epravo.cz

Přihlášení


Registrace nového uživatele
Zapomenuté heslo
Přihlášení
  • ČLÁNKY
  • ZÁKONY
  • SOUDNÍ ROZHODNUTÍ
  • AKTUÁLNĚ
  • COVID-19
  • E-shop
  • Advokátní rejstřík
  • občanské právo
  • obchodní právo
  • insolvenční právo
  • finanční právo
  • správní právo
  • pracovní právo
  • trestní právo
  • evropské právo
  • veřejné zakázky
  • ostatní právní obory
Konference: Rodina v právu a bezpráví
20. 4. 2020
ID: 110941upozornění pro uživatele

Trestní postih DoS/DDoS útoků

V právní teorii i praxi vyvstává otázka, zda kybernetické útoky typu DoS či DDoS je možné považovat jako trestný čin. Ačkoliv je DoS/DDoS útok obecně považován za formu kyberkriminality, je vůbec možné takový typ útoků postihovat dle českého trestního zákoníku?

Dle policejních statistik je zcela evidentní nárůst počítačové kriminality[1], kdy typickým útokem řazeným mezi formu počítačové kriminality je právě útok typu DoS/DDoS.

DoS (Denial of Service) představuje kybernetický útok typu odepření služby, při kterém dojde k zahlcení cílového serveru vysláním obrovského množství požadavků. Cílový server pak není schopen takové množství dat zpracovat a dochází k jeho přetížení, nefunkčnosti a nedostupnosti služby u ostatních oprávněných uživatelů. Při tomto typu útoku však fakticky nedochází k průniku útočníka do cílového systému, resp. útočník nezískává možnost data získat či s daty.  Rozšířenou variantou útoku je pak DDoS (Distributed Denial of Service), kdy k útoku nedochází z jednoto počítače, ale z většího množství počítačových systémů. DoS a DDoS (souhrnně označeny jako (D)DoS) tak představují dva základní typy kybernetických útoků, které jsou zaměřeny na znepřístupnění služby.

Trestněprávní kvalifikace útoku typu (D)DoS není bohužel z pohledu českého trestního zákoníku zcela jednoznačná, což ostatně dokazuje také postup orgánů činných v trestním řízení, které mají tendenci věc odkládat s tím, že se nejedná o trestný čin. Tato nejednoznačnost vyplývá z poměrně nešťastně formulovaných skutkových podstat trestného činu neoprávněného přístupu k počítačovému systému a nosiči informací ve smyslu ust. § 230 odst. 1 a 2 trestního zákoníku.

Česká republika je od roku 2013 vázána Úmluvou o počítačové kriminalitě (dále jen „Úmluva“)[2]. Dle této Úmluvy musí smluvní státy přijmout taková legislativní a jiná opatření, která budou nezbytná k tomu, aby podle jejích vnitrostátních právních předpisů bylo trestným činem, pokud je spácháno úmyslně, neoprávněné poškození, vymazání, snížení kvality, pozměnění nebo potlačení počítačových dat.[3] Právě pod pojem „potlačení počítačových dat“ je třeba podřadit (D)DoS útoky. Strany Úmluvy jsou dále povinny přijmout taková legislativní a jiná opatření, která budou nezbytná k tomu, aby trestné činy ve smyslu Úmluvy bylo možno potrestat účinnými, přiměřenými a odrazujícími tresty, včetně trestu odnětí svobody.[4] Je tedy evidentní, že ve smyslu Úmluvy, kterou je Česká republika vázána, jsou (D)DoS útoky považovány za trestné činy.

Trestní postih (D)DoS útoků pak vyžaduje také směrnice Evropského parlamentu a Rady č. 2013/40/EU ze dne 12.3.2013. Dle této směrnice členské státy přijmou nezbytná opatření k zajištění toho, aby úmyslné a neoprávněné závažné narušení nebo přerušení fungování informačního systému vložením počítačových údajů či jejich přenosem, poškozením, vymazáním, znehodnocením, pozměněním, potlačením nebo znepřístupněním bylo trestným činem, a to alespoň tehdy, pokud se nejedná o méně závažný případ.[5] (D)DoS útok pak ve smyslu této směrnice představuje přerušení fungování informačního systému potlačením nebo znepřístupněním.

Je však předmětem polemiky, zda i současné znění trestního zákoníku umožňuje postihovat páchání těchto útoků tak, jak vyžadují shora zmíněné mezinárodní závazky. Útočník při (D)DoS útoku může naplnit skutkovou podstatu trestného činu neoprávněného přístupu k počítačovému systému a nosiči informací dle ust. § 230 odst. 2 písm. b) trestního zákoníku, podle kterého se trestného činu dopustí ten, kdo získá přístup k počítačovému systému nebo k nosiči informací a data uložená v počítačovém systému nebo na nosiči informací neoprávněně vymaže nebo jinak zničí, poškodí, změní, potlačí, sníží jejich kvalitu nebo je učiní neupotřebitelnými. Uvedená skutková podstata vyžaduje, aby útočník získal přístup k počítačovému systému, což však neodpovídá požadavkům Úmluvy a směrnice, které za trestné považují úmyslné jednání spočívající v potlačení či znepřístupnění počítačových dat bez požadavku získání přístupu k systému. Při (D)DoS útocích útočník přístup k systému nezískává v tom smyslu, že by data v sytému mohl získat, pozměnit či jinak s nimi nakládat. Na první pohled by se tedy mohlo dojít k závěru, že tyto útoky dle citovaného ustanovení postihnout nelze právě z důvodu absence přístupu k počítačovému systému.

(D)DoS útoky za trestný čin dle trestního zákoníku nepovažuje ani část právní vědy. Například Jan Kolouch uvádí, že „zřejmě díky neznalosti technické stránky věci či díky potřebě právního popsání jednání, které má povahu DoS či DDoS útoků, došlo ke vzniku právní normy, která v praxi postih za provedení útoku DoS či DDoS neumožňuje.[6] Uvedený názor je také přebírán policejními orgány při vyšetřování trestných činů, kdy ze strany policie nejsou (D)DoS útok považovány za trestný čin. Dokonce se lze setkat s odůvodněním policejního orgánu, že (D)DoS útok nejen není trestným činem, ba dokonce nejde ani o jednání protiprávní. Takovéto právní posouzení, které vylučuje posouzení (D)DoS útoků jako trestný čin, považuji za zcela nesprávné. Ostatně za DDoS útoky či pokus o DDoS útok již byly českými soudy útočníci pravomocně odsouzeni.

Tak například došlo k odsouzení pachatele za DDoS útok na internetové stránky Úřadu vlády[7] či za pokus DDoS útoku na internetové stránky České strany sociálně demokratické[8]. Ve druhém případě rozhodoval také Nejvyšší soud, který uzavřel, že skutková zjištění popisující pokus o provedení DDoS útoku výstižně obsahují všechny znaky trestného činu neoprávněného přístupu k počítačovému systému a nosiči informací.[9] Soudy v tomto případě považovaly za naplnění znaku přístupu k počítačovému systému to, že by útočník překonal bezpečností opatření, a právě tím získal přístup k počítačovému systému. Jinak řečeno, pokud by útočník neprovedl DDoS útok, nepřekonal by bezpečnostní opatření serveru, pak by vůbec neměl přístup k počítačovému systému nad rámec standardního užití ze strany běžných uživatelů. Tento závěr je dle mého názoru správný a odpovídá také mezinárodním závazkům k trestání (D)DoS útoků.

Pro doplnění lze uvést, že při provedení (D)DoS útoku bude téměř vždy naplněna zvláště přitěžující okolnost podmiňující použití vyšší trestní sazby dle ust. § 230 odst. 3 písm. a) či b) trestního zákoníku, neboť úmyslem útočníka v tomto případě je omezení funkčnosti systému, popř. způsobení škody provozovateli.

Lze uzavřít, že i přesto, že z čistě jazykového výkladu příslušných ustanovení trestního zákoníku neplyne, že by útoky typu (D)DoS trestní zákoník postihoval, neboť vyžaduje získání přístupu k počítačovému systému, který v užším slova smyslu pachatel nezískává, je třeba tyto útoky postihovat dle ust. § 230 odst. 2 písm. b) trestního zákoníku. Za neoprávněný přístup je třeba považovat právě překonání bezpečnostních opatření, které by měly (D)DoS útokům bránit.  De lege ferenda lze však jednoznačně doporučit úpravu či rozšíření skutkových podstat tak, aby postih (D)DoS útoků jednoznačně odpovídal mezinárodním závazkům a také faktickému způsobu provedení (D)DoS útoků.

Mgr. Bc. Jakub Šťastný,
advokát

Tel.:     +420 731 906 390
E-mail: jakub@stastny-advokat.cz

 

[1] Kyberkriminalita [online]. [cit. 19.3.2020]. Dostupné na https://www.policie.cz/clanek/kyberkriminalita.aspx

[2] Sdělení Ministerstva zahraničních věcí o sjednání Úmluvy o počítačové kriminalitě ze dne 23.12.2013

[3] Čl.4 odst. 1 Úmluvy

[4] Čl. 13 odst. 1 Úmluvy

[5] Čl. 4 směrnice

[6] KOLOUCH, Jan, CyberCrime. 1. vydání. Praha: CZ.NIC, z. s. p. o., 2016, str. 301

[7] Trestní příkaz Okresního soudu v Ostravě ze dne 13.8.2018, sp. zn. 11 T 85/2018

[8] Rozsudek Okresního soudu v Rychnově ze dne 30.4.2018, sp. zn. 2 Tm 11/2017

[9] Usnesení Nejvyššího soudu ze dne 13.2.2019, sp. zn. 8 Tdo 100/2019


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


Mgr. Bc. Jakub Šťastný
20. 4. 2020
pošli emailem
vytiskni článek
  • Tweet

Další články:

  • Sankce za dob koronavirové pandemie – Trestněprávní odpovědnost – 2. díl seriálu
  • „Nešvary“ rekognice
  • Za útok zvířete hrozí kriminál
  • Compliance programy a trestní odpovědnost právnických osob dle nové metodiky státních zástupců 1 SL 113/2020
  • Psychologie v právu: Psychologické profilování – novodobé věštění nebo účinný nástroj nápomocný vyšetřování?
  • Neurčitá solární legislativa roku 2010: Jak ji (ne)využít při obhajobě?
  • Trestání krádeží spáchaných v nouzovém stavu
  • Možnosti vyvinění pomocí compliance programu
  • Krátce ke svědecké výpovědi jako důkazu v trestním řízení
  • Správní právo trestní: Diference mezi trvajícím a pokračujícím přestupkem. Nad jedním otazníkem z praxe
  • Trestní odpovědnost zombie

Související produkty

Online kurzy

  • Trestní odpovědnost právnických osob (TOPO)
  • Compliance program jako prevence trestní odpovědnosti právnické osoby
  • Spravedlivý proces v trestním řízení
  • Prevence trestní odpovědnosti právnických osob
  • Právnické osoby a trestní odpovědnost
Lektoři kurzů
JUDr. Tomáš Sokol
JUDr. Tomáš Sokol
Kurzy lektora
doc. JUDr. Tomáš Gřivna, Ph.D.
doc. JUDr. Tomáš Gřivna, Ph.D.
Kurzy lektora
JUDr. Filip Seifert, MBA
JUDr. Filip Seifert, MBA
Kurzy lektora
JUDr. Lukáš Bohuslav, Ph.D.
JUDr. Lukáš Bohuslav, Ph.D.
Kurzy lektora
Mgr. Robert Kabát
Mgr. Robert Kabát
Kurzy lektora
JUDr. Mgr. Jiří Kmec, Ph.D.
JUDr. Mgr. Jiří Kmec, Ph.D.
Kurzy lektora
všichni lektoři

