Informacioni sistem Republičkog geodetskog zavoda – u daljem tekstu RGZ, bio je meta hakerskog napada! Čini mi se da ova vest obzirom na težinu stvarnih posledica, i još veću težinu mogućih posledica, nije u javnosti dobila značaj udarne vesti, ali je zato mene potakla i na neki način „ubrzala“ da pišem o temi o kojoj se već duže vreme nameravam da pišem – da li je krivično-pravno zakonodastvo Republike Srbije adekvatno za borbu protiv tzv. cyber kriminala?!
Stvarne posledice predmetnog hakerskog napada zapravo još uvek nisu poznate, ali i one koje su poznate, i ako posredne ni malo se ne mogu i ne smeju zanemariti. Kako dnevni list „Politika“ prenosi u svom tekstu od 16.06.2022. godine, pod naslovom „Geodetski zavod o hakerskom napadu: Podaci građana nisu ugroženi“, predstavnici RGZ-a tvrde da nemaju informaciju da je usled hakerskog napada na informacionu sistem RGZ-a došlo do krađe podataka građana, ali da je sistem „zaključan“ radi spečavanja daljeg napada i radi provere i odbrane sistema. Međutim, „zaključavanje“ sistema za posledicu je imalo nemogućnost pristupa javno dostupnim on-line servisima RGZ-a (GeoSrbija i Knweb), ali i nemogućnost izdavanja Listova nepokretnosti i zaključivanja ugovora o kupoprodaji i drugih pravnih poslova u vezi nepokretnosti. Obustavljen je promet nepokretnosti u čitavoj Republici Srbiji!
Dakle, da li je krivično-pravno zakonodavstvo Republike Srbije adekvatno da dogovori ovakvom izazovu ili cyber kriminalu uopšte?!
Prema mom skromnom mišljenju na žalost NIJE!
Krivično-pravno zakonodavstvo Republike Srbije nije adekvatno za borbu protiv cyber kriminala niti sa stanovišta krivčno-materijalnog prava, ni sa stanovišta krivično-procesnog prava, a svakako to nije sa organizacionog stanovišta!
Prvo da objasnimo problem sa krivično-materijalnog stanovišta (uzgred krivično-materijalno pravo čine zakonske norme koje propisuju šta je krivično delo i koja je propisana kazna za njegovo izvršenje, a bliže objašnjenje ovog pojma, kao i pojma krivično-procesnog prava možete pronaći u tekstu „Abeceda krivice“ na portalu krivica.rs). Krivični zakonik ("Sl. glasnik RS", br. 85/2005, 88/2005-ispr., 107/2005-ispr., 72/2009, 111/2009, 121/2012, 104/2013, 108/2014, 94/2016 i 35/2019) – u daljem tekstu KZ, bavi se ovom vrstom krivičnih dela u posebnoj glavi pod nazivom „KRIVIČNA DELA PROTIV BEZBEDNOSTI RAČUNARSKIH PODATAKA“. Već iz samog naziva ove glave KZ-a može se naslutiti problem – akcenat je na bezbednosti računarskih podataka, a ne recimo na bezbednom i neometan funkcionisanju čitavih informacionih sistema. Odgovor na pitanje zašto je to tako krije se u činjenici da je od 2006. godine KZ pretrpeo čak šest izmena i dopuna, ali da krivična dela iz ove glave gotovo uopšte nisu menjana (zapravo su od 2006. godine učinjene samo dve manje izmene, koje nisu bile suštinskog karaktera). Ako se setite kakav značaj su digitalne i informacione tehnologije imale u prvim godinama 2000-tih, kada je pripreman KZ, a kakav rekao bih kolosalni i globalni značaj imaju danas, onda vam je sigurno jasno da su krivična dela u ovoj glavi KZ-a koncipirana za borbu protiv mogućih cyber pretnji u onoj meri u kojoj su one imale značaj početkom 2000-tih, a ne u onoj meri koja bi bila adekvatna realnoj opasnosti od cyber pretnji danas!
Da ilustrujemo ovo kratkim primerom. Kada se imaju u vidu sva krivična dela iz ove glave KZ-a, hakerski napad kakav je pretrpeo RGZ teško da bi mogao da se činjenično kvalifikuje kao neko od krivičnih dela iz ove glave KZ-a. Ovo zato što sva krivična dela iz ove glave KZ-a imaju za cilj zaštitu pre svega hardvera, i to pojedinačnih računara ili lokalnih računarskih mreža, kao i sprečavanje uništavanja ili krađe podataka, i sprečavanje da se na taj način stekne protivpravna imovinska korist. Hakerskim napadom na RGZ nije uništen niti oštećen bilo koji hardverski uređaj, a izgleda da nije došlo ni do uništenja niti krađe podataka, niti je neko stekao bilo kakvu korist, pa bi prema KZ-u proizilazilo da nema krivičnog dela?! Nema krivičnog dela, a praktično je ugrožen suverenitet Republike Srbije obzirom da je blokiran rad jedno tako važnog informacionog sistema! Više nego paradoksalno! U aktuelnom KZ-u postoji recimo krivično delo računarska sabotaža iz čl. 299., ili krivično delo neovlašćeni pristup zaštićenom računaru, računarskoj mreži i elektronskoj obradi podataka iz čl. 302., ali su propisana anahrono, što bi otežalo ili gotovo onemogućilo podvođenje jednog ovakvog hakerskog napada pod neko od ovih krivičnih dela (zašto ovo smatram biće tema sledećeg posebnog teksta na poratlu), a na stranu što su zaprećene kazne više nego neadekvatne stvarnoj društvenoj opasnosti jednog takvog dela – za krivično delo iz čl. 299. maksimalna propisana kazna je kazna zatvora od 5 godina, dok je za krivično delo iz čl. 302. maksimalna zaprećena kazna, i to za kvalifikovani (teži) oblik, kazna zatvora od 3 godine.
Zaključak je jedan jedini – u našem KZ-u kao najvažnijem krivično-materijalnom zakonskom propisu, hakerski napad nije propisan niti regulisan kao krivično delo, na način koji bi odgovarao trenutnom stepenu razvoja digitalnih, informacionih i komunikacionih tehnologija! Kreatori naše krivično-pravne politike i zakonodavstva više se bave pitanjima opšteg kriminala, ili pitanjima privrednog kriminala i krivičnim delima koruptivnog karaktera, pa je tako npr. glava KZ-a koja propisuje krivična dela protiv privrede u istom vremenskom periodu počev od 2006. godine do danas, menjana više puta i to u celosti!
Kakva je situacija sa krivično-procesnog stanovišta?! Ne tako loša rekao bih, ali ni blizu dobre. U cilju dokazivanja većine od krivičnih dela iz ove glave KZ-a, prema odredbama Zakonika o krivičnom postupku ("Sl. glasnik RS", br. 72/2011, 101/2011, 121/2012, 32/2013, 45/2013, 55/2014, 35/2019, 27/2021 - odluka US i 62/2021 - odluka US) – u daljem tekstu ZKP, moguće je pribavljati dokaze primenom tzv. POSEBNIH DOKAZNIH RADNJI. Posebne dokazne radnje predstavljaju netradicionalne dokazne radnje, kao što je recimo tajni nadzor komunikacija, ili ono što se kolokvijalno naziva prisluškivanjem. Zakonodavac propisuje primenu ovih posebnih dokaznih radnji kod otkrivanja i dokazivanja naročito teških krivičnih dela, ili recimo krivičnih dela izvršenih od strane organizovanog kriminala. Dakle, imajući u vidu da je odredbom iz čl. 162. st. 3. ZKP-a zakonodavac propisao da se posebne dokazne radnje između ostalog mogu koristiti i radi otkrivanja i dokazivanja većine krivičnih dela iz glave KZ-a koja propisuje krivična dela protiv bezbednosti računarskih podataka, to znači da je ipak pravilno prepoznata realna društvena opasnost koju sa sobom nosi potencijalno izvršenje nekih od krivičnih dela ove vrste.
Međutim, ono što nije dobro je to što naš ZKP među posebnim dokaznim radnjama ne propisuje one koje bi trebalo da se tiču prikupljanja tzv. ELEKTRONSKIH DOKAZA (E-evidence). Već duži niz godina unazad, u EU ali i u drugim pravnim sistemima širom planete, prepoznat je značaj elektronskih dokaza u smislu otkrivanja i dokazivanja širokog spektra krivičnih dela u modernoj tehnološkoj eri. Značaj elektronskih dokaza, odnosno propisivanja procedura za njihovo pribavljanje koje bi istovremeno bile u skladu sa principom zaštite privatnosti građana, veliki je ne samo za otkrivanje i dokazivanje krivičnih dela koja bi mogla da se podvedu pod cyber kriminal, već i krivičnih dela kao što su pranje novca, terorizam itd. Među posebnim dokaznim radnjama u okviru našeg ZKP-a propisana je posebna dokazna radnja računarsko pretraživanje podataka, ali je ista pre svega usmerena na računarsko pretraživanje već obrađenih ličnih i drugih podataka i njihovo poređenje sa podacima koji se odnose na osumnjičenog i krivično delo. Pojam elektronskog dokaza je mnogo širi pojam.
Istini za volju, primenom aktuelnih odredaba ZKP-a moguće je pribavljati između ostalog i dokaze u elektronskom, odnosno digitalnom obliku, bilo primenom tradiconalnih dokaznih radnji, bilo primenom posebnih dokaznih radnji, i jedini uslov da takav dokaz bude korišćen na sudu je da isti bude pribavljen u skladu sa odredbama ZKP-a. Takođe, ZKP u članu koji definiše pojmove i izraze koji se koriste u zakonskom tekstu, definiše i pojamove kao što su „elektronski zapis“ i „elektronski dokument“, te su krivičnim postupcima proteklih godina od strane sudova neretko korišćeni dokazi u elektronskoj ili digitalnoj formi. Ipak, smatram da je više nego neopohodno da ZKP kao posebnu kategoriju dokaza definiše elektronske dokaze, te da se propišu posebne dokazne radnje čija bi namena bila prikupljanje elektronskih dokaza.
U organizacionom smislu stvari stoje možda i najlošije.
Nekom se ovakva moja tvrdnja može učiniti čudnom, obzirom da je Republika Srbija donela poseban Zakon o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala ("Sl. glasnik RS", broj 61/2005 i 104/2009) – u daljem tekstu Zakon, kojim se uređuje obrazovanje, organizacija, nadležnost i ovlašćenja posebnih organizacionih jedinica državnih organa radi otkrivanja, krivičnog gonjenja i suđenja za krivična dela koja spadaju u visokotehnološki kriminal (čl. 1.). Dalje se ovim Zakonom propisuje da visokotehnološki kriminal predstavlja vršenje krivičnih dela kod kojih se kao objekat ili sredstvo izvršenja krivičnih dela javljaju računari, računarski sistemi, računarske mreže, računarski podaci, kao i njihovi proizvodi u materijalnom ili elektronskom obliku.
Pa šta je onda tu loše?
Slično kao kod KZ-a, odnosno slično kao i kod krivično-materijalnog prava, ovaj Zakon donet je 2005. godine, a revidiran je samo jednom, 2009. godine. Značaj visokih tehnologaija za današnje društvo, zatim oblici i obim visokotehnološkog kriminala i način izvršenja krivičnih dela koja spadaju u visokotehnološki kriminal, kao i društvena opasnost koju sa sobom nose ta krivična dela, višestruko su se izmenili za tih poslednjih 15-20 godina.
Napred navedenim Zakonom formirano je Posebno odeljenje za borbu protiv visokotehnološkog kriminala Višeg javnog tužilaštva u Beogradu, te je propisano da je to jedno jedino Posebno odeljenje, jednog jedinog Višeg tužilaštva, nadležno za postupanje u predmetima krivičnih dela visokotehnološkog kriminala za teritoriju ČITAVE Republike Srbije?! Slično je propisana i nadleženost suda - za postupanje u predmetima krivičnih dela visokotehnološkog kriminala za teritoriju ČITAVE Republike Srbije, nadležan je Viši sud u Beogradu! Jedno tužilaštvo (i to ne celo već jedno odeljenje tog tužilaštva), i jedan sud, za sve što se u pogledu visokotehnološkog kriminala desi na čitavoj teritoriju Republike Srbije! Složićete se da Republika Srbija niti je toliko mala, niti je pak tehnološki zaostala u toj meri, da bi ovo bilo dovoljno!
Evo primera kako to izgleda u praksi. Jedno privredno društvo iz Niša koje zastupam, i koje upošljava gotovo tri stotine radnika i bavi se pakovanjem i proizvodnjom hrane, u periodu od septembra 2018. godine do februara 2019. godine bilo je izloženo u više navrata radnjama NN lica koje bi se radnje mogle kvalifikovati kao krivično delo neovlašćeni pristup zaštićenom računaru, računarskoj mreži i elektronskoj obradi podataka iz čl. 302. KZ-a i kao krivično delo oštećenje računarskih podataka i programa iz čl. 298. KZ-a. U onoj meri u kojoj je hakerski napad na informacioni sistem RGZ-a značajan i opasan za Republiku Srbiju, u istoj meri je to bilo opasno za interese ovog privrednog društva. Podneli smo krivičnu prijavu Posebnom odeljenju za visokotehnološki kriminal Višeg javnog tužilaštva u Beogradu u martu mesecu 2019. godine. Do januara 2022. godine, za kada je bilo zakazano ispitivanje predstavnika ovog privrednog društva kao oštećenog pravnog lica, nismo imali informaciju da li je nešto po našoj prijavi preduzimano, i da li je otkriven identitet NN izvršioca. Ovo ne zato što kolege iz predmetnog tužilaštva ne žele da rade, već jednostavno nemaju dovoljne ljudske i tehničke kapacitete da se bave svim predmetima ove vrste sa čitave teritorije Republike Srbije! Pa kada se još desi slučaj od nacionalnog značaja, kao što je hakerski napad na RGZ, kada se svi raspoloživi ljudski kapaciteti stavljaju u funkciju zaštite interesa države, svi predmeti koji se tiču zaštite građana ili privrede, jednostavno čekaju! Sa druge strane, drugim posebnim zakonom formirana su pri Višim tužilaštvima Posebna odeljenja za borbu protiv korupcije, ali ne samo pri Višem tužilaštvu u Beogradu, već i pri Višem tužilaštvu u Novom Sadu, zatim u Nišu, i u Kraljevu. U najmanju ruku bi ovakvo zakonsko i organizaciono rešenje moralo biti propisano i u odnosu na posebna odeljanja za borbu protiv visokotehnološkog kriminala!
Zaključak bi bio sledeći – krivično pravo Republike Srbije nužno mora biti izmenjeno i reformisano kako bi zadovoljilo potrebe borbe protiv cyber kriminala, imajući u vidu stepen razvoja i značaja informacionih, digitalnih i komunikacionih tehnologija u savremenom društvu. U tom smislu je nužna pre svega reforma krivično-materijalnih propisa, ali je možda i nužnija organizaciona reforma državnih organa koji su nadležni za borbu protiv visokotehnološkog kriminala, dok su potrebne i određene izmene i dopune krivično-procesnih zakonskih rešenja!