#CyberMagazyn: Rosyjscy cyberprzestępcy będą ponad prawem?

Rosyjska inwazja na Ukrainę jest wspierana przez profesjonalne grupy APT, haktywistów, ale i działających samodzielnie cyberprzestępców. Wystarczy wspomnieć o takich grupach jak: Armageddon (powiązana z FSB); Sandworm (powiązana z GRU); Fancy Bear (powiązana z GRU); Cozy Bear (powiązana z SVR); Ghostwriter (powiązana z białoruskimi i rosyjskimi służbami) czy Killnet lub CyberArmyofRussia. To jednak wciąż niepełna lista atakujących po stronie Rosji w cyberprzestrzeni.

Hakerzy działają z różnych pobudek: politycznych, finansowych, ale i dla „sławy” poprzez nagłośnienie ich szkodliwych działań. Włamania do systemów, atakowanie przy pomocy DDoS (ang. rozproszona odmowa usługi), organizowanie masowych kampanii phishingowych czy stosowanie oprogramowania ransomware wobec organizacji jest nielegalne. Nie jest jednak tajemnicą – co widać na powyższych przykładach – że w Rosji istnieje dość ścisła współpraca z służbami, choć oficjalnie za cyberprzestępczość grozi siedem lat więzienia.

W połowie lutego br. rosyjskie media poinformowały, że komisja ds. polityki informacyjnej Dumy ma rozważać kwestię braku „odpowiedzialności” karnej aktorów działających na rzecz Rosji.

„Mówimy ogólnie o wypracowaniu zwolnienia z odpowiedzialności tych osób, które działają w interesie Federacji Rosyjskiej w dziedzinie informacji komputerowych zarówno na terytorium naszego kraju, jak i za granicą" - powiedział szef komisji Aleksandr Chinsztejn, rosyjskiej państwowej agencji informacyjnej TASS.

Na razie to idea, która może jednak znacząco wpłynąć na cyberprzestępczość w skali globalnej, bo – jak wiadomo – domena cyber nie ma granic, a to m.in. właśnie Rosja jest w czołówce państw, jeśli chodzi o największą skalę cyberataków na inne kraje.

W tym kontekście ciekawe może być także oświadczenie rosyjskiego ambasadora w Stanach Zjednoczonych Anatolija Antonowa, który oficjalnie potępił amerykańskie sankcje, jakie zostały nałożone na grupę APT Trickbot.

„Jeśli chodzi o zarzuty Departamentu Skarbu USA, że Rosja jest >>rajem<< dla cyberprzestępców, są one fałszywe i nieodpowiedzialne. Wszystko to jest integralnym elementem wojny hybrydowej prowadzonej przeciwko nam” – miał powiedzieć Antonow.

Jako „dowód” przytoczył dane wskazujące, że Rosja w 2022 roku była celem ok. 50 tys. ataków hakerskich, których większość – jego zdaniem – miała pochodzić właśnie z terenu USA. Określił to jako „bezpodstawne oskarżenia”. Antonow miał też zaznaczyć, że „Rosja zawsze podkreślała, iż cyberprzestępczość można pokonać tylko dzięki wspólnym wysiłkom” i to w domyśle winą Stanów Zjednoczonych jest brak współpracy w tym zakresie.

Cyberprzestępczość w skali międzynarodowej

W ostatnim raporcie FBI „Internet Crime Report” za 2022 rok wskazano, że z powodu przestępstw internetowych na straty spisano już ponad 10,2 mld dolarów. To znacznie więcej w porównaniu do 2021 roku, kiedy w związku z incydentami utracono 6,9 mld dolarów. Czy potencjalny brak karalności rosyjskich hakerów mógłby przyczynić się do jeszcze większej skali złośliwego działania w cyberprzestrzeni, co odbiłoby się na państwach demokratycznych, podmiotach publicznych, organizacjach prywatnych, jak i indywidualnych użytkownikach?

Marcin Maruszczak z YLS Law Office przypomina, że Rosjanie już dziś współpracują z szeregiem grup hakerskich.