Nejčtenější na epravo.cz

  • 24 hod
  • 7 dní
  • 30 dní
  • Na co se zaměřoval úřad pro ochranu osobních údajů při své kontrolní činnosti v roce 2020?
  • Právní ochrana elektronické pošty zaměstnanců
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Stravenkový paušál (peněžitý příspěvek na stravování) – právní a daňové aspekty
  • Dětské dluhy a chystaná novelizace OZ a OSŘ
  • Hlasování per rollam ve společnosti s ručením omezeným
  • Roušky na pracovišti. Jaká jsou rizika?
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Roušky na pracovišti. Jaká jsou rizika?
  • Povinnost nošení roušky v kontextu ústavních práv
  • Telička do Vídně, možnost uzavření kapitoly životní prostředí
  • Právní ochrana elektronické pošty zaměstnanců
  • Sankce za dob koronavirové pandemie – Odpovědnost za přestupky – 1. díl seriálu
  • Stravenkový paušál (peněžitý příspěvek na stravování) – právní a daňové aspekty
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Regulace open-source P2P platební sítě Bitcoin
  • Náklady řízení
  • Desatero pro výtěžnější oddlužení
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Stravenkový paušál, co tato novinka znamená pro zaměstnance a co pro zaměstnavatele?
  • Krácení dovolené nově od 1. 1. 2021
  • Senátní výbory se neshodly, v jaké úpravě vrátit mediální zákon

Pracovní pozice

Soudní rozhodnutí

Aktivní věcná legitimace (exkluzivně pro předplatitele)

Pokud by byly zjištěny okolnosti, které by jinak, bylo-li by vedeno odpovídající řízení, vedly k závěru o neplatnosti usnesení valné hromady společnosti o naložení s uvolněným...

Péče řádného hospodáře (exkluzivně pro předplatitele)

Pro aplikaci § 68 odst. 1 z. o. k. je – z časového hlediska – rozhodné, zda za účinnosti tohoto ustanovení došlo k jednání člena (nebo bývalého člena) statutárního orgánu...

Předkupní právo (exkluzivně pro předplatitele)

Na rozdíl od předkupního práva sjednaného smluvně – bez ohledu na to, zda působí jen mezi stranami nebo má věcněprávní účinky – je předkupní právo spoluvlastníků nemovité...

Insolvenční správce

Ustanovení § 32 odst. 1 a 2 insolvenčního zákona, ve znění účinném od 1. ledna 2014, je nutno vykládat tak, že návrh na zproštění insolvenčního správce funkce může podat (jen)...

Pojem „správní činnosti“ (exkluzivně pro předplatitele)

Pod „správní činnosti“ ve smyslu ustanovení § 2 odst. 3 zákona č. 312/2002 Sb., o úřednících územních samosprávných celků a o změně některých zákonů je možno podřadit...

Vyhledávání ASPI

ASPI

Hledání v rejstřících

  • mapa serveru
  • o nás
  • reklama
  • podmínky provozu
  • kontakty
  • publikační podmínky
  • FAQ
  • obchodní a reklamační podmínky
  • Ochrana osobních údajů - GDPR
AIVD APEK 100 nej
© EPRAVO.CZ, a.s. 1999-2021, ISSN 1213-189X      developed by Actimmy
Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.

Jste zde poprvé?

Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.


Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního video tréningu od jednoho z nejznámějších českých advokátů a rozhodců JUDr. Martina Maisnera, Ph.D., MCIArb, a to "Taktika vyjednávání o smlouvách".


Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů