Instytut

Polska na 6. miejscu w światowym rankingu cyberbezpieczeństwa

Polska znalazła się na 6. miejscu w rankingu The Cyber Defense Index 2022/23 opublikowanym przez „MIT Technology Review” – prestiżowy magazyn wydawany od 1899 roku przez Massachusetts Institute of Technology. Wyprzedziliśmy m.in. Japonię, Chiny, Szwajcarię oraz Wielką Brytanię. 

The Cyber Defense Index to globalne zestawienie 20 największych gospodarek świata (głównie członków forum G20, z wyłączeniem Rosji i uwzględnieniem Polski), w którym brane są pod uwagę zasoby i zdolności w zakresie cyberbezpieczeństwa. W rankingu oceniano m.in. stopień w jakim poszczególne państwa wdrożyły praktyki zapobiegania cyberatakom i na ile lokalne regulacje wspierają działania w tym zakresie. Dane pochodzą w dużej mierze z zasobów instytucji międzynarodowych i globalnej ankiety przeprowadzonej wśród kadry kierowniczej odpowiedzialnej za bezpieczeństwo cyberprzestrzeni w swoich organizacjach. W ocenie CDI uwzględnione zostały cztery aspekty: infrastruktura krytyczna, zasoby cyberbezpieczeństwa, zdolności organizacyjne oraz regulacje i otoczenie prawne w tym obszarze. Polska otrzymała w rankingu całościową ocenę 6,91, przy czym najwyżej oceniono jej zasoby cyberbezpieczeństwa (7,34 pkt). 

Pierwsze miejsce rankingu zajęła Australia (7,83 pkt), która w ostatnich latach intensywnie budowała ogólnodostępną bezpieczną infrastrukturę. Na drugim miejscu, z 7,61 pkt uplasowało się Królestwo Niderlandów. Ocena ta nie dziwi, biorąc pod uwagę fakt, iż Haga określana jest mianem europejskiego hubu bezpieczeństwa cyfrowego, w którym znajdują się m.in. kwatery główne instytucji odpowiedzialnych za cyberbezpieczeństwo NATO i Europolu. Ważną rolę w przyznaniu Korei Południowej trzeciego miejsca i wysokiej pozycji Polski, odegrały uwarunkowania geopolityczne. Oba kraje zostały docenione za skuteczne odpieranie ataków ze strony swoich sąsiadów – Korei Północnej i Rosji. Polska została także doceniona za działania realizowane przez Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni, takie jak udzielanie wsparcia Ukrainie i praca na rzecz tworzenia międzynarodowych regulacji zasad współpracy w zakresie cyberbezpieczeństwa. 

Jak podkreśla dyrektor instytutu NASK (Naukowa i Akademicka Sieć Komputerowa) – Wojciech Pawlak – wysoka pozycja Polski w rankingu MIT pokazuje, że działania polskich instytucji przyczyniają się do budowania wizerunku Polski jako państwa silnego i odpornego na współczesne cyfrowe zagrożenia.  

  

  

Źródła: 

https://www.technologyreview.com/2022/11/15/1063189/the-cyber-defense-index-2022-23/ 

https://www.wojsko-polskie.pl/woc/articles/aktualnosci-w/cyberbezpieczenstwo-w-polsce-docenione-przez-mit-technology-review-insights/ 

https://www.nask.pl/pl/aktualnosci/5251,Polska-na-6-miejscu-w-rankingu-cyberbezpieczenstwa-MIT-Cyber-Defense-Index.html 

„Cyber Coalition” – kluczowa rola Polski podczas ćwiczeń cyberwojsk NATO

Pod koniec 2023 roku odbyły się ćwiczenia wojskowe „Cyber Coalition” – największe tego typu wydarzenie na świecie, odbywające się corocznie od 2008 roku. W tym roku udział w nich wzięły państwa członkowskie Sojuszu Północnoatlantyckiego, kraje partnerskie (w tym m.in. Ukraina, Japonia i Szwajcaria) oraz instytucje Unii Europejskiej. Przez pięć dni, od 27 listopada do 1 grudnia, uczestnicy testowali swoje umiejętności w zakresie cyberobronności. Scenariusz tegorocznych ćwiczeń zakładał cyberatak na fikcyjne państwo sojusznicze, obejmujący wrogie operacje skierowane m.in. przeciwko systemom IT infrastruktury krytycznej i łańcuchów dostaw. Uczestnicy ćwiczeń brali w nich udział na terenie swoich krajów, natomiast przebieg operacji koordynowany był za pośrednictwem Centrum Doskonalenia Cyberobrony NATO (NATO CCDCOE) w Tallinie, gdzie przebywała niewielka grupa przedstawicieli państw biorących udział w całym przedsięwzięciu. 

W edycji „Cyber Coalition 2023” Polsce powierzono objęcie Dowództwa Regionalnego, odpowiedzialnego za planowanie i realizację działań w sieci przez państwa Europy Środkowej i Wschodniej. Rzecznik Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC), ppłk Przemysław Lipczyński, podkreślił, że to wyraźny dowód zaufania sojuszników do polskiej armii i żołnierzy zajmujących się cyberbezpieczeństwem. Rzecznik DKWOC podkreśla, że tego rodzaju inicjatywy nie tylko umożliwiają budowanie zaufania między uczestnikami, ale także pozyskiwanie cennej wiedzy i doświadczenia. W sytuacji rzeczywistego zagrożenia, wypracowane schematy i mechanizmy mogą odegrać kluczową rolę w obronie cyberprzestrzeni w ramach NATO. 

Zobowiązanie do rozwijania wspólnych zdolności w cyberprzestrzeni zostało podkreślone w październiku 2023 roku. Wówczas do Krakowa przybyli dowódcy cyberwojsk państw NATO w związku z organizacją wojskowego forum „Cyber Commanders Forum” oraz towarzyszącego mu wydarzenia CYBERSEC SUMMIT 2023, organizowanego przez Instytut Kościuszki. Dowódca DKWOC, gen. dyw. Karol Molenda podkreślił, że wymienione podczas tego wyjątkowego spotkania doświadczenia są bezcenne dla wzmocnienia struktur obronnych Polski i NATO. 

