bowiem zaważyć o nieprawidłowym przebiegu czynności
biegłego, a w konsekwencji o także o nieprzydatności dla rozstrzygnięcia
wniosków z przeprowadzonej opinii.
Dla ilustracji problemu pozwolę sobie przywołać autentyczne
pytanie sformułowane przez organ procesowy w postanowieniu o
dopuszczeniu dowodu z opinii biegłego informatyka. Pytanie
sformułowane zostało w sposób następujący: „Zasięgnąć uzupełniającej
opinii biegłego z zakresu informatyki na okoliczność: czy ujawniono
okoliczności mogące mieć znaczenie w zakresie naruszenia ustawy (...)”.
Jest to, jak to już zostało powiedziane, dosłowny cytat z jak najbardziej
autentycznego postanowienia o zasięgnięciu opinii biegłego i z przykrością
trzeba stwierdzić, że nie jest on żadnym szczególnym wyjątkiem w praktyce
wymiaru sprawiedliwości.
Bardzo często, niepokojąco zbyt często, można spotkać się z
sytuacją, w której organ procesowy stawia przed biegłym z zakresu
informatyki zadanie, które polega tak naprawdę na rozstrzygnięciu
zagadnienia prawnego. Pytanie o to, czy zabezpieczony program
komputerowy użytkowany został z warunkami licencji, w sposób zgodny z
przepisami prawa autorskiego, czy z innymi przepisami, nie jest pytaniem
do biegłego informatyka. To jest zadanie dla organów procesowych, do nich
i tylko do nich, a nie do biegłych, należy rozstrzygnięcie zagadnień
prawnych. Wymaga to bardzo często bardzo wnikliwej analizy prawnej,
rozważania i rozwiązania wielu skomplikowanych zagadnień, często o
bardzo złożonych „wielopiętrowych” wzajemnych relacjach, wymagających
odwoływania się do treści innych, niż tylko sama ustawa, norm prawnych
(na przykład do postanowień umów licencyjnych). Dodatkową trudność
sprawia bardzo specyficzny, techniczny język, trudność spotęgowaną
jeszcze przez fakt, iż wiele z tych norm jest niczym innym jak mniej lub
bardziej udaną kalką z języka angielskiego i stanowi swoisty „przeszczep” z
innego, całkowicie odmiennego systemu prawnego.
Zagadnienia odpowiedzialności karnej regulują przepisy art. 115 –
123 prawa autorskiego. Pierwszy z wskazanych powyżej przepisów artykuł
115 ust. 1 prawa autorskiego dotyczy przestępstwa przywłaszczenia
autorstwa utworu albo wprowadzenia w błąd co do autorstwa całości lub
części cudzego utworu albo artystycznego wykonania. Przepis ten stanowi,
Strona | 91
iż kto przywłaszcza sobie autorstwo albo wprowadza w błąd co do
autorstwa całości lub części cudzego utworu albo artystycznego wykonania,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 3.
Artykuł 115 ust. 1 prawa autorskiego stanowi odpowiednik art. 284
kodeksu karnego95
, który dotyczy przywłaszczenia cudzej rzeczy ruchomej
lub cudzego prawa majątkowego, przy czym różnica miedzy nimi polega na
tym, że w przypadku art. 115 prawa autorskiego przedmiotem
przywłaszczenia nie jest rzecz czy prawo majątkowe tylko autorstwo
danego utworu – sprawca bezprawnie przypisuje sobie autorstwo cudzego
utworu lub artystycznego wykonania, bądź wprowadza w błąd co do tego
autorstwa. W porównaniu art. 115 prawa autorskiego z art. 278 §2 kk96
widać specyfikę ochrony prawnoautorskiej programu komputerowego,
gdzie chodzi o ochronę autorstwa utworu (w tym wypadku programu
komputerowego) a nie, jak to ma miejsce w przypadku art. 278 §2 kk
samego programu komputerowego97
.
Przepis art. 155 prawa autorskiego obejmuje trzy odrębne typy
przestępstw. Zgodnie z treścią ust. 1:
Kto przywłaszcza sobie autorstwo albo wprowadza w błąd co do
autorstwa całości lub części cudzego utworu albo artystycznego
wykonania, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 3.
Jest to przestępstwo przywłaszczenia autorstwa czyli plagiat. Działanie
sprawcy może polegać bądź na przywłaszczeniu autorstwa cudzego utworu
bądź na wprowadzeniu w błąd co do autorstwa całości lub części cudzego
utworu. Istnieją zasadnicze różnice co do oby przesłanek – przywłaszczenia
autorstwa i wprowadzenia w błąd co do autorstwa. W tym pierwszym
przypadku przestępstwo to można popełnić tylko umyślnie ale co niezwykle
istotne z zamiarem bezpośrednim, a więc tylko wtedy kiedy sprawca
świadomość sprawcy ukierunkowana jest na osiągnięcie określonego celu,
sprawca chce popełnić przestępstwo, świadomie przywłaszcza sobie
95
Art. 284. § 1. Kto przywłaszcza sobie cudzą rzecz ruchomą lub prawo majątkowe,
podlega karze pozbawienia wolności do lat 3. 96
Art. 278. § 1. Kto zabiera w celu przywłaszczenia cudzą rzecz ruchomą, podlega karze
pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. Tej samej karze podlega, kto bez zgody osoby uprawnionej uzyskuje cudzy program
komputerowy w celu osiągnięcia korzyści majątkowej. 97
Odrębnym zagadnieniem, wymagającym oddzielnego opracowania, jest wzajemna
relacja przepisów prawa autorskiego i kodeksu karnego – mogą one w pewnym zakresie
pokrywać się ze sobą a w pewnym nie, co prowadzić może do istotnych komplikacji
interpretacyjnych.
Strona | 92
autorstwo cudzego utworu (programu) i to czyni, świadomość sprawcy
zakłada pewne celowe działanie, trudno zatem sobie wyobrazić aby ten typ
przestępstwa można popełnić na przykład poprzez zaniechanie.
Inaczej wygląda sytuacja w przypadku drugiej przesłanki –
wprowadzenia w błąd co do autorstwa które można popełnić zarówno przez
działanie jak i przez zaniechanie (osoba zobowiązana do sprostowania błędu
tego nie czyni), przestępstwo to można także popełnić zarówno z zamiarem
bezpośrednim jak i ewentualnym czyli z sytuacją, w której sprawca nie chce
popełnienia czynu przestępnego ale przewidując taki skutek na skutek taki
się godzi.
Artykuł 115 ust. 2 reguluje odrębny typ przestępstwa niż ten
określony w ustępie pierwszym, działanie sprawcy polega bowiem na
rozpowszechnianiu przez niego cudzego utworu bez podania nazwiska lub
pseudonimu twórcy:
2. Tej samej karze podlega, kto rozpowszechnia bez podania
nazwiska lub pseudonimu twórcy cudzy utwór w wersji
oryginalnej albo w postaci opracowania, artystyczne wykonanie
albo publicznie zniekształca taki utwór, artystyczne wykonanie,
fonogram, wideogram lub nadanie.
Rozpowszechnianie takie może dotyczyć zarówno utworu w wersji
oryginalnej albo w postaci opracowania, a także artystycznego wykonania.
Należy w tym miejscu podkreślić, iż przesłanka rozpowszechniania nie
musi być realizowana publicznie, dla bytu przestępstwa z art. 115 ust. 2
prawa autorskiego nie jest konieczne aby sprawca udostępniał utwór
publicznie, to znaczy udostępniał go szerszemu i bliżej nie określonemu
kręgowi osób. Wystarczy zatem udostępnienie utworu tak aby jego treść
mogła być znana innym osobom – sprawca może zatem uczynić utwór
(program) dostępnym przez stronę www, przesłać go pocztą elektroniczną,
umieścić na dostępnym innym użytkownikom serwerze ftp, przekazać
innym osobom utwór na nośniku magnetycznym czy optycznym itp.
Zasadnicze wątpliwości może budzić konstrukcja przepisu art. 115
ust. 3 prawa autorskiego, który stanowi, że:
kto w celu osiągnięcia korzyści majątkowej w inny sposób niż
określony w ust. 1 lub ust. 2 narusza cudze prawa autorskie lub
prawa pokrewne określone w art. 16, art. 17, art. 18, art. 19 ust.
1, art. 191, art. 86, art. 94 ust. 4 lub art. 97, albo nie wykonuje
obowiązków określonych w art. 193 ust. 2, art. 20 ust. 1-4, art. 40
ust. 1 lub ust. 2, podlega grzywnie, karze ograniczenia wolności
albo pozbawienia wolności do roku.
Strona | 93
Przepis ten może budzić zasadnicze wątpliwości po pierwsze
dlatego, że wskazany w nim katalog cudzych praw autorskich lub praw
pokrewnych określony został bardzo szeroko, po drugie dlatego, że
czynność w postaci „innego naruszenia” praw autorskich może być
rozumiana w ten sposób, iż w zasadzie każde zachowanie polegające na
naruszeniu cudzych praw autorskich sprawcy, inne niż te opisane art. 115 w
ust. 1 i ust. 2 prawa autorskiego, może być objęte dyspozycją tego przepisu.
Prowadzi to do sytuacji, w której penalizacji poddany zostaje zbiór
zachowań o trudnych do zakreślenia granicach – skoro każde naruszenie
cudzych praw autorskich może być objęte dyspozycją art. 115 ust. 3 to
teoretycznie mamy do czynienia z katalogiem otwartym, takim który może
obejmować wszystkie możliwe zachowania polegające na naruszeniu
cudzych praw autorskich.
„Określenie czynności sprawczej jako inne naruszenie, bez bliższego
dookreślenia, może prowadzić do wątpliwości co do prawidłowej
kwalifikacji prawnej konkretnego zachowania. (..) W literaturze zgłaszano
wątpliwości co do zbyt szerokiego ujęcia odpowiedzialności karnej w art.
115 ust. 3. W szczególności wątpliwości mogą powstać na tle ochrony praw
określonych w art. 18 ustawy. Nie jest jasne, na czym ma polegać
ingerencja w uprawnienia do nieegzekwowania wierzytelności z autorskich
praw majątkowych, czy w zakaz zrzekania się, czy zbywania określonych
wynagrodzeń”98
Zasadnie zwrócono uwagę, że art. 115 ust. 3
uprzywilejowuje twórców, artystów wykonawców, producentów
fonogramów i wideogramów oraz organizacje radiowe i telewizyjne w
sposób wyjątkowy. W zasadzie bowiem każde naruszenie ich praw w
zakresie, o jakim mowa w przepisie, rodzi odpowiedzialność karną. (..)
