V prispevku so izpostavili problematičnost zaupanja digitalnim dokazom. Dejstvo je, da se na sodiščih danes že rutinsko uporabljajo prometni podatki, ki jih beležijo ponudniki dostopa do interneta ter različni strežniki in druge omrežne naprave, podatki iz mobilnih telefonov, podatki iz digitalnih nadzornih videokamer, itd. Tudi pri digitalni forenziki digitalne dokaze išče in analizira različna programska oprema, saj je podatkov pogosto preveč, da bi jih lahko ročno, brez pomoči programov pregledal posamezni preiskovalec.

Težava, ki so jo izpostavili raziskovalci v svojem članku je, da sodišča digitalne dokaze, zlasti računalniško generirane digitalne dokaze praviloma dojemajo kot zaupanja vredne same po sebi (avtorji uporabljajo izraz inherently trustworthy evidence).

To ima posledice tudi na sam sodni postopek, saj imajo na (kazenskem) sodišču obtoženci oz. obramba pravico so soočenja s tožniki in (navzkrižnega) zaslišanja prič. Pri tem se postavlja zanimivo vprašanje, kaj storiti, če je »priča« računalnik oz. programska oprema? Čeprav se vprašanje na prvi pogled morda zdi akademsko, velja opozoriti na zanimiv sodni primer v ZDA State v. Chun (Supreme Court of New Jersey A-96-06, Docket No. 58,879), kjer je v sodnem postopku je pritožnica oporekala rezultatom testa alkoholiziranosti zaradi možnih napak v programski opremi elektronskega etilometra.

Pritožnica je zahtevala preveritev zanesljivosti delovanja elektronskega alkotesta Draeger Alcotest 7110 MKIII-C. Pridobili so izvorno kodo naprave in jo predali v analizo neodvisnemu podjetju Base One Technologies. Podjetje je v programski kodi naprave odkrilo 19.400 potencialnih napak, med njimi devet takšnih, ki bi lahko bistveno vplivale na rezultate meritve. Med drugim se je tudi izkazalo, da je naprava na precej nenavaden način izračunavala povprečje meritev,  saj je to počela na način, da je imela ena meritev veliko večji vpliv kot ostale. Vrhovno sodišče ZDA v konkretnem primeru sicer ni razveljavilo veljavnosti meritev alkoholiziranosti, je pa od proizvajalca zahtevalo odpravo napak v programski opremi elektronskega alkotesta.

Na problem zaupanja digitalnim dokazom bomo opozorili tudi v tem prispevku in sicer na primeru digitalnih dokazov na SIM kartici. Najprej pa nekaj osnov.

Nekaj osnov o SIM karticah

SIM kartica je tim. pametna kartica (vsebuje mikroprocesor), ki vsebuje podatke za avtentikacijo in avtorizacijo uporabnika mobilnega telefona v mobilnem omrežju. Vsebuje naslednje podatke:

• ICCID številko,
• IMSI številko,
• avtentikacijski šifrirni ključ (Ki),
• Local Area Identity (LAI),
• številke za klic v sili (specifično za vsakega operaterja),
• ostale podatke za prenos podatkov med operaterjem in naročnikom, kot npr. SMSC (Short Message Service Center) številko, Service Provider Name (SPN), Service Dialing Numbers (SDN), itd.

Poleg tega SIM kartica vsebuje še:

• PIN in PUK kodo,
• avtenikacijski algoritem,
• algoritem generiranja šifrirnih ključev A8,
• šifrirni ključ Kc, ki izvira iz Ki ključa,
• logične kontrole za kontrolo dostopa do podatkov na kartici,
• prostor za uporabniške podatke.

ICCID oz. serijska številka SIM kartice

ICC-ID (Integrated Circuit Card ID) številka je identifikacijska številka SIM kartice. Shranjena je v sami SIM kartici, je pa tudi natisnjena oz. vgravirana na njeni površini. ICCID se generira v procesu tim. »personalizacije« SIM kartice. Številka je dolga 19 (za Phase 2 SIM kartice) ali 20 (za Phase 1 SIM kartice) znakov, sestavljena pa je iz naslednjih elementov, ki temeljijo na ISO/IEC standardu 7812:

• identifikacijska številka izdajatelja (največ 7 cifer: prva dva znaka: Major Industry Identifier (MII) (za področje telekomunikacij je koda 89) / naslednji eden do trije znaki: oznaka države (za Slovenijo 386) / preostanek: identifikacija izdajatelja (npr. 40 za Simobil);

• identifikacijska številka kartice (do 12 znakov: številka »računa« (account identification number) / en znak: kontrolna vsota izračunana po Luhnovem algoritmu).

IMSI in TMSI številka

IMSI številka služi kot identifikator naročnika v GSM omrežju. Identifikator telefonskega aparata pa je IMEI številka (International Mobile Equipment Identity), gre za neke vrste serijsko številko mobilne naprave (telefona).

IMSI številka je zapisana na SIM kartici. Na podlagi IMSI številke se mobilni uporabnik predstavi mobilnemu omrežju, omrežje pa mu »dodeli« naročniško telefonsko številko. Zaradi možnosti prisluškovanja in sledenja uporabnikom naj bi se IMSI številka po omrežju prenašala čim redkeje. Namesto nje se prenaša naključno generirana TMSI številka. IMSI se prenese preko omrežja v trenutku, ko se telefon vključi ali ko je potrebno obnoviti povezavo med IMSI in TMSI (oz. generirati nov TMSI). TMSI številka je omejena na lokacijsko območje, kar pomeni, da je potrebno nov TMSI generirati vsakič, ko se mobilni uporabnik premakne v novo lokacijsko območje. Lokacijska območja tvori ena ali več baznih postaj. Vsako lokacijsko območje ima svojo lastno kodo lokacijskega območja, kodo pa v intervalih oddajajo posebne bazne postaje in sicer tim. »base transceiver station« ali BTS v GSM omrežjih oziroma Node B v UMTS omrežjih.

Prve tri cifre IMSI številke označujejo kodo države – Mobile Country Code (MCC), sledita dva znaka (po evropskem oziroma trije znaki po severnoameriškem standardu) za oznako omrežja – Mobile Network Code (MNC). Preostanek je identifikacijska številka uporabnika – Mobile Subscriber Identification Number (MSIN). Mobile Country Code (MCC) koda za Slovenijo je 293. Oznaka 901 je oznaka za International Shared Codes. 901 08 služi za za identifikacijo telefona brez SIM kartice (za klice v sili). Naj dodamo, da v nekaterih državah ni mogoče opraviti klica v sili zgolj s telefonom, torej brez kakršnekoli SIM kartice.

Avtentikacijski šifrirni ključ (Ki)

Avtentikacijski šifrirni ključ ali Ki je 128-bitna spremenljivka, ki služi za avtentikacijo SIM kartice mobilnemu omrežju. Ki je unikaten in določen v procesu personalizacije. Shranjen je na SIM kartici in v podatkovni bazi mobilnega operaterja, v tim. Home Location Registru (HLR). Ki ključa ni mogoče izpisati, pač pa ima SIM kartica posebno funkcijo RUN GSM ALGORITHM, ki telefonu omogoča, da SIM kartici pošlje podatke, le-ta pa jih podpiše s Ki ključem.

Zaradi tega se uporabi SIM kartice v GSM omrežju ni mogoče izogniti, saj je SIM kartica nujno potreben element GSM omrežja. Zaradi slabe varnostne zasnove je bilo stare SIM kartice mogoče razmeroma enostavno klonirati oz. prekopirati Ki šifrirni ključ. To je bilo mogoče preko radijske povezave v nešifriranih omrežjih (več informacij o tem v članku GSM Cloning avtorjev Iana Goldberga in Marca Bricena iz leta 1998). Druga možnost je fizični dostop, kjer napadalec SIM kartici pošila poizvedbe (tim. challenge) in v cca. 4 do 8 urah iz nje izlušči Ki ključ (pri tem procesu je obstajala tudi cca. 40% verjetnost poškodovanja oz. uničenja kartice). Pri novejših SIM karticah je kloniranje bistveno težje.

Pomembno je tudi vedeti, da lahko napadalec, ki pridobi dostop do Ki ključa oz. SIM kartice, dešifrira pogovore med mobilnim aparatom in omrežjem. V primeru, da se ne uporablja tim. poudarjena zaupnost (ang. perfect forward secrecy), je mogoče pogovore dešifrirati tudi za nazaj (v primeru, da bi napadalec snemal GSM pogovore žrtve, in bi nato kasneje pridobil SIM kartico, bi lahko za nazaj dešifriral vse šifrirane pogovore).

Local Area Identity (LAI)

Vsako lokacijsko območje ima svojo unikatno identifikacijsko številko, ki je sestavljena iz:

• E.212 mobilne oznake države (tri cifre, 293 za Slovenijo);
• oznake mobilnega omrežja (Mobile Network Code – MNC, dva znaka, npr. 40 za Simobil);
• oznake lokacijskega področja (Location Area Code, 5 znakov).

Podatke o lokaciji (Mobile Country Code, Mobile Network Code ter Local Area Code) oddaja mobilno omrežje na tim. Broadcast Control kanalu (BCCH). Mobilni telefon pa LAI številko shrani v SIM kartico. Ob spremembi lokacijskega območja, se podatek obnovi.

* * *

Če torej na kratko povzamemo, SIM kartica skrbi za avtentikacijo uporabnika v omrežju, na SIM kartici je shranjen šifrirni ključ, ki omogoča šifriranje pogovorov med mobilnim aparatom in bazno postajo v GSM omrežju, poleg tega pa je na SIM kartico mogoče shranjevati tudi določene uporabniške podatke. Najpomembnejši med njimi so seznam kontaktov uporabnika (tim. telefonski imenik) in SMS sporočila. Nekateri starejši mobilni telefoni pa so na SIM kartico shranjevali tudi zadnje klicane številke. Naj dodamo, da novejši mobilni telefoni uporabniških podatkov na SIM kartico praviloma ne shranjujejo, pač pa se ti podatki shranjujejo v telefon.

Branje uporabniških podatkov iz SIM kartice

V okviru forenzične preiskave SIM kartice iz le-te navadno želimo prebrati nekaj osnovnih identifikacijskih podatkov SIM kartice (npr. IMSI številko in ICCID številko) ter seznam kontaktov, SMS sporočila ter zadnje klicane številke.

Za branje teh podatkov iz SIM kartice potrebujemo PIN ali PUK kodo (razen, če PIN koda ni blokirana). Če PIN kode nimamo, je mogoče PUK kodo pridobiti od operaterja, v tem primeru je operaterju potrebno sporočiti ICCID serijsko številko, ki je natisnjena na SIM kartici. Poleg tega potrebujemo ustrezno strojno (čitalec SIM kartic) in programsko opremo.

Analiza SIM kartice z USB čitalcem.

Strojna oprema za branje vsebine SIM kartic je razmeroma poceni. USB čitalec SIM kartic lahko naročimo preko spleta (cena je slabe 3 EUR), lahko pa si ga celo izdelamo sami. Načrti za preprost čitalec SIM kartic so dostopni na spletni strani ameriške elektroinženirke Limor Fried na naslovu http://ladyada.net/make/simreader/index.html.

Čitalec SIM kartic.

Na tej spletni strani se nahaja tudi odprtkodna in brezplačna programska oprema za branje vsebine SIM kartic PySIMReader. Program lahko namestimo na računalnik z Linux, Windows ali Mac operacijskim sistemom (potrebujemo nameščen programski paket Python in knjižnici pySerial ter wxPython).

Uporaba programa je preprosta. Po zagonu se odpre glavno okno, kjer lahko izbiramo med branjem telefonskega imenika ali SMS sporočil oziroma iz menija izberemo možnost branja identifikacijskih podatkov SIM kartice, seznam zadnjih klicanih številk ali pa spremenimo oziroma blokiramo PIN kodo.

Programska aplikacija PySIMReader.

Program omogoča, da si iz SIM kartice prebrana SMS sporočila ogledamo v oknu, omogoča pa tudi prikaz izbrisanih SMS sporočil (v kolikor seveda še niso bila prepisana z drugimi podatki). Pri vsakem SMS sporočilu lahko spremenimo njegov status (read / unread / deleted : prebrano / neprebrano / izbrisano). Sporočila lahko tudi izvozimo v tekstovno datoteko. Na podoben način lahko v tekstovno datoteko izvozimo tudi kontakte iz telefonskega imenika. Naj dodamo, da smo aplikacijo testirali z več različnimi SIM karticami, pri nekaterih SIM karticah operaterja Mobitel pa je v programu prišlo do napake in branje ni bilo mogoče.

Informacije o SIM kartici.

Pregled SMS sporočil.

Branje telefonskega imenika.

Ponarejanje digitalnih dokazov na SIM kartici

Aplikacija PySIMReader pa omogoča tudi zapisovanje podatkov na SIM kartico. Postopek je enostaven. V oknu, ki omogoča prikaz SMS sporočil v meniju File izberemo možnost Import. Izberemo tekstovno datoteko z SMS sporočili in program sporočila zapiše na kartico.

Urejanje tekstovne datoteke z SMS sporočili.

Urejanje posameznega SMS sporočila.

Seveda pa tekstovno datoteko pred tem lahko poljubno urejamo. Struktura datoteke z SMS sporočili je namreč zelo enostavna, saj vsebuje polja datum, konktakt pošiljatelja, številko operaterjevega centra za posredovanje sporočil ter vsebino sporočila (Date, From, SerivceCenter, Message). V navedena polja lahko vpišemo poljubne podatke (seveda morajo biti v ustreznem formatu), datoteko shranimo in jo prenesemo (zapišemo) na SIM kartico. Program PySIMReader sicer omogoča tudi neposredno urejanje vsebine sporočila in pošiljateljevega kontakta za vsako posamezno sporočilo posebej.

Če sedaj SIM kartico vstavimo v telefon, bodo prikazana ponarejena SMS sporočila. V prvem primeru smo izdelali SMS sporočilo iz prihodnosti (iz 15. oktobra 2014), v drugem primeru pa je pošiljatelj (njegovi podatki so ponarejeni) 12. januarja 2001 poslal »napoved« terorističnih napadov na WTC 11. septembra 2001.

Ponarejeno SMS sporočilo iz preteklosti...

... in ponarejeno SMS sporočilo iz prihodnosti.

Mimogrede, v primeru novejših telefonov je SMS sporočila je iz SIM kartice mogoče tudi prenesti in shraniti na telefon. Ponarejanje digitalnih dokazov v mobilnih telefonih (zlasti tim. pametnih telefonih) je sicer tudi mogoče in bo morda opisano v kakšnem drugem prispevku.

SMS sporočila prenesena iz SIM kartice na pametni telefon.

V primeru kazenske preiskave bi preiskovalci (verjetno) pregledali tudi prometne podatke pri operaterju. V primeru, da bi se izkazalo, da je na SIM kartici shranjeno SMS sporočilo, prometni podatki pri operaterju pa ne bi potrjevali, da je bilo SMS sporočilo zares poslano, bi bil to lahko že indic, da je vsebina SIM kartice morda ponarejena. Prometni podatki se v skladu z ZeKOM sicer hranijo 14 mesecev.

Težava pa je, če bi napadalec vzel obstoječe SMS sporočilo in mu spremenil samo vsebino, prometne podatke (kontakt pošiljatelja in datum ter čas pošiljanja sporočila) pa bi pustil nespremenjene. V tem primeru bi prometni podatki pri operaterju potrjevali, da je bilo sporočilo res poslano, forenzična analiza SIM kartice pa bi razkrila vsebino, za katero ne bi bilo mogoče ugotoviti ali je resnična ali morda ponarejena. (Pri tem se postavlja zanimiva analogija s pogovorom, kjer operater tudi zabeleži prometne podatke, ne pa tudi vsebine pogovora. V tem primeru je s pomočjo prometnih podatkov mogoče potrditi dejstvo obstoja komunikacije, vsebina pa je stvar izjav oseb, ki so bile udeležene v komunikaciji. Zanimivo je, da je v primeru SMS sporočil, katerih vsebina je shranjena, stopja zaupanja v resničnost vsebine SMS komunikacije bistveno višja kot v primeru govorne komunikacije, ki se ne shranjuje.)

Podobne zagate povezane s slepim zaupanjem digitalnim in računalniško generiranim podatkov izvirajo tudi iz možnosti pošiljanja ponarejenih SMS sporočil preko GSM omrežja, kar bo sicer stvar naslednjega prispevka. Le na kratko – zasnova GSM omrežja omogoča, da napadalec poljubnemu uporabniku mobilne telefonije pošlje SMS sporočilo iz poljubne telefonske številke (tudi iz njegove lastne). Prejemnik torej dobi SMS sporočilo s spremenjeno (ponarejeno) identifikacijo pošiljatelja. Podobno spreminjanje klicne identifikacije je mogoče tudi v primeru govornih klicev – torej je mogoče klicanje na način, da se klicani osebi na telefonskem aparatu izpiše poljubna telefonska številka. A kot rečeno o tem v enem prihodnjih prispevkov.

Sklep

V današnjem času – še bolj pa bo to veljalo v prihodnosti – je sodiščem predloženih čedalje več dokazov v digitalni obliki. Za razliko od drugih vrst dokazov pa sodišča (in enako velja za preiskovalce) digitalne dokaze, zlasti računalniško generirane, preveč samoumevno dojemajo kot zaupanja vredne, nepristranske in zanesljive. Da temu ni tako, smo pokazali na primeru forenzične analize SIM kartic. Stroški za to so minimalni, digitalne dokaze pa je mogoče ponarediti v nekaj minutah. Podobno velja tudi na drugih področjih – na področju preiskovanja računalnikov, mobilnih telefonov in drugih naprav, lahko celo v primeru datotek aktivnosti pri ponudnikih storitev, operaterjih in drugih tim. neodvisnih tretjih strankah.

Dejstvo namreč je, da računalniki že dolgo časa niso več zgolj »stroji« (že sama beseda stroj predpostavlja razmeroma zanesljivo, mehansko napravo), ki bi jim veljalo slepo zaupati. Pri obravnavi digitalnih in računalniško generiranih dokazov bi bilo namreč potrebno vedno pomisliti tudi na možnost, da so spremenjeni in se znebiti predpostavk na katerih temelji zaupanje vanje.

Stari Kazenski zakonik (KZ) je v prvem odstavku 225. člena določal:

“Neupravičen vstop v informacijski sistem

225. člen

(1) Kdor neupravičeno vstopi v informacijski sistem ali kdor neupravičeno prestreže podatek ob nejavnem prenosu v ali iz informacijskega sistema, se kaznuje z denarno kaznijo.“

Novi Kazenski zakonik (KZ-1), pa ima podobno, vendar ne povsem enako določbo, ki se glasi:

“Napad na informacijski sistem

221. člen

(1) Kdor vdre v informacijski sistem ali kdor neupravičeno prestreže podatek ob nejavnem prenosu v informacijski sistem ali iz njega, se kaznuje z zaporom do enega leta.“

Stari kazenski zakonik je tako govoril o neupravičenem vstopu v informacijski sistem, novi pa govori o vdoru. Razlika je majhna, a kot bomo videli, precej pomembna.

Vdor vs. neupravičen dostop

Pri vdoru gre za neko nasilno dejanje. Slovar slovenskega knjižnega jezika besedo vdreti definira kot “deroč priti v kaj, premagujoč ovire“, “na silo, s silo priti kam“, “nenapovedano, proti volji koga priti kam“, “silovito pojaviti se kje, premagujoč ovire“.

Pri členu 221/1 KZ-1 gre torej za to, da nekdo nasilno, s tem, da zaobide neko oviro, npr. varnostni mehanizem, vstopi v informacijski sistem. Stari 225/1 KZ pa je govoril o neupravičenem vstopu. Bistveni element neupravičenega vstopa pa je vprašanje ali je nekdo imel dovoljenje (pooblastilo) za vstop, ali pa do vstopa ni bil upravičen. Pri slednjem torej ne gre prvenstveno za aktivno premagovanje ovir, saj je neupravičen vstop mogoč tudi če ovir za vstopanje ni.

Vzemimo primer, ko se nekdo poveže na brezžično omrežje svojega soseda. Če sosed nima nastavljenega gesla (če je torej brezžično omrežje odprto), lahko ugotovimo, da za povezovanje na sosedovo brezžično dostopno točko ni bilo potrebno zaobiti nikakršne ovire, kljub temu pa storilec do uporabe sosedovega brezžičnega omrežja ni upravičen. V tem primeru bi storilca lahko preganjali po starem, sedaj ne več veljavnem členu 225/1 KZ.

Povsem drugače pa bi bilo, če bi imel sosed na brezžičnem omrežju vključeno omejitev dostopa (WEP, WPA ali WPA-2 šifriranje). Kot je znano, je nekatere šibkejše šifrirne mehanizme s katerimi uporabniki lahko zaščitimo svoja brezžična omrežja mogoče dokaj enostavno razbiti (za razbitje protokola WEP je bila že leta 2007 potreba manj kot minuta, razbitje protokola WPA pa je mogoče v času od ene do 15 minut). Storilec v tem primeru uporabi posebno programsko opremo, npr. brezplačni program Aircrack-ng), s katerim šifriranje “zlomi” oz. s pomočjo matematične analize prestreženih šifriranih podatkov rekonstruira (razbije) šifrirni ključ, s katerim se potem poveže na sosedovo brezžično dostopno točko. V tem primeru torej ne gre zgolj za neupravičen vstop, pač pa za vdor, aktivno zaobhajanje ovire.

Za vajo skušajmo razmišljati še v naslednji smeri.

Prodajalec, ki ima ključe trgovine v trgovino vstopi ponoči in ukrade nek predmet. V tem primeru je nesporno, da gre za tatvino, vendar pa je tudi jasno, da prodajalec ključe poseduje povsem zakonito in ima tudi pravico vstopa v službene prostore. Vendar pa v tem primeru ne gre za vlom, saj storilec pri svojem dejanju ni premagoval ovir za vstop v trgovino.

Podobno vajo lahko naredimo tudi glede teže kaznivega dejanja. V prvem primeru storilec vstopi v odprto sosedovo stanovanje, v drugem pa storilec najprej zlomi ključavnico in potem vstopi v njegovo stanovanje (v obeh primerih iz stanovanja ničesar ne odnese). V obeh primerih je sicer šlo za kršitev nedotakljivosti stanovanja, vendar je teža drugega primera nedvomno večja, saj je storilec vstopil na silo. Poleg tega je v primeru vdora dobrina (stanovanje, brezžično omrežje) zavarovana, torej je lastnik nakazal, da želi svojo dobrino zaščititi, storilec pa je z vdorom izkazal aktivno protipravnost. V primeru zgolj neupravičenega vstopa pa gre lahko tudi za napako (npr. storilec ne ve, da se bo zgolj s klikom na ime povezave povezal na tuje brezžično omrežje, ali pa se njegov računalnik celo samodejno poveže v brezžično omrežje, ki ima enako ime kot neko drugo omrežje, v katero je bil (legitimno) povezan že prej), vendar je v slednjem primeru pomembno dejstvo tudi to, da storilec ni imel naklepa storitve kaznivega dejanja.

Kaj pa posedovanje, izdelava, itd.?

Pozorno branje KZ-1 razkrije, da določbe o vdoru in neupravičenem vstopu v informacijski sistem vsebuje tudi člen 306/3 KZ-1. Tretji odstavek namreč pravi:

“Izdelovanje in pridobivanje orožja in pripomočkov, namenjenih za kaznivo dejanje

306. člen

(3) Enako kot v prejšnjem odstavku se kaznuje, kdor z namenom storitve kaznivega dejanja poseduje, izdeluje, prodaja, daje v uporabo, uvaža, izvaža ali kako drugače zagotavlja pripomočke za vdor ali neupravičen vstop v informacijski sistem.“

Podobno določbo je vseboval tudi stari KZ v členu 309/3. Določba sicer nakazuje, da je zakonodajalec pri kriminaliziranju poleg vdora verjetno imel v mislih tudi neupravičen vstop, vendar je določba sporna iz drugih razlogov. V času priprave KZ-1 v tem členu ni bilo klavzule “kdor z namenom storitve kaznivega dejanja“, pač pa se je dikcija glasila: “Kdor poseduje, izdeluje, daje v uporabo, uvaža, izvaža ali drugače zagotavlja pripomočke za vdor v informacijski sistem, se kaznuje z denarno kaznijo ali z zaporom do šestih mesecev.“.

Problem nastopi pri vprašanju, kaj je to pripomoček za vdor v informacijski sistem. Najbolj očiten pripomoček so seveda različna varnostna orodja, npr. programi nmap, Wireshark, itd. Vendar pa so ta orodja v osnovi namenjena varnostnemu testiranju informacijskih sistemov in s tem posredno povečevanju varnosti. Navedena orodja lahko sistemski administrator uporabi za to, da preveri kako varen je njegov sistem, kje so morebitne dostopne točke, ki jih je pozabil zapreti ter posledično svoj sistem bolje zavaruje. Jasno pa je, da je ta orodja mogoče tudi zlorabiti za odkritje in zlorabo ranljivosti v sistemu. Podobno kot nož – lahko ga uporabimo za rezanje kruha ali pa za umor.

Nekoliko bolj problematično pa je, da je nekatere napade mogoče opraviti celo s spletnimi brskalniki (npr. Firefox ali Internet Explorer), ki so del “opreme” vsakega sodobnega računalnika. Eden izmed napadov, ki jih je mogoče izvesti zgolj s pomočjo brskalnika je tim . SQL vrivanje (ang. SQL injection). Čeprav je napad enostaven, sploh ni nedolžen, saj je z njim mogoče ukrasti ali spreminjati dostopna gesla, številke kreditnih kartic v slabo zaščiteni spletni trgovini ali na slabo zaščiteno spletno stran vriniti poljubno vsebino. Trije zanimivi primeri izkoriščanja varnostnih ranljivosti informacijskih sistemov izključno s pomočjo spletnega brskalnika so opisani tudi v članku Kupovati drugje bi bilo potratno, objavljenem na spletišču Slo-Tech.com, avtorja Gorazda Žagarja. Vsekakor se upravičeno zastavlja vprašanje ali je kriminalizacija posedovanja pripomočkov za vdor sploh smiselna.

Zaradi kritik take ureditve je zakonodajalec v končno dikcijo člena 309/3 dodal zgoraj omenjeno klavzulo, vendar pa je s tem ta določba postala tako rekoč “mrtva”. Potrebni pogoj za obstoj kaznivega dejanja po 309/3 je namreč posedovanje (izdelava,…) z namenom storitve kaznivega dejanja. Gre torej za to, da se storilcu dokaže tim. obarvan naklep, da je torej storilec vedel za možnost zlonamerne uporabe programskega orodja, da je imel namen zagrešiti vdor (oziroma pomagati pri tem) in da se je zavedal posledic tega dejanja.

V praksi bi se to morda dalo dokazati v primeru, da bi nekdo na internetu objavil zlonamerno kodo (pripomoček za vdor) in hkrati uporabnike pozival, naj to kodo uporabijo za nezakonite namene. Vsekakor pa sama objava zlonamerne kode ne pomeni tudi, da je kodo mogoče uporabiti samo za nezakonite namene. Tak primer je projekt Metasploit, ki izdaja zbirko brezplačnih zlonamernih orodij, s katerimi je sicer mogoče izkoristiti številne pomanjkljivosti različnih programskih aplikacij in operacijskih sistemov, vendar pa zbirko uporabljajo tudi številni varnostni inženirji in sistemski administratorji z namenom zakonitega preverjanja varnosti lastnih sistemov. Druga možnost za dokazovanje kaznivega dejanja po 306/6 KZ-1 pa bi bila npr. ko bi nekdo skušal vdreti v nek informacijski sistem, preiskovalci pa bi nato pri njem našli orodja za vdor in tudi dokazali, da jih je tudi uporabil. Pri preiskavah kiberkriminala namreč ne smemo pozabiti na povsem realno in v praksi tudi uporabljano možnost, da storilec najprej vdre na nek računalnik, na njega namesti orodja za nadaljnje vdore in nato od tam vdira dalje (gre za tehniko znano pod imenom looping).

Vsekakor je prepoved orodij, ki imajo možnost tim. dvojne rabe (npr. omenjeni nmap, ki omogoča varnosti pregled ali pa ga je mogoče smatrati kot pripomoček za vdor) nesmiselna in po mojem mnenju celo škodljiva. Nesmiselna pa je po mojem mnenju celo prepoved orodij, ki imajo jasen in očiten zlonameren namen, ki jih torej skoraj ni mogoče “dobronamerno” uporabljati. Tak primer je zlonamerna koda znana pod imenom “Aurora”. Gre za programsko kodo, s pomočjo katere so kitajski (zelo verjetno vladni) hekerji vdrli v nekaj storitev podjetja Google, zaradi česar je Google v sredini januarja letos napovedal, da bo razmislil o morebitnem umiku iz kitajskega trga. Varnostne analize so pokazale, da so napadalci uporabili do tedaj še neznano varnostno ranljivost v eni izmed različic brskalnika Internet Explorer, kmalu za tem pa so pri Metasploitu zlonamerno kodo, ki to ranljivost izkorišča, izdali kot del svoje zbirke. Čeprav je takšno ravnanje za koga morda moralno sporno, pa je dejstvo, da je to kodo mogoče uporabiti za preverjanje lastne varnosti. Poleg tega pa takšna javna objava odpira tudi možnosti za nadaljnja raziskovanja in izboljšanja splošne varnosti, kar se je v tem primeru tudi dejansko zgodilo, saj so varnostni strokovnjaki na ta način odkrili podobne do tedaj še neodkrite varnostne ranljivosti tudi v drugih različicah brskalnika Internet Explorer, proizvajalec (podjetje Microsoft) pa je dobil možnost varnostne ranljivosti pokrpati.

Vse to kaže, da je dikcija člena 306/3 KZ-1 morda premalo premišljena ali celo povsem nepotrebna, saj se ta določba v praksi verjetno skoraj ne bo uporabljala.

Vendar pa…

Kljub temu, da torej KZ-1 jasno govori o vdoru v informacijski sistem, pa je zanimivo, da je imel predlagatelj zakona očitno v mislih tudi neupravičen vstop v informacijski sistem. Predlog KZ-1, ki je bil objavljen v Poročevalcu Državnega zbora Republike Slovenije, letnik XXXIV, št. 14, dne 31. januarja 2008 namreč kot pojasnilo k 221. členu na strani 176 navaja tole:

“Pri tem kaznivem dejanju pomeni izvršitveno dejanje že vsak neupravičen vstop v tujo zaščiteno računalniško bazo podatkov, hujša oblika pa je v manipulaciji s podatki v informacijskem sistemu.

Očitno je torej, da je predlagatelj zakona imel pri sestavljanju 221. člena v mislih neupravičen dostop, dejstvo pa je, da zakonodajalec tega ni zapisal, pač pa je kriminaliziral le vdor v informacijski sistem. Razlika je majhna, a pomembna.

Oglejmo si še naslednji teoretični primer. Zaposleni si na službeni računalnik namesti (predpostavimo, da ima na svojem službenem računalniku administratorske privilegije) programsko opremo za oddaljeni dostop do internega službenega omrežja (npr. VPN strežnik, preko katerega se nato od doma preko interneta poveže v interno službeno omrežje ter tako dostopa do internih službenih dokumentov). Dejstvo je, da zaposleni sicer ima pravico dostopati do internega službenega omrežja, vendar le iz službenega računalnika, ne od doma. Po drugi strani pa je jasno, da v opisanem primeru ni šlo za vdor, saj zaposleni ni npr. aktivno zaobšel neke ovire (npr. požarnega zidu ali si s kakšno zlonamerno programsko kodo neupravičeno dvignil privilegijev v svojem računalniku), pač pa si je le omogočil (neupravičen) dostop do službenega računalnika od doma.

V danem primeru torej ne moremo govoriti o vdoru v smislu člena 221/1 KZ-1, lahko pa govorimo o morebitni disciplinski odgovornosti zaposlenega (če seveda podjetje ima ustrezne interne akte, ki prepovedujejo takšno ravnanje) ter morebitni civilni odgovornosti zaposlenega.

Ker pa gre v opisanem primeru za poslovni informacijski sistem, bi morda lahko namestitev strežniškega programa za oddaljeni VPN dostop razumeli tudi kot neupravičeno spremembo informacijskega sistema ali neupravičen vnos kakšnega svojega podatka (čeprav ne gre za vnos podatka v klasičnem smislu, pač pa nalaganje programske kode) v smislu 237/1 člena KZ-1. Vendar pa ima ta člen tudi klavzulo in sicer velja le, če ima storilec namen, da bi “sebi ali komu drugemu pridobil protipravno premoženjsko korist ali drugemu povzročil premoženjsko škodo” ter, da je dejanje storjeno “pri gospodarskem poslovanju“, kar je seveda potrebno upoštevati pri presoji.

Je kriminalizacija neupravičenega vstopa v informacijski sistem sploh smiselna?

Če torej sklenemo, je predlagatelj KZ-1 pri pripravi 221. člena sicer imel v mislih kriminalizacijo tudi neupravičenega vstopa v informacijski sistem, vendar pa je dikcija člena 221/1 takšna, da je kriminaliziran le vdor v informacijski sistem. Kljub temu sem mnenja, da je takšna ureditev smiselna, saj kriminalizira le aktivno in zavestno protipravnost storilcev in posledično varuje le tiste osebe, ki so se (vsaj minimalno) potrudile svoje dobrine oziroma svoje informacijske sisteme zavarovati oz. zaščititi.

Drugačna ureditev bi namreč lahko odprla tudi vprašanje kriminalizacije neupravičenega dostopa do zaupnih dokumentov, informacij in informacijskih sistemov, ki jih upravitelji spletnih strani po pomoti ali iz malomarnosti javno objavijo na spletu oziroma omogočijo dostop do njih preko interneta. Gre za tim. Google hacking oz. nevidni splet, ki ga je mogoče “odkriti” s pomočjo spletnih iskalnikov.

Problem je novembra 2001 odkril francoski študent Vincent Gaillot (in ga izpostavil v sporočilu “How to use Google to find confidential informations“), kasneje pa se je bolj sistematično z iskanjem tovrstnih informacij pričel ukvarjati Johnny Long, ki je imel leta 2003 na varnostno-hekerski konferenci Defcon predstavitev z naslovom Target Exploitation via Public Search Engines, leta 2004 pa je o tej temi izdal knjigo Google Hacking for Penetration Testers ter na spletu vzpostavil posebno bazo iskalnih nizov, s katerimi je mogoče odkriti “skrite” informacije na internetu (tim. Google Hacking Database).

Kot rečeno, gre pri “Google hackingu” za to, da upravitelji spletnih strežnikov ali drugih informacijskih sistemov, npr. spletnih ali videonadzornih kamer, tiskalnikov, itd.) pomotoma ali iz malomarnosti omogočijo prost dostop do dokumentov, informacij ali celotnih informacijsko-komunikacijskih naprav. Z ustreznimi iskalnimi nizi, ki jih vpišemo v iskalnik Google, je takšne informacije mogoče odkriti in do dokumentov, naprav ali informacij dostopati.

Javno dostopne videonadzorne kamere na DARS-u. Po opozorilu dostop do kamer ni več omogočen.

Primer takega iskalnega niza je npr. naslednji: ocene filetype:xls site:uni-lj.si. Če omenjeni iskalni niz vpišemo v iskalnik Google, le-ta poišče vse dokumente (preglednice) tipa Excel (filetype:xls), ki se nahajajo na spletnem strežniku oz. podstrežnikih Univerze v Ljubljani (site:uni-lj.si) ter vsebujejo besedo “ocene“.

Navedeni iskalni niz je pred časom razkril osebne podatke študentov (imena, priimke, vpisne številke in ocene pri posameznih predmetih na eni izmed ljubljanskih fakultet; podatki niso več dostopni), pri čemer je nedvomno šlo za neustrezno zavarovanje osebnih podatkov in posledično kršitev Zakona o varstvu osebnih podatkov s strani upravljavca. S podobnimi iskalnimi nizi (npr. intitle:”View and Configure PhaserLink”) je mogoče odkriti tudi nezaščitene videonadzorne kamere, pa tudi številne druge naprave na internetu. V mnogih primerih je s tako odkritimi napravami mogoče tudi upravljati na daljavo.

Vprašanje, ki se zato zastavlja je, ali je smiselno takšno iskanje sicer javno objavljenih podatkov kriminalizirati – tudi, če je imel storilec namen takšne podatke ali naprave poiskati oz. do njih dostopati – saj je po drugi strani lastnik informacijskega sistema ravnal malomarno in se podatkov ni potrudil niti minimalno zavarovati, včasih pa tudi ni jasno ali lastnik dostopa do takih naprav (npr. kamer) ali dokumentov ni omogočil celo povsem zavestno. Če potegnemo analogijo s fizičnim svetom – kako presojati ravnanje posameznika, ki ob cesti najde raztreseno zdravstveno dokumentacijo, ki jo je na poti na uničenje izgubil malomarni voznik zdravstvenega doma? Je že sam vpogled v to izgubljeno dokumentacijo s strani posameznika kaznivo dejanje, je kazniva neupravičena uporaba (npr. objava v časopisu)? Kaj pa če pacient namenoma zavrže svojo lastno zdravstveno dokumentacijo? Vsekakor je Google hacking nekaj, do česar se bodo slovenska sodišča v prihodnosti morda morala opredeliti, dobro pa bi bilo, da bi se pri tem upoštevali tudi v tem članku navedeni razmisleki.

“V primeru zasega predmetov mora policija po Varuhovem mnenju postopati še posebej hitro. Zato nas je presenetil podatek, da so bili pobudniku predmeti zaseženi 15. 5. 2008, vendar se njihov pregled po več kot petih mesecih od zasega sploh še ni začel niti opravljati. Ministrstvo za notranje zadeve (MNZ) je zagotavljalo, da se ti pregledi in obravnava tovrstne opreme opravlja prednostno, ob tem, da je opazen porast kaznivih dejanj, pri katerih je potreben strokovni pregled računalniške opreme. Takšno sporočilo MNZ vzbuja skrb, saj bi morala policija pregled zaseženih predmetov opraviti takoj po zasegu. Zastojev pri pregledu zaseženih predmetov ni mogoče opravičevati s porastom kaznivih dejanj, pri katerih je potreben njihov strokovni pregled, saj mora biti policija tudi na to pripravljena z ustrezno organizacijo svojega dela. Posameznik, ki mu policija (država) zaseže določen predmet, ima pravico, da se o potrebnosti tega zasega odloči brez nepotrebnega odlašanja. Pri tem posameznika ne zanimajo kadrovske in druge težave, ki povzročajo zastoje pri pregledu zaseženih predmetov. V dodatnem posredovanju pri MNZ smo zato opozorili, da bi bilo treba policiji v takšnih primerih zagotoviti vse potrebne kadrovske in materialne razmere za hitro in učinkovito delo pri pregledu zaseženih predmetov, kar bi lahko pomembno vplivalo tudi na učinkovitost dela državnega tožilstva in sodišč. MNZ smo predlagali tudi sprejem takšnih ukrepov, da bo pregled zaseženih predmetov v tem in tudi v vseh drugih primerih opravljen brez nepotrebnega odlašanja. MNZ je v odgovoru zagotovilo, da v okviru kriminalistične preiskave zasežene računalniške opreme v obravnavani zadevi poteka intenzivno delo brez nepotrebnega odlašanja. Pobudniku bodo zaseženi predmeti vrnjeni v primeru, da ne bo najdenega spornega materiala, sicer bodo v čim krajšem času poslani tožilstvu.“

Kot je Varuh človekovih pravic RS ugotavljal v letnem poročilu za leto 2008, je v preteklosti policija precej zamujala s preiskovanjem v kazensko preiskovalnem postopku zaseženih podatkov. Posledično je bilo tudi vračanje nosilcev podatkov dolgotrajno.

Po mnenju Varuha človekovih pravic RS kadrovske in druge težave policije niso upravičen razlog za zastoje pri pregledu zaseženih predmetov, zato so MNZ predlagali sprejem ukrepov, s katerimi bi se pospešilo pregledovanje zaseženih predmetov oz. podatkov.

Posebnih določb, ki bi opredeljevale roke za vračanje zaseženih elektronskih naprav, do nedavnega v slovenski zakonodaji ni bilo. Pred kratkim sprejeta novela Zakona o kazenskem postopku pa je v 223.a/7 členu določila tri mesečni rok za vračilo elektronske naprave (razen, če izdelava kopije podatkov ni mogoča). V tem času mora policija narediti forenzični zaseg digitalnih podatkov, nato pa napravo vrniti imetniku.

Tri mesece je za izdelavo forenzične kopije podatkov vsekakor dovolj, a kot smo ugotavljali v komentarju določb novele Zakona o kazenskem postopku (ZKP-J), ki opredeljujejo nekatere posege v komunikacijsko zasebnost, se v primerih, ko zakonodaja zahteva odvzem (izbris) inkriminiranih podatkov, pojavljajo težave. Ob sami izdelavi kopije podatkov namreč policija še ne ve ali so med zaseženimi podatki tudi inkriminirane vsebine, ki jih je potrebno izbrisati.

Rešitev? Kot je nakazal Varuh človekovih pravic, bi bila ustrezna rešitev preiskava podatkov brez nepotrebnega odlašanja oz. takoj (v treh mesecih) po zasegu. Poleg spoštovanja zakonskih rokov bi imela ta rešitev pozitivni učinek tudi na hitrost postopkov oz. povečano učinkovitost policije (in posledično tudi tožilstva ter sodišč). In če to zaradi kadrovskih in drugih težav policije ni mogoče? Po mnenju Varuha to ni opravičljiv razlog, če pa do tega prihaja, mora država sprejeti ustrezne ukrepe, s katerimi kadrovske in druge težave reši.

Se je mogoče ne-strinjati?

2. oktobra je bila v Uradnem listu objavljena novela Zakona o kazenskem postopku (ZKP-J), ki v členih 219.a in 223.a opredeljuje postopke forenzičnega zasega podatkov v kazenskem postopku in nekatere posege v komunikacijsko zasebnost. Ker gre za pomembne spremembe, ki se tičejo predvsem preiskave tim. kiberkriminala oziroma se bodo omenjene določbe uporabljale tudi v kazensko preiskovalnih postopkih pri preiskavah različnih elektronskih naprav, si bomo v nadaljevanju pogledali nekaj bistvenih novosti, ki jih na tem področju prinaša novela zakona.

“Pobudo” za spremembo zakona je dalo Ustavno sodišče, ki je oktobra 2008 v razsodbi Up-106/05 presodilo, da poseg v svobodo komuniciranja ni dovoljen brez predhodnega dovoljenja sodišča ter da so prometni podatki sestavni del vsebine komunikacije, torej tudi del komunikacijske zasebnosti.

Ustavno sodišče je namreč odločalo o pritožbi posameznika, ki je bil pred Okrožnim sodiščem v Novi Gorici obsojen za kaznivo dejanje neupravičenega prometa z mamili. V kazenskem postopku je zatrjeval, da so bili podatki, ki so se nahajali na zaseženi SIM kartici, pridobljeni brez odredbe preiskovalnega sodnika, zato naj bi šlo za nedovoljene dokaze. Policija je namreč pritožniku med zakonito izvedeno preiskavo zasegla mobilni telefon ter ga nato, vključno s SIM kartico pregledala. Po pritožnikovem mnenju pa naj bi bilo to preiskovanje nezakonito, saj policija ni pridobila še (dodatne) odredbe za nadzor nadzor telekomunikacij.

Ustavno sodišče je v odločitvi ugodilo pritožniku ter s tem postavilo jasne meje posegov v tajnost občil. Posebej je tudi poudarilo stališče, da je treba predmet varstva komunikacijske zasebnosti razlagati širše, in sicer tako, da le-ta vključuje tudi prometne podatke, ki so sestavni del komunikacije. To razumevanje prometnih podatkov je bilo v nekaterih pravnih krogih sicer nekoliko kritizirano, dejstvo pa je, da je skladno z razsodbo Evropskega sodišča za človekove pravice iz leta 1984, ko je ESČP v primeru Malone proti Veliki Britaniji (Malone v. Velika Britanija, odločba z dne 02. 08. 1984) zapisalo, da so prometni podatki integralni element telefonskih komunikacij. Velja sicer pripomniti, da ima ameriški pravni sistem do tega vprašanja nekoliko drugačno stališče, saj je Vrhovno sodišče ZDA leta 1979 v primeru Smith proti Maryland (Smith v. Maryland, 242 U.S. 735 (1979)) presodilo, da prometni podatki o telefonskih pogovorih niso zaščiteni s četrtim amandmajem ter s tem uvedlo ločevanje prometnih podatkov od same vsebine komunikacije.

Kakorkoli že, Ustavno sodišče je oktobra 2008 presodilo, da varstvo komunikacijske zasebnosti obsega tudi izpise iz telefona in SIM kartice oziroma podatke shranjene v naročnikovi terminalni napravi ter s tem tudi posredno opozorilo, da je pravna ureditev tovrstnih posegov v zasebnost v času novih tehnologij zastarela in potrebna dopolnitve.

V začetku leta 2009 se je zato pričel pripravljati predlog sprememb Zakona o kazenskem postopku, ki naj bi zapolnil novo “odkrito” pravno praznino, pri pripravi katerega sem z nekaterimi sodelavci iz Inštituta za forenziko informacijskih tehnologij (brezplačno) sodeloval tudi sam. Omenjene spremembe namreč zadevajo tako informatiko in digitalno forenziko, kot tudi vprašanje zasebnosti in varstva človekovih pravic. (Moje) osnovno izhodišče pa je bilo, da je zaradi razvoja informacijske tehnologije potrebno zakonodajo na tem področju modernizirati. Dosedanja praksa, ko je policija v kazenskem postopku kot dokaz obravnavala predvsem komunikacijsko napravo – in jo za potrebe kazenskega postopka tudi zasegla – je namreč po mojem mnenju zastarela. Razvoj tehnologije namreč zahteva pogled iz radikalno drugačne perspektive – tisto, kar je za dokazni postopek bistveno namreč ni fizična naprava, pač pa predvsem podatki na njej.

Zamislimo si namreč naslednjo situacijo. Storilec se ukvarja s prodajo nedovoljenih mamil, pri čemer pa s svojimi strankami komunicira preko elektronske pošte. Pri tem uporablja računalnike v javnih knjižnicah, s pomočjo katerih se preko spletnega vmesnika povezuje v svoj poštni predal pri ponudniku elektronske pošte.

V danem primeru se podatki, potrebni za kazenski postopek nahajajo na poštnem strežniku storilčevega ponudnika elektronske pošte in morebiti še v začasnem pomnilniku spletnega brskalnika na računalnikih v javni knjižnici, ki jih je storilec uporabil za spletni dostop do svojega poštnega predala.

Če je torej dokazni postopek usmerjen na napravo, bi v danem primeru torej policija lahko zasegla celoten poštni strežnik ponudnika elektronske pošte (ki se v primeru večjih ponudnikov elektronske pošte lahko nahaja celo v velikih kontejnerjih) ter morda tudi vse računalnike v knjižnici, ki jih je storilec uporabljal za dostop do svojega poštnega predala. Ker bi bile vse zasežene naprave nedvomno vključene v izvršitev kaznivega dejanja oziroma bi bilo kaznivo dejanje storjeno z njihovo uporabo, bi lahko ostale zasežene praktično do konca sodnega postopka, saj bi bile dokaz v kazenskem postopku. Če je torej zaseg naprave še nekako smiseln v primeru mobilnega telefona osumljenca, pa temu v času sodobnih, po možnosti razpršenih komunikacijskih sistemov (zlasti tim. oblačnega računalništva (ang. cloud computing)) zagotovo ni več tako.

V nadaljevanju si torej poglejmo posamezne novosti, ki jih prinaša novela in predvsem razmisleke, ki so privedli do oblikovanja posameznih določb.

219.a/1 člen ZKP-J

(1) Preiskava elektronskih in z njo povezanih naprav ter nosilcev elektronskih podatkov (elektronska naprava), kot so telefon, telefaks, računalnik, disketa, optični mediji in spominske kartice, se zaradi pridobitve podatkov v elektronski obliki lahko opravi, če so podani utemeljeni razlogi za sum, da je bilo storjeno kaznivo dejanje in je podana verjetnost, da elektronska naprava vsebuje elektronske podatke:
– na podlagi katerih je mogoče osumljenca ali obdolženca identificirati, odkriti ali prijeti ali odkriti sledove kaznivega dejanja, ki so pomembni za kazenski postopek, ali
– ki jih je mogoče uporabiti kot dokaz v kazenskem postopku.

Člen najprej jasno opredeli elektronske naprave, ki vključujejo tudi nosilce elektronskih podatkov pri čemer se ne omejuje na trenutno znane naprave, pač pa je za definicijo elektronske naprave bistveno, da vsebuje elektronske podatke. Nadalje je določen namen preiskave, ki je predvsem pridobiti podatke v elektronski obliki. S tem se zakon jasno osredotoča na zaseg podatkov in ne več na zaseg nosilcev podatkov. Za kazensko preiskavo so namreč bistveni elektronski podatki (ki imajo tudi status dokaza), ne pa konkreten fizični medij, na katerem se nahajajo. Določba tudi opredeli kdaj je preiskava elektronskih naprav dopustna ter pri tem podaja ustrezen zahtevani dokazni standard.

219.a/2 člen ZKP-J

(2) Preiskava se opravi na podlagi vnaprejšnje pisne privolitve imetnika ter policiji znanih in dosegljivih uporabnikov elektronske naprave, ki na njej utemeljeno pričakujejo zasebnost (uporabnik), ali na podlagi obrazložene pisne odredbe sodišča, izdane na predlog državnega tožilca. Če se preiskava opravi na podlagi odredbe sodišča, se izvod te odredbe pred začetkom preiskave izroči imetniku oziroma uporabniku elektronske naprave, ki naj se preišče.

V drugem odstavku 219.a člena novela ZKP določa pravno podlago za izvedbo preiskave. Le-ta je lahko soglasje imetnika oziroma vseh znanih in dosegljivih uporabnikov, ki na tej napravi utemeljeno pričakujejo zasebnost ali obrazložena pisna odredba sodišča.

Prva možnost bo uporabna v vseh tistih primerih, ko gre za elektronske dokaze na napravi v lasti žrtve kaznivega dejanja, npr. za preiskavo računalnika na katerega je nekdo vdrl ali npr. iz njega ukradel neke podatke. Pomembno je, da se v tem primeru zahteva soglasje vseh znanih in dosegljivih uporabnikov in ne zgolj lastnika ali trenutnega imetnika naprave.

Dikcija, ki bi predvidevala zgolj soglasje imetnika ali lastnika naprave bi lahko privedla do zlorab, zlasti v primeru podjetij ali posameznikov, ki so lastniki poštnih strežnikov. Ideja je sicer povzeta iz tuje sodne prakse, konkretno iz primera Steve Jackson Games v. U.S. Secret Service (Steve Jackson Games v. U.S. Secret Service, 36 F.3d 457 (1994)), kjer je Vrhovno sodišče ZDA ugotovilo, da zaplemba in uničenje elektronske pošte uporabnikov, ki niso ničesar osumljeni, uporabljajo pa isti strežnik kot osumljenec, predstavlja kršitev in je zato nedopustna.

Druga možnost, uporaba obrazložene pisne odredbe sodišča, izdane na predlog državnega tožilca, pa bo seveda prišla prav v primerih “klasičnih” kazenskih preiskav, ob čemer je seveda upoštevana zgoraj omenjena zahteva Ustavnega sodišča po predhodnem dovoljenju sodišča za poseg v komunikacijsko zasebnost.

219.a/3 člen ZKP-J

(3) Predlog in odredba o preiskavi elektronske naprave morata vsebovati:
– podatke, ki omogočajo identifikacijo elektronske naprave, ki se bo preiskala;
– utemeljitev razlogov za preiskavo;
– opredelitev vsebine podatkov, ki se iščejo;
– druge pomembne okoliščine, ki narekujejo uporabo tega preiskovalnega dejanja in določajo način njegove izvršitve.

Tretji odstavek 219.a člena določa elemente, ki jih morata vsebovati predlog in odredba o preiskavi elektronske naprave. Eden izmed zahtevanih elementov je tudi opredelitev vsebine podatkov, ki se iščejo.

Gre za pomembno določbo, ki odpira možnosti za modernizacijo razumevanja elektronske naprave kot listine. V dosedanji praksi je za pregled npr. računalnika veljalo razumevanje računalnika kot spisa. Pregled tako ni bil osredotočen samo na določene podatke, pač pa je preiskava lahko obsegala preiskavo celotnega računalnika. S tem se je vzpostavila analogija z zaprtim prostorom, kjer velja, da ko je odredba za preiskavo odobrena, je na tej podlagi mogoče preiskati celoten zaprt prostor in pri tem v kazenskem postopku uporabiti vse dokaze v zvezi s kaznivimi dejanji, ki jih organi pri tem odkrijejo.

Takšno razumevanje elektronskih naprav po mojem mnenju v svetu postaja preseženo, kar nakazuje primer United States v. Carey (United States v. Carey, 172 F.3d 1268, 1273-75 (10th Cir. 1999)). V primeru je šlo za pritožbo osumljenca, ki je bil aretiran zaradi suma trgovanja z mamili. Digitalni forenziki so mu pregledali računalnik zaradi suma, da bodo na njem našli dokaze o trgovanju z nedovoljenimi mamili, pri pregledu pa so našli datoteko z otroško pornografijo.

Preiskovalci so nato več kot pet ur preiskovali datoteke z namenom iskanja otroške pornografije in o njenem posedovanju našli številne dokaze, ne pa tudi dokazov v zvezi s prodajo mamil. Osumljenca so nato obdolžili posedovanja otroške pornografije.

Obtoženec se je pritožil, a so se preiskovalci sklicevali na doktrino “plain view”. Sodišče pa je pritožbi ugodilo in zavrglo dokaze o posedovanju otroške pornografije, pri čemer so pojasnili, da lahko računalniki vsebujejo veliko različnih informacij, kar ustvarja večje možnosti za zlorabe zasebnosti. Naključna najdba prve datoteke z otroško pornografijo tako še predstavlja tim. “plain view”, za nadaljnjo preiskavo v tej smeri pa bi bilo potrebno pridobiti dodatno odredbo. Podobna je bila namreč odločitev sodišča v Wyomingu, kjer so v primeru United States v. Walser (United States v. Walser, 275 F.3d 981 (10th Cir. 2001)), preiskovalci ravno tako na podlagi naloga za preiskavo računalnika v zvezi s prodajo nedovoljenih mamil, naleteli na datoteko, ki je kazala na otroško pornografijo. Vendar pa so v tem primeru preiskavo takoj prekinili in pridobili novo odredbo za preiskavo v zvezi z otroško pornografijo. V tem primeru je sodišče nato dovolilo uporabo tako zbranih dokazov.

219.a/4 in 219.a/5 člen ZKP-J

(4) Če se preiskava elektronske naprave odredi v odredbi za hišno ali osebno preiskavo, za izdajo tega dela odredbe in njeno izvršitev veljajo pogoji in postopki iz tega člena. V tem primeru tudi predlog za hišno ali osebno preiskavo poda državni tožilec.

(5) Izjemoma, če pisne odredbe ni mogoče pravočasno pridobiti ter če obstaja neposredna in resna nevarnost za varnost ljudi ali premoženja, lahko preiskovalni sodnik na ustni predlog državnega tožilca odredi preiskavo elektronske naprave z ustno odredbo. O predlogu državnega tožilca in odredbi preiskovalni sodnik izdela uradni zaznamek. Pisna odredba mora biti izdana najpozneje v dvanajstih urah po izdaji ustne odredbe, sicer policija, ki je odredbo izvršila, zapisniško uniči ali izbriše shranjene ali kopirane podatke in o tem v osmih dneh obvesti preiskovalnega sodnika, državnega tožilca in imetnika oziroma uporabnika elektronske naprave, če je znan.

Peti odstavek novele opredeljuje tim. nujne primere, v katerih je do podatkov potrebno priti čim prej, hkrati pa uvaja tudi ustrezne varovalke, ki preprečujejo možne zlorabe teh nujnih primerov.

Med tim. nujne primere se štejejo vse tiste situacije, kjer pisne odredbe ni mogoče pravočasno pridobiti ter hkrati obstaja neposredna in resna nevarnost za varnost ljudi ali premoženja. V teh primerih preiskavo z ustno odredbo odredi preiskovalni sodnik na ustni predlog državnega tožilca. Ob tem se izdela uradni zaznamek, pisna odredba pa mora biti izdana najpozneje v dvanajstih urah. Če temu ni tako, je potrebno zasežene podatke uničiti in jih ni mogoče uporabiti v kazenskem postopku. Ob tem je pomembno tudi to, da je v takem primeru o tem v osmih dneh potrebno obvestiti tudi imetnika oziroma uporabnika elektronske naprave (če je znan) saj gre v takem primeru za poseg v njegovo pravico do zasebnosti.

219.a/6 člen ZKP-J

(6) Imetnik oziroma uporabnik elektronske naprave mora omogočiti dostop do naprave, predložiti šifrirne ključe oziroma šifrirna gesla in pojasnila o uporabi naprave, ki so potrebna, da se doseže namen preiskave. Če noče tako ravnati, se sme kaznovati oziroma zapreti po določbi drugega odstavka 220. člena tega zakona, razen če gre za osumljenca ali obdolženca ali osebo, ki ne sme biti zaslišana kot priča (235. člen) ali se je v skladu s tem zakonom odrekla pričevanju (236. člen).

Pomembne varovalke pri varstvu človekovih pravic, hkrati pa tudi nekaj novosti v kazenski postopek, uvaja tudi 6. odstavek 219.a člena. Le-ta namreč določa, da mora imetnik oziroma uporabnik elektronske naprave na zahtevo preiskovalcev predložiti šifrirne ključe in pojasnila o uporabi naprave. Za osebe, ki tega ne bi želele storiti, so predvidena tudi prisilna dejanja (celo zapor).

Vendar pa velja poudariti, da ta določba velja samo za tim. priče v postopku, ne pa tudi za osumljence ali obdolžence, njihove zakonce ter bližnje krvne sorodnike (oziroma vse osebe iz 236. člena ZKP) oz. osebe, ki ne smejo biti zaslišane kot priče (osebe iz 235. člena ZKP), s čimer se izrecno upošteva privilegij zoper samoobtožbo.

Kljub temu je smiselno opozoriti, da obveznost imetnika elektronske naprave glede pojasnil o uporabi naprave ne sme biti nesorazmerna oziroma, da ga preiskovalci zaradi npr. svojega neznanja ne smejo nesorazmerno obremeniti in od njega zahtevati nekakšnega brezplačnega strokovnega svetovanja.

Vprašanje razkritja šifrirnih ključev sicer v zadnjih letih postaja eno pomembnejših vprašanj tim. informacijskega prava. Danes je namreč na trgu dostopnih kar nekaj izredno uporabniško prijaznih in hkrati celo brezplačnih kriptografskih produktov, s katerimi lahko uporabniki šifrirajo podatke na svojih trdih diskih in drugih nosilcih podatkov oziroma kar celotne nosilce podatkov. Vsebina šifriranih podatkov je preiskovalcem nedostopna, kar ima seveda posledice tudi za kazenski postopek in preiskanost kaznivih dejanj. Problema razkritja šifrirnih ključev se sicer različne države lotevajo na različne načine.

V ZDA so se tako načeloma postavili na stališče, da razkritje gesla predstavlja obliko pričanja in da torej osumljencu šifrirnega gesla ni potrebno razkriti. Od stališča so sicer mogoče tudi določene izjeme, kar se je pokazalo v primeru In re Boucher (United States v. Boucher, 2007 WL 4246473). V tem primeru je namreč mejna policija leta 2006 nekomu zasegla prenosni računalnik. Računalnik je bil vključen, na njem pa je bil aktiven šifrirni kontejner (v sistemu je bil viden kot dodaten disk). Mejna policija je nato računalnik pregledala in na njem (na aktiviranem šifrirnem kontejnerju) našla vsebine povezane z otroško pornografijo. Računalnik so nato zasegli in ugasnili, pri tem pa nevede deaktivirali oz. odklopili šifrirni kontejner. Ko so računalnik ponovno vključili, so preiskovalci ugotovili, da do šifriranih vsebin povezanih z otroško pornografijo brez gesla ne morejo. Na zaslišanju so nato predlagali, da osumljenec vnese geslo, česar pa le-ta seveda ni želel storiti. Preiskovalci so nato predlagali, da osumljeni vnese geslo brez prisotnosti policistov ali ostalih vladnih uslužbencev in policiji omogoči le dostop do šifriranega diska.

Podobno rešitev so pred tem v ZDA uporabili že v primeru People proti Price. V primeru, ki se je zgodil na višjem kalifornijskem sodišču v ZDA, je tožilstvo uspešno izsililo šifrirno geslo od obtoženca. Vendar v tem primeru gesla niso uporabili za pridobitev dokazov, temveč za ugotavljanje, ali naj policija obtoženemu vrne zaplenjeni računalnik. V računalniku je bilo namreč več šifriranih datotek, za katere je policija domnevala, da vsebujejo otroško pornografijo. Obtoženec je želel dokazati, da v njegovem računalniku ni otroške pornografije (in s tem pridobiti računalnik nazaj), zato so preiskovalci zagnali šifrirni program do točke, ko je treba vpisati geslo, obtoženec pa je geslo povedal zapriseženemu sodnemu uradniku in ta je geslo vpisal brez navzočnosti preiskovalcev. Preiskovalci so nato dokončali postopek dešifriranja datotek (in našli otroško pornografijo ter nato računalnika niso vrnili).

Leta 2007 je sodišče v primeru In re Boucher (In Re Boucher, 2007 WL 4246473) presodilo, da bi bilo razkritje gesla oblika pričanja, zahteva po razkritju pa bi predstavljala kršitev petega amandmaja ameriške ustave, ki prepoveduje samoobtožbo.

Vendar pa je v začetku leta 2009 pri zadevi prišlo do preobrata. Zvezni sodnik iz Vermonta je namreč presodil, da mora obdolženi omogočiti dostop do vsebine šifriranega diska, katerega vsebino so pred tem že videli mejni policisti. Temelj za tako odločitev pa je bilo dejstvo, da je obdolženi pred tem policistom že pokazal dešifrirano vsebino diska. V nasprotnem primeru bi prepoved samoobtožbe veljala, osumljencu pa gesla ne bi bilo treba povedati.

Povsem drugačen pristop pa je ubrala Velika Britanija, ki je leta 2000 sprejela Regulation of Investigatory Powers Act (RIPA). Zakon je bil oktobra 2007 dopolnjen tako, da sedaj v tretjem poglavju z naslovom “Investigation of electronic data protected by encryption etc.” predvideva prisilna dejanja (do 2 leti zaporne kazni) za imetnika šifrirnega ključa, ki preiskovalcem ne želi omogočiti dostopa do nešifriranih podatkov ali izročiti šifrirnih ključev.

Pred tem so podobne zahteve sprejeli le v nekaj državah (Singapurju in Maleziji) ter v nekaterih o tem zgolj razmišljali. Podobne zahteve sicer vsebuje tudi Irski leta 2000 sprejeti Electronic Commerce Act v 27.c in 28. členu, vendar se ne razlagajo tako restriktivno, kot v Veliki Britaniji.

Omenjene določbe v RIPA so bile sicer sprejeta predvsem z namenom boja proti ekstremnim oblikam kriminala in terorizmu, precej kritik pa je poželo dejstvo, da so bile omenjene določbe zakona prvikrat uporabljene ne proti teroristom, pač pa proti članom skupine, ki se je zavzemala za pravice živali.

Določbe RIPA sprožajo številna vprašanja, od tega, da ne spoštujejo privilegija zoper samoobtožbo, do tega, da so morda celo povsem neučinkovite, saj ni verjetno, da bi bili obdolženci, ki jim grozi kazen višja od dveh let zapora, pripravljeni šifrirne ključe razkriti in s tem “sprejeti” višjo kazen. Dejstvo je tudi, da bi bili zaradi takih določil lahko kaznovani celo nedolžni posamezniki, ki bi ključe izgubili oz. gesla pozabili ali pa bo jih nekdo drug naredil v njihovem imenu.

Na problem je humorno pokazal tudi britanski projekt ‘Dear Jack’, kjer je skupina britanskih aktivistov v protestu ob podobnemu zakonu leta 1999 britanskemu notranjemu ministru Jacku Strawu poslala pismo, v katerem je bilo s šifrirnim ključem, narejenim v njegovem imenu, zašifrirano priznanje izmišljenega zločina, šifrirni ključ pa so uničili. Aktivisti so mu v javnem pismu napisali, da upajo, da “so pokazali, da zaradi tega zakona ne bodo kaznovani le tisti, ki so zagrešili zločin, pač pa tudi nedolžni posamezniki”.

Dodatne težave (za zakon) pa predstavlja tudi tehnika tim. verodostojnega zanikanja (ang. plausible deniability). Gre za tehniko, ki omogoča skrivanje šifriranih podatkov, njeno uporabo pa omogoča tudi znan (brezplačni) šifrirni program TrueCrypt.

Običajno šifrirni programi omogočajo le izdelavo tim. šifrirnega kontejnerja (navadno v obliki posebne datoteke), v katerega je nato mogoče shranjevati podatke (npr. datoteke). Podatki so seveda dostopni le s šifrirnim ključem. V primeru verodostojnega zanikanja, pa se znotraj šifrirnega kontejnerja ustvari še en, skrit šifrirni kontejner, ki ga je mogoče odkleniti z drugim šifrirnim ključem. Če torej uporabnik osnovni šifrirni kontejner odpre z enim ključem, se pokažejo eni podatki, če ga odpre z drugim, se pokažejo drugi podatki. Sistem je zasnovan tako, da ni mogoče ugotoviti ali dani šifrirni kontejner vsebuje še skrit šifrirni kontejner, hkrati pa je gnezdenje skritih šifrirnih kontejnerjev mogoče v neskončnost (prvi šifrirni kontejner vsebuje skrit drugi šifrirni kontejner, ta tretjega, spet ta četrtega, itd., vsak pa ima svoje geslo oz. šifrirni ključ).

Uporabnik, ki bo torej prisiljen razkriti šifrirne ključe, bo v primeru uporabe verodostojnega zanikanja v program za dešifriranje podatkov mirno vpisal prvo geslo, ki bo razkrilo zanj povsem neobremenilne podatke. S tem pa določbe zakonodaje, ki zahteva razkritje šifrirnih ključev v praksi postanejo povsem neuporabne.

219.a/7 in 219.a/8 člen ZKP-J

(7) Preiskava se opravi tako, da se ohrani integriteta izvirnih podatkov in možnost njihove uporabe v nadaljnjem postopku. Preiskava mora biti opravljena na način, s katerim se v najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali obdolženci, in varuje tajnost oziroma zaupnost podatkov ter ne povzroča nesorazmerna škoda.

(8) Preiskavo opravi strokovno usposobljena oseba. O preiskavi se napravi zapisnik, ki med drugim obsega:
– identifikacijo elektronske naprave, ki je bila pregledana;
– datum ter uro začetka in konca preiskave oziroma ločeno za več preiskav, če preiskava ni bila opravljena v enem delu;
– morebitne sodelujoče in navzoče osebe pri preiskavi;
– številko odredbe in sodišče, ki jo je izdalo;
– način izvedbe preiskave;
– ugotovitve preiskave in druge pomembne okoliščine.

Bistvena novost, ki jo prinašata 7. in 8. odstavek 219.a člena ZKP je uzakonitev oz. zahteva po spoštovanju postopkov digitalne forenzike pri preiskavi. Ob tem se izrecno zahteva zagotovitev integritete podatkov ter vodenje ustrezne dokumentacije (tim. skrbniške verige, ang. chain of custody) v obliki zapisnika. Le po pravilih forenzične stroke zaseženi podatki, ki ohranijo svojo integriteto, imajo namreč lahko status veljavnega dokaza.

Pomembno določilo je tudi tisto, ki določa, da mora biti preiskava opravljena na način, s katerim se v najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali obdolženci, in varuje tajnost oziroma zaupnost podatkov ter ne povzroča nesorazmerna škoda. Določba je pomembna zlasti v primeru preiskav na večuporabniških sistemih, hkrati pa preiskovalcem nalaga, da se potrudijo podatke zaseči čim hitreje in na način, ki je kar najmanj obremenilen za lastnika naprave.

V nasprotnem primeru bi se namreč lahko zgodilo, da npr. žrtve kiberkriminala kaznivih dejanj ne bi želela prijavljati, saj bi se lahko bale, da jim bo preiskava povzročila dodatno škodo v obliki poškodovanja naprave ali onemogočenja njene uporabe za čas trajanja kazenskega postopka. Preveč restriktivno postopanje policije pri preiskovanju elektronskih naprav, bi namreč lahko žrtvam povzročalo dodatno (poslovno) škodo, posledica pa bi bil lahko povečan upad interesa za prijavo kaznivih dejanj iz področja računalniške kriminalitete.

219.a/9, 219.a/10 in 219.a/11 člen ZKP-J

(9) Če se pri preiskavi najdejo podatki, ki niso v zvezi s kaznivim dejanjem, zaradi katerega je bila preiskava odrejena, temveč kažejo na drugo kaznivo dejanje, za katero se storilec preganja po uradni dolžnosti, se zasežejo tudi ti. To se navede v zapisnik in takoj sporoči državnemu tožilcu, da začne kazenski pregon. Ti podatki pa se takoj uničijo, če državni tožilec spozna, da ni razloga za kazenski pregon in tudi ne kakšnega drugega zakonskega razloga, da bi se morali podatki vzeti. O uničenju se sestavi zapisnik.

(10) Če v tem členu ni določeno drugače, se za odreditev in izvršitev odredbe o preiskavi elektronske naprave smiselno uporabljajo določbe tretjega in četrtega odstavka 215. člena ter četrtega, petega in sedmega odstavka 216. člena tega zakona.

(11) Če je bila preiskava elektronske naprave opravljena brez odredbe sodišča ali v nasprotju z njo ali brez pisne privolitve iz drugega odstavka tega člena, sodišče svoje odločbe ne sme opreti na zapisnik o preiskavi in na tako pridobljene podatke.

Kot smo ugotavljali že pri komentarju 3. odstavka 219.a člena ZKP se postavlja vprašanje ustreznosti uporabe “plain view” doktrine na področju elektronskih naprav, ki hranijo številne zasebne podatke enega ali več njihovih uporabnikov. Kot je bilo prikazano, je razumevanje elektronskih naprav kot spisa v svetu že preseženo, kar velja zlasti za večuporabniške sisteme (že omenjeni primer Steve Jackson Games v. U.S. Secret Service, 36 F.3d 457 (1994)).

Vendar pa pri tem trčimo na povsem praktičen problem. Dejstvo namreč je, da je digitalne podatke mogoče razmeroma enostavno skrivati na različna mesta v elektronski napravi. Tako je npr. mogoče besedilni dokument “skriti” v filmsko datoteko, posebej problematično pa je skrivanje podatkov na tim. prazen prostor oz. digitalno forenzično iskanje izbrisanih podatkov. Običajno brisanje podatkov (npr. datotek na trdem disku) namreč le-teh ne odstrani trajno, na voljo pa so različne tehnike, ki že izbrisane podatke rekonstruirajo delno ali v celoti. Ker so podatki, ključni za kazenski pregon lahko skriti ali izbrisani (in se posledično nahajajo na tim. praznem prostoru nosilca podatkov), je seveda razumljivo, da je v okviru digitalno forenzične preiskave potrebno preiskati celoten nosilec podatkov. Ob tem pa trčimo na problem rekonstrukcije oz. najdenja dokazov o drugih kaznivih dejanjih ali celo podatkov drugih oseb, ki skupaj z osumljencem uporabljajo npr. isti računalnik.

Vsekakor gre za zapleteno vprašanje, ki v novem ZKP verjetno ni povsem dokončno razrešeno, po mojem mnenju pa zahteva po opredelitvi vsebine podatkov, ki se iščejo iz 3. odstavka 219.a člena ZKP, odpira možnosti za radikalnejšo spremembo pristopa pri preiskovanju elektronskih naprav.

223.a/1 člen ZKP-J

(1) Če se zaseže elektronska naprava (prvi odstavek 219.a člena) zaradi oprave preiskave, se podatki v elektronski obliki zavarujejo tako, da se shranijo na drug ustrezen nosilec podatkov na način, da se ohrani istovetnost in integriteta podatkov ter možnost njihove uporabe v nadaljnjem postopku ali se izdela istovetna kopija celotnega nosilca podatkov, pri čemer se zagotovi integriteta kopije teh podatkov. Če to ni mogoče, se elektronska naprava zapečati, če je mogoče, pa samo tisti del elektronske naprave, ki naj bi vseboval iskane podatke.

Prvi odstavek 223.a člena ZKP določa digitalno forenzična pravila za zaseg podatkov. Pri tem ni bistveno na katerem nosilcu podatkov se podatki nahajajo, bistveno je, da se ohrani istovetnost in integriteta podatkov. Šele če kopiranje podatkov iz elektronske naprave ni mogoče, je dovoljeno zaseči celotno napravo oziroma po možnosti samo tisti del, ki vsebuje iskane podatke.

Določba tako omogoča da imetnik elektronske naprave le-to čim prej dobi vrnjeno nazaj (oziroma vsaj nekatere njene dele), hkrati pa preiskovalcem ni potrebno hraniti (in skladiščiti) nepotrebnih naprav, pač pa lahko hranijo samo tisto, kar je za kazenski postopek pravzaprav bistveno – istovetne kopije podatkov.

223.a/2 člen ZKP-J

(2) Če je bila elektronska naprava zasežena brez odredbe sodišča in je bila zaradi zavarovanja podatkov izdelana njihova kopija, vendar sodišče v dvanajstih urah ni izdalo odredbe za preiskavo po petem odstavku 219.a člena tega zakona oziroma ni bila dana privolitev po drugem odstavku 219.a člena tega zakona, policija zapisniško trajno uniči izdelano kopijo in o tem v osmih dneh pisno obvesti preiskovalnega sodnika, državnega tožilca in imetnika oziroma uporabnika elektronske naprave, če je znan.

Navedena odločba v bistvu le ponovno poudarja načelo, ki je zapisano že v 5. odstavku 219.a člena, gre pa seveda za varovalko, ki preprečuje zlorabe tim. nujnih primerov.

223.a/3 člen ZKP-J

(3) Imetnik, uporabnik, upravljavec ali skrbnik elektronske naprave oziroma tisti, ki ima do nje dostop, mora na zahtevo organa, ki jo je zasegel, takoj ukreniti, kar je potrebno in je v njegovi moči, da se onemogoči uničenje, spreminjanje ali prikrivanje podatkov. Če noče tako ravnati, se sme kaznovati oziroma zapreti po določbi drugega odstavka 220. člena tega zakona, razen če gre za osumljenca, obdolženca ali osebo, ki ne sme biti zaslišana kot priča (235. člen) ali se je v skladu s tem zakonom odrekla pričevanju (236. člen).

Podobno kot v 219.a/6 členu, ki opredeljuje dolžnost izročitve šifrirnih ključev in pojasnil o delovanju naprave, tudi ta člen opredeljuje dolžnosti oseb, ki imajo do naprave dostop oz. z njo upravljajo. Dolžnost teh oseb (z enakimi izjemami kot v 219.a/6 členu) je predvsem, da takoj ukrenejo vse potrebno in – kar je še posebej pomembno – je v njihovi moči, da se zavarujejo dokaze oz. onemogočijo uničenje, spreminjanje ali prikrivanje podatkov. Tipičen primer uporabe določbe tega člena bi bila npr. zahteva za zavarovanje dnevniških zapisov, ki se v informacijskih sistemih hranijo določen čas, po preteku določenega časa, pa se starejši zapisi izbrišejo.

223.a/4 in 223.a/5 člen ZKP-J

(4) Imetnika naprave se povabi, naj bo sam, njegov zastopnik, odvetnik ali strokovnjak navzoč pri zavarovanju podatkov po prvem odstavku tega člena. Če se ne odzove vabilu, če je odsoten ali če ni znan, se zavarovanje podatkov in izdelava istovetne kopije opravi v njegovi nenavzočnosti. Zavarovanje podatkov opravi ustrezno usposobljena oseba.

(5) Pri zavarovanju podatkov se v zapisnik zapiše tudi kontrolna vrednost, oziroma se na drug ustrezen način v zapisniku zagotovi možnost naknadnega preverjanja istovetnosti in integritete zavarovanih podatkov. Izvod zapisnika se izroči osebi iz prejšnjega odstavka, ki je bila navzoča pri zavarovanju podatkov.

Navedeni odstavek daje imetniku naprave možnost, da je prisoten pri zavarovanju oz. zasegu (kopiranju) podatkov (ne pa tudi pri sami preiskavi). Kopiranje podatkov po pravilih digitalno forenzične stroke namreč zahteva tudi izračun tim. kontrolne vsote. Gre za poseben postopek, ki na podlagi matematičnega algoritma izračunavanja kontrolnih vsot (ang. hash values) izračuna unikatni digitalni prstni odtis podatkov (v obliki števila). Za kopijo podatkov, ki ima enako kontrolno vsoto velja, da je istovetna originalnim podatkom. Če pa pride do kakršnekoli (pooblaščene ali nepooblaščene, namerne ali nenamerne) spremembe podatkov, se kontrolna vsota teh podatkov spremeni in ne moremo več govoriti o istovetni kopiji, posledično pa tak dokaz ni več veljaven. Praviloma se za izračun uporabljata algoritma MD5 in SHA oziroma njegove podrazličice, čeprav se uporaba MD5 v svetu opušča, saj je bilo leta 2005 dokazano, da MD5 ni več ustrezen oz. ne daje ustreznih zagotovil za zagotavljanje integritete podatkov.

Z izračunom kontrolne vsote in prisotnostjo imetnika naprave se zagotovi, da je zagotovljena integriteta zaseženih podatkov in da je kasneje mogoče dokazati ali je prišlo do spremembe podatkov (npr. podtikanja ali prikrivanja dokazov s strani preiskovalcev ali drugih oseb) ali ne. Ker gre seveda za postopek, pri katerem je potrebno določeno tehnično znanje, je v zakonu imetniku naprave dana možnost, da k zavarovanju dokazov povabi tudi strokovnjaka, ki mu zaupa.

223.a/6 ZKP-J

(6) Zaseg in zavarovanje podatkov morata biti opravljena na način, s katerim se v najmanjši možni meri posega v pravice oseb, ki niso osumljenci ali obdolženci, in varuje tajnost oziroma zaupnost podatkov ter se ne povzroča nesorazmerna škoda zaradi nezmožnosti uporabe elektronske naprave.

Podobno kot v 219.a/7 členu je tudi tukaj navedena varovalna določba glede zasega in zavarovanja podatkov.

223.a/7 ZKP-J

(7) Kopije zaseženih podatkov se hranijo, dokler je to potrebno za postopek. Elektronska naprava se hrani, dokler podatki niso shranjeni na način, ki zagotovi istovetnost in integriteto zaseženih podatkov, vendar ne več kakor tri mesece od dneva pridobitve. Če izdelava takšne kopije podatkov ni mogoča, se elektronska naprava ali del elektronske naprave, ki vsebuje iskane podatke, hrani, dokler je to potrebno za postopek, vendar ne več kakor šest mesecev od dneva pridobitve, razen če je bila zasežena elektronska naprava uporabljena za izvršitev kaznivega dejanja oziroma je sama elektronska naprava dokaz v kazenskem postopku.

Precejšnjo novost predstavlja tudi sedmi odstavek 223.a člena. Določa namreč pravila glede hrambe kopije podatkov in vračanja pridobljene elektronske naprave (nosilca podatkov). Osnovno načelo, ki ga uveljavlja zakon je, da se sama naprava čim hitreje vrne imetniku, kopija podatkov pa se hrani dokler je to potrebno za kazenski postopek.

Vsekakor je napravo potrebno shraniti vsaj dokler podatki niso v skladu s pravili digitalno forenzične stroke ustrezno zaseženi (prekopirani). To obdobje pa lahko traja največ tri mesece, nato pa se naprava imetniku vrne.

Seveda pa je mogoča tudi situacija, ko kopije digitalnih podatkov ni mogoče izdelati, ko gre npr. za kakšno posebno elektronsko napravo, ki ne omogoča prenosa podatkov na zunanji medij. V tem primeru je uveljavljeno načelo, da se elektronska naprava oziroma – če je mogoče – samo njen del, hrani dokler je to potrebno za postopek. Tudi tukaj zakon uvaja varovalko – hramba je omejena na največ šest mesecev – a s pridržkom: razen če je bila zasežena elektronska naprava uporabljena za izvršitev kaznivega dejanja oziroma je sama elektronska naprava dokaz v kazenskem postopku.

Zakon torej uveljavlja načelo, da se elektronska naprava čim prej po zasegu podatkov na njej vrne imetniku, saj za kazenski pregon ni bistven nosilec podatkov, pač pa vsebina podatkov. Kljub temu se postavlja vprašanje kaj storiti v primerih, ko zakonodaja zahteva odvzem inkriminiranih podatkov.

223.a/8 člen sicer predvideva izločitev in uničenje podatkov, ki se ne smejo hraniti. Pri tem se opira na 498. člen ZKP, ki v prvem odstavku določa, da se predmeti, ki se po kazenskem zakonu smejo ali morajo vzeti, vzamejo tudi tedaj, kadar se kazenski postopek ne konča z obsodilno sodbo, če je nevarno da bi bili uporabljeni za kaznivo dejanje ali če to zahtevajo koristi splošne varnosti ali razlogi morale.

Vendar pa se 223.a/8 člen izrecno nanaša na zasežene kopije podatkov, ne pa na originalne podatke (na originalnem nosilcu podatkov). Za primer si zamislimo situacijo, kjer je storilec ukradel in si na svoj računalnik prekopiral bazo osebnih podatkov ali pa si je na računalnik naložil npr. vsebine povezane z otroško pornografijo. V slednjem primeru Kazenski zakonik v 5. odstavku 176. člena določa, da se takšno gradivo vzame ali njegova uporaba ustrezno onemogoči. V praksi se tako zastavlja vprašanje ali nosilce podatkov s takšno vsebino imetniku takoj po izdelavi ustrezne digitalno forenzične kopije vrniti ali ne.

Odgovor na to vprašanje gotovo ni enoznačen, saj je verjetno, da se na istem nosilcu podatkov poleg inkriminiranih podatkov nahajajo tudi drugi podatki, morda gre celo za podatke drugih, s storilcem povsem nepovezanih oseb. Tipičen primer bi bil recimo spletni strežnik z več (med seboj nepovezanimi) uporabniki, pri čemer eden izmed uporabnikov na svoj del strežnika naloži inkriminirane vsebine, spletne strani ostalih uporabnikov istega sistema pa ne vsebujejo nič nezakonitega. V takem primeru je verjetno nesorazmerno odvzeti in uničiti celoten nosilec podatkov. Zastavlja se tudi vprašanje, kdaj do odkritja inkriminiranih vsebih sploh pride. Obstoj spornih vsebin ob sami izdelavi kopije podatkov še ni potrjen in ga bo morda razkrila šele kasnejša (in dalj časa) trajajoča preiskava.

Ko pa inkriminirani podatki enkrat so identificirani, pa je verjetno najbolj smiselno izvesti izbris zgolj inkriminiranih podatkov, npr. zgolj fotografij in filmov povezanih z otroško pornografijo. S tem se inkriminirano gradivo odvzame oz. njegova uporaba onemogoči, hkrati pa se ne poseže v druge, povsem nesporne podatke. Vseeno pa velja opozoriti, da mora biti tak izbris opravljen na ustrezen način, ki (storilcu) kasneje onemogoča rekonstrukcijo izbrisanih podatkov.

223.a/8 ZKP-J

(8) Kopije podatkov, pridobljene v skladu z določbami tega člena, ki se ne nanašajo na kazenski pregon in za katere ni kakšnega drugega zakonskega razloga, da bi se smeli hraniti (498. člen), se izločijo iz spisa, če je to mogoče in se zapisniško uničijo, o čemer se v osmih dneh obvestijo preiskovalni sodnik, državni tožilec in imetnik elektronske naprave.

Zadnja določba, ki jo obravnavamo na tem mestu pa določa pravila glede izločitve zaseženih podatkov, ki se ne nanašajo na kazenski pregon, npr. elektronskih sporočil ali datotek ostalih uporabnikov informacijskega sistema. Pri tem zakon uporablja dikcijo “če je to mogoče”, kar se nanaša na vse tiste primere, ko dela podatkov morda ni mogoče izločiti, saj bi s tem npr. posegli v integriteto zaseženih podatkov ali kako drugače poškodovali podatke, potrebne za kazenski pregon.

Sklep

Novela Zakona o kazenskem postopku torej prinaša kar nekaj novosti. Novela je bila pripravljena na podlagi tehtnih strokovnih razmislekov in ob upoštevanju varstva človekovih pravic. Poleg visokih standardov varstva zasebnosti dokončno postavlja tudi ustrezne standarde glede uporabe načel digitalne forenzike v kazenskih postopkih. Kljub temu razvoj tehnologije vedno prehiteva pravo in tudi sedanja ureditev utegne v prihodnosti pokazati nekatere pomanjkljivosti, na katere sem v članku skušal tudi opozoriti. Vseeno pa novela po mojem mnenju predstavlja pomembno modernizacijo slovenskega pravnega reda na področju tim. informacijskega prava, kar je gotovo dobrodošlo.

Udeleženci so se med drugim lahko seznanili s problematiko kiberkriminala, zlorabami osebnih podatkov v digitalnem okolju, zasebnostjo na delovnem mestu, problematiko jurisdikcije za kiberkriminalna dejanja, pomenom digitalne forenzike pri preiskovanju in številnimi drugimi temami. Vabljeni k ogledu.