Kas DoS on kuritegu? Advokaat selgitab Jaapani 'Elektroonilise arvuti rikkumise ja äritegevuse takistamise seadust

Arvutite kahjustamise ja muude äritegevuse häirimise kuriteod on uus kuriteoliik, mis loodi Showa 62. aastal (1987). Sel ajal, kui majandus kasvas kiiresti ja tehnoloogia arenes, hakkasid ka kontorid üha rohkem arvuteid kasutusele võtma.

Tööd, mida varem teostasid inimesed, teostatakse nüüd arvutite abil, ja äritegevuse ulatus on laienenud. Seetõttu hakati ette kujutama äritegevuse häirimist, mis on suunatud arvutitele, ja sellele vastamiseks loodi uus seadus.

Kuid seaduse vastuvõtmise ajal olid arvutid alles arengujärgus ja internet ei olnud veel laialt levinud, mistõttu oli internetikuritegude konkreetset ennustamist keeruline. Lisaks sellele ei kasuta see seadus arvutiteaduse, infoteaduse ega üldkasutatavate terminite asemel kriminaalkoodeksi sarnaseid termineid, mistõttu tõlgendused on erinevad ja see võib olla üldisele kodanikule raskesti mõistetav.

Lisaks on üldiselt tunnustatud, et see kuritegu vastab arvutikuritegudele, mis on üks küberruumi kuritegude liike.

Selles artiklis selgitame lihtsalt ja arusaadavalt arvutite kahjustamise ja muude äritegevuse häirimise kuritegude üksikasju.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Mis on DoS-rünnak?

DoS-rünnak (Denial of Service attack) on üks tüüpi küberrünnak, mille käigus saadetakse sihtmärgiks olevale veebisaidile või serverile suur hulk andmeid või ebaseaduslikke andmeid, tekitades ülemäärast koormust ja sundides süsteemi normaalsest tööst välja. See ei ole nagu ebaseaduslik juurdepääs, mis üritab kasutusõigusi kuritarvitada, ega viiruse kaudu süsteemi kontrolli üle võtta, vaid takistab legitiimsetel kasutajatel juurdepääsuõigusi kasutada. Kuigi see on vana küberrünnaku meetod, kasutatakse seda ka DDoS-rünnakutes (Distributed Denial of Service attack), mis on hajutatud tüüpi rünnakud, ja kahjuks on viimastel aastatel olnud palju kiusamise juhtumeid.

DoS-rünnaku tüübid

DoS-rünnakud jagunevad kaheks: “üleujutustüüpi” ja “haavatavustüüpi”.

Üleujutus pärineb ingliskeelsest sõnast ‘Flood’ (=üleujutus) ja see tähendab, et rünnaku sihtmärki pommitatakse suure hulga andmetega, mida see ei suuda töödelda.

Teiselt poolt, haavatavustüüpi rünnakud kasutavad ära serveri või rakenduse nõrkusi, tekitavad ebaseaduslikke protsesse ja peatavad funktsioonid. Kuigi see võib segi minna ebaseadusliku juurdepääsuga, on näiteks tüüpiline haavatavustüüpi DoS-rünnak LAND-rünnak, kus saadetakse pakett, mille saatja ja sihtkoha IP-aadressid ja pordi numbrid on samad. Lihtsamalt öeldes, kui ründaja A saadab serverile B paketi, mis ütleb “Ma olen B ja tahan vastust”, siis B saadab vastuse iseendale, misjärel B saadab jälle vastuse iseendale… ja nii tekib lõpmatu tsükkel. Kuigi see kasutab ära “haavatavust”, mis tähendab, et “vastatakse ka pakettidele, mille saatja on ise”, ei ole see “ebaseaduslik juurdepääs”, kuna see ei ületa parooli autentimist, vaid on “haavatavustüüpi DoS-rünnak”.

https://monolith.law/reputation/unauthorized-computer-access[ja]

DDoS-rünnak on hajutatud meetod, kus tuhandeid botviirusega nakatatud arvuteid juhitakse kaugjuhtimise teel ja igaüks neist teostab üleujutustüüpi DoS-rünnaku.