Wydaje się, że prawo karne nie powinno aż tak dalece ingerować w stosunki
cywilnoprawne i wyręczać uprawnionego w dochodzeniu roszczeń z tego
tytułu na tej właśnie drodze. Prawo karne powinno przymuszać do
spełnienia świadczenia zupełnie wyjątkowo (np. roszczenia
alimentacyjne)”99
.
Niezbędną przesłanką odpowiedzialności z art. art. 115
ust. 3 jest to aby sprawca działał w celu osiągnięcia korzyści majątkowej.
Redakcja przepisu art. 115 ust. 3, obecność przesłanki w postaci działania w
„celu” osiągnięcia korzyści majątkowej przesądza o tym, że jest to typ
przestępstwa, które można popełnić jedynie z zamiarem bezpośrednim
(celowość działania sprawcy).
Kolejny przepis prawa autorskiego, regulujący zasady
odpowiedzialności karnej, a mianowicie artykuł 116, dotyczy
98
Zob. [Barta i In. 2007] s. 171. 99
[Barta i in. 2001].
Strona | 94
rozpowszechniania utworu (oryginalnego lub opracowania) bez uprawnienia
lub wbrew warunkom jego rozpowszechnienia, czyli tych wszystkich
czynów, wobec które potocznie można opisać za pomocą pojęcia
„piractwa”. Przepis jak i poprzedni jest bardzo rozbudowany i w ust. 1
stanowi, że
„Kto bez uprawnienia albo wbrew jego warunkom
rozpowszechnia cudzy utwór w wersji oryginalnej albo w postaci
opracowania, artystyczne wykonanie, fonogram, wideogram lub
nadanie, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2.”
Należy w tym miejscu zauważyć, że o ile pierwsza przesłanka w
postaci braku uprawnień nie budzi większych wątpliwości (sprawca nie jest
w żaden sposób uprawniony do rozpowszechniania utworu), o tyle w
przypadku drugiej przesłanki – działania wbrew warunkom
rozpowszechnienia utworu, sprawca takie upoważnienie posiada,
rozpowszechnia jednakże utwór wbrew warunkom tego upoważnienia, co
oznacza, że istnieje konieczność odwołania się do treści i zakresu
udzielonego upoważnienia (na przykład licencji), a następnie ustalenie, czy
działanie sprawcy rzeczywiście narusza jego warunki. W praktyce można
spodziewać się wielu trudności interpretacyjnych, wynikających z
niejednoznacznych regulacji, najczęściej umów licencyjnych, co do zakresu
i rodzaju udzielonego upoważnienia.
„Zwroty bez uprawnienia albo wbrew jego warunkom mają
charakter tzw. klauzul normatywnych. Zawsze nasuwają one wątpliwości,
czy chodzi tu o określenie znamienia czynu zabronionego, czy też o
określenie bezprawności zachowania. To rozróżnienie miałoby istotne
konsekwencje w ramach problematyki ewentualnego błędu co do prawa. W
pierwszym przypadku rozwiązanie zostałoby oparte na art. 30 k.k., w
drugim zaś na art. 28 § 1 k.k. Informacja zawarta w klauzuli normatywnej
nie jest zazwyczaj zupełna w tym sensie, że wymaga dodatkowego
odwołania się do innego stwierdzenia o prawnym charakterze,
występującego w tym samym lub innym akcie prawnym, regulaminie,
instrukcji itp. W przypadku art. 116 ustawy przez pojęcie braku uprawnienia
należy rozumieć przede wszystkim brak uprawnienia udzielonego ze strony
twórcy lub innego uprawnionego podmiotu, któremu prawa autorskie lub
pokrewne przysługują albo w sposób pierwotny, albo w sposób
pochodny”100
.
100
Ibid.
Strona | 95
Działanie sprawcy, w przypadku przestępstwa z art. 116 prawa
autorskiego, polegać ma na rozpowszechnieniu utworu lub jego
opracowania, czyli na podjęciu przez sprawcę zabiegów zmierzających do
udostępnienia utworu nieograniczonej liczbie odbiorców, przy czym
redakcja tej przesłanki, użycie czasownika w formie niedokonanej („kto
rozpowszechnia”) wskazuje, że dla bytu przestępstwa nie jest konieczne aby
takie udostępnienie nieograniczonej liczbie odbiorców rzeczywiście miało
miejsce, wystarczy aby sprawca przedsięwziął czynności zmierzające do
takiego udostępnienia. I tak na przykład umieszczenie bez upoważnienia
programu w ogólnodostępnym serwisie internetowym objęte jest
niewątpliwie pojęciem rozpowszechniania, niezależnie od tego, czy
ktokolwiek z potencjalnych odbiorców do takiego pliku dotarł.
Istotnym zagadnieniem z punktu widzenia odpowiedzialności
potencjalnego sprawcy jest jego świadomość braku stosownego
uprawnienia. Sprawcy można zatem przypisać fakt popełnienia
przestępstwa tylko wtedy kiedy miał on świadomość braku takiego
uprawnienia lub odpowiednio - świadomego rozpowszechniania utworu
(programu) wbrew jego warunkom. Nie można wykluczyć, że sprawca
będzie działał pod wpływem błędu, co będzie wyłączać jego
odpowiedzialność karną.
Na przykładzie art. 116 doskonale widać jakim zagrożeniem może
być automatyzm w stosowaniu przepisów karnych - obecny niestety w
praktyce wymiaru sprawiedliwości jeśli chodzi o ściganie powszechnego
skądinąd w Polsce „piractwa” komputerowego. Nie wystarczy bowiem
ustalić, że u sprawcy zabezpieczono „nielegalne oprogramowanie”. Trudno
nawet uznać sensowność pojęcia „nielegalnego oprogramowania” -
przynajmniej jeśli chodzi rozważania w płaszczyźnie art. 116 prawa
autorskiego, gdzie mowa jest o działaniu bez uprawnienia albo wbrew jego
warunkom. W tej właśnie płaszczyźnie żadne oprogramowanie nie jest
nielegalne samo w sobie, może być tylko w sposób sprzeczny z prawem
wykorzystane. Do tego jednak niezbędnym jest wszechstronne wyjaśnienie
wszystkich okoliczności sprawy, daleko wykraczające poza ustalenie tego,
że na komputerze sprawcy zainstalowano określone oprogramowanie. Dla
ustalenia czy rzeczywiście popełniono przestępstwo z art. 116 (podobnie
zresztą jak przestępstwa z art. 117 i 118) prawa autorskiego konieczne jest
jeszcze ustalenie szeregu okoliczności dotyczących sposobu działania
sprawcy, odwołanie się i analiza tych norm prawnych, które określają treść i
zakres upoważnienia (na przykład umów licencyjnych), tego czy sprawca
nie działał pod wpływem błędu co do tego czy przysługuje mu określone
upoważnienie, czy działa w granicach tego upoważnienia. Wystarczy
wspomnieć o tym, że postanowienia niektórych warunków licencyjnych są
Strona | 96
trudno zrozumiałe nawet i dla prawników, a i nie można wykluczyć i
świadomych działań nieuczciwych licencjodawców obliczonych na błędne
rozumienie warunków licencji przez niedoświadczonych użytkowników101
.
Ciekawym zagadnieniem teoretycznym jest zagadnienie
rozpowszechniania programu na innym polu eksploatacji niż to, które objęte
było uprawnieniem, a zatem sytuacja, w której na przykład umowa
licencyjna zawiera zezwolenie na zainstalowanie i uruchomienie
egzemplarza programu na stacjach roboczych (komputerach) jednakże bez
możliwości umieszczania programu w sieci. Czy licencjobiorca, który
umieszcza, w tej sytuacji, program w sieci działa bez upoważnienia, czy też
działa jedynie wbrew warunkom udzielonego uprawnienia? Wątpliwości
rozstrzygnięto na rzecz pierwszej z wymienionej możliwości –
rozpowszechnienie utworu na innym polu eksploatacji jest
rozpowszechnianiem bez uprawnienia, a nie rozpowszechnianiem wbrew
jego warunkom.
Jeśli chodzi o dalsze przepisy art. 116 prawa autorskiego to regulują
one przypadki:
surowszej odpowiedzialności karnej w przypadku działania sprawcy w
celu osiągnięcia korzyści majątkowej (art. 116 ust. 2),
tak samo zaostrzenia odpowiedzialności karnej w przypadku, gdy
sprawca uczynił z popełniania przestępstwa określonego w ust. 1 stałe
źródło dochodu albo działalność przestępną, określoną w ust. 1,
organizuje lub nią kieruje (art. 116 ust. 3 ),
łagodniejszej sankcji w przypadku nieumyślnego działania sprawcy
(przestępstwo to można popełnić także nieumyślnie - art. 116 ust. 4 ).
Kolejnym przepisem regulującym zasady odpowiedzialności karnej
z tytułu naruszenia praw autorskich jest przepis art. 117 ust. 1 prawa
autorskiego, który stanowi, iż:
„Kto bez uprawnienia albo wbrew jego warunkom w celu
rozpowszechnienia utrwala lub zwielokrotnia cudzy utwór w
wersji oryginalnej lub w postaci opracowania, artystyczne
wykonanie, fonogram, wideogram lub nadanie podlega
grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 2.”
101
Szczególne oburzające są praktyki swoistego wymuszania opłat licencyjnych, kiedy to
samo zalogowanie do serwisu internetowego, wbrew świadomości użytkownika, ma
pociągać za sobą konieczność podpisania umowy licencyjnej na korzystanie z zawartych w
nim treści.
Strona | 97
Natomiast
jeśli sprawca uczynił sobie z popełniania przestępstwa
określonego w ust. 1 stałe źródło dochodu albo działalność
przestępną, określoną w ust. 1, organizuje lub nią kieruje,
podlega karze pozbawienia wolności do lat 3.
Różnica miedzy art. 116 a art. 117 sprowadza się do tego, że o ile w
pierwszym przypadku sprawca bez uprawnienia albo wbrew jego warunkom
rozpowszechnia cudzy utwór, o tyle w przypadku art. 117 sprawca bez
uprawnienia albo wbrew jego warunkom w celu rozpowszechnienia utrwala
lub zwielokrotnia cudzy utwór. W przypadku art. 116 chodzi o
rozpowszechnianie bez upoważnienia, natomiast w art. 117 o utrwalenie i
zwielokrotnienie w celu jego rozpowszechnienia.
Biorąc pod uwagę redakcję powyższego przepisu, w którym mowa
jest o czynnościach dokonanych takich jak „utrwala” i „zwielokrotnia”
należy stwierdzić, że mamy do czynienia z przestępstwem skutkowym,
przestępstwem do którego dochodzi dopiero z chwilą realizacji powyższych
czynności – po to aby sprawcy przypisać popełnienie przestępstwa z art.
117 musi dojść do czynności utrwalenia lub zwielokrotnienia utworu (choć
dla odpowiedzialności sprawcy wystarczy aby ten czynności tylko
rozpoczął). Przesłanki w postaci utrwalania i zwielokrotniania definiuje
przepis art. 50 pkt. 1 prawa autorskiego, określający odrębne pola
eksploatacji. Zgodnie z jego brzmieniem odrębne pole eksploatacji w
zakresie utrwalania i zwielokrotniania utworu stanowi wytwarzanie
określoną techniką egzemplarzy utworu, w tym techniką drukarską,
reprograficzną, zapisu magnetycznego oraz techniką cyfrową. Dla
odpowiedzialności z art. 117 wystarczy oczywiście samo utrwalenie bez
zwielokrotnienia utworu jak i jego zwielokrotnienie bez uprzedniego
utrwalenia. Działanie sprawcy może oczywiście realizować obie przesłanki
– utrwalenia i zwielokrotnienia utworu.
Niezwykle istotną kwestią jest to, że przestępstwo z art. 117 ust.
prawa autorskiego popełnić można tylko wtedy gdy sprawca działa w celu
rozpowszechnienia utrwalonego lub zwielokrotnionego utworu, czyli działa
(trudno wyrazić sobie zachowanie sprawcy polegające na zaniechaniu) z tak
zwanym zamiarem bezpośrednim. Sam fakt utrwalenia lub zwielokrotnienia
programu (na przykład na nośniku optycznym) nie wystarcza jeszcze do
popełnienia tego przestępstwa, konieczny jest jeszcze zamiar w celu
rozpowszechnienia. Oczywiście zwielokrotnienie kopii programu
komputerowego utrwalonego na powiedzmy, nośniku DVD w tysiącach
egzemplarzy trudno uznać za działanie inne niż w celu ich
rozpowszechnienia. W takiej sytuacji już sama skala przedsięwzięcia może
Strona | 98
wskazywać na to, że celem działania sprawy jest rozpowszechnienie –
skopiowanie tysięcy płyt DVD trudno przecież uznać w świetle
doświadczenia życiowego za jedynie specyficzną działalność hobbystyczną,
która z żadnym rozpowszechnianiem nie ma nic wspólnego. Nie oznacza to
jednak, że w takiej sytuacji można poprzestać tylko i wyłącznie na tym
właśnie fakcie i czuć się zwolnionym z obowiązku zebrania wszystkich
pozostałych dowodów, w tym także tych wskazujących na działanie
sprawcy w celu rozpowszechnienia.
Przepis art. 117 ust. 2 prawa autorskiego zawiera typ kwalifikowany
przestępstwa opisanego w ust. 1 i dotyczy sytuacji, w której sprawca
uczynił sobie z popełniania przestępstwa określonego w ust. 1 stałe źródło
dochodu albo działalność przestępną, określoną w ust. 1, organizuje lub nią
kieruje.
Specyfikę prawa autorskiego, także i na gruncie prawa karnego,
doskonale widać w sytuacji kiedy porównamy konstrukcję przepisu art. 117
ust. 1 prawa autorskiego z przepisem art. 278 §1 i 2 kodeksu karnego. W
tym ostatnim przypadku chodzi o kradzież programu komputerowego – w
przepisie tym tej samej karze, co sprawca kradzieży rzeczy ruchomej,
podlega ten, kto bez zgody osoby uprawnionej uzyskuje cudzy program
komputerowy w celu osiągnięcia korzyści majątkowej.
Istotna różnica między tymi przepisami polega na tym, że w
przypadku regulacji z kodeksu karnego czyn przestępny dotyczy każdego
programu komputerowego, a nie tylko tego, który jest utworem w
rozumieniu prawa autorskiego – w przypadku art. 278 kk chodzi o każdym
program komputerowy, nawet taki, który nie odpowiada cechom utworu w
rozumieniu prawa autorskiego. Nie każdy bowiem program komputerowy
można opisać za pomocą pojęć prawa autorskiego, w tym sensie, że nie
każdy program komputerowy można uznać za utwór.
Kolejnym przepisem prawa autorskiego wymierzonym w zjawisko
„piractwa” jest przepis art. 118, który w ust. 1 stanowi iż:
„Kto w celu osiągnięcia korzyści majątkowej przedmiot będący
nośnikiem utworu, artystycznego wykonania, fonogramu,
wideogramu rozpowszechnianego lub zwielokrotnionego bez
uprawnienia albo wbrew jego warunkom nabywa lub pomaga w
jego zbyciu albo przedmiot ten przyjmuje lub pomaga w jego
ukryciu, podlega karze pozbawienia wolności od 3 miesięcy do
lat 5.”
Redakcja przepisu wskazuje, że sprawca musi działać:
1) w celu osiągnięcia korzyści majątkowej – samo nabycie lub pomoc w
zbyciu nie wystarcza dla odpowiedzialności z art. 118 ust. 1.,
Strona | 99
2) inaczej niż to miało miejsce w przypadku art. 116 i 117, czynność
sprawcza polega na nabyciu lub pomocy w zbyciu przedmiotu, będący
nośnikiem programu a nie samego programu,
3) polega na nabyciu, pomocy w jego zbyciu, przyjęciu lub pomocy w jego
ukryciu,
4) utrwalony na nośniku program musi być rozpowszechniony lub
zwielokrotniony bez uprawnienia lub wbrew jego warunkom,
5) sprawca musi mieć świadomość tego, że chodzi o nośnik, który jest
rozpowszechniany bez uprawnienia lub wbrew jego warunkom.
W tym ostatnim przypadku brak świadomości sprawcy o tym, że
przedmiot na którym utrwalono program jest rozpowszechniany bez
uprawnienia lub wbrew jego warunkom nie może pociągać dla niego skutku
w postaci odpowiedzialności karnej za przestępstwo paserstwa z art. 118
prawa autorskiego.
Dyspozycją przepisu art. 118 pr. aut. objęte jest nabycie lub pomoc
w zbyciu przedmiotu będącego nośnikiem utworu (programu
komputerowego), a nie nabycie lub pomoc w zbyciu samego utworu
(programu). Przedmiotem obrotu nie jest zatem sam program tylko nośnik,
na którym program taki został utrwalony, przy czym obojętny jest rodzaj
samego nośnika (twardy dysk, płyta CD, płyta DVD, dyskietka, pendrive)
natomiast istotny jest jego materialny charakter. W konsekwencji nie
popełnia przestępstwa z art. 118 sprawca, który nabywa, pomaga w zbyciu,
przyjmuje lub pomaga w ukryciu sam program komputerowy, w jego
niematerialnej postaci.
Warto w tym miejscu dokonać pewnej dygresji, która może okazać
się przydatną dla lepszego zrozumienia specyfiki, jaką charakteryzują się
zjawiska szeroko pojętej informatyki, gdzie próby uchwycenia, a następnie
opisania pewnych zjawisk za pomocą pojęć doskonale nam znanych z
innych dziedzin skazane są na niepowodzenie, już na poziomie
nieadekwatności języka. Pojęcia doskonale nam znane z innych obszarów,
jak na przykład z teorii i praktyki prawa, na gruncie informatyki okazują się
często nieprzydatne i to niekiedy tak dalece, że nie tylko wyjaśniają ale i
wręcz zaciemniają istotę rzeczy. Dzieje się tak na przykład wtedy kiedy
próbujemy opisać za pomocą pojęć prawnych tak nieuchwytne i szczególne
zjawisko jakim jest program komputerowy. Intuicyjnie myślimy o nim w
taki sam sposób jak o każdym innym elemencie otaczającej nas
rzeczywistości, czyli myślimy o nim jako o rzeczy. Wiemy już doskonale,
że program komputerowy rzeczą nie jest, że jest zjawiskiem
niematerialnym, zapisanym w pamięci komputera. Powinniśmy zatem
wiedzieć, że nie można utożsamiać programu komputerowego z nośnikiem
na jakim został utrwalony, że płyta CD z jakiej program jest uruchamiany
Strona | 100
nie jest programem. Musimy nauczyć się odróżniać program od nośnika, na
jakim go utrwalono, musimy niejako przełamać nasze własne
doświadczenie wyniesione wprost ze sklepu, gdzie kupując program
otrzymywaliśmy płytę DVD.
Dobrą ilustracją dokładnie tego samego problemu jest różnica jaka
zachodzi treścią dokumentu elektronicznego, a nośniku na jakim treść tą
utrwalono. Przepisu ustawy102
definiują dokument elektroniczny jako
stanowiący odrębną całość znaczeniową zbiór danych uporządkowanych w
określonej strukturze wewnętrznej i zapisany na informatycznym nośniku
danych103
. W świetle tego przepisu dokument elektroniczny to tyle co
uporządkowane dane elektroniczne. Dokument elektroniczny nie musi być
zatem utrwalony na jakimś przedmiocie, tak jak tradycyjny dokument
musiał być, z natury rzeczy utrwalony na jakimś materiale (tabliczce,
papirusie, pergaminie, papierze). Myśląc o tradycyjnym dokumencie
myśleliśmy zawsze jako o dokumencie papierowym, z samej technologii
powstawania dokumentów wynikało utożsamienie jego samego z
materiałem na jakim musiał być utrwalony. W przypadku dokumentu
elektronicznego, dzięki technologiom informatycznym tak już nie jest – nie
ma żadnych papierów, żadnych teczek, żadnych archiwów, są tylko dane
zapisane w pamięci komputera. Czym innym jest dokument rozumiany jako
uporządkowane dane elektroniczne, a czym innym nośnik na jakim są one
utrwalone. Dopiero rozwój nowoczesnych technologii pozwolił nam
wyraźnie rozdzielić treść dokumentu od nośnika na jakim ta treść została
utrwalona.
Jeśli odniesiemy powyższe rozważania do problematyki programów
komputerowych to pewne niezrozumiałe uprzednio kwestie staną się jasne.
Program komputerowy to coś zasadniczo odmiennego od nośnika, na
którym został zapisany, a to co zazwyczaj jest wyświetlane na ekranie
naszego monitora nie ma charakteru materialnego.
Podobnie jak w przypadku poprzednich artykułów przepis art. 118
zawiera dwa typy kwalifikowane przestępstwa, a mianowicie ust. 2, który
stanowi, iż:
jeżeli sprawca uczynił sobie z popełniania przestępstwa
określonego w ust. 1 stałe źródło dochodu albo działalność
przestępną, określoną w ust. 1, organizuje lub nią kieruje,
podlega karze pozbawienia wolności od roku do lat 5
oraz ust. 3 w świetle którego:
102
[UoInf]. 103
Artykuł 3 pkt 2 [UoInf].
Strona | 101
jeżeli na podstawie towarzyszących okoliczności sprawca
przestępstwa określonego w ust. 1 lub 2 powinien i może
przypuszczać, że przedmiot został uzyskany za pomocą czynu
zabronionego, podlega grzywnie, karze ograniczenia wolności
albo pozbawienia wolności do lat 2.
Na koniec rozważań poświęconych prawnokarnym aspektom
ochrony programów komputerowych wskazać należny na przepis, którego
konstrukcja budzi szereg kontrowersji ze względu na jego wybitnie
restrykcyjny charakter ale i szereg potencjalnych wątpliwości jakich
spodziewać się można wraz z jego stosowaniem w praktyce.
Artykuł 1181 prawa autorskiego, bo o nim w tym miejscu będzie
mowa, stanowi, że:
„Kto wytwarza urządzenia lub ich komponenty przeznaczone do
niedozwolonego usuwania lub obchodzenia skutecznych
technicznych zabezpieczeń przed odtwarzaniem, przegrywaniem
lub zwielokrotnianiem utworów lub przedmiotów praw
pokrewnych albo dokonuje obrotu takimi urządzeniami lub ich
komponentami, albo reklamuje je w celu sprzedaży lub najmu,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 3”.
Czynnością sprawczą jest zatem wytwarzanie, obrót a nawet
reklamowanie w celu sprzedaży i najmu urządzeń oraz ich komponentów
przeznaczonych do niedozwolonego usuwania lub obchodzenia skutecznych
technicznych zabezpieczeń przed odtwarzaniem, przegrywaniem lub
zwielokrotnianiem utworów lub przedmiotów praw pokrewnych.
Przyjmijmy, że przesłanka w postaci skutecznego technicznego
zabezpieczenia zasadniczo nie budzi większych wątpliwości – można w tym
miejscu odwołać się do koncepcji wypracowanych na gruncie art. 267
kodeksu karnego, gdzie mowa jest o przełamaniu szczególnych zabezpieczeń
czyli takich, których usunięcie wymaga pewnej specjalistycznej wiedzy i
specjalistycznych narzędzi.
Wątpliwości natomiast może budzić pojęcie obchodzenia
zabezpieczeń czyli tych wszystkich czynności, które nie polegają na
usuwaniu (czy na gruncie art. 267 kk przełamywaniu) zabezpieczeń ale na
ich obchodzeniu, czyli jak można zakładać, wykorzystywaniu błędów i luk
w samych technicznych zabezpieczeniach.
Inną wątpliwość na gruncie art. 1181 budzi sam charakter
technicznych zabezpieczeń, których to usunięcia lub obejścia ma się
dopuścić sprawca. W przepisie jest mowa o urządzeniach oraz ich
Strona | 102
komponentach technicznych, co oznacza, że może chodzić zarówno o sprzęt
jak i oprogramowanie, problem jednak w tym, że szczególnie w przypadku
tych ostatnich, trudno z góry rozstrzygnąć, które z nich może służyć do
niedozwolonego usuwania lub obchodzenia zabezpieczeń.
Wiele standardowych, ogólnodostępnych narzędzi „hakerskich”,
których przeznaczeniem jest między innymi usuwanie i obchodzenie
technicznych zabezpieczeń zaprojektowane zostało jako narzędzia
diagnostyczne, których zadaniem jest testowanie i sprawdzanie jakości
zabezpieczeń i bez których nie można wyobrazić sobie wprost działania
olbrzymiej większości systemów teleinformatycznych. Programy te
oczywiście mogą być użyte do usuwania czy obejścia zabezpieczeń
technicznych, tak samo jak młotek może być narzędziem wykorzystanym
do włamania nie oznacza to jednak, że ich wprowadzanie do obrotu lub ich
reklama może być czynem ściganym pod groźbą odpowiedzialności karnej.
Przeciwnie, trudno sobie wyobrazić ich wykorzystanie bez uprzedniego
wprowadzenia do obrotu.
Problem ten staje się jeszcze bardziej widoczny na gruncie art. 1181
ust. 2, który stanowi, że penalizacji poddane zostało także samo posiadanie,
przechowywanie lub wykorzystywanie urządzeń lub ich komponentów
przeznaczonych do niedozwolonego usuwania lub obchodzenia skutecznych
technicznych zabezpieczeń.
W ocenie niżej podpisanego jest to przykład idącej za daleko
penalizacji, przykład zachwiania pewnych proporcji między zwalczaniem
pewnych niekorzystnych zjawisk a nadmierną, nieuzasadnioną
odpowiednim interesem społecznym, represyjnością systemu prawnego.
Bibliografia
1. [Barta i in. 2001] Barta J., Czajkowska-Dąbrowska M., Ćwiąkalski Z.,
Markiewicz R., Traple E., Ustawa o prawie autorskim i prawach
pokrewnych. Komentarz, Dom Wydawniczy ABC, 2001, wyd. II.
2. [Barta i In. 2007] Barta J., Czarny-Drożdżejko E., Dobosz I, Kamiński I.
C., Markiewicz R., LexisNexis, Warszawa2007
3. [UoInf] Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne (Dz. U. z dnia 20.04.2005
r.).
Strona | 103
ROZDZIAŁ 5.
NORMY JAKO DOKUMENTY ODNIESIENIA DO OCENY
NALEŻYTEJ STARANNOŚCI WYWIĄZYWANIA SIĘ Z UMÓW
TWORZENIA I WDRAŻANIA OPROGRAMOWANIA.
Andrzej NIEMIEC*
Wstęp
Tworzenie i wdrażanie oprogramowania rodzi problemy oceny, czy strony
umowy o opracowanie i wdrożenie oprogramowania wywiązały się ze
zobowiązań. Przebieg wdrożenia, jakość dostarczonego oprogramowania
lub zapłata za wykonane faktycznie prace może prowadzić do sporów, które
kończą się sprawą cywilną albo sprawą karną.
Istnieje różnica co do oceny wykonanej pracy przez dostawcę
oprogramowania- firmę wdrażającą i przez odbiorcę oprogramowania w
tym użytkowników104
. Dla firmy wdrażającej wdrożenie kończy się wraz z
podpisaniem dokumentu potwierdzającego instalację oprogramowania i
przeszkolenie użytkowników. Dla firmy korzystającej z oprogramowania
od tej chwili zaczyna się korzystanie z oprogramowania w celu określonym
w umowie o dostawę i wdrożenie oprogramowania.
Należy tu podkreślić, iż z punktu widzenia firmy wdrażającej –
oprogramowanie to skompilowane kody, ale z punktu widzenia odbiorcy –
oprogramowanie to środek do rozwiązania problemów biznesowych i
optymalizacji procesów. W chwili zawierania umowy strony miały do siebie
duże zaufanie, którego poziom wraz z postępami prac może zmieniać się a
nawet przyczynić do zerwania umowy. Dostawca oprogramowania zwykle
dostarcza takie oprogramowanie, jakim dysponuje. Odbiorca w trakcie
wdrażania odkrywa nowe możliwości i stara się, by dostawca w ramach
umowy wykonał adaptację istniejącego oprogramowania do zmienianych w
czasie wdrażania wymagań. Podczas sprawy cywilnej o odszkodowanie za
zerwanie umowy albo za wdrożenie systemu z wadami, biegły powinien
wskazać w jakim stopniu wdrożenie systemu było zgodne z dobrą praktyką.
Biegły sądowy, wydając opinię powinien odnieść się do sytuacji poprawnej
– idealnej. Dotyczy to zwłaszcza spraw cywilnych.
* biegły z listy Sądu Okręgowego we Wrocławiu, [email protected]
104 Po stronie firmy kupującej oprogramowanie może istnieć wiele zainteresowanych grup
użytkowników np.: zarząd, użytkownicy oprogramowania, dział informatyki nadzorujący
korzystanie z oprogramowania, klienci korzystający ze stron internetowych systemu
sprzedaży itp.
Strona | 104
O ile w tradycyjnych dziedzinach inżynierii pojęcia dobrych praktyk są
znane, o tyle w inżynierii oprogramowania – dziedzinie stosunkowo nowej
(termin „inżynieria oprogramowania” pojawił się jako tytuł konferencji
NATO w 1968 roku) dobre praktyki dopiero są tworzone i stosunkowo
wolno przechodzą do stosowania. Nie wiadomo, czy do oprogramowania
należy przykładać miary i procesy inżynierii tradycyjnej, skoro
oprogramowanie jest chronione prawem autorskim, a twórca
oprogramowania praktycznie nie ponosi żadnej ustawowej
odpowiedzialności za błędy w oprogramowaniu.
Przykładami błędów w oprogramowaniu o wielkich konsekwencjach mogą
być:
a) wypadek samolotu Airbus na lotnisku na Okęciu w Warszawie
we wrześniu 1993 roku
b) tzw. błąd milenijny
c) wdrożenie w firmie produkcyjnej oprogramowania błędnie
obliczającego podatek VAT
d) błędy w systemach zabezpieczeń w systemach bankowych.
ad a) Wypadek samolotu Airbus na lotnisku na Okęciu w Warszawie we
wrześniu 1993 roku– błąd w oprogramowaniu uniemożliwił ręczne
włączenie tylnego ciągu w silniku wskutek czego maszyna wyjechała
poza pas startowy i uległa wypadkowi (zginęły dwie osoby). Błąd w
oprogramowaniu był bardzo trudny do wykrycia – podczas
lądowania panowały wyjątkowe warunki pogodowe – wystąpił tzw
uskok wiatru a na pasie była woda, przez co komputery pokładowe
błędnie zinterpretowały otrzymane dane i przyjęły że samolot nadal
znajduje się w powietrzu podczas gdy już jechał po pasie. Po tym
błędzie piloci samolotów uzyskali możliwość przejęcia kontroli nad
samolotem.
Ad b) w wielu aplikacjach tworzonych przed rokiem 2000 data była
zapisywana w postaci skróconej do dwóch ostatnich cyfr roku. Po
roku 2000 programy pokazywały błędne wyniki interpretując 00, 01
jako rok 1900, 1901 a nie 2000, 2001.
Ad c) Firma informatyczna wdrożyła w firmie przemysłowej
oprogramowanie. Na testach wyniki były poprawne. Jednak kontrola
skarbowa wykazała niezgodności podatkowe wynikające z błędnego
mechanizmu obliczania podatku VAT na fakturach zawierających
wiele pozycji (niezgodnie z przepisami, błąd był mały ale
systematycznie popełniany i na niekorzyść fiskusa). Podczas
szczegółowej kontroli okazało się też, że rozliczanie opakowań
zwrotnych i europalet jest dokonywane niezgodnie z przepisami.
