Nielegalne pozyskiwanie danych z systemów zarządzania energią – jakie kary i jak się bronić

Systemy zarządzania energią (EMS, systemy SCADA, inteligentne liczniki) gromadzą duże ilości danych operacyjnych i osobowych – od profili zużycia energii po dane techniczne sieci. Nieuprawniony dostęp do tych danych, ich przechwytywanie lub kradzież nie są w polskim prawie jedynie „incydentem bezpieczeństwa IT”, lecz przestępstwem ściganym na gruncie Kodeksu karnego, a niekiedy także naruszeniem przepisów o ochronie danych osobowych (RODO) i o ochronie infrastruktury krytycznej. Ten artykuł wyjaśnia, jakie konkretnie czyny są karalne, jakie grożą kary, jak wygląda obrona osoby oskarżonej oraz co powinien zrobić podmiot pokrzywdzony (np. operator sieci lub przedsiębiorstwo energetyczne). Pokazujemy też, jak techniczne środki bezpieczeństwa przekładają się na sytuację dowodową w postępowaniu karnym.

Jaki czyn jest karalny: kwalifikacja prawna z Kodeksu karnego

Nielegalne pozyskiwanie danych z systemu zarządzania energią najczęściej kwalifikuje się jako przestępstwo z Rozdziału XXXIII Kodeksu karnego „Przestępstwa przeciwko ochronie informacji”. Kluczowy jest art. 267 § 1 KK – kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, m.in. przełamując lub omijając elektroniczne, informatyczne czy inne szczególne zabezpieczenie, podlega odpowiedzialności karnej. Art. 267 § 3 KK obejmuje zakładanie lub posługiwanie się podsłuchem albo innym urządzeniem w celu uzyskania informacji, do której sprawca nie jest uprawniony. Jeżeli sprawca dane nie tylko pozyska, ale też zniszczy, usunie lub zmieni – w grę wchodzi art. 268a KK (zakłócanie przetwarzania danych informatycznych), a przy zakłóceniu pracy samego systemu lub sieci – art. 269a KK. Wytwarzanie lub udostępnianie „narzędzi hakerskich” (programów, haseł, kodów dostępu) służących do tych czynów jest karalne z art. 269b KK.

Jakie kary grożą sprawcy

Za nieuprawniony dostęp do informacji (art. 267 KK) grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Za niszczenie, uszkadzanie lub utrudnianie dostępu do danych informatycznych oraz zakłócanie ich przetwarzania (art. 268a KK) – do 3 lat pozbawienia wolności. Za zakłócanie pracy systemu informatycznego lub sieci, np. przez atak typu DDoS lub ingerencję w dane (art. 269a KK) – kara od 3 miesięcy do 5 lat pozbawienia wolności. Jeżeli zaatakowane dane mają szczególne znaczenie dla obronności, bezpieczeństwa państwa lub funkcjonowania administracji (co bywa aktualne przy infrastrukturze energetycznej), zastosowanie może znaleźć surowiej zagrożony sabotaż komputerowy z art. 269 KK (od 6 miesięcy do 8 lat pozbawienia wolności). Sąd, wymierzając karę, uwzględnia rozmiar szkody, motywację sprawcy, sposób działania i dotychczasową niekaralność.

Ściganie na wniosek czy z urzędu – kto inicjuje sprawę

To ma duże znaczenie praktyczne. Przestępstwo z art. 267 KK (a także część czynów z art. 268 i 268a KK) jest co do zasady ścigane na wniosek pokrzywdzonego (art. 267 § 5 KK). Oznacza to, że bez wniosku operatora systemu lub innego pokrzywdzonego organy zwykle nie wszczną postępowania – ale po złożeniu wniosku toczy się ono z urzędu. Najpoważniejsze czyny godzące w bezpieczeństwo państwa (sabotaż komputerowy z art. 269 KK) ścigane są z urzędu. Krok praktyczny dla pokrzywdzonego: jeśli wykryto nieuprawniony dostęp do EMS, należy niezwłocznie zabezpieczyć dowody cyfrowe (logi systemowe, zapisy zdarzeń, ruch sieciowy) i złożyć zawiadomienie o przestępstwie wraz z wnioskiem o ściganie w prokuraturze lub na policji – zwłoka utrudnia odtworzenie śladów.