DoS-rünnaku tööpõhimõte

DoS-rünnaku tööpõhimõte on tehniliselt lihtne: see kordab sageli korraga asju, mis on tavaliselt TCP/IP ulatuses lubatud. Näiteks kui proovite osta populaarse idoli kontserdipileteid üldise müügi ajal ja pääsete piletimüügi lehele, võib leht muutuda aeglaseks või isegi alla minna, kuna paljud inimesed püüavad korraga juurde pääseda. DoS-rünnak on rünnak, mis kuritarvitab õigustatud õigusi ja tekitab tahtlikult sellise olukorra.

Kas DoS-rünnakud kuuluvad arvuti rikkumise ja muude äritegevuse häirimise kuritegude alla?

Kas DoS-rünnakud on kuritegu? Vaatleme, kas need kuuluvad arvuti rikkumise ja muude äritegevuse häirimise kuritegude alla.

Isik, kes rikub arvuti või elektromagnetilise salvestuse, mida kasutatakse äritegevuses, või annab arvutile valeandmeid või ebaseaduslikke juhiseid, või kasutab muid meetodeid, et takistada arvutil töötamast vastavalt selle kasutuseesmärgile või põhjustab arvutil töötada vastu selle kasutuseesmärgile, häirides seeläbi äritegevust, karistatakse kuni viieaastase vangistuse või kuni miljoni jeeni suuruse trahviga.

Jaapani kriminaalkoodeksi paragrahv 234-2 lõige 1 (arvuti rikkumine ja muu äritegevuse häirimine)

Nagu näha, on arvuti rikkumise ja muude äritegevuse häirimise kuritegude toimepanemiseks vaja objektiivseid tingimusi:

1. Rünnak suunatud arvutile
2. Arvuti töö takistamine
3. Äritegevuse häirimine

ning subjektiivseid tingimusi, milleks on tahtlikkus.

Objektiivsete tingimuste täitmine

Vaatleme alljärgnevalt iga tingimust eraldi.

Rünnak suunatud arvutile

Rünnaku (tegevuse) puhul on vaja, et see kuuluks ühte järgmistest kategooriatest:

• “Arvuti või selle kasutamiseks mõeldud elektromagnetilise salvestuse rikkumine”
• “Arvutile valeandmete või ebaseaduslike juhiste andmine”
• “Või muu meetod”

Arvuti mõiste on määratletud kohtupraktikas (Fukuoka kõrgema kohtu otsus 21.09.2000) kui elektrooniline seade, mis teostab automaatselt arvutusi ja andmetöötlust. Selle alla kuuluvad kontoriarvutid, personaalarvutid, juhtimisarvutid jne. Elektromagnetilise salvestuse mõiste on määratletud kriminaalkoodeksi paragrahvis 7-2. DoS-rünnaku sihtmärk, server, kuulub kindlasti nende hulka.

“Rikkumine” tähendab mitte ainult füüsilist hävitamist, vaid ka andmete kustutamist ja muud tegevust, mis kahjustab asja kasutamise võimalust. “Valeandmed” tähendab, et andmed on vastuolus tõega. “Ebaseaduslikud juhised” tähendab, et antakse käsk, mida arvuti saab töödelda, ilma selleks vajaliku õiguseta. Näiteks kui teostatakse suur hulk koondatud DoS-rünnakuid, muutub rünnaku sihtmärgiks olev server ülekoormatuks ja ei suuda korrektselt töödelda. Sellised rünnakud, isegi kui need ei põhjusta andmete kustutamist ega muud “rikkumist”, on siiski serveri omaniku tahte vastased ja annavad õiguseta käsklusi, seega kuuluvad need “ebaseaduslike juhiste” alla.

Arvuti töö takistamine

Küsimus on selles, kas see kuulub “töö, mida tuleks teha vastavalt kasutuseesmärgile” või “töö, mis on vastu kasutuseesmärgile”. On vaidlusi selle üle, kelle kasutuseesmärki tuleks eeldada, kuid arvestades, et selle kuriteo kaitseõigus on äritegevuse ohutu ja sujuv läbiviimine, peaksime eeldama paigaldaja eesmärki. Kui toimub DoS-rünnak ja server muutub ülekoormatuks, võib juhtuda, et teenus muutub kasutuskõlbmatuks ja serveri paigaldaja ei saa teostada korrektset töötlust, mida ta eesmärgiks seadis. Sellisel juhul võib öelda, et “tööd, mida tuleks teha vastavalt kasutuseesmärgile”, ei tehta, ja see kuulub töö takistamise alla.

Äritegevuse häirimine

Arvuti rikkumise ja muude äritegevuse häirimise kuriteod on äritegevuse häirimise kuritegude (kriminaalkoodeksi paragrahvid 233 ja 234) raskendatud vormid, seega tuleks äritegevuse häirimist käsitleda samamoodi nagu tavalist äritegevuse häirimise kuritegu. See tähendab, et “äritegevus” on ülesanne, mida tehakse korduvalt ja jätkuvalt sotsiaalse staatuse alusel, ja “häirimise” puhul ei ole vaja, et äritegevus oleks tegelikult kahjustatud.
Kui toimub DoS-rünnak, võib öelda, et “äritegevus”, milleks on teenuse pakkumine internetis serveri kasutamise kaudu, on häiritud, ja see kuulub äritegevuse häirimise alla.

Subjektiivsete tingimuste (tahtlikkus) täitmine

Need tingimused tuleb täita ja tuleb tunnistada tahtlikkus (kriminaalkoodeksi paragrahv 38 lõige 1). Tahtlikkus tähendab, et isik tunnistab ja aktsepteerib asjaolu, et ta kuulub ühte ülaltoodud kolmest kategooriast (nimetatakse ka koosseisu elementideks). Selleks ei ole vaja pahatahtlikkust ega kahjutunnet, isegi kui sellist kavatsust ei ole. Kui on olemas teadmine, et “võib-olla server kukub ja teenus muutub kasutuskõlbmatuks”, võib tahtlikkust tunnistada.

Okazaki keskraamatukogu veebilehe suure hulga juurdepääsude juhtum

Seoses ülaltooduga tutvustame teile “Okazaki keskraamatukogu veebilehe suure hulga juurdepääsude juhtumit (tuntud ka kui Librahack juhtum)”.

Aichi prefektuuris elav mees (39) loodi programm, mis kogus uute raamatute teavet raamatukogu veebilehelt. Ta arreteeriti, sest ta oli alustanud küberrünnakut. Kuid Asahi Shimbuni tellitud ekspertide analüüsi kohaselt oli raamatukogu tarkvaras viga, mis tundus, nagu oleks see saanud suure hulga juurdepääsude rünnaku. Selgus, et sama tarkvara kasutavates kuues raamatukogus üle kogu riigi oli tekkinud sarnaseid probleeme. Tarkvaraarendusettevõte alustas parandustöid umbes 30 raamatukogus üle kogu riigi.
See probleem tekkis Okazaki linna keskraamatukogus. Tarkvaras oli viga, mis põhjustas, et iga kord, kui raamatute andmeid kutsuti, jätkus arvutitöötlus ja see jäi nagu telefonitoru oleks peale kõnet üles tõstetud. Teatud aja möödudes katkestati see sundkorras, kuid selles raamatukogus, kui juurdepääsud ületasid umbes 1000 ühikut 10 minuti jooksul, ei saanud veebilehte vaadata ja tundus, nagu oleks see saanud suure hulga juurdepääsude.
Mees oli tarkvara insener ja laenas Okazaki linna keskraamatukogust aastas umbes 100 raamatut. Raamatukogu veebileht oli ebamugav, nii et ta lõi programmi, mis kogus iga päev uute raamatute teavet, ja hakkas seda kasutama märtsist.
Raamatukogu sai alates samast kuust kaebusi kodanikelt, et “ei saa veebilehele ühenduda”. Aichi prefektuuri politsei, kes sai nõu, otsustas, et mees saatis tahtlikult nõudmisi, mis ületasid töötlusvõime, ja arreteeris ta äritegevuse takistamise kahtlusega. Nagoya prokuratuuri Okazaki haru otsustas juunis, et “tugevat äritegevuse takistamise kavatsust ei tunnistata” ja otsustas süüdistusest loobuda.

Asahi Shimbun Nagoya hommikune väljaanne (21. august 2010)

Mees, kes selle juhtumi tõttu arreteeriