(Ne)legální port scanning

Skenování portů (port scanning) je patrně jedna z nejpopulárnějších průzkumných, resp. rekognoskativních technik na Internetu, která nachází stále větší uplatnění v řadě činností spojených snad s jakýmkoliv internetovým provozem. Tuto techniku používá nejen řada nepochybně přínosných služeb (např. vyhledávače jako AltaVista nebo Google), ale bývá také velmi často zneužívána hackery, kterým slouží především jako prostředek u nějž počíná pokus o průlom do nějakého systému.

Každé takové skenování (ať již je jeho původcem hacker či výše uvedený vyhledávač) nepochybně snižuje kapacitu, případně výkonnost jednotlivých systémů a v řadě případů dokonce může výrazným způsobem přispět k pádu či přetížení celého systému. Takovéto důsledky pak bezpochyby dávají podnět k vyřešení řady právních (a zejména odpovědnostních) otázek s tím souvisejících. Stejně tak, jak dochází k vývoji těchto názorů, utváří se i samotná právní úprava, která navíc ještě musí reagovat na spoustu dalších aspektů společenského vývoje.

Je tedy skenování portů legální, či snad jde jen o pouhou neslušnost? Na tyto a jim podobné otázky se snaží odpovědět (po nedávných zkušenostech v diskusi k tomuto článku však raději ve stručné podobě) právě tento článek.

K některým obecným aspektům

Obecně nelze říci, že skenování portů je nezákonné. Jak již bylo naznačeno výše, skenování portů může být v některých případech i velmi žádoucí a to i ze strany subjektů, které by se jinak mohly cítit poškozeny. V tomto smyslu lze dokonce tvrdit, že většina provozovatelů různých systémů bude naopak ráda, že jsou jejich stránky prostřednictvím těchto vyhledávačů skenovány. Pokud jde o takovéto běžné skenování (jak je tomu např. právě u vyhledávače Google), nedovedu si představit, že by bylo možné hovořit o jakékoliv nezákonnosti. V řadě dalších (závažnějších) případů však již o nezákonné jednání jít může.

Je sice nesporné, že neexistuje právní předpis (zákon, vyhláška, apod.), který by výslovně zakazoval skenování portů, či jinou obdobu této činnosti. To však neznamená, že řada zákonných norem (zejména pak občanský a trestní zákoník) nechrání ty subjekty, které by mohly být touto činností, resp. rozsahem této činnosti poškozeni. Náš právní řad tedy skenování portů výslovně nezakazuje, ale v případě, že v důsledku tohoto (byť ne zakázaného) skenování vznikne nějaká škoda, stanoví zákon odpovědnostní následky.

Otázka zda je skenování portů zákonné, či nikoli v sobě tedy implikuje otázku odpovědnostních důsledků za takové skenování. Odpověd na tuto otázku pak nepochybně z právního hlediska souvisí s účelem (úmyslem), případně následkem takovéto činnosti. Dalším takovým velmi podstatným aspektem (ne)zákonnosti tohoto skenování pak může být jeho rozsah, resp. míra, kterou tato činnost zatěžuje samotný systém.

Dle mého soudu není sporu o tom, že skenování portů ve velkém rozsahu může ve svém důsledku způsobit i pád, případně i přetížení celého systému. V tomto případě pak ale nepochybně jde o útok typu DoS (Denial of Service), a ten již samozřejmě nezákonný je, byť to žádný předpis výslovně neříká.

Určit jednoznačně hranici mezi běžným skenováním portů a útokem typu DoS a s tím spojenými různými odpovědnostními důsledky není snadné přesně vymezit. Dle mého názoru to však lze dovodit z následujících řá­dek.

Právě rozsah, účel a z toho vyplývající možný následek takového skenování je tedy více než klíčový pro další hodnocení této problematiky. Pro jednoduchost se budu zabývat pouze úpravou v občanském zákoníku a trestním zákoníku.

Úprava dle občanského zákoníku

Právní řád vždy klade důraz na to, aby ke škodě vůbec nedošlo, a proto upravuje určité instrumenty, kterými se má škodě předcházet. Předcházení hrozícím škodám je upraveno v § 415 zákona č. 40/1964 Sb. Občanský zákoník v platném znění (dále jen občanský zákoník), podle něhož „Každý je povinen počínat si tak, aby nedocházelo ke škodám na zdraví, na majetku, na přírodě a životním prostředí.“ Je nesporné, že jde o velmi obecné ustanovení proklamativní typu; v praxi však má velmi široké důsledky.

Otázka případného porušení výše uvedené povinnosti ze strany osoby, která buď přímo nebo nepřímo skenování portů provádí, je pro další kvalifikaci takovéhoto jednání více než klíčová (v tomto bodě bych však rad odkázal na jiný svůj článek, kde se touto problematikou zabývám podrobněji).

S ohledem na jednotlivé druhy odpovědnosti v občanském zákoníku lze vycházet především z úpravy obecné odpovědnosti subjektivní (dle § 420), ve výjimečných případech pak z odpovědností objektivní (§ 420a) – tou se zde vzhledem k rozsahu ale zabývat nebudeme. Ze zvláštních druhů odpovědnosti pak nepochybně přichází v úvahu také odpovědnost za škodu způsobenou úmyslným jednáním proti dobrým mravům (§ 424 ObčZ).

Obecná odpovědnost za škodu na subjektivním principu tedy vyplývá z ustanovení § 420 a násl. občanského zákoníku, které stanoví, že „Každý odpovídá za škodu, kterou způsobil porušením právní povinnosti“. Z toho vyplývá, že základními předpoklady takové povinnosti jsou:

1. porušení právní povinnosti (v našem případě postačí porušení již výše zmíněné povinnosti předcházet hrozícím škodám dle § 415 občanského zákoníku)
2. způsobení škody (existence škody – např. škoda způsobená v důsledků přetížení a následného zhroucení systému)
3. příčinná souvislost mezi způsobením škody a porušením právní povinnosti (tzv. kauzální nexus)
4. zavinění (a to jak nedbalostní, tak i úmyslné)

Pokud dojde k naplnění výše uvedených předpokladů, je nesporné, že subjekt, který takovou škodu způsobil, za ni bude také bude odpovídat. Nejde zde pouze o škodu skutečnou (např. poškozený HDD), ale i o ušlý zisk. Výše škody, jejíž náhrada je žalobním petitem uplatňována, musí být skutečně prokázána.

Odpovědnost za škodu způsobenou úmyslným jednáním proti dobrým mravům (§ 424 ObčZ) představuje v zásadě analogii k obecné odpovědnosti za škodu na subjektivním principu, kde je namísto předpokladu spočívajícího v porušení právní povinnosti vyžadována pouze existence úmyslného jednání proti dobrým mravům. Dobrými mravy společnosti je nutno chápat souhrnem etických, obecně zachovávaných a uznávaných zásad, jejichž dodržování je mnohdy zajišťováno i právními normami tak, aby každé jednání bylo v souladu s obecnými morálními zásadami demokratické společnosti. V tomto směru by bylo nepochybně možné opřít se i o pravidla etiky v prostředí Internetu.

Subjekt, který provádí skenování portů může tedy odpovídat podle občanského zákoníku zejména v tom případě, že naplní všechny předpoklady obecné odpovědnosti za škodu na subjektivním principu dle § 420, případně odpovědnost za škodu způsobenou úmyslným jednáním proti dobrým mravům dle § 424 ObčZ.

Úprava dle trestního zákoníku

V souvislosti s výše uvedeným nelze také současně vyloučit možnost vzniku trestněprávní odpovědnosti. Vyjma některých trestných činů (jako např. nekalá soutěž dle § 149 zákona č. 140/1961 Sb.) Trestní zákon v platném znění (dále jen trestní zákon), jejichž aplikace připadá spíše jen výjimečně, lze v zásadě hovořit pouze o trestném činu poškození a zneužití záznamu na nosiči informací dle § 257a.

Tento trestný čin spáchá ten, „kdo v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch získá přístup k nosiči informací a takových informací neoprávněně užije, či tyto informace zničí, poškodí nebo učiní neupotřebitelnými, nebo učiní zásah do technického nebo programového vybavení počítače“. „Získáním přístupu k nosiči informací“ se zde rozumí takové jednání, které umožní pachateli volnou dispozici s nosičem informací a využití informačního obsahu. Ke splnění této podmínky nemusí nutně dojít pouze fyzickou účastí u nosiče informací, ale také získáním přístupu k tomuto nosiči na dálku (tedy např. modemem a telefonem připojeným na Internet). „Nosičem informace“ je pak jakýkoliv nosič dat v informační technice. „Neoprávněné užití informace“ z jejího nosiče představuje jakoukoliv nedovolenou manipulaci s informačním obsahem příslušného nosiče. „Zničení, poškození a učinění informací neupotřebitelnými“ pak představuje takový zásah do nosiče informací, že se snižuje, nebo zcela zaniká, hodnota jeho informačního obsahu.

Vzhledem k tomu, že tento trestný čin nezná nedbalostní kvalifikaci (nelze jej spáchat z nedbalosti), lze trestně stíhat pouze ty osoby, u nichž by tento úmysl byl prokázán. Vzhledem k § 4 trestního zákona, je trestný čin spáchán úmyslně, jestliže pachatel a) chtěl způsobem v tomto zákoně uvedeným porušit nebo ohrozit zájem chráněný tímto zákonem, nebo b) věděl, že svým jednáním může takové porušení nebo ohrožení způsobit, a pro případ, že je způsobí, byl s tím srozuměn.

Závěr

Osoba, která přímo či nepřímo provádí skenování portů za tuto činnost odpovídá pouze výjimečně, a to zejména v tom případě, že touto svou činností způsobí (byť z nedbalosti) jinému škodu a zároveň naplní všechny předpoklady obecné odpovědnosti za škodu na subjektivním principu dle § 420, případně odpovědnost za škodu způsobenou úmyslným jednáním proti dobrým mravům dle § 424 ObčZ. Důsledkem skenování portů pak může být také trestní odpovědnost osoby, která v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch získá přístup k nosiči informací a učiní zásah do technického nebo programového vybavení počítače.