  

Źródła:

https://www.act.nato.int/activities/cyber-coalition/ 

https://www.wojsko-polskie.pl/articles/tym-zyjemy-v/2023-11-27e-cyber-coalition-2023/ 

https://cyberdefence24.pl/armia-i-sluzby/najwieksze-takie-cwiczenia-nato-polska-dowodzi 

Powstanie Mechanizmu Tallińskiego – Polskie wsparcie dla cyberbezpieczeństwa Ukrainy

W dniu 20 grudnia 2023 roku MSZ Polski, Danii, Estonii, Francji, Kanady, Niderlandów, Niemiec, Szwecji, Stanów Zjednoczonych i Wielkiej Brytanii ogłosiły powołanie do życia Mechanizmu Tallińskiego. Inicjatywa ta ma na celu wzmocnienie współpracy państw NATO w dziedzinie cyberbezpieczeństwa, ze szczególnym uwzględnieniem wsparcia dla Ukrainy. 

Mechanizm Talliński został utworzony w odpowiedzi na potrzebę koordynacji działań mających na celu budowanie cywilnego potencjału Ukrainy w cyberprzestrzeni. Jego głównym celem jest wspieranie Ukrainy w utrzymaniu podstawowego prawa do samoobrony w obszarze cyberbezpieczeństwa oraz zaspokojenie jej długoterminowych potrzeb w zakresie odporności cyfrowej. Zgodnie z oświadczeniem państw założycielskich, kierunki działań w ramach Mechanizmu Tallińskiego będą odrębne, ale komplementarne do działań wojskowych i cywilnych na rzecz budowania cyberbezpieczeństwa oraz cyfrowego rozwoju Ukrainy.  

Szczególnie istotna jest współpraca w sferze wymiany informacji o zagrożeniach, takich jak cyberataki na infrastrukturę krytyczną, systemy telekomunikacyjne oraz zagrożeniach dla łańcuchów dostaw. Działania te mają wymiar transgraniczny, co podkreśla potrzebę ścisłej współpracy z sojusznikami i strategicznymi partnerami, zarówno Polski, jak i Ukrainy. 

Polska, już w sierpniu 2022 roku, podpisała Porozumienie z Ukrainą dotyczące współpracy w obszarze cyfryzacji i cyberbezpieczeństwa. W ramach tej umowy, Polska zrealizowała szereg projektów na rzecz wsparcia Ukrainy, obejmujących m.in. budowę mobilnego centrum danych oraz zakup urządzeń i dostępu do szerokopasmowej łączności satelitarnej, takiej jak system Starlink. 

W kontekście nowo utworzonego Mechanizmu Tallińskiego, Polska zgodziła się pełnić rolę tzw. Back Office, zbierając zapotrzebowanie ze strony Ukrainy w zakresie cyberbezpieczeństwa, a następnie przekazując konkretne oferty pomocy i wsparcia od pozostałych sojuszników. Udział Polski w strukturach Mechanizmu Tallińskiego jest spójny z celami Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024, mającej na celu budowanie silnej pozycji międzynarodowej Polski w obszarze cyberbezpieczeństwa. Bezpieczeństwo polskiej przestrzeni cyfrowej oraz wsparcie dla Ukrainy pozostają priorytetami na rok 2024. 

  

  

Źródła: 

https://www.gov.pl/web/cyfryzacja/uruchomienie-mechanizmu-tallinskiego–polska-wspiera-cyberbezpieczenstwo-ukrainy 

https://cyberdefence24.pl/polityka-i-prawo/wsparcie-ukrainy-w-obszarze-cyfrowym-powstal-mechanizm-tallinski 

6 wskazówek na codzienną walkę z dezinformacją w 2024

Rok 2024 będzie pełen wyzwań w kontekście walki z dezinformacją. Biorąc pod uwagę prawie miliard osób, które w tym roku na całym świecie pójdą głosować, musimy zjednoczyć siły, aby przeciwstawić się nadchodzącemu zalewowi dezinformacji i cyfrowej manipulacji. W tym artykule przekazujemy 6 wskazówek, dzięki którym będziesz w stanie walczyć z tym niebezpieczeństwem. Dzięki wdrożeniu poniższych strategii, nie tylko wzmocnisz swoją ochronę, lecz także wniesiesz znaczący wkład w zbiorową cyberodporność, niezbędną do radzenia sobie ze złożoną naturą przestrzeni informacyjnej. 

 

Wskazówka 1: Opieraj się na wysokiej jakości treściach i rzetelnych źródłach 

Jednym z kluczowych działań, które ochronią Cię przed dezinformacją, jest uważna konsumpcja treści. U jej podstaw leży cyberhigiena – przyjmowane przez jednostki praktyki i przyzwyczajenia, które stosowane przez każdego, przyczyniają się do naszego bezpieczeństwa w przestrzeni cyfrowej. Aktywne szukanie informacji w wiarygodnych mediach, o stabilnej pozycji, może przyczynić się do wzrostu odporności informacyjnej oraz pomoże chronić nas przed oszustwami. W dzisiejszych czasach nie wszystko co jest publikowane w Internecie, spełnia standardy rzetelności, jakie dziennikarze powinni stosować. Sprawdzone media przestrzegają rygorystycznych wymogów dziennikarskich, procedur fact-checkingu, nadzoru redakcyjnego, oferując się jako źródło wysokiej jakości, wiarygodnych informacji.  

 

Wskazówka 2: Śledź wiadomości i analizy osób zajmujących się fact-checkingiem 

“Fact-checkersi” to osoby odpowiedzialne za monitorowanie najpopularniejszych mitów i wprowadzających w błąd informacji dostępnych w Internecie. Tworzą o nich artykuły oraz analizy, w których je wyjaśniają, obalają lub przedstawiają kontekst (ich powstania). Dzięki regularnemu śledzeniu informacji fact-checkingowych zyskujesz dostęp do eksperckich spostrzeżeń i obiektywnych ocen rzetelności newsów krążących w Internecie, a także przeglądu szerzonych dezinformacji i mitów. W erze cyfrowej, gdzie nieprawdziwe lub zmanipulowane komunikaty mogą szybko się rozmnażać, włączenie analiz osób zajmujących się fact-checkingiem do swojego źródła informacji umożliwia bycie na bieżąco z treściami, przez które możesz zostać oszukany. 

 

Wskazówka 3: Unikaj bezmyślnego udostępniania 

Na pewno miałeś do czynienia z kimś, kto zobaczył związany z aktualnie popularnym tematem, chwytliwy nagłówek na Twitterze i automatycznie udostępnił post, bez sprawdzenia go albo nawet przeczytania. Żyjemy w czasach szybkiego publikowania i walki o uwagę, więc łatwo jest ulec pokusie natychmiastowego udostępniania treści. Może to jednak w niezamierzony sposób przyczyniać się do szerzenia misinformation (informacji nie opartej na faktach). Aby temu zapobiec, przed udostępnieniem tekstu, zwłaszcza w social mediach, postaraj się poświęcić mu trochę uwagi. Zatrzymaj się nad nim na chwilę, żeby zobaczyć więcej niż tylko nagłówek – zagłębić się w szczegóły i ocenić wiarygodność źródła. To, że nie ulegniesz chęci bezrefleksyjnego udostępniania postów, sprawi, że odegrasz kluczową rolę w przerwaniu łańcucha dezinformacji. Będziesz promował kulturę świadomego dzielenia się treściami i wzmacniał przestrzeń cyfrową przed rozprzestrzenianiem się nieścisłości. 

 

Wskazówka 4: Zweryfikuj informację w innych źródłach 

Przed udostępnieniem lub uwierzeniem newsa zawsze sprawdzaj źródło, z którego pochodzi. Czy inne media też o nim piszą? Czy szczegóły się pokrywają? Jeśli tak, można mu zaufać. Warto pamiętać, że jeśli wydarzyło się coś ważnego, więcej niż jedno źródło będzie pisać na ten temat. Dlatego weryfikowanie informacji w kilku miejscach pozwoli upewnić się, że dana wiadomość jest prawdziwa. 

 

Wskazówka 5: Kluczem są szczegóły 

Jednym z lepszych sposobów na rozszyfrowanie, czy mamy do czynienia z dezinformacją, jest zwrócenie uwagi na szczegóły. Wiele wprowadzających w błąd tekstów jest tłumaczonych z innych języków, dlatego istnieje duże prawdopodobieństwo wystąpienia w nich błędów gramatycznych czy ortograficznych. Zauważenie tego typu usterek powinno służyć jako ostrzeżenie, że źródło nie jest wiarygodne. Dodatkowo warto zwrócić uwagę na daty i błędy w nazwach  zaufane źródła nie opublikowałyby tak oczywistych błędów. 

 

Wskazówka 6: Zawsze używaj myślenia krytycznego  

Czy informacja wywołuje silne emocje? Czy wydaje się zbyt dobra, by mogła być prawdziwa? Ważne jest, by kwestionować to, co czytamy oraz analizujemy, zanim w to uwierzymy. Oceń, czy informacja jest sensowna i zgodna ze stanem faktycznym. Jeśli podano dowody — sprawdź źródła. Przeanalizuj, czy źródło lub autor jest godny zaufania. Gdy treść wzbudza w Tobie silne reakcje, zastanów się, dlaczego autor chciałby wywołać te konkretne emocje. Wyciągnij własne wnioski z tego, co czytasz, zamiast pozwalać, aby ktoś inny myślał za Ciebie. W ten sposób krytyczne myślenie pozwala zwiększyć szansę na rozpoznanie zmanipulowanych informacji i zwiększa szanse na wykrycie dezinformacji.  

 

Walka z szerzącą się dezinformacją nie jest łatwym zadaniem  to tocząca się bitwa. Biorąc pod uwagę chaos panujący w przestrzeni informacyjnej, nie jest zaskoczeniem, że czasem potrzebujemy pomocy z rozstrzygnięciem, czy informacja jest prawdziwa czy też nie. Środki takie jak strony fact-checkingowe są niezbędne w naszej walce ze zmanipulowanymi treściami. Są również niezwykle użytecznymi narzędziami w budowaniu odpornego społeczeństwa. Przekazywanie darowizn i dalsze finansowanie takich organizacji jest po prostu kolejnym sposobem na walkę z dezinformacją.

Podsumowanie roku 2023 w Instytucie Kościuszki

Rok 2023 był dla całego zespołu Instytutu Kościuszki intensywnym czasem, podczas którego zrealizowaliśmy wiele wartościowych projektów. Umożliwiły one nam i współpracującym z nami ekspertom zabranie głosu w strategicznych dla Polski kwestiach w zakresie bezpieczeństwa wewnętrznego i zewnętrznego, rozwoju nowych technologii, cyberbezpieczeństwa czy dezinformacji. 

Aby podsumować miniony rok, przedstawiamy Wam nasze najbardziej znaczące działania: 

 

Wydarzenia 

 Byliśmy organizatorami i współorganizatorami 5 wydarzeń z udziałem przedstawicieli świata polityki, biznesu i nauki:  

  • Konferencja CYBERSEC FORUM EXPO,  
  • Konferencja Krynica Forum,   
  • Konferencja CYBERSEC SUMMIT   
  • Okrągły stół: DEZINFORMACJA W CZASACH NIEPEWNOŚCI, 
  • Konferencja CONFERENCE ON PREVENTING THE CYBERTHEFT OF RESEARCH AND TECHNOLOGY 

 

Publikacje 

  • Stworzyliśmy policy brief “THE TWILIGHT OF THE NEUTRALITY OF DIGITAL TECHNOLOGY” poświęcony konsekwencjom zaangażowania wielkich koncernów w wojnę na terytorium Ukrainy. Został on zaprezentowany w Domu Polskim w Davos podczas World Economic Forum 
  • Zaangażowaliśmy się także w stworzenie raportu “STRATEGIC PARTNERSHIP FOR A SECURE AND DIGITAL EUROPE” wydanego przez Centre for European Perspective. 
  • Wydaliśmy dwa numery czasopisma European Cybersecurity Journal zawierającego publikacje i wywiady z ekspertami ds. cyberbezpieczeństwa. 
  • Zaprezentowaliśmy 3 raporty pokonferencyjne, w których znaleźć można podsumowanie najważniejszych momentów konferencji, główne przesłania oraz rekomendacje.  
  • Ponadto, nasi eksperci przygotowali 17 artykułów dostępnych na stronie www. 

 

Podcast 

Zadbaliśmy także o słuchaczy naszego podcastu. Udostępniliśmy 7 odcinków #GeneralTalks i rozpoczęliśmy nową serię o nazwie Disinfo 101, w której rozmawiamy z ekspertami o zjawisku dezinformacji, widocznym zwłaszcza w przestrzeni cyfrowej. 

 

Edukacyjny kurs CYBER Trainees 

Kurs CYBER Trainees, realizowany w ramach grantu Fundacji Microsoft, został stworzony, aby zwiększyć inkluzywność w sektorze ICT dla kobiet. W maju zakończyliśmy pierwszą edycję kursu, a już we wrześniu rozpoczęliśmy drugą z udziałem 60 uczestniczek. 

Nasz kurs został doceniony i znaleźliśmy się w gronie finalistów konkursu Advanced Threat Summit w kategorii „Projekt”. To dla nas duże wyróżnienie! 

 

Reprezentowanie Instytutu   

Działania Instytutu zdecydowanie wychodzą poza granice naszej siedziby.  

  • Eksperci reprezentowali Instytut Kościuszki w wydarzeniach branżowych, m.in. na Europejskim Kongresie Gospodarczym 
  • Nasze raporty były przedstawiane na spotkaniach Rady Europy i organów ONZ 
  • Udzielaliśmy wywiadów dla Euroactiv.plMoney.pl, Polskiego Radia, Dziennika Gazety Prawnej, Gazety Krakowskiej, TVP, a nasza Dyrektor Programowa wzięła udział w odcinku programu Interii Nauka, co słychać?” poświęconym sztucznej inteligencji.  

 

 

Ogromne podziękowania kierujemy w stronę wszystkich osób zaangażowanych w działania Instytutu w 2023 roku. Dziękujemy zwłaszcza Wam − naszym odbiorcom. Obserwujcie nas także w 2024 roku, aby być na bieżąco z naszymi projektami!

Przestępstwa teleinformatyczne – zapowiedź monografii Pawła Opitka

W styczniu 2024 r. ukaże się monografia pt. „Kwalifikacja prawna i opis znamion przestępstw teleinformatycznych. Studium prawno-kryminalistyczne”, której autorem jest Paweł Opitek, ekspert Instytutu Kościuszki ds. cyberbezpieczeństwa. To ważna pozycja, także z punktu widzenia tematów i zadań, którymi zajmuje się Instytut Kościuszki. W ramach działalności Instytutu promujemy najlepsze praktyki dotyczące bezpieczeństwa w sieci, zajmowaliśmy się blockchainem, sztuczną inteligencją, dezinformacją w Internecie, a więc dziedzinami bezpośrednio powiązanymi z problemem cyberprzestępczości. 

Książka pokazuje, jak nowe technologie wpływają na obraz współczesnej aktywności przestępczej, a pośrednio kształtują orzecznictwo sądowe dotyczące cyberprzestępczości. Sprawcy wykorzystują bowiem do nielegalnych działań waluty wirtualne, złośliwe oprogramowanie, narzędzia i usługi maskujące ruch sieciowy po to, aby zapewnić sobie anonimowość w Internecie. W jednej ze spraw ustalono np., że „włamanie na konto było powiązane z ustalonym adresem e-mailowym oraz adresami IP logującymi się z Europy, Ameryki Północnej i Azji, a więc można przypuszczać, że sprawca anonimizował ruch sieciowy poprzez korzystanie z sieci TOR i narzędzi typu VPN-y i proxy”. Modus operandi hakerów powiązane jest z omijaniem lub przełamywaniem zabezpieczeń informatycznych, a w najbardziej wyrafinowanej formie ataku dochodzi do „zainfekowania” systemu bazowego komputera złośliwym oprogramowaniem takim, jak trojany, backdoorykeyloggery czy spyware. 

Symbolem tego, jak „tradycyjne” formy przestępczości migrują do wirtualnego świata, stała się dystrybucja narkotyków. W sieci rozwija się handel substancjami psychotropowymi i środkami odurzającymi, a ponadto oferuje się klientom research chemicals, bardziej znane jako „dopalacze”, a więc różnego rodzaju mieszaniny ziół i kannabinoidów powodujące upośledzenie funkcji mózgu. Nielegalne substancje oferowane są w darkmarketach, tj. ukrytych zasobach Internetu, ale podobne witryny działają również w otwartej sieci pod przykrywką dystrybucji dozwolonych produktów, np. środków chemicznych, czy suplementów diety. Obserwuje się funkcjonowanie na komunikatorach specjalnych forów, gdzie spotykają się sprzedawcy i osoby szukające metamfetaminy lub marihuany z tej samej miejscowości. Internetowe, nielegalne sklepy prowadzone są w profesjonalny, bezpieczny dla przestępców sposób i posiadają atrakcyjne wizualnie, łatwe w obsłudze zamówień strony internetowe, płatności uiszcza się w kryptowalutach, a ponadto działają przemyślane metody dostawy „towaru” oraz bezpieczne dla przestępców kanały komunikowania się. W sieci można przeczytać szczegółowe informacje o rodzaju oferowanych substancji: ich nazwę, skład chemiczny, opis sposobu użytkowania i działania proszków lub kryształów. Sprzedaż odbywa się w określonych godzinach, a procedura transakcyjna przewiduje nawet możliwość złożenia reklamacji. Opłatę za narkotyki uiszcza się z reguły w najpopularniejszych kryptowalutach takich, jak bitcoin, ethereum, litecoin, a ponadto funkcjonuje usługa escrow. Polega ona na tym, że w momencie zakupu cena za produkt oddawana jest w depozyt podmiotowi trzeciemu (arbitrowi), a BTC trafiają do sprzedającego dopiero w momencie, gdy kupujący potwierdzi otrzymanie narkotyków. 

Opisane zjawiska i trendy sprawiają, że sędziowie i prokuratorzy, rozpatrujący sprawy karne z zakresu cyberprzestępczości, muszą posiadać chociaż podstawową wiedzę na temat fintechu, aby ustalić stan faktyczny sprawy, dopasować do niego odpowiednią normę karną i na tej podstawie wydać sprawiedliwy wyrok. Tymczasem, jak pisze Autor w monografii, „przeprowadzone badania nie tylko potwierdziły tezę, że opis i kwalifikacja prawna przestępstw teleinformatycznych sprawia kłopoty sędziom i prokuratorom, co znajduje odzwierciedlenie w błędach dotyczących wydawanych przez nich decyzji procesowych, ale udowodniły ponadto, że owych nieprawidłowości jest zbyt wiele. Nawet jeśli przyjąć, że działalność orzecznicza, jako przejaw aktywności ludzkiej, musi być obarczona jakimś błędem i stąd wynika prawo złożenia apelacji od rozstrzygnięcia pierwszoinstancyjnego, to jednak ustalony stan rzeczy przekracza dopuszczalną granicę ‘błądzenia’ organów procesowych”. Konkluzja taka nie napawa optymizmem w perspektywie stosowania prawa do nowych form przestępczości. 

Zdarza się, że organy procesowe w niemalże identycznych okolicznościach faktycznych sprawy stosują posługują się różnymi przepisami. Jako przykład posłużą ataki typu ransomware; pod nazwą tą kryje się różnego rodzaju złośliwe oprogramowanie mniej lub bardziej niebezpieczne dla użytkowników sieci: szyfrujące (np. WannaCry, CryptoWall, CryptoLocker i Locky), nieszyfrujące (np. Winlocker i Reveton), oparte na blokadzie dostępu do danych zapisanych w komputerze i żądające zapłaty okupu za ich odszyfrowanie. Najbardziej znany malware o nazwie WannaCry dnia 12 maja 2017 roku „zainfekował” w ciągu kilku godzin tysiące komputerów na całym świecie. Jego cechą charakterystyczną stanowiła duża zdolność samodzielnego propagowania się i rozprzestrzeniania w Internecie z wykorzystaniem luk w systemie Windows. Cały proceder ataków ransomware wpisuje się w zjawisko crime-as-a-service: poszczególni uczestnicy nielegalnych kampanii odpowiadają za budowę i dostarczenie oprogramowania, jego hostowanie, zarządzanie kanałami dystrybucji, a ostatecznie gromadzą kryptowaluty pochodzące z okupu i przetransferowują je na bezpieczne dla przestępców adresy.  

W sprawie prowadzonej przez Prokuraturę Rejonową Gliwice-Zachód w Gliwicach ustalono, że sprawca zaszyfrował dane informatyczne na serwerze Spółki i wysłał z adresu e-mail server123@scryptmail.com żądanie uiszczenia okupu w kryptowalucie w zamian za udostępnienie hasła odblokowującego zasoby serwera i po otrzymaniu 0,45 BTC dane odszyfrował. W innej sprawie, nadzorowanej przez Prokuraturę Rejonową w Tarnobrzegu, przestępca zaszyfrował dane i unieruchomił komputery firmy w taki sposób, że nie można było komunikować się „ze światem zewnętrznym”, wysyłać i odbierać wiadomości, transferować danych z zasobów chmurowych itd. Na skutek ataku zaszyfrowane zostały także dyski komputerów, nie działało oprogramowanie i sieci przesyłające, a w konsekwencji unieruchomione zostały także urządzenia „peryferyjne” np. drukarki, skanery. 

Ściganie sprawców ataków ransomware jest niezwykle trudne, a badane aktowe dowiodły, że większość takich spraw kończy się umorzeniem dochodzenia lub śledztwa z powodu niewykrycia sprawców przestępstwa. Wynika to z faktu, że ich dane personalne pozostają nieustalone, a ponadto sprawcy znajdują się w różnych miejscach na świecie, nierzadko w państwach niedemokratycznych, których władze nie współpracują na arenie międzynarodowej w zwalczaniu cyberprzestępczości. Sytuację jeszcze bardzie komplikuje wojna na Ukrainie: Rosja i byłe republiki postsowieckie zawsze były dogodnym miejsce działania dla hakerów, a wobec konfliktu trudno przypuszczać, aby obecnie kraje za naszą wschodnią granicą chciały współpracować z Państwami Unii Europejskiej wypełniając zobowiązania nałożone przez Konwencję z dnia 23 listopada 2023 r. o zwalczaniu cyberprzestępczości. 

Powracając do kwestii kwalifikacji prawnej i opisu znamion czynów karalnych na przykładzie ransomware’a, to prokuratorzy przyjmowali przepisy: art. 267 § 1, 2 lub 3 k.k., art. 268 § 1 lub 2 k.k., art. 268a § 1 k.k., art. 269 § 1 k.k., art. 279 § 1 k.k., art. 286 § 1 k.k., art. 287 § 1 k.k.; niekiedy różne kombinacje podanych artykułów występowały w zbiegu kumulatywnym na podstawie art. 11 § 2 k.k. Nie zawsze zastosowana kwalifikacja była prawidłowa, ale też ataki szyfrujące dane mogą mieć różny przebieg i skutek. Jednak popełniane błędy zbyt często wynikały z niewiedzy lub ignorancji organów ścigania związanej z właściwą subsumpcją normy prawnej na tle ustalonego stanu faktycznego.  

Inny problem, który uwydatniły przeprowadzone badania, dotyczy oceny działań polegających na włamaniu do portfela kryptowalutowego i bezprawnym przejęciu władztwa nad kluczami kryptograficznymi statuującymi tokeny. Realizacja czynu określanego mianem „kradzieży bitcoinów” powoduje automatyczne przetwarzanie, gromadzenie i przekazywanie danych informatycznych w różnych miejscach systemu Bitcoin. Chodzi o zmianę wartości w co najmniej dwóch portfelach oraz wprowadzanie nowego zapisu takich danych w blockchain’owym protokole, tj. w ostatnim bloku cyfrowej księgi rozrachunkowej. W praktyce działanie sprawcy może powodować nieuprawnioną modyfikacje danych informatycznych w jeszcze innych miejscach, np. na serwerze giełdy kryptowalutowej, jeśli ona przechowywała klucze prywatne osoby pokrzywdzonej. Wynika z tego, że czynność sprawcza „kradzieży” kryptowaluty niesie ze sobą wiele jednostkowych modyfikacji danych informatycznych w różnych miejscach cyberprzestrzeni, ale ich szczegółowe wymienianie w opisie czynu jest niecelowe. Po pierwsze, czyniłoby to treść zarzutu zbyt obszerną, a w konsekwencji niezrozumiałą dla adresatów decyzji procesowych. Ponadto, trudno wymagać od organu procesowego (sądu lub prokuratora), aby znał w szczegółach zawiłości technologiczne każdego protokołu statuującego kryptowaluty i kazuistycznie opisywał w zarzucie kolejne skutki oszukańczej transakcji. Teoretycznie sprawca może wykonać przelew w celu „wyrządzenia innej osobie szkody” i przesłać BTC na zupełnie przypadkowy adres publiczny, ale w praktyce działa on „w celu osiągnięcia korzyści majątkowej” i opis czynu oraz kwalifikacja prawna przestępstwa „kradzieży” 0,5 BTC może stanowić, iż przestępca „działając w celu osiągnięcia korzyści majątkowej, bez upoważnienia, wpłynął na automatyczne przetwarzanie i przekazywanie danych informatycznych w ten sposób, że wywołał transakcję przesłania danych informatycznych statuujących 0,5 bitcoina z portfela należącego do /…/ do swojego portfela i w ten sposób zmienił zapis w cyfrowej księdze rozrachunkowej Bitcoin oraz portfelu pokrzywdzonego działając na szkodę /…/ w wysokości 7 280 zł, co stanowiło równowartość 0,5 bitcoina w dniu 1 stycznia 2024 r., tj. o przestępstwo z art. 287 § 1 k.k.” 

Poza tym zdarzają się ataki na bankowe aplikacje mobilne, skrzynki e-mail, konta na platformach społecznościowych, giełdy i kantory sieciowe, zakłócenia prawidłowej transmisji danych, fałszerstwa komputerowe zapisu informacji stanowiącego dokument itd. W tym zakresie zastosowanie znajdą przepisy art. 267 § 1‒3 k.k., art. 268 § 2 k.k., art. 268a § 1 k.k., art. 279 § 1 k.k. i art. 287 § 1 k.k. Handel na „czarnym rynku” w Internecie programami, narzędziami i hasłami umożliwiającymi popełnianie cyberprzestępstw objęty jest penalizacją z art. 269b § 1 k.k. To tylko niektóre z licznych problemów, których nasz ekspert Paweł Opitek podjął się rozwiązania na kanwie przeprowadzonych badań. 

„Wypracowanie najlepszych standardów orzeczniczych leży w interesie całego wymiaru sprawiedliwości”; to jeden z wniosków podsumowujących badania Pawła Opitka. Książka już w krótce będzie dostępna w wersji elektronicznej na stronach Instytutu Kościuszki. Zapraszamy do jej lektury! 

Cyfrowy rozwój na bliskim wschodzie: Japońscy i Saudyjscy giganci inwestują w blockchain i półprzewodniki

Japoński gigant finansowy, SBI Holdings oraz saudyjski potentat naftowy, Saudi Aramco podpisali 7 grudnia br. memorandum o porozumieniu, zobowiązujące obie strony do współpracy w dziedzinie inwestycji w cyfrowe aktywa, rozwoju Web3 oraz wsparcia japońskich startupów rozwijających potencjał na Bliskim Wschodzie. Obszar współpracy podmiotów wskazuje na głębokie zaangażowanie obu partnerów w przyszłość cyfrową i technologiczną. 

Plan skoncentrowanej współpracy poza ww. zadaniami obejmuje także budowę fabryk półprzewodników. Kontrolę nad nimi sprawować ma nowo utworzone SBI Middle East z siedzibą w Rijadzie. Bliskowschodni oddział SBI stanie się regionalnym centrum operacyjnym, budując pozycję przy wykorzystaniu dotychczasowych inwestycji SBI Holdings, m.in. w Dubaju (100 mln dolarów). Inwestycje w produkcję półprzewodników są szczególnie ważne w kontekście światowej rywalizacji mocarstw i znaczenia tego segmentu dla całego przemysłu zbrojeniowego oraz high-tech. 

Uwagę zwraca również kierunek w jakim zmierzają oba podmioty w zakresie cyfrowych inwestycji. Aktywność SBI w ramach SBI Osaka Digital Exchange, a więc giełdy aktywów cyfrowych sugeruje, że japońsko-saudyjska współpraca będzie opierać się w dużej części na tokenizacji, czyli procesie przekształcania rzeczywistych aktywów w cyfrowe tokeny na blockchainie. Technologia blockchain może znaleźć zastosowanie przede wszystkim w tokenizowanych kontraktach naftowych, co miałoby zwiększyć efektywność operacyjną i innowacje w łańcuchu dostaw. 

W kontekście globalnego rynku aktywów cyfrowych oraz kryptowalut, Bliski Wschód staje się atrakcyjnym środowiskiem dla firm z branży kryptowalut, Web3 i sztucznej inteligencji. Dzieje się tak z powodu wzmożonej aktywności regulacyjnej tych obszarów w największych rynkach cyfrowych. Działania SBI Holdings potwierdzają rosnące zainteresowanie tym regionem kapitałowym, który staje się nową przystanią dla przedsiębiorstw dążących do rozwoju w obszarze innowacyjnych technologii. 

 Źródła:
https://cryptonews.com/news/japans-sbi-holdings-and-saudi-aramco-explore-joint-digital-asset-ventures.htm
https://www.cryptotimes.io/japanese-cryptogroup-sbi-ties-with-saudi-aramco/ 

„Ashley” – pierwszy na świecie chatbot AI stworzony w celu prowadzenia kampanii wyborczej

W miniony weekend w USA firma Civox uruchomiła swój najnowszy produkt: chatbot „Ashley”, którego celem jest prowadzenie kampanii wyborczej i odbywanie rozmów na temat kampanii z respondentami. Ashley będzie wykorzystywany przez Shamaine Daniels, Demokratkę z Pensylwanii, startującą w wyborach do Kongresu USA w 2024 r. 

Jak przekazują twórcy Ashley, jest on pierwszym narzędziem AI, opartym na technologii generatywnej sztucznej inteligencji podobnej do ChatGPT firmy OpenAI, przeznaczonym całkowicie do celów politycznych. Jest w stanie prowadzić praktycznie nieskończoną liczbę spersonalizowanych rozmów w formie „jeden na jeden” w tym samym czasie. Aktualnie przeprowadza kilkadziesiąt tysięcy połączeń dziennie, jednak twórcy zamierzają dojść do wyniku sześciocyfrowego. Zadaniem bota będzie profilowanie grup wyborców i przeprowadzanie z nimi rozmów na temat preferencji wyborczych oraz aktywizowanie rozmówców w ramach kampanii kandydatki Demokratów. Podobnie jak doświadczony kampanijny wolontariusz, Ashley analizuje profile wyborców, aby dostosować rozmowy do kluczowych dla nich kwestii. 

Takie wykorzystanie AI budzi wiele zastrzeżeń środowiska technologicznego i politycznego. Krytycy obawiają się, że wzmocni to dezinformację w spolaryzowanym krajobrazie amerykańskiej polityki, która już walczy z deepfake’ami, sfabrykowanymi filmami i obrazami stworzonymi przy użyciu algorytmów sztucznej inteligencji. CEO OpenAI – Sam Altman – już w maju stwierdził przed Kongresem, że jest zaniepokojony zdolnością generatywnej sztucznej inteligencji do naruszania integralności wyborów poprzez interaktywną dezinformację w formule rozmów „w cztery oczy” z odbiorcami. 

Rozwój sztucznej inteligencji oraz brak aktów prawnych regulujących ich polityczne wykorzystanie, sugerują, że w przyszłości wpływ AI na takie kwestie jak opinia publiczna i wyniki wyborów tylko się zwiększy. W obliczu tego zjawiska niektóre kraje, m.in. USA zaczynają wprowadzać odpowiednie normy. Należy jednak postawić pytanie, czy zarządzane przez człowieka systemy legislacyjne nadążą za rozwojem sztucznej inteligencji? 

 

Źródła:

https://cybernews.com/news/ashley-ai-powered-political-campaign-caller/ 

https://www.forbes.com/sites/rashishrivastava/2023/12/12/this-congressional-candidate-is-using-ai-to-have-conversations-with-thousands-of-voters/ 

Brytyjska infrastruktura krytyczna w zagrożeniu – raport Komitetu Zjednoczonego Królestwa ds. Strategii Bezpieczeństwa Narodowego

Wspólny Komitet Zjednoczonego Królestwa ds. Strategii Bezpieczeństwa Narodowego (JCNSS) opublikował alarmujący raport, w którym ostrzega przed potencjalnymi skutkami ataków oprogramowania ransomware (polegających na blokowaniu danych w celu otrzymania okupu oraz ich ewentualnemu udostępnieniu bądź zniszczeniu) przeciwko infrastrukturze krytycznej kraju. Według Komitetu, Wielka Brytania stoi w obliczu realnego zagrożenia, a skoordynowany atak może spowodować poważne szkody dla systemu bezpieczeństwa kraju, gospodarki oraz codziennego życia obywateli. Przewodnicząca Komitetu, Margaret Beckett podczas prezentowania raportu stwierdziła, że „Wielka Brytania jest jednym z najczęściej atakowanych cyfrowo państw na świecie”. 

Raport wskazuje, że krytyczna infrastruktura państwa, w tym sektory opieki zdrowotnej i samorządów lokalnych, jest podatna na cyberataki i niezdolna by w pełni im zapobiegać. Niektóre z sektorów polegają na starszych systemach informatycznych lub mają ograniczone możliwości finansowe, co czyni je szczególnie narażonymi na tego rodzaju cyberzagrożenia. W raporcie stwierdzono także, że piętą achillesową brytyjskiej infrastruktury krytycznej są łańcuchy dostaw w obszarze energetyki, wody, telekomunikacji i transportu. 

Komisja podkreśla, że atak może nastąpić w dowolnym momencie, a obecne środki obronne rządu są niewystarczające do skutecznej ochrony przed atakiem o dużej skali. Co istotne raport potwierdził, że większość grup hakerskich atakujących Wielką Brytanię pochodzi z Rosji lub krajów ościennych oraz przeprowadza ataki za cichym przyzwoleniem Kremla. Wśród źródeł cyberataków zidentyfikowano również grupy hakerów z Korei Północnej i Iranu. 

W związku z tym komisja parlamentarna wzywa rząd do podjęcia pilnych kroków w celu wzmocnienia obrony i gotowości kraju. Dotychczasowe wdrażanie istniejących przepisów dotyczących cyberodporności zostało określone jako niewystarczające. Za sprawę priorytetową uznano alokację zasobów i zwiększenie finansowania agencji przeciwdziałających atakom przy użyciu oprogramowania ransomware, które stało się jednym z głównych zagrożeń dla bezpieczeństwa narodowego. 

Komitet zaproponował również przeprowadzanie regularnych ćwiczeń krajowych mających na celu przygotowanie się na skutki poważnych ataków oraz modernizację i zwiększenie finansowania Narodowego Centrum Cyberbezpieczeństwa (NCSC). Rząd Wielkiej Brytanii ma teraz dwa miesiące na udzielenie odpowiedzi na opublikowane zalecenia i przedstawienie planu działań mających na celu zabezpieczenie kraju przed potencjalnymi atakami. 

 

Źródła: 

https://cybernews.com/news/uk-risk-catastrophic-ransomware-attack-risk/ 

https://www.theguardian.com/technology/2023/dec/13/uk-at-high-risk-of-catastrophic-ransomware-attack-report-says 

Pierwsza ustawa dotycząca sztucznej inteligencji na świecie – Unia Europejska dochodzi do wstępnego porozumienia w sprawie projektu ustawy dotyczącej AI. Liliana Kotval

Pierwsza tego rodzaju propozycja ustawodawcza na świecie – akt dotyczący sztucznej inteligencji Unii Europejskiej – został po raz pierwszy przedstawiony przez Komisję Europejską w kwietniu 2021 roku. 9 grudnia, niemal 3 lata później, wypracowano porozumienie w sprawie projektu ustawy. Konsensus osiągnięto po 3-dniowych rozmowach między prezydencją Rady Unii Europejskiej, sprawowaną przez Hiszpanię do końca tego roku, a negocjatorami Parlamentu Europejskiego. W ramach porozumienia postanowiono, że systemy AI dostępne na europejskim rynku i używane w całej UE będą funkcjonować w oparciu o poszanowanie praw podstawowych oraz wartości UE. Jednocześnie Unii zależy na pobudzaniu inwestycji i innowacji w dziedzinie sztucznej inteligencji w Europie. Carme Artigas, hiszpańska sekretarz stanu ds. cyfryzacji i sztucznej inteligencji, stwierdziła: 

„To historyczne osiągnięcie i kamień milowy na drodze ku przyszłości! Dzisiejsze porozumienie skutecznie odpowiada na globalne wyzwanie szybko ewoluującego środowiska technologicznego w kluczowym obszarze dla przyszłości społeczeństw i gospodarek”. 

Ustawa będzie oparta na koncepcji zorientowanej na ryzyko, co oznacza podejście: im wyższe ryzyko, tym surowsze zasady. Pewne obszary działania sztucznej inteligencji uznane za nieakceptowalne pod względem ryzyka (takie jak manipulacja behawioralna, rozpoznawanie emocji, ocena społeczna, kategoryzacja biometryczna, przewidywanie przestępczości) zostaną całkowicie zakazane w UE. Najważniejsze nowe elementy tymczasowego porozumienia to: 

  • Lepsza ochrona praw użytkowników poprzez zobowiązanie podmiotów wdrażających systemy AI wysokiego ryzyka do przeprowadzenia oceny wpływu na podstawowe prawa przed ich udostępnieniem; 
  • Rozszerzenie listy zakazów, jednak z możliwością stosowania zdalnej identyfikacji biometrycznej przez organy ścigania w przestrzeni publicznej; 
  • Zmieniony system zarządzania z uprawnieniami wykonawczymi na poziomie UE; 
  • Zasady dotyczące modeli sztucznej inteligencji ogólnego przeznaczenia o wysokim wpływie, które mogą stanowić ryzyko systemowe w przyszłości. 

Ponadto tymczasowe porozumienie wyjaśnia, że nowe przepisy nie mają zastosowania do obszarów wykraczających poza zakres prawa UE i nie wpływają, ani nie są w stanie zastąpić w pełni indywidualnych systemów bezpieczeństwa narodowego. Akt dotyczący sztucznej inteligencji nie będzie dotyczył systemów stosowanych wyłącznie do celów wojskowych lub obronnych oraz używanych do badań naukowych i innowacji. Przepisy, dotyczące wykorzystania sztucznej inteligencji przez organy ścigania jako narzędzia niezbędnego do zapewnienia ochrony, należą do wyjątków. Prawa podstawowe będą jednak wciąż chronione przed wszelkim nadużyciem ze strony systemów sztucznej inteligencji, używanych przez organy ścigania. 

Struktura zarządzania została zaprojektowana w taki sposób, aby egzekwować przepisy na poziomie UE w Biurze ds. sztucznej inteligencji w ramach Komisji UE. Biuro będzie nadzorować najbardziej zaawansowane modele AI, przyczyniać się do promowania standardów i praktyk ich testowania oraz egzekwować wspólne zasady we wszystkich państwach członkowskich. Panel naukowy niezależnych ekspertów będzie doradzał członkom Biura ds. sztucznej inteligencji. Dodatkowo, Rada ds. sztucznej inteligencji, w której zasiadać będą przedstawiciele państw członkowskich, stanie się platformą koordynacyjną i organem doradczym dla Komisji UE. Za dostarczanie Radzie specjalistycznej wiedzy, odpowiadać będzie forum doradcze, obejmujące przedstawicieli przemysłu, małych i średnich przedsiębiorstw, start-upów, społeczeństwa obywatelskiego i środowiska akademickiego. 

Podmioty, które naruszą uzgodnione warunki Aktu ds. sztucznej inteligencji, zostaną ukarane finansowo. Kary za złamanie prawa zostały obliczone na podstawie procentu globalnych rocznych przychodów podmiotu z poprzedniego roku finansowego lub określonej kwoty, zależnie od tego, która jest wyższa. W zależności od skali i rodzaju naruszeń, kary finansowe będą następujące: 

  • 35 mln euro lub 7% przychodów za naruszenia zakazu użycia wybranych narzędzi sztucznej inteligencji 
  • 15 mln euro lub 3% przychodów za naruszenia obowiązków wynikających z Aktu dotyczącego sztucznej inteligencji 
  • 7,5 mln euro lub 1,5% przychodów za dostarczenie błędnych informacji użytkownikom i organom UE 

Osoba fizyczna lub prawna może również złożyć skargę do organu nadzoru rynku w przypadku niewywiązania się z Aktu. 

Jakie są następne kroki na drodze uchwalenia Aktu? Wstępne porozumienie powinno wejść w życie 2 lata po jego przyjęciu, co nastąpi w 2026 roku. W nadchodzących tygodniach kontynuowane będą dalsze prace i konsultacje na poziomie technicznym. Następnie hiszpańska prezydencja przedstawi przygotowany tekst ustawy przedstawicielom państw członkowskich w celu zatwierdzenia. Wszystkie strony będą musiały potwierdzić cały proponowany tekst przed formalnym przyjęciem aktu przez unijnych współustawodawców. 

 

 

Źródła: 

  1. “Artificial Intelligence Act: Council and Parliament Strike a Deal on the First Rules for AI in the World”, European Council, 09 December 2023, https://www.consilium.europa.eu/en/press/press-releases/2023/12/09/artificial-intelligence-act-council-and-parliament-strike-a-deal-on-the-first-worldwide-rules-for-ai/