Mis on kolm küberkuritegevuse liigitust? Advokaat selgitab iga mustri kahjude ennetamise meetmeid
“Küberkuritege” on termin, mis on teatud määral levinud igapäevases kõnepruugis, kuid rahvusvaheliselt on see määratletud kui “kuritegu, mis kuritarvitab arvutitehnoloogiat ja elektroonilist sidevahendit”. Niinimetatud “häkkimine (kräkkimine)” ja muud sellised küberkuriteod võivad muuta ettevõtted ohvriteks ning kui selline kahju on tekkinud, on vaja kaaluda, milliseid meetmeid tuleks rakendada.
Selles artiklis klassifitseerime küberkuriteod kolme tüüpi, mis on Jaapanis üldiselt kasutusel, ja selgitame iga tüübi puhul, millise kuriteoga see vastab ja millised meetmed on olemas, kui olete ohvriks langenud. See klassifikatsioon on oluline, sest
- kui te ei saa öelda, et olete “ohver” juriidilises mõttes, siis kuigi saate “teatada” kuriteost, on raske politseid uurimisele suunata ohvri avalduse või süüdistuse kaudu
- kui kuriteo puhul on olemas tsiviilõiguslikud abinõud, ei pea te politsei uurimisele lootma, vaid võite paluda advokaadilt abi kurjategija tuvastamiseks või nõuda kurjategijalt kahjutasu
- kui olete ise ohver ja tsiviilõiguslikke lahendusi pole, peate politsei uurimist nõudma
Seega, “abinõud” erinevad sõltuvalt tüübist.
Küberkuritegevuse 3 liigitust
Nagu ülalpool mainitud, on tavapärane küberkuritegevuse liigitada kolme kategooriasse.
- Arvutikuriteod: Täpne määratlus on allpool, kuid lihtsustatult on need kuriteod, mis segavad ettevõtte tegevust.
- Võrgukuriteod: Kuriteod, mis on toime pandud interneti kuritarvitamise teel.
- Ebaseadusliku juurdepääsu seaduse rikkumine: Näiteks ebaseadusliku sisselogimise tegevused.
Allpool selgitame iga punkti eraldi.
Mis on arvutikuritegevus?
Mis on arvuti rikkumise ja äritegevuse häirimise kuritegu?
Karistusseadustikus sätestatud arvuti rikkumise ja äritegevuse häirimise kuritegu on selle kategooria tüüpiline näide.
Isik, kes rikub äritegevuses kasutatava arvuti või selle kasutamiseks mõeldud magnetilist salvestust, annab äritegevuses kasutatavale arvutile valeinformatsiooni või ebaõige juhise või kasutab muid meetodeid, et arvuti ei teeks ettenähtud toiminguid või teeks ettenähtud toimingutele vastuolus olevaid toiminguid ning seeläbi häirib äritegevust, karistatakse kuni viieaastase vangistuse või kuni miljoni jeeni suuruse trahviga.
Jaapani karistusseadustiku paragrahv 224-2
Tekst on keeruline, kuid lihtsustatult öeldes,
- äritegevuseks kasutatava arvuti või selle andmete rikkumine
- äritegevuseks kasutatavale arvutile valeinformatsiooni või ettenägematute andmete saatmine
on kuriteod, mis tekivad siis, kui nende vahendite abil põhjustatakse arvutis ettenägematuid toiminguid ja häiritakse äritegevust.
Selle tüüpilised näited on tegevused, nagu turvaaukude kasutamine, teiste inimeste kontodele ebaseaduslik sisselogimine, et suurendada online-panga kontode jääki. Samuti kuuluvad siia tegevused, nagu turvaaukude kasutamine ja sisselogimisandmete ebaseaduslik hankimine, et muuta ettevõtte veebisaiti. Kuigi “ebaseaduslik sisselogimine” on iseenesest “ebaseadusliku juurdepääsu keelu” rikkumine, mida käsitletakse hiljem, hõlmab see kategooria kuritegusid, mis hõlmavad ebaseaduslikke toiminguid, muutmist, kustutamist ja andmete ebaseaduslikku ümberkirjutamist.
Mis on erinevus ebaseadusliku juurdepääsu vahel?