RODO i ochrona danych osobowych – odrębna płaszczyzna odpowiedzialności

Dane z systemów zarządzania energią często obejmują dane osobowe odbiorców (profile zużycia pozwalają wnioskować o trybie życia gospodarstwa domowego). Tu wchodzi w grę RODO (rozporządzenie UE 2016/679) oraz ustawa z 10 maja 2018 r. o ochronie danych osobowych. Są to jednak odrębne reżimy od odpowiedzialności karnej: RODO przewiduje odpowiedzialność administracyjną (kary pieniężne nakładane przez Prezesa UODO, do 20 mln euro lub 4% rocznego obrotu – art. 83 RODO) i cywilną administratora danych, a także obowiązek zgłoszenia naruszenia ochrony danych w ciągu 72 godzin (art. 33 RODO). W praktyce jedno zdarzenie – wyciek danych odbiorców po włamaniu do EMS – może rodzić jednocześnie odpowiedzialność karną sprawcy włamania (art. 267 i nast. KK) i odpowiedzialność administracyjną administratora za niewystarczające zabezpieczenia (RODO). Polska ustawa o ochronie danych zawiera też odrębne przepisy karne (m.in. za udaremnianie kontroli UODO).

Infrastruktura krytyczna i obowiązki cyberbezpieczeństwa operatorów energii

Systemy energetyczne podlegają dodatkowym, szczególnym regulacjom. Operatorzy mogą być uznani za podmioty świadczące usługi kluczowe na gruncie ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (wdrażającej dyrektywę NIS, sukcesywnie dostosowywanej do dyrektywy NIS2). Nakłada ona obowiązki: szacowania ryzyka, wdrożenia adekwatnych środków technicznych i organizacyjnych, zgłaszania poważnych incydentów do właściwego CSIRT oraz wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo. Elementy infrastruktury energetycznej mogą też być wpisane do wykazu infrastruktury krytycznej na podstawie ustawy z 26 kwietnia 2007 r. o zarządzaniu kryzysowym. Zaniechanie tych obowiązków nie tworzy automatycznie odpowiedzialności karnej za włamanie (tę ponosi sprawca), ale może skutkować odpowiedzialnością administracyjną podmiotu i jest istotne przy ocenie należytej staranności w razie naruszenia RODO.

Obrona osoby oskarżonej – na czym opiera się strategia

Obrona w sprawach informatycznych opiera się na precyzyjnej analizie dowodów cyfrowych. Adwokat sprawdza, czy dostęp był rzeczywiście „nieuprawniony” i czy doszło do przełamania lub ominięcia zabezpieczenia (to znamię z art. 267 § 1 KK – samo logowanie cudzym, znanym hasłem bez przełamania zabezpieczeń bywa kwalifikowane inaczej), czy dowody pozyskano legalnie i czy zachowano łańcuch dowodowy, oraz czy opinia biegłego z informatyki śledczej jest rzetelna. Częste linie obrony to: brak zamiaru (czyny te są umyślne), błędne przypisanie czynu konkretnej osobie wyłącznie na podstawie adresu IP (adres IP wskazuje łącze lub urządzenie, nie człowieka), działanie w granicach uprawnień (np. administrator systemu, pentester z umową i zakresem prac) oraz znikoma społeczna szkodliwość czynu (art. 1 § 2 KK). Krok praktyczny: po postawieniu zarzutów nie należy usuwać danych z urządzeń ani składać wyjaśnień bez konsultacji z obrońcą.

Pozycja pokrzywdzonego i jak się przygotować do postępowania

Operator energetyczny lub przedsiębiorstwo, którego system zaatakowano, działa jako pokrzywdzony. Pełnomocnik pomaga prawidłowo sformułować zawiadomienie i wniosek o ściganie, dba o zabezpieczenie dowodów cyfrowych, a w postępowaniu sądowym może działać jako oskarżyciel posiłkowy obok prokuratora. Obok ścieżki karnej możliwe jest dochodzenie roszczeń cywilnych – odszkodowania za szkodę (art. 415 Kodeksu cywilnego) – a w samym procesie karnym wniosek o naprawienie szkody (art. 46 KK). Czas trwania postępowania zależy od złożoności i konieczności powołania biegłych informatyków: postępowanie przygotowawcze może trwać od kilku tygodni do wielu miesięcy, a postępowanie sądowe wraz z apelacją nawet ponad rok. Krok praktyczny dla obu stron: gromadzić dokumentację (umowy, polityki bezpieczeństwa, logi), nie kontaktować się z drugą stroną na własną rękę i jak najszybciej skonsultować sprawę z prawnikiem znającym specyfikę dowodów cyfrowych.