Neupravičen dostop do informacijskega sistema: komentar sodbe št. 2905 iz leta 2024

Sodba št. 2905 z dne 23. oktobra 2024 ponuja pomembna pojasnila glede neupravičenega dostopa do informacijskih ali telekomunikacijskih sistemov in obravnava vprašanje varnostnih ukrepov, potrebnih za njihovo zaščito. Ta tema je še posebej aktualna glede na eksponentno rast kibernetskih kaznivih dejanj in vse večjo potrebo po zaščiti občutljivih podatkov.

Dejansko stanje in pravni kontekst

V obravnavani sodbi je sodišče preučilo primer, v katerem je bil obdolženec D. G. obtožen neupravičenega dostopa do informacijskega sistema, natančneje sistema Galileo, ki je bil rezerviran za člane Agencije za notranje obveščanje in varnost (AISI). Sodišče je ponovilo, da se kaznivo dejanje ne nanaša le na tehnične varnostne ukrepe, temveč lahko vključuje tudi organizacijske ukrepe.

• Tehnični varnostni ukrepi: nadzor dostopa, požarni zidovi, šifriranje.
• Organizacijski ukrepi: notranji pravilniki, usposabljanje osebja, postopki dostopa.
• Odločitev sodišča: sistem Galileo je bil za svoj namen zaščiten z ustreznimi ukrepi.

Uveljavljeno pravno načelo

Neupravičen dostop do informacijskega ali telekomunikacijskega sistema - Varnostni ukrepi za zaščito sistema - Organizacijski ukrepi - Utemeljenost kaznivega dejanja - Obstoj - Dejansko stanje. Za utemeljenost kaznivega dejanja neupravičenega dostopa do informacijskega ali telekomunikacijskega sistema je lahko zaščita sistema zagotovljena tudi z organizacijskimi ukrepi, ki urejajo načine dostopa in ga dovoljujejo izključno pooblaščenim osebam za določene namene ali za doseganje poslovnih ciljev. (V skladu z načelom je sodišče utemeljeno kvalificiralo sistem Galileo kot informacijski ali telekomunikacijski sistem, zaščiten z varnostnimi ukrepi, čeprav je bil uporaben tudi za iskanje po odprtih virih, saj je bil rezerviran za člane AISI za izvajanje namenov Agencije).

Sodišče je torej potrdilo, da je lahko zaščita informacijskega sistema zagotovljena tudi z organizacijskimi ukrepi. To je ključnega pomena, zlasti za podjetja in organizacije, ki obdelujejo občutljive podatke. Organizacijski ukrepi morajo biti jasni in dobro opredeljeni, določati morajo, kdo lahko dostopa do katerih informacij in pod kakšnimi pogoji.

Zaključek

Sodba št. 2905 iz leta 2024 predstavlja pomemben korak naprej pri razumevanju ukrepov, potrebnih za zaščito informacijskih sistemov. Vrhovno sodišče je pojasnilo, da ni dovolj le izvajanje tehničnih rešitev, temveč je bistveno tudi sprejetje organizacijskih postopkov, ki lahko zagotovijo nadzorovan in varen dostop. Zavedanje in usposabljanje osebja sta zato ključna elementa za preprečevanje kaznivega dejanja neupravičenega dostopa, kar organizacije naredi bolj odporne na kibernetske grožnje.