Ja sellise tüüpi kuriteod ei nõua tingimata ebaseadusliku sisselogimise toimumist. Näiteks tüüpiline näide on nn DoS-rünnakud. Saates suure hulga e-kirju, tekitades e-kirja serveris tõrkeid, tehes veebisaidile suure hulga juurdepääse, tekitades veebiserveris tõrkeid, on need tüüpilised mustrid. Need tegevused on seaduslikud, kui vaadata üksikuid e-kirju või juurdepääse, kuid kui neid tehakse suures koguses, põhjustavad need serveris (arvutis) ettenägematuid toiminguid ja tekitavad ettevõttele kahju, näiteks ei saa e-kirju kasutada või veebisaiti avada. Seega, “see ei riku ebaseadusliku juurdepääsu keeluseadust, kuid see kuulub arvuti rikkumise ja muu äritegevuse häirimise alla”. Lisaks on selliste kuritegude puhul probleemiks ka pettusega äritegevuse häirimise süütegu.
Politsei uurimise algatamiseks
Need tegevused on kuriteod, nagu eespool mainitud, ja kuna ettevõte on ohver, on võimalik nõuda politsei uurimist. Kuid tegelikkuses ei ole Jaapani politsei tegevus selliste kuritegude suhtes alati kiiduväärt. See on osaliselt tingitud tehnilistest probleemidest. Näiteks eespool mainisime lihtsat DoS-rünnakut, kuid tegelikud rünnakud ei ole sageli lihtsad, kus ühest IP-aadressist tehakse miljon e-kirja või juurdepääsu, vaid paljudest IP-aadressidest, st rünnakud on hajutatud. Selliseid rünnakuid nimetatakse “DDoS”-iks.
Kui suur hulk e-kirju või juurdepääse tehakse samast IP-aadressist, on selge, et need on ühe isiku poolt tehtud massilised juurdepääsud ja “oletatavast erinevad andmed”. Kuid kui IP-aadressid on hajutatud, ei saa öelda, et need on ebaseaduslikud infoedastused, kui pole tõendeid, et need on tehtud sama isiku poolt. Kuidas siis tõestada, et “suur hulk e-kirju või juurdepääse on tehtud sama isiku poolt” range kriminaalkohtu all? See on tõepoolest politsei ja prokuratuuri jaoks keeruline küsimus.
Lisaks ei saa kriminaalkohtus süüdimõistvat otsust saada ainult tõenditega, et “kuritegelikud tegevused (näiteks suur hulk e-kirju) on tehtud kahtlusaluse arvutist”. Kriminaalasjades nõutakse “mitte millise arvuti, vaid kelle käe läbi” taseme faktide tuvastamist. Tegelikult on kriminaalkohtu otsustes sageli hoolikalt uuritud seda osa, st “kas kuritegevus on kindlasti toime pandud kahtlusaluse arvuti kaudu, kas see on tõesti tehtud kahtlusaluse enda poolt”. Sellised tõendamise takistused on olulised “süütute süüdistuste vältimiseks”, kuid need võivad olla ka põhjuseks, miks politsei ja prokuratuur kõhklevad küberturbe kuritegude uurimisel.
Kuid kui juhtum toimub lühikese aja jooksul, on võimalik, et serveri logide jms põhjalik analüüs võib tuua välja tõendid, et “on väga tõenäoline, et see on tehtud sama isiku poolt” ja “see on kindlasti kahtlusaluse enda poolt tehtud”. IT-tehnoloogia uurimine ja selle uurimise tulemuste õiguslik analüüs, et muuta need õiguslikult oluliseks materjaliks. Kui need kaks elementi on olemas, võib öelda, et on juhtumeid, kus on võimalik nõuda politsei uurimist.
Tsiviilõiguslik lahendus on keeruline
Kuigi oleks hea, kui oleks olemas tsiviilõiguslikud lahendused, mis ei nõua politsei sekkumist, on tõsiasi, et selliste kuritegude puhul on tsiviilõiguslikud meetmed piiratud.
Näiteks kui saadetakse suur hulk e-kirju, on e-kirja (selle päises) kirjas saatja IP-aadress. Seega sooviksite lasta teenusepakkujal avaldada selle IP-aadressi kasutaja aadress ja nimi. Kuid Jaapani tsiviilõiguse kohaselt ei ole teil õigust seda avalikustamist juriidiliselt nõuda. Nagu allpool selgitatakse, on võimalik kasutada teenusepakkuja vastutuse piiramise seaduse alusel saatja teabe avalikustamise õigust, kuid lihtsustatult öeldes on see õigus saadaval ainult
kommunikatsiooniks, mis on mõeldud postitamiseks, mida näevad paljud inimesed (tüüpiline näide on postitused, mis on mõeldud postitamiseks internetifoorumites, mis on avalikud paljudele inimestele)
ja seda ei tunnustata muul juhul.
Tegelikult on sageli nii, et keerukate küberrünnakute korral on politsei uurimise algatamiseks vaja rohkem üksikasjalikke aruandeid kui kohtuasja algatamiseks. Lisaks võib esimesest kontaktist politseiga kuni tegeliku uurimise ja vahistamiseni kuluda aasta või rohkem. Teisest küljest võib tsiviilõiguslik lahendus olla lihtsam, nõuda vähem aega ja olla vähem töömahukas… Kuid selliste kuritegude puhul on tsiviilõiguslik lahendus põhimõtteliselt võimatu või väga keeruline. Kui kurjategija on tuvastatud, on võimalik nõuda kahjutasu kahju eest, mis on tekkinud näiteks veebiserveri rikke tõttu. Kuid selleks ei ole ette nähtud konkreetseid vahendeid.
https://monolith.law/corporate/denial-of-service-attack-dos[ja]
Võrgukuriteod
Kahju tekitamine internetis levitatavate laimavate väidete kaudu
See on kuritegu, mis toime pannakse arvuti või võrgu abil, kuid ei hõlma arvutikuritegusid, mida eespool mainiti. Näiteks, internetis levitatavad laimavad väited ei pruugi rikkuda andmeid, saata ettenägematuid teavet ega põhjustada arvutis ettenägematuid toiminguid, kuid need toime pannakse internetivõrgu abil.
Laimavate väidete levitamist võib liigitada järgmiselt:
- Kuriteod, mis on ebaseaduslikud nii kriminaal- kui ka tsiviilõiguse mõttes (tüüpiline näide on au teotamine)
- Teod, mis ei ole kriminaalõiguse mõttes ebaseaduslikud, kuid on tsiviilõiguse mõttes ebaseaduslikud (tüüpilised näited on privaatsuse rikkumine ja isikuõiguste rikkumine)
Kui tegemist on kuriteoga, mis on ebaseaduslik nii kriminaal- kui ka tsiviilõiguse mõttes, on võimalik kasutada tsiviilõiguslikke vahendeid, nagu näiteks Jaapani internetiteenuse pakkujate vastutuse piiramise seaduse (Provider Liability Limitation Act) alusel tehtav taotlus saatja andmete avalikustamiseks, et tuvastada postitaja, või paluda politseil uurimist alustada ja postitaja kinni pidada.
Kuid sõltuvalt sisust ei pruugi politsei olla väga aktiivne selliste postituste uurimisel, kuna nad järgivad nn “tsiviilõiguse sekkumise” põhimõtet. Lisaks ei ole privaatsuse rikkumine ega isikuõiguste rikkumine kriminaalkuriteod, mistõttu on tsiviilõiguslik lahendus hädavajalik.
https://monolith.law/practices/reputation[ja]
Kahju, mis on põhjustatud üks-ühele suhtluse kaudu, nagu e-post
Raskem on juhtumid, kus kasutatakse üks-ühele suhtlusvahendeid, nagu e-post või Twitteri DM, et saata sobimatuid sõnumeid. Tüüpiline näide on ähvardav või väljapressimist sisaldav e-kiri. Jaapani internetiteenuse pakkujate vastutuse piiramise seaduse alusel tehtav taotlus saatja andmete avalikustamiseks on kasutatav ainult juhul, kui:
tehakse postitus, mida näeb suur hulk inimesi (tüüpiline näide on laimav postitus internetifoorumis, mida näeb suur hulk inimesi)
Seega, selliste suhtlusvahendite puhul ei ole tsiviilõiguslikud lahendused üldse ette nähtud ja peame lootma politsei uurimisele. Kuid isegi kui internetifoorumisse postitatud sisu on au teotav, ei kehti au teotamise süütegu, kui kasutatakse üks-ühele suhtlusvahendeid. Lihtsamalt öeldes, au teotamise süütegu kehtib ainult juhul, kui tegevus on suunatud suurele hulgale või määratlemata arvule inimestele. Üks-ühele suhtlusvahendite puhul ei kehti au teotamise süütegu põhimõtteliselt. Selle probleemi kohta on üksikasjalikumalt kirjutatud teises artiklis.
https://monolith.law/reputation/email-sender-identification[ja]
Kahju, mis on põhjustatud pornograafiliste piltide või ebaseaduslike saitide kaudu
Lisaks hõlmavad need kategooriad kuritegusid, millel ei ole ohvreid või mille ohvriks ei saa ettevõtted, kes tegelikult kahju kannatavad. Näiteks:
- tsensuurita piltide või videote postitamine nn täiskasvanute saitidel (avalik pornograafiliste piltide eksponeerimine)
- ebaseaduslike kasiinosaitide reklaamimine
- petusait, mis väidab, et müüb bränditooteid, kuid tegelikult ei saada kaupa
Need on tüüpilised näited.
Näiteks, kui ettevõtte naiste riietusruumis tehakse salajane video ja see postitatakse internetis, on see pilt selgelt privaatsuse rikkumine (või isikuõiguste rikkumine) vastava naise suhtes. Kuid nagu eespool mainitud, ei ole privaatsuse rikkumine (või isikuõiguste rikkumine) kuritegu ja kuigi salajase video tegemine on kuritegu, ei ole salajase video postitamine automaatselt kuritegu. Seega on keeruline otsustada, kuidas politseilt uurimist nõuda.
Lisaks, kui ebaseaduslike kasiinosaitide või petusaitide olemasolu tõttu väheneb ettevõtte müük või usaldusväärsus, on need teod, mis on kuriteod ühiskonna huvides, kuigi neil ei ole konkreetset ohvrit (tüüpilised näited on kiiruse ületamine või narkootikumide reguleerimine), või on need teod, mis käsitlevad ainult otseseid ohvreid (näiteks tarbijad, kes on maksnud raha petusaidile). Seega, isegi kui ettevõte kaebab kahju üle, jääb see kolmanda osapoole teatiseks. Lisaks, kui te ei ole “ohver”, ei saa te saatja andmete avalikustamise taotlust esitada.
Kuid kui tegemist on tegevusega, mis rikub ettevõtte intellektuaalomandi õigusi (näiteks kaubamärgiõigus, autoriõigus), võib ettevõte politseilt uurimist nõuda või kasutada tsiviilõiguslikke vahendeid müüja tuvastamiseks.
Ebaseadusliku juurdepääsu keelustamise seaduse rikkumine
Tegevused, mida ebaseadusliku juurdepääsu keelustamise seadus keelab
Lõpuks, tegevused, mida ebaseadusliku juurdepääsu keelustamise seadus (Jaapani ebaseadusliku juurdepääsu keelustamise seadus) keelab.
- Ebaseadusliku juurdepääsu tegevus
- Ebaseadusliku juurdepääsu soodustamine
- Ebaseadusliku omandamise tegevus
on keelatud.
Sellest, esimene, ebaseadusliku juurdepääsu tegevus sisaldab suuresti,
- Pettustegevus: teise isiku ID või parooli sisestamine ja selle isiku nõusolekuta sisselogimine
- Turvaaukude ründetegevus: turvaaukude kuritarvitamine, mis ei nõua ID või parooli sisestamist, ja sisselogimine teise isiku nimel
on kahte tüüpi.
Teine, ebaseadusliku juurdepääsu soodustamine on tegevus, kus teise isiku konto andmeid (ID, parool jne) õpetatakse või müüakse teistele ilma loata.
Lõpuks, kolmas, ebaseadusliku omandamise tegevus on tegevus, kus teise isiku kontot kasutatakse, näiteks lastes neil sisestada oma andmeid nn kalastussaitidel või hoides ebaseaduslikult omandatud konto andmeid.
Ebaseadusliku juurdepääsu keelustamise seaduse kohta on üksikasjalikum selgitus allpool toodud artiklis.
https://monolith.law/reputation/unauthorized-computer-access[ja]
Politsei poolt lahendamine
Kui olete ebaseadusliku juurdepääsu ohver, peate politseid uurimisele kutsuma. Kuid sageli on tegemist väga keeruliste tehniliste küsimustega ja nagu eespool mainitud arvutikuritegude puhul, kui keegi, kellel on nii IT kui ka õigusalased teadmised ja oskused, ei koosta aruannet, on politsei uurimine praktiliselt harva.
Lisaks, kui kurjategija on tuvastatud, on võimalik nõuda temalt kahjude hüvitamist, kuid nagu eespool mainitud arvutikuritegude puhul, on kurjategija tuvastamine tsiviilmeetoditega väga keeruline.
Category: IT
Tag: CybercrimeIT