Strona | 105
Ad d) Niepoprawne zabezpieczenia systemów informatycznych banków
albo stosowanie w bankach nie do końca sprawdzonego
oprogramowania powoduje duże straty materialne. Banki nie
rozpowszechniają wiedzy o problemach w bezpieczeństwie, ani o
stratach wynikających z przełamania zabezpieczeń, a zatem dokładne
oszacowanie wielkości strat jest praktycznie niemożliwe. Prasa
publikuje czasem informacje o jednostkowych kradzieżach – np. w
Nowej Zelandii czternastoletni włamywacz ukradł z banków około
20 mln USD.
Według wiedzy autora niniejszego rozdziału, w żadnej z tych sytuacji,
twórcy oprogramowania nie ponieśli konsekwencji porównywalnych do
winnych katastrof budowlanych albo przestępstw karno- skarbowych.
W podobnych sytuacjach strona poszkodowana -najczęściej użytkownik
oprogramowania, ale też firma informatyczna, której użytkownik odmówił
częściowej lub całkowitej zapłaty za wykonane oprogramowanie występuje
o odszkodowanie lub o zapłatę.
Jak podaje grupa badawcza Standish w publikowanych co dwa lata
raportach – znanych jako „Kroniki chaosu” (ang. The Chaos Report) w roku
2008 w USA tylko 32% przedsięwzięć związanych z wdrożeniem
oprogramowania kończyło się w terminie i zgodnie z założonym budżetem.
44% przedsięwzięć miało znacznie przekroczony budżet lub termin
realizacji aż 24% kończyło się niepowodzeniem
Tabela 1. Odsetek przedsięwzięd informatycznych zakooczonych sukcesem,
wystąpieniem problemów oraz niepowodzeniami (w procentach).
1994 1996 1998 2000 2002 2004 2006 2008
Sukces 16 27 26 28 34 29 35 32
Problemy 53 33 46 49 51 53 46 44
Porażka 31 40 28 23 15 18 19 24
Według: The Chaos Report.
Możliwa jest też sytuacja, gdy oprogramowania systemu może mieć
związek z kodeksem karnym poprzez zaniechanie obowiązków, narażenie
spółki na straty, nie dochowanie należytej staranności i inne.
W takich sprawach biegły dysponuje ograniczonym materiałem
dowodowym. Najczęściej są to dokumenty z poszczególnych faz
wdrożenia, protokoły odbioru, czasem – choć nie zawsze – dokumentacja
programu. Kod źródłowy oprogramowania jest na ogół chroniony przez
twórcę i zwykle nie jest udostępniany. Należy tu mieć na uwadze, że
współczesne kody są zwykle obszerne (od kilkudziesięciu tysięcy do
Strona | 106
milionów linii kodu) i nawet dostęp do kodu źródłowego bez licznych
specjalistycznych narzędzi nie wyjaśni przyczyn problemów.
Analizując przebieg nieudanego wdrożenia oprogramowania można
skorzystać z dostępnych norm technicznych, które pomogą stwierdzić, czy
dostawca oprogramowania dochował należytej staranności tworząc
program, lub czy zrobił wszystko co mógł i powinien aby wdrożenie
zakończyło się sukcesem.
Niniejszy artykuł ma na celu przedstawienie środowisku prawniczemu
problemów związanych z rozstrzyganiem sporów – głównie cywilnych –
związanych z błędami w oprogramowaniu, oraz przedstawieniu wymagań i
wytycznych normatywnych w celu konstruowania umów wdrożeniowych,
które przyczynią się do sukcesu wdrożenia.
Zwykle bowiem podczas podpisywania umowy o wytworzenie lub
wdrożenie oprogramowania strony są pozytywnie do siebie nastawione i
przekonane, że w zaplanowanym czasie, budżecie i zasobach uda się
osiągnąć cel. W przypadku wystąpienia problemów dających się
przewidzieć podczas podpisywania umów zaufanie stron słabnie i zaczyna
się zbieranie dowodów, które mogą być później wykorzystane podczas
procesów. Umowami realizowane w trybie ustawy o zamówieniach
publicznych wymagają od firm tworzących oprogramowanie szczególnej
staranności i zabezpieczania się od odpowiedzialności za nienależyte
wykonanie umowy. Zgodnie z tą ustawą, błędne wykonanie umowy
eliminuje dostawcę z rynku zamówień publicznych na dwa lata.
Proces powstawania normy
Największe znaczenie mają normy międzynarodowe, ustanawiane przez
ISO (techniczne) lub ISO we współpracy z IEC (informatyczne). Proces
ustanawiania normy jest rzędu 3-5 lat a norma jest wynikiem konsensusu
członków komitetu technicznego, w którym normę opracowano.
ISO oraz IEC przyjęły następującą definicję normy:
„Dokument, ustanowiony w wyniku porozumienia i
zaakceptowany przez uznaną instytucję, która jest
odpowiedzialna za przepisy, wskazówki i opisy czynności lub ich
konsekwencje, zmierzający do osiągnięcia najwyższego stopnia
uporządkowania w danych okolicznościach. Porozumienie jest
zgodą ogólną charakteryzująca się brakiem podtrzymywanego
sprzeciwu każdej z ważnych stron zaangażowanych w dane
zagadnienie wobec istotnych problemów i procesem, którego
celem jest wzięcie po uwagę poglądów prezentowanych przez
wszystkie biorące udział strony i pogodzenie jakichkolwiek
Strona | 107
stojących ze sobą w sprzeczności argumentów. Porozumienie nie
musi oznaczać jednomyślności.”
Podczas opracowywania normy dochodzi czasem do walk różnych grup
wpływów. W 2008 roku podczas ustanawiania normy na postać dokumentu
elektronicznego zainteresowane strony korzystały z wielu
niemerytorycznych sposobów wpłynięcia na ostateczny kształt dokumentu
(m.in. Microsoft, HP, IBM).
Norma po zatwierdzeniu przez komitet techniczny jest rozsyłana do
zainteresowanych stron do powszechnej ankiety, jeżeli jest ona pozytywna
norma jest ustanawiana. Twórcy normy słuchają uwag użytkowników
normy i co kilka lat przygotowywana jest rewizja. Dla systemów
zarządzania jakością duże zmiany w stosunku do edycji z 1994 roku
wprowadziła edycja z roku 2000, w edycji normy z roku 2008
wprowadzono jedynie małe poprawki. Po pewnym czasie norma może być
wycofana lub zastąpiona inną.
Sam fakt, iż coś stało się normą ISO nie przesądza o stosowaniu. Na
przykład sposób kodowania polskich liter jest znormalizowany w normie
ISO 8859-2, ale w powszechnie stosowanych systemach operacyjnych
Windows firmy Microsoft wprowadzono inną stronę kodową (tzw.
windows-1250).
Podobnie w celu uniknięcia niejednoznaczności w nazewnictwie jednostek
zaproponowano stosowanie innych przedrostków: standardowo 1 kilo = dla
tysiąca, 1 Mega dla miliona, 1 Giga dla miliarda, podczas gdy w
informatyce utarło się stosowanie kolejnych potęg liczby dwa (1 k=1024,
1M=1024*1024, 1G=1024*1024*1024), nie jest więc jednoznaczne czy
nośnik o pojemności 1GB ma 1024 czy 1000 Megabajtów. Aby uniknąć tej
niejednoznaczności ISO zaproponowało inne nazwy: 1024 miało być kibi,
1024*1024*1024 – miało być Gibi, ale nowa nomenklatura nie przyjęła się
(a pojemności dysków podaje się zwykle 1 GB = 1000^3).
Systemy normalizacji
Krajowe komitety normalizacyjne (w Polsce – PKN) również ustanawiają
normy. Niektóre normy międzynarodowe powstały w wyniku przyjęcia
przez ISO/IEC norm krajowych (rodzina norm dotyczących bezpieczeństwa
informacji powstała na bazie norm szwedzkich i brytyjskich).
Normy ustanawiają organizacje producenckie – np. grupa firm przemysłu
samochodowego i lotniczego zdefiniowała wymagania dla wytwarzania
wysokiej jakości oprogramowania – są one znacznie bardziej restrykcyjne
niż normy ISO i IEC.
Strona | 108
Własną działalność normalizacyjną prowadzi NATO – dostawcy sprzętu i
oprogramowania dla NATO muszą spełniać wymagania norm o nazwie
AQAP (Allied Quality Assurance Programme), ESA (Europejska agencja
kosmiczna) i inne duże firmy. Na rynku telekomunikacyjnym normy
dotyczące jakości oprogramowania są nieco inne niż normy dla przemysłu
samochodowego lub lotniczego.
Ważne normy dla przemysłu informatycznego ustanawia amerykańska unia
inżynierów elektryków i elektroników (IEEE) oraz wpływowy Software
Engineering Institute przy uniwersytecie Carnagie Melon. Software
Engineering Institute wypromował i spopularyzował normę do oceny
poziomu dojrzałości twórcy oprogramowania o nazwie CMM (capability
maturity model= model oceny procesu produkcji oprogramowania).
W polskim systemie prawnym stosowanie norm nie jest obowiązkowe, ale
powołanie się na postanowienia normy może być częścią umowy.
Norma ISO 9001 – systemy zarządzania jakością -
wymagania
Podstawową normą dotyczącą produkcji (w tym produkcji
oprogramowania) jest ISO 9001- Systemy zarządzania jakością –
wymagania. Obecnie obowiązuje edycja z roku 2008 (polska wersja
językowa z roku 2009)
W tej normie jakość dotyczy systemu zarządzania a nie wyrobu. Firma
posiadająca certyfikowany system zarządzania jakością może produkować
wyroby oceniane jako wyroby niskiej jakości.
Współczesne systemy zarządzania (jakością, bezpieczeństwem informacji,
środowiskiem) wykorzystują koncepcję procesów jako sekwencji działań
przekształcających wejścia w wyjścia. Procesy w tym sensie są naturalne
dla produkcji materialnej, można też zdefiniować produkcję
oprogramowania jako proces, przekształcający wymagania dotyczące
systemu na projekt systemu a potem na działający i wytestowany kod
(implementację).
Norma ISO 9001 zakłada istnienie sześciu procesów głównych:
proces planowania (zwykle przed podjęciem działalności);
proces uzgodnień z klientem (obejmujący komunikację z klientem,
uzgodnienia, złożenie oferty i zawarcie umowy);
proces projektowania;
proces produkcji (realizacja i dostarczenie do odbiorcy);
procesy zakupów komponentów niezbędnych do wytworzenia
uzgodnionego produktu;
Strona | 109
procesy pomiarów i monitorowania prowadzone w celu upewnienia się,
że dostarczane jest to, czego chciał klient.
Pozostałe procesy opisane w normie mają charakter pomocniczy:
nadzorowanie dokumentacji i zapisów
szkolenia
nadzorowanie niezgodności
audyt wewnętrzny
proces ciągłego doskonalenia i oceny systemu dokonywanej przez
kierownictwo.
