„Hack back” (tzn. hacking zwrotny) jest coraz częściej utożsamiany z prowadzeniem „aktywnej cyberobrony” lub „cyberatakiem zwrotnym”. Tego typu działanie nie stanowi ataku samego cyberprzestępcy, lecz reakcję na taki atak. Ogólnie ujmując „hack back” polega na zwróceniu się przeciwko osobie dokonującej cyberataku w ramach prowadzenia samoobrony, czyli w celu udaremnienia, powstrzymania przestępstwa, śledzenia napastnika i ewentualnego odzyskania skradzionych danych.
Katarzyna Gorzkowska - prawnik w kancelarii APLaw Artur Piechocki / Media

Aktualnie zjawisko „hack back” należy rozważać w kategoriach prowadzenia cyfrowego kontrataku, będącego odpowiedzią na cyberatak. Czynności obronne mogą przybrać jedną z dwóch form. Mogą przejawiać się w zachowaniu defensywnym lub ofensywnym. Działania defensywne polegają na obronie własnego systemu, czy sieci. Natomiast w przypadku prowadzenia działań w formie ofensywnej, obejmujących, min. zbieranie dowodów w celu zidentyfikowania sprawców pierwotnego cyberataku, może dojść do opuszczenia własnego „terytorium” i ściganiu napastnika przez Internet. W efekcie działania ofensywne mogą skutkować „włamaniem” do systemów sprawców w celu usunięcia lub odzyskania danych, a w niektórych wypadkach także wyrządzeniem szkód pierwotnym sprawcom w ramach zamierzonego odwetu.

Jako przykład ofensywnej formy cyberobrony można wskazać działania Tobiasa Frömela, ofiary ransomware, który zapłacił w bitcoinach za odblokowanie swoich plików. Po zapłaceniu okupu, szukając zemsty, w ramach działań odwetowych Tobias Frömel włamał się do systemu atakującego. W ten sposób uzyskał informacje, które umożliwiły mu wygenerowanie kluczy odszyfrowujących, aby pomóc innym osobom dotkniętym ransomware Muhstik. Frömel był w stanie pobrać z serwera atakującego identyfikatory ofiar przechowywane w bazie danych serwera wraz z unikalnym kluczem odszyfrowującym dla każdej ofiary.

Frömel efektami swoich działań podzielił się z innymi ofiarami cyberataku, dostarczając ofiarom klucze, a także narzędzie deszyfrujące, którego będą potrzebować również do przywrócenia plików.
Postępowanie Tobiasa Frömela w świetle moralnych i etycznych zasad może być oceniane pozytywnie, gdyż podjęte przez niego działanie w rezultacie pomogło wielu osobom poszkodowanym przez ransomware Muhstik. Generalnie ocena dopuszczalności prowadzenia cyberataku zwrotnego jest podzielona. Można w ofensywnych działaniach „hack back” upatrywać sposobu na odstraszenie potencjalnych cyberprzestępców. Ofensywna cyberobrona może być jednak kwalifikowana jako forma cyfrowej zemsty.

Przeprowadzenie działań mieszczących się w ramach „hack back” w praktyce może okazać się problematyczne ze względu na dwa podstawowe czynniki. Pierwszy problem dotyczy kwestii technicznych i organizacyjnych, należy bowiem ustalić źródła ataku i osoby za niego odpowiedzialne. Pod tym względem niezbędny jest specjalistyczny sprzęt oraz osoby dysponujące wiedzą i umiejętnościami z zakresu cyberbezpieczeństwa.

Drugą kwestię stanowią problemy prawne wiążące się z prowadzeniem zwrotnego cyberataku. Opuszczenie własnego „terytorium” środowiska teleinformatycznego nie daje gwarancji dotarcia do sprawców cyberataku i np. odzyskania skradzionych danych. Natomiast hakowanie zwrotne napastnika może się wiązać z niezamierzonymi, negatywnymi konsekwencjami. Działania w ramach hack-back mogą przybrać dalej idące formy, np. zablokowanie komputera cyberprzestępcy złośliwym kodem, tak jak robi to oprogramowanie ransomware. Aktywna cyberobrona w efekcie może również doprowadzić do uszkodzenia plików systemowych komputera lub sieci cyberprzestępcy oraz osób postronnych. Cyberprzestępcy niejednokrotnie posługują się tzw. botnetem, czyli siecią złożoną z komputerów użytkowników Internetu zainfekowanych szkodliwym oprogramowaniem. Przejęcie kontroli nad tzw. „komputerami zombie” umożliwia np. rozsyłanie spamu, kradzież danych, czy przeprowadzanie ataków DoS, DDoS.

Przy czym należy podkreślić, że właściciel komputera zazwyczaj nie zdaje sobie prawy z tego, że jego urządzenie stanowiło narzędzie cyberataku, jako część botnetu. Przeprowadzenie „hack back” wiąże się zatem z ryzykiem dostępu do informacji (ewentualnie doprowadzenia do uszkodzenia) w zainfekowanych komputerach, należących do niczego nieświadomych osób. W rezultacie osoba, która pierwotnie była ofiarą ataku cyberprzestępcy sama naraża się na odpowiedzialność z tytułu np. bezprawnego uzyskania informacji (art. 267 Kk). Warto zaznaczyć, że penalizacji podlega uzyskanie informacji w wyniku przełamania lub ominięcia zabezpieczenia systemu. Kara może spotkać również za działania powodujące niszczenie danych informatycznych (art. 268a Kk), zakłócenie systemu informatycznego (art. 269a Kk), czy oszustwo komputerowe (art. 287 Kk).

W trakcie pościgu za cyberprzestępcą może dojść do naruszenia prywatności osób postronnych, poprzez uzyskanie dostępu do ich prywatnych danych. Jako przykład można wskazać sprawę Susan Clements Jeffrey, nauczycielki z USA (Ohio), która korzystała z laptopa, którego użył cyberprzestepca. Firma Absolute Software monitorująca skradzione mienie właściciela, przechwyciła komunikację i dokonała jej rejestracji (w tym intymnych treści). Susan Clements Jeffrey pozwała Absolute Software i wygrała, sąd orzekł, że nawet jeśli laptop zostanie skradziony, firma nie może się do niego włamać, aby monitorować jego użycie.

Prowadzenie pościgu za cyberprzestępcą w praktyce może stanowić zatem źródło licznych problemów, w tym narażać na poniesienie odpowiedzialność karnej lub cywilnej w przypadku naruszenia prawa do prywatności. Przede wszystkim jednak nigdy nie będzie pewności, że cyberprzestępca nie wykonał kopii skradzionych danych. Czynności podjęte w ramach cyberataku zwrotnego nie mają także wpływu na obowiązki administratora danych osobowych wynikające z RODO w przypadku wystąpienia naruszenia. Dotarcie w ramach prowadzonego pościgu do systemu cyberprzestępcy, w tym nawet usunięcie skradzionych danych, nie zapobiegnie zatem ewentualnej karze z tytułu naruszenia zasad dotyczących przetwarzania danych osobowych.

Należy pamiętać, że zgodnie z art. 5 ust. 1 lit f RODO dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiedni poziom bezpieczeństwa, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Natomiast w przypadku, gdy dojdzie do naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki (w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) zgłasza naruszenie Prezesowi Urzędu Ochrony Danych osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Katarzyna Gorzkowska - prawnik w kancelarii APLaw Artur Piechocki