„Praktycznie każda ze służb rosyjskich współpracuje z inną lub innymi grupami. Brak uznania działań, poza terytorium Rosji, za przestępstwo lub brak karalności miałby dać pewną gwarancje bezpieczeństwa tych osób. Dodatkowo działania Rosji mają pewnie na celu ściągnięcie być może nowych hakerów. Jest to krok podobny do tego, co też robi USA, bowiem trwa ciągły nabór i rząd USA wykorzystuje zwolnienia w dużych firmach technologicznych do pozyskania talentów IT. Rosja ma trudniejszą sytuację, nie tylko dlatego, że nie ma takich firm, ale dlatego że spora część pracowników IT uciekła przed możliwym poborem” – przypomina prawnik.

Jego zdaniem - w wyniku ewentualnych zmian w prawie w zakresie cyberprzestępczości – Rosja paradoksalnie zbudowałaby sobie kolejny społeczny problem.

„Rosja nie ma gwarancji że hakerzy nie zaczną jednak uderzać w jej nowe systemy. Jednak teraźniejsza perspektywa jest kusząca, bo rozbieżne interesy Rosji i hakerów się tu spotykają. Niektórym hakerom czy ich grupom zależy na pozyskiwaniu środków finansowych, ewentualnie walce w ramach antyzachodniej ideologii. Rosji zależy też na jak największym chaosie, podważaniu zaufania do państwa i systemowym sianiu dezinformacji” – stwierdza.

Jak prognozuje prawnik, hakerzy którzy skuszą się na rosyjską ofertę będą kraść dane, niszczyć je, zakłócać działania systemów.

„To w dalszej perspektywie przyniesie im korzyści finansowe, bowiem na podstawie tych danych będą wyłudzać pieniądze z banków i aplikacji, i następnie - dokonywać szantaży. Natomiast Rosja uzyska oczekiwany skutek, bo ofiary tych ataków będą czuły żal i brak zaufania do podmiotów, które te dane utracą, banków, które będą błędnie obciążać działaniami hakerów swoich klientów, dostawców usług, których będą trapić ciągłe awarie” - tłumaczy Marcin Maruszczak.

Według niego, powstaje przede wszystkim pytanie czy hakerzy, którzy uderzą w polskie instytucje i system gospodarczy będą bezkarni w wyniku rosyjskiej regulacji?

„Zasadą jest, że warunkiem odpowiedzialności za czyn popełniony za granicą jest uznanie takiego czynu za przestępstwo, również przez ustawę obowiązującą w miejscu jego popełnienia. Jeżeli zachodzą różnice między ustawą polską a ustawą obowiązującą w miejscu popełnienia czynu, stosując ustawę polską, sąd może uwzględnić te różnice na korzyść sprawcy. Warunek ten jest spełniony, jeżeli popełniony czyn jest przestępstwem, zarówno według prawa polskiego, jak i prawa miejsca jego popełnienia” – wskazuje Marcin Maruszczak.

Jak zaznacza, istnieje jednak wyjątek, który może mieć tu zastosowanie: niezależnie od przepisów obowiązujących w miejscu popełnienia czynu zabronionego, polską ustawę karną stosuje się do obywatela polskiego oraz cudzoziemca w razie popełnienia:

• przestępstwa przeciwko bezpieczeństwu wewnętrznemu lub zewnętrznemu Rzeczpospolitej Polskiej;
• przestępstwa przeciwko polskim urzędom lub funkcjonariuszom publicznym;
• przestępstwa wyłudzenia poświadczenia nieprawdy od polskiego funkcjonariusza publicznego lub innej osoby uprawnionej na podstawie prawa polskiego do wystawienia dokumentu oraz przestępstwa przeciwko istotnym polskim interesom gospodarczym;
• przestępstwa, z którego została osiągnięta, chociażby pośrednio, korzyść majątkowa na terytorium Rzeczypospolitej Polskiej.

„Analizując dotychczasowe ataki, w mojej opinii bezwzględnie cały czas mamy podstawę, aby ścigać takie osoby. Pytanie czy mamy faktycznie jakiekolwiek szanse w ich zidentyfikowaniu i schwytaniu. Tu mamy zawarte umowy międzynarodowe z Rosją (m.in. z 1996 roku), regulujące współpracę, ale trudno sobie dziś wyobrazić faktyczne i skuteczne korzystanie z jej postanowień przez każdą ze stron” – stwierdza prawnik.

Rzeczywiście, biorąc pod uwagę przebieg działań w cyberprzestrzeni - choćby w czasie trwania wojny w Ukrainie i atakowania jej sprzymierzeńców – trudno wyobrazić sobie, że Rosja i rosyjscy cyberprzestępcy będą respektowali jakiekolwiek regulacje na poziomie międzynarodowym.

Rzadkie przypadki braku odpowiedzialności karnej

Natomiast zdaniem Michała Szałasa, prawnika i eksperta w zakresie przestępczości gospodarczej, „brak jest podstaw do formułowania generalnej tezy o braku odpowiedzialności prawnej rosyjskich, czy jakichkolwiek innych hakerów”.

„Działanie haktywisty, niezależnie od strony konfliktu, po której stoi, tylko w niektórych, rzadkich i indywidualnie ocenianych przypadkach może być uznane za niepodlegające odpowiedzialności karnej. Warto natomiast zwrócić uwagę, że obecnie zachodzą oczywiste trudności dowodowe i praktyczne w ustaleniu sprawców tego typu przestępstw, a tym bardziej w pociągnięciu ich do odpowiedzialności. Wynika to choćby z faktu, że obrót pocztowy między Polską i Rosją został zawieszony” – uważa prawnik.

Jak dodaje, umowy międzynarodowe o pomocy prawnej w sprawach karnych formalnie pozostają w mocy, ale od lutego 2022 roku strona rosyjska faktycznie nie wykonuje wniosków strony polskiej o pomoc prawną, także złożonych przed wybuchem wojny. „Wykrycie sprawcy posługującego się rosyjskim adresem mailowym, komunikatorem i portfelem elektronicznym może więc okazać się zwyczajnie niemożliwe” – ocenia Michał Szałas.

Ostatecznie Marcin Maruszczak przypomina, że nie znamy dokładnej treści zapowiadanej propozycji braku odpowiedzialności karnej rosyjskich grup cyberprzestępczych.

„Niezależnie od niej, to jest układ pomiędzy krajem, który - delikatnie mówiąc - nie chce być traktowany jako solidny i przewidywalny, a osobami które kwestionują porządek, organizacje takie jak struktury państwowe, firmy, którzy są po prostu przestępcami. Oznacza to, że przy tego typu porozumieniach pewne jest, że prędzej czy później >>nóż<< wyląduje w plecach drugiej strony. Czy hakerzy zaufają Rosji? Pewnie część tak, ale muszą mieć na uwadze, że przy politycznym handlu o wysoką stawkę mogą stać się jednym z elementów wymiany. Rosja konsekwentnie w kolejnym kroku wyłącza się z międzynarodowego systemu prawnego - realizacji umów międzynarodowych, gdzie zasadą jest współpraca w ściganiu i karaniu przestępców. Jeżeli staniemy w kolizji - co do wskazywania, co jest przestępstwem, to nie ma mowy o jakiejkolwiek realnej współpracy - nawet w oparciu o najdoskonalsze procedury” - podkreśla.

Jak podsumowuje, ten pomysł należy ocenić jako zły i szkodliwy. „Przede wszystkim uderza w podstawy wyznawanych przez nas wartości. Nie możemy mówić, że działania złe są akceptowalne tylko z tego powodu, że nas nie dotyczą. Przecież przełamanie zabezpieczeń to jak wejście do czyjegoś domu. Rosja wskazuje że jeżeli przestępca będzie dokonywał czynu zabrobionego poza jej terytorium to nie będzie przestępcą – czyli >>włamuj się, rabuj inne domy, dla nas to nic złego<<” – kończy prawnik.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].