Norma wymaga aby dokumentacja wykorzystywana w firmie była
odpowiednio nadzorowana: zatwierdzana, dostępna, aktualna, czytelna i
identyfikowalna. Dokumenty zewnętrzne powinny być rozpowszechniane w
sposób nadzorowany a dokumenty archiwalne przechowywane tak aby
zapobiec ich niezamierzonego użycia.
W sytuacji wdrażania systemu informatycznego można wymagać aby co
najmniej firma dostawcy miała system zarządzania jakością, w którym
wyróżniono procesy podstawowe.
Skrótowe zdanie „Mamy ISO 9001” musi być rozumiane następująco:
„Organizacja posiada system zarządzania jakością zgodny z wymaganiami
normy ISO 9001”
Certyfikacja i ocena wyrobów to zupełnie inne działania prowadzone przez
uprawnione (akredytowane) laboratoria badawcze. Firma może nie mieć
systemu zarządzania jakością ale mieć certyfikowane produkty. Firma
posiadająca certyfikowany system zarządzania jakością może produkować
wyroby, które nie mają certyfikacji.
Wdrożony w organizacji system zarządzania jakością opisany w normie ISO
9001 może ale nie musi być poddany niezależnej ocenie – certyfikacji. Aby
certyfikat był uznany konieczne jest zaufanie do firmy certyfikującej.
Firmy certyfikujące (najczęściej komercyjne) są oceniane przez rządowe
organy akredytujące (w Polsce – Polskie Centrum Akredytacji, PCA) w celu
zapewnienia poprawności procesów certyfikacji.
Certyfikat zgodności z wymaganiami przyznawany jest na trzy lata, przy
czym po pewnym czasie firma certyfikująca dokonuje ponownego audytu
aby sprawdzić czy system działa sprawnie.
Certyfikat jakości związany jest z określanym przez Zarząd firmy zakres
systemu. Zakres definiuje procesy, objęte systemem zarządzania. Jedna z
firm uzyskała certyfikat systemu zarządzania jakością z zakresem „dostawa
sprzętu informatycznego i sprzedaż oprogramowania”. W tak
zdefiniowanym zakresie i procedurach opisano sprzedaż gotowego
oprogramowania z półki. Firma ta z powodzeniem startowała w przetargach
na „dostawę sprzętu informatycznego i tworzenie oprogramowania”, gdzie
Strona | 110
SIWZ wymagał posiadanie certyfikowanego systemu zarządzania jakością.
Formalnie wymaganie było przez firmę spełnione, gdyż w SIWZ nie
określono zakresu certyfikacji.
Inną pułapką związaną z certyfikatem jest jakość firm certyfikujących.
Znane były (nie tylko w Polsce) przykłady firm certyfikujących każdy
system. Ostatnio obserwowane uszczelnienie systemu akredytowania firm
certyfikujących eliminuje takie patologie.
Uzupełnieniem ISO 9001 są ISO 9004 – Systemy zarządzania jakością -
Wytyczne doskonalenia funkcjonowania oraz ISO 9000 -Systemy
zarządzania jakością – słownik i terminologia.
Wytyczne dotyczące pewnych obszarów systemów zarządzania jakością
opisywane są w normach serii ISO 1000x (np. stosowanie metod
statystycznych, szkolenia pracowników, zarządzanie przedsięwzięciami,
zarządzanie konfiguracją i inne).
Zastosowanie norm ISO 9001 w praktyce biegłego może być wykorzystane
podczas analizy przyczyn załamania się wdrożenia oprogramowania.
Wdrożenie systemów informatycznych w firmie posiadającej system
zarządzania zgodny z wymaganiami ISO 9001 jest obarczone mniejszym
ryzykiem niż w firmach nie posiadających takiego systemu.
Szczegółowe wskazówki dotyczące poprawnego wdrażania systemów
zarządzania jakością z firmach tworzących oprogramowanie zawarte są w
normie ISO IEC 90003:2008 - Inżynieria oprogramowania – Wytyczne do
stosowania ISO 9001:2000 do oprogramowania komputerów. O ile norma
ISO 9001 dotyczy jakości nie odnosząc się do konkretnej gałęzi przemysłu,
to w ISO IEC 90003:2008 zawarte są wytyczne specyficzne dla produkcji
oprogramowania. Norma ta uzupełnia zapisy z ISO 9001 o pozycje
specyficzne dla produkcji oprogramowania. Wskazuje też że procesy
związane z produkcją oprogramowania opisano w normie ISO/IEC
12207:2008 Inżynieria oprogramowania - Procesy cyklu życia
oprogramowania.
Certyfikacja osób
Realizacja niektórych zadań wymaga zaangażowania specjalistów o
określonych kwalifikacjach zawodowych. Kwalifikacje te mogą być
zdobywane w wyniku szkoleń oraz zdobywania doświadczenia
zawodowego. Przykładem takich kwalifikacji mogą być certyfikowani
kierownicy przedsięwzięć (ang. project manager), audytorzy (Certified
Information System Auditor, Certyfied Information Security Auditor).
Poświadczeniem kwalifikacji zawodowych zajmują się firmy komercyjne.
W celu zagwarantowania że w wyniku procesu certyfikowania ludzi mamy
dostęp do specjalistów o kwalifikacjach opisanych w wymaganiach
Strona | 111
stworzono normę ISO IEC 17024:2005 „Ocena zgodności. Ogólne
wymagania dotyczącej jednostek certyfikujących osoby”. Norma ta
definiuje wymagania dla procesów certyfikacji osób zapewniające że cel
certyfikowania – dostęp do specjalistów o wymaganych kwalifikacjach –
jest spełniony.
Norma opisuje wymagania dotyczące:
wymagań wstępnych stawianych kandydatowi;
zakresu i formy weryfikacji kompetencji kandydata (egzaminy,
przesłuchania, referencje, itp.):
przebiegu procedury certyfikacyjnej (transparentność, obiektywizm,
niezależność, wiarygodność).
SIWZ jednego z przetargów wymagał, aby kluczowi pracownicy dostawcy
posiadali kwalifikacje zawodowe odpowiadające wymaganiom znanych
międzynarodowych jednostek certyfikujących osoby. Jedna z firm
startujących w przetargu posiadała własny dział szkoleń i uznała, że może
on realizować szkolenia i egzaminy w zakresie określonym w SIWZ.
Podczas oceny oferty powstało pytanie, czy certyfikaty wydane przez tą
firmę są równoważne certyfikatom wydawanym przez znaną organizację
międzynarodową. W celu odpowiedzi na to pytanie wykazano, że
organizacja międzynarodowa w pełni stosuje się do wymagań normy ISO
IEC 17024, podczas gdy proces szkoleń i certyfikowania realizowany we
wspomnianej firmie wymagań tych nie spełnia. Tak więc nie można było
uznać równoważności certyfikatów a oferta firmy musiała być odrzucona.
Nadzorowanie informatyki przez zarządy firm
Informatyka i jej wykorzystanie dla uzyskania optymalnych korzyści w
organizacji decyduje o rozwoju i przyszłości firm. Można więc analizować,
czy zarząd organizacji dołożył należytej staranności do identyfikacji,
wdrożenia i wykorzystania możliwości, jakie niesie technika informatyczna.
Konieczność takiej analizy pojawia się, gdy np. akcjonariusze firmy
twierdzą, że zarząd nie wdrożył innowacji mimo że mógł i powinien to
zrobić.
ISO i IEC wydały normę dającą wskazówki jak wdrożyć ład korporacyjny
w zakresie informatyki (ISO IEC 38500:2008 Corporate governance of
information technology).
Norma ta nakazuje na opracowanie 3-5 letniej strategii korzystania z
informatyki w organizacji z uwzględnieniem zmian w otoczeniu
biznesowym, technik informatycznych, presję rynku i konkurencji. Norma
definiuje procesy dla zarządów firm, które muszą włączać zarządzanie
infrastrukturą IT do utrzymywania miejsca na rynku. Norma zawiera
Strona | 112
wskazówki dla dyrektorów organizacji co do podejmowania ryzyka i
zachęcaniu do korzystania z możliwości wynikających z IT. Norma
definiuje model zarządzania strategicznego zasobami IT składający się z:
oceny i obecnego i przyszłego wykorzystania zasobów IT;
nadzorowanie wdrożeń w celu zapewnienia że korzystanie z IT spełni
cele biznesowe
monitorowania zgodności z zasadami i wydajności wdrożonych
systemów.
Norma ISO IEC 38500 może być stosowana do oceny, czy zarząd firmy
starannie nadzoruje wykorzystanie IT w celu budowania i/ lub utrzymania
przewagi konkurencyjnej. Norma ta jest jeszcze stosunkowo słabo znana w
Polsce.
Cykl życia oprogramowania i cykl życia systemu
W 2008 roku wprowadzono zmiany i zharmonizowano dwie zbliżone
normy: ISO IEC 12207 Procesy w cyklu życia oprogramowania i ISO IEC
15288 – Procesy w cyklu życia systemu. Normą szerszą jest ISO IEC
15288- gdzie oprogramowanie wchodzi w skład systemu, lub inaczej –
system jest sumą wielu składników materialnych i niematerialnych a w
szczególności składową systemu jest oprogramowanie.
Norma ISO IEC 15288 opisuje procesy występujące w implementacji
dużych systemów inżynierskich takich jak światowy system nawigacji
satelitarnej, telefonii komórkowej ale też niewielki system płatnych
parkingów w mieście. We tych przypadkach system zawiera składowe
materialne (parkometry) niematerialne (oprogramowanie) procedury (np.
kontrola płacenia za parkowanie) przepisy prawne (uchwały,
rozporządzenia), ludzi (kierowców, kontrolerów), materiałów
eksploatacyjnych (np. papier do drukowania biletów parkingowych, tusze
do drukarek), konserwacji, bieżących przeglądów a w końcu działań
zmierzających do wycofania systemu i/ lub zastąpienia go nowym.
Norma ISO IEC 12207 pojawiła się w 1995 roku, gdy zgodnie z raportem
Standish Group ponad 2/3 przedsięwzięć informatycznych kończyło się
porażką. Uznano że znormalizowanie procesu wytwarzania
oprogramowania przyczyni się do zmniejszenia ilości błędów.
Opisane w normie ISO IEC 12207 procesy w cyklu życia oprogramowania
obejmują trzy grupy procesów: procesy uzgodnień, procesy cyklu życia
oprogramowania oraz procesy wspomagające. Procesy uzgodnień to
procesy zakupu, dostawy i rozwiązywania problemów. Procesy cyklu życia
oprogramowania zaczynają od zebrania wymagań do oprogramowania,
Strona | 113
jednym z procesów jest tworzenie i weryfikacja oprogramowania a kończą
na walidacji systemu przez końcowych użytkowników.
Twórcy normy zwracają uwagę na konieczność zaangażowania dwóch stron
we wdrażanie systemu (przyczyną niepowodzenia wdrożenia może być
niechęć stron do współpracy, brak zaangażowania w firmie, w której
wdrażane jest oprogramowanie)
Norma ISO IEC 12207 opisuje podstawowy proces tworzenia
oprogramowania jako dzieła inżynierskiego. Mimo że oprogramowanie
chronione jest prawem autorskim, to jednak współczesna technika narzuca
na oprogramowanie – zwłaszcza krytyczne - wymagania bliższe pojęciom
klasycznej inżynierii systemów niż literaturze. Proces tworzenia
oprogramowania powinien więc być procesem inżynierskim – zarządzanym
tak jak np. budowa domu lub produkcja samochodów ciężarowych a w
daleko mniejszej części – procesem twórczym. Oczywiście istnieje pewna
część oprogramowania, o której można powiedzieć, że zawiera elementy
twórcze- np. wymyślenie szybkiej metody sortowania elementów listy było
twórcze i zawierało elegancki pomysł matematyczny, ale po opublikowaniu
i włączeniu tej metody do programów zajęć twórczy pomysł stał się
standardowym narzędziem inżynierskim. Dzięki licznym pracom praktyków
w przemyśle informatycznym powstawanie kodu oprogramowania stało się
działaniem powtarzalnym. Firmy informatyczne wypracowały własne
metody tworzenia i wdrażania oprogramowania (jedną z metod jest „brak
metody” - cały zespół bez szczególnego podziału obowiązków pisze kody),
można jednak stworzyć generyczny (wyjściowy) model powstawania
oprogramowania a inne metody dają się z modelu podstawowego
wyprowadzić. Model znany jest w literaturze jako model wodospadu lub
model V – gdzie następne procesy wymagają danych wejściowych z
poprzednich. Model ten został włączony do ISO IEC 12207 oraz ISO IEC
15288. Szczegółowy opis modelu tworzenia oprogramowania leży poza
zakresem niniejszego opracowania. Twórcy norm zauważyli, że wdrożenie
w jednej firmie wszystkich procesów opisanych w normie może być mało
realne i dali możliwość wyboru procesów (dopasowania) stosowanych w
organizacji w zależności od stopnia skomplikowania, wielkości i celów
biznesowych firmy.
Wobec konieczności zharmonizowania i znalezienia wspólnego języka dla
nauki, inżynierii, zarządzania i finansów opracowano normę ISO IEC 15288
– Procesy w cyklu życia systemu. Norma ISO IEC 15288 definiuje
następujące grupy procesów:
procesy zarządzania organizacja (m.in. zarządzanie zasobami,
zarządzanie jakością, relacje z biznesowym otoczeniem organizacji)
procesy uzgodnień (nabywanie/ dostawa systemu)
Strona | 114
procesy prowadzenia przedsięwzięcia (planowanie, ocena, kierowanie
przedsięwzięciem, analiza ryzyka, zarządzanie konfiguracją i
informacją)
procesy techniczne (od zdefiniowania wymagań poprzez nabycie lub
wytworzenie komponentów systemu, weryfikację i walidację systemu,
eksploatowanie i naprawę aż do wycofania systemu z eksploatacji)
Norma ta może być stosowana przez organizację do ustanowienia
pożądanych procesów, jak również przez nabywcę i dostawcę w celu
negocjowania umowy i nadzorowania realizacji systemu.
Posługując się powyższymi normami można analizować przyczyny
niepowodzenia wdrożenia:
wybrać model - ISO IEC15288 lub ISO IEC 12207
sprawdzić, jakie procesy były miały być zrealizowane i kto za nie
odpowiadał
sprawdzić, jakie procesy były faktycznie zrealizowane
ocenić, co było przyczyną niepowodzenia wdrożenia.
Jedną z najczęstszych przyczyn niepowodzenia wdrożenia są błędnie
zdefiniowane wymagania dla systemu. Przyjęte jest, że ogólne wymagania
definiuje Zamawiający, ale wymagania szczegółowe określa Dostawca
systemu, który powinien uświadomić dostawcy znaczenie wszystkich
wymagań, zwłaszcza mniej oczywistych.
Poziom dojrzałości firmy informatycznej
Najbardziej znanym i rozpoznawalnym wyróżnikiem jakości jest certyfikat
zgodności systemu zarządzania organizacji z normą ISO 9001. Jednak
certyfikat taki może być niewystarczający dla firm tworzących
oprogramowanie wymagające szczególnie wysokiej jakości (np.
bezpieczeństwo lotów, różne zastosowania militarne, sterowanie
urządzeniami diagnostycznymi w medycynie). Amerykański Software
Engineering Institute działający przy Carnagie Mellon Univeristy opracował
i wdrożył model poziomów dojrzałości organizacji tworzących
oprogramowanie: CMM (Capability Maturity Model). Firma tworząca
oprogramowanie może zostać oceniona i uzyskać poziom dojrzałości. W
modelu istnieje pięć poziomów: od początkowego (chaotycznego, poziom
1) poprzez zarządzany aż do optymalizującego (poziom 5). Na poziomie
pierwszym procesy nie są ustanowione a działania przebiegają chaotycznie.
Poziom trzeci odpowiada wdrożeniu wymagań ISO 9001. Poziom piąty
wymaga wdrożenia pomiarów efektywności wszystkich procesów
związanych z cyklem życia oprogramowania oraz ich optymalizowania. W
Strona | 115
roku 2008 poziom piąty modelu CMM osiągnęło kilkanaście firm
amerykańskich i kilkadziesiąt firm hinduskich.
Wadą certyfikacji CMM jest to, że audyty w tym modelu mogą być
prowadzone wyłącznie przez audytorów wykształconych przez CMM, co
bardzo podnosi koszty certyfikacji.
Odpowiednikiem ISO IEC dla modelu amerykańskiego poziomów
dojrzałości twórców oprogramowania jest model opisany w normie ISO IEC
15504:2006 Information technology -- Process assessment (Technika
informatyczna – Ocena procesów na etapie tłumaczenia na język polski) ,
Model ten zakłada również pięć poziomów dojrzałości, poziom trzeci
odpowiada firmie softwarowej posiadającej certyfikat ISO 9001, poziom
piąty ISO IEC 15504 jest porównywalny z piątym poziomem CMM.
Audytorzy ISO IEC 15504 mogą być szkoleni w różnych firmach (nie tylko
w Software Engineering Institute). Tytuł normy mówi o doskonaleniu
procesów tworzenia oprogramowania. Oznacza to w praktyce konieczność
pomiarów efektywności tworzenia oprogramowania. Należy stwierdzić iż
efektywność tworzenia oprogramowania jest jednym z większych
problemów współczesnej inżynierii oprogramowania. Wioząc samochód do
naprawy dział serwisu informuje mnie, ile czasu zabierze naprawa i jakie
będą jej koszty. W tworzeniu oprogramowania bardzo trudno jest podać
wiarygodny czas i koszt wytworzenia systemu. Twórcy norm CMM oraz
ISO IEC 15504 mają nadzieję, że wdrożenie modelu opartego o poziomy
dojrzałości firm pomogą rozwiązać problem relatywnie niskiej efektywności
tworzenia oprogramowania. Zapotrzebowanie na audytorów CMM lub ISO
IEC 15504 zgłaszają banki i firmy z wysokimi wymaganiami dla
oprogramowania – przemysł samochodowy, lotniczy, kosmiczny i telefonia.
Jakość oprogramowania
W wielu sytuacjach strona podnosi złą jakość wykonanego
oprogramowania. Poza przypadkami oczywistymi, gdy w oprogramowaniu
są błędy uniemożliwiające korzystanie, problem jakości oprogramowania
pozostaje. Znacznie łatwiej zmierzyć jakość wyrobów materialnych niż
jakość oprogramowania – np. procesorów tekstów – Open Office, Star
Office i MS Office czy ocenić jakość przeglądarek internetowych IE, Safari,
Chrome, Opera i Mozilla.
W celu oszacowania jakości oprogramowania ISO i IEC opracowało
rodzinę norm ISO IEC 2500x znanych jako SQARE (ang. Software product
Quality Requirements and Evaluation = wymagania i ocena jakości
produktu programowego), Pierwszą normą rodziny jest ISO IEC
25000:2005- PN ISO IEC 25000:2008 Inżynieria oprogramowania --
Wymagania jakości i ocena produktów programowych (SQuaRE) --
Strona | 116
Przewodnik po SquaRE. Kolejne normy tej rodziny wskazują jak
definiować wymagania dla jakości oprogramowania i jak oceniać stopień
spełnienia tych wymagań. Rodzina ISO IEC 25000 rozwija idee zawarte w
wycofanej normie ISO IEC 9126:1991. Norma ISO IEC 9126 definiowała
jakość oprogramowania w sześciu kategoriach:
Funkcjonalność – system odpowiadać potrzebom użytkownika.
Niezawodność – oprogramowane funkcje powinny być sprawnie
realizowane.
Użyteczność – funkcje powinny być łatwe do opanowania przez
użytkownika.
Efektywność – funkcje odpowiednio szybko realizowane.
Możliwość utrzymywania (pielęgnacji) oprogramowania – łatwość
wprowadzania modyfikacji w systemie, zmian wersji itp.,
Możliwość przenoszenia oprogramowania – możliwość wykorzystania
oprogramowania w wielu środowiskach bez zbędnych nakładów.
Normy rodziny 2500x zalecają stosowanie wskaźników, możliwych do
obliczenia gdy znany jest kod i dokumentacja (miary wewnętrzne), w
sytuacji gdy nie mamy dostępu do kodu i możemy tylko obserwować
zachowanie się programu (miary zewnętrzne) oraz miary określane jako
„quality in use” = jakość w korzystaniu z oprogramowania – np. szybkość
nauczenia się oprogramowania, komfort z korzystania z interfejsu i inne
miary subiektywne.
Normy dotyczące bezpieczeństwa informacji
Bezpieczeństwo informacji staje się jednym z najważniejszych problemów
współczesnego świata.
Ustawa o zwalczaniu czynów nieuczciwej konkurencji wymaga od
przedsiębiorcy, aby zabezpieczył on swoje dane przed niechcianym
ujawnieniem – by aktywnie chronił swoje informacje. W art 267 §1 kodeksu
karnego mówi się o szczególnych zabezpieczeniach chronionej informacji.
Można więc zadać pytanie, jakie środki firma powinna wdrożyć aby
chronić swoje zasoby. Pytanie jest tym bardziej istotne, że na zdalny atak
narażone są firmy duże i małe, a zwłaszcza w niewielkich organizacjach
ochrona istotnych zasobów jest słaba a świadomość zagrożeń niewielka.
Rodzina norm ISO IEC 2700x dotyczy bezpieczeństwa informacji. Norma
PN-ISO/IEC 27001:2007 Technika informatyczna - Techniki
bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji -
Wymagania określa wymagania dla systemu zarządzania bezpieczeństwem
informacji. Firmy mogą certyfikować swoje systemy zarządzania na
zgodność z wymaganiami tej normy. Według normy ISO IEC 27001:2007
Strona | 117
bezpieczeństwo informacji to zachowanie poufności, integralności i
dostępności informacji, przy czym
dostępność- właściwość bycia dostępnym i użytecznym na żądanie
upoważnionej osoby, podmiotu lub procesu
poufność – właściwość polegająca na tym, że informacja nie jest
udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub
procesom
integralność – właściwość polegająca na zapewnieniu dokładności i
kompletności aktywów (zasobów).
W niektórych przypadkach mogą być wymagane inne cechy związane z
bezpieczeństwem: rozliczalność, niezaprzeczalność, niezawodność czy
uwierzytelnienie.
Uzupełnieniem i rozwinięciem ISO IEC 27001 jest ISO IEC 27002:2007
(PN-ISO/IEC 17799:2007) Technika informatyczna - Techniki
bezpieczeństwa – Praktyczne zasady zarządzania bezpieczeństwem
informacji.
Normy te mogą być stosowane do wdrożenia systemu zarządzania
bezpieczeństwem informacji w firmie. Posiadanie systemu zarządzania
bezpieczeństwem jest dowodem należytej staranności w ochronie danych
organizacji.
Norma ISO IEC 27001 ustanawia podstawy dla budowania systemu
zarządzania bezpieczeństwem informacji. System obejmuje procesy
biznesowe, proces analizy ryzyka oraz procesy pomocnicze (audyty). W
załączniku do normy przedstawiono 11 grup zabezpieczeń do stosowania w
organizacji. Nie wszystkie zabezpieczenia powinny być wdrożone w
organizacji – wybór zabezpieczeń przedstawia się w deklaracji stosowania.
Zabezpieczenia tylko w części dotyczą techniki informatycznej, dużą uwagę
poświęcono w normie na czynnik ludzki w bezpieczeństwie informacji,
sprawy organizacyjne, bezpieczeństwo prawne (umowy ze stronami
trzecimi, legalność oprogramowania, zgodność z prawem i wymaganiami
kontraktowymi itp.). Jedną z grup zabezpieczeń stanowią zabezpieczenia
fizyczne obiektów i urządzeń. Ilość różnych czynników wpływających na
bezpieczeństwo informacji sprawia, że norma zachęca do utworzenia forum
do spraw bezpieczeństwa informacji, skupiającego specjalistów z różnych
działów w tym: kadr, informatyki, administracji (ochrona fizyczna) i działu
prawnego. Ważną częścią systemu zarządzania BI jest reakcja na incydenty
bezpieczeństwa informacji: np na zablokowanie przez niechcianą
korespondencję konta poczty elektronicznej. Reakcja na incydent powinna
mieć cechy umożliwiające później wykorzystanie zebranych artefaktów
podczas postępowania sądowego.
Strona | 118
Szczególnie ważna jest ochrona informacji medycznej. Rozporządzenie
Ministra Zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej w
zakładach opieki zdrowotnej oraz sposobu jej przetwarzania (z dnia 21
grudnia 2006 r. Dz.U.06 nr 247 poz. 1819) dopuszcza przetwarzanie danych
medycznych w systemach komputerowych, warunkując to wdrożeniem
zabezpieczeń opisanych w ISO IEC 27001 (§ 45. Kierownik zakładu jest
odpowiedzialny za stworzenie warunków organizacyjnych i technicznych
przechowywania dokumentacji zapewniających jej poufność,
zabezpieczających przed dostępem osób nieupoważnionych, zniszczeniem
lub zgubieniem oraz umożliwiających jej wykorzystanie bez zbędnej
zwłoki). Zdając sobie sprawę z pewnej specyfiki przetwarzania danych
medycznych ISO wydało normę ISO 27799 Health informatics - Security
management in health using ISO/I EC 27001 (Informatyka w służbie
zdrowia – zarządzanie bezpieczeństwem w służbie zdrowia z
wykorzystaniem ISO IEC 27001). Norma ta daje wskazówki co do
stosowania wymagań i dobrych praktyk opisanych w ISO IEC 27001 oraz
27002 z uwzględnieniem specyfiki służby zdrowia. Analizując
bezpieczeństwo informacji w placówkach służby zdrowia oraz ochronę
danych pacjentów można odnieść się do spełnienia wymagań opisanych w
przytoczonych normach.
Jakość i bezpieczeństwo informacji w pracy biegłego
Bezpośrednim klientem biegłego sądowego jest organ zlecający wykonanie
usługi, a pośrednim – inni zainteresowani. Biegły powinien dążyć do tego,
aby jego działania były możliwie najwyższej jakości. Warto zwrócić uwagę
na pracę biegłego w świetle norm ISO 9001 oraz norm bezpieczeństwa
informacji. Norma ISO 9001 definiuje jakość jako spełnienie oczekiwań
Klienta. Klient- zlecający wykonanie usługi musi być pewien kwalifikacji
biegłego a także rzetelności i powtarzalności jego działania.
Przyjmując uproszczone podejście do jakości działania biegłego
sprowadzają się do następujących procesów:
planowanie (zakup sprzętu i oprogramowania, określenie zakresu
czynności biegłego);
uzgodnienia ze Zleceniodawcą- zakres opinii;
odbiór materiałów (norma ISO 9001 w rozdziale 7.5. 4 podaje
wymagania dla traktowania własności Klienta a w rozdziale 7.5.5
wymagania odnośnie zabezpieczenia wyrobu – tu materiału
dowodowego;
wykonanie analizy, dostarczenie analizy i dowodów do Zleceniodawcy;
ciągłe doskonalenie swoich kwalifikacji i narzędzi.
Strona | 119
Biegły z zakresu informatyki podczas opracowywania opinii powinien
zatroszczyć się o zapewnienie integralności, poufności i dostępności
otrzymanych danych. Wymaga to wdrożenia wybranych zabezpieczeń
opisanych w załączniku A do normy ISO IEC 27001. W szczególności
należy odpowiednio przechowywać otrzymane dowody (zabezpieczenia
fizyczne- zamki w drzwiach, przechowywanie dowodowych nośników w
sposób bezpieczny, identyfikowanie dowodu), przygotować środowisko
pracy w taki sposób aby integralność danych na dysku była nienaruszona,
archiwizować i/lub kasować dane po badaniach.
Przed przystąpieniem do badania należy przeprowadzić analizę ryzyka aby
zdefiniować środki bezpieczeństwa i techniki do sporządzenia opinii w
danej sytuacji.
W pewnych dziedzinach techniki i inżynierii prowadzona jest niezależna
certyfikacja osób w celu wykazania iż spełniają oni wymagania w danym
zakresie. Dla zapewnienia bezstronności i obiektywności procesu
certyfikacji osób zaleca się stosowanie postanowień normy ISO IEC 17024.
Niestety, z pewną szkodą dla jakości pracy biegłych z zakresu informatyki
niezależna certyfikacja nie jest prowadzona, aczkolwiek w innych obszarach
związanych z ekspertyzami sądowymi prowadzone są testy biegłości.
Brak udokumentowanych procedur w pracy biegłego może prowadzić do
osłabienia zaufania do wyników pracy: istnieje możliwość zanieczyszczenie
lub wręcz zmiany dowodu rzeczowego (nośnika danych), błędnej
interpretacji lub innych pomyłek. Świadomy proces stałego doskonalenia
warsztatu pracy i kwalifikacji biegłego powinien przyczynić się do
zmniejszenia ilości błędów w pracy i do uzyskania należytego zaufania do
wykonanych opinii.
Normy słownikowe
PKN oraz ISO i IEC przykładają wielka wagę do poprawności i
jednoznaczności definicji i terminów stosowanych w dokumentach. To
samo powinno obwiązywać biegłych. Stosowanie własnego słownictwa lub
niepoprawnych tłumaczeń prowadzi do osłabienia jakości opinii.
W Internecie dostępnych jest wiele słowników z terminologia
informatyczną. Niestety wiele z nich jest nie do przyjęcia- terminy
tłumaczone są niepoprawnie, definicje nie są ścisłe albo wręcz mylące.
Korzystanie z wyszukiwarek (Google, Wikipedia) ułatwia szybkie
znalezienie definicji, należy jednak zastanowić się nad jej poprawnością i
wiarygodnością.
Norma słownikowa ISO IEC 2382 była rozwijana od lat 70 XX wieku.
Obecnie norma liczy 30 arkuszy. Podstawową polską normą słownikową z
zakresu informatyki jest publikacja PKN z 2006 roku „Informatyka -
Strona | 120
terminologia znormalizowana i wykaz norm”. Publikacja zestawia
terminologię z różnych norm gdyż każda zawiera rozdział „Terminy i
definicje” w którym podane są pełne i poprawne definicje używanych w
normie terminów.
Wykaz najważniejszych norm
1. ISO IEC 2382 Technika informatyczna -terminologia
2. ISO 9001 – systemy zarządzania jakością – wymagania
3. ISO IEC 17024 – wytyczne do certyfikacji osób
4. ISO IEC 90003- wytyczne do stosowania ISO 9001 do tworzenia
oprogramowania
5. ISO IEC 12207 – Inżynieria oprogramowania – procesy w cyklu życia
oprogramowania
6. ISO IEC 15288 - Inżynieria systemów – procesy w cyklu życia
systemów
7. ISO IEC 15504 – Technika informatyczna – Ocena procesów
8. ISO IEC 2500x – Wymagania i ocena jakości produktów programowych
(SQuaRE)
9. oraz normy związane z bezpieczeństwem informacji:
10. ISO IEC 27001 – Systemy zarządzania bezpieczeństwem informacji –
wymagania
11. ISO IEC 27001 – praktyczne zasady bezpieczeństwa informacji
12. ISO 27799 Health informatics - Security management in health using
ISO/I EC 27002.
Stosowane skróty
IEC Międzynarodowa Unia Elektrotechniczna
ISO Międzynarodowa Organizacja Normalizacyjna
PCA Polskie Centrum Akredytacji
PKN Polski Komitet Normalizacyjny
PN Polska Norma
SIWZ Specyfikacja istotnych warunków zamówienia
Strona | 121
ISBN: 978-83-60810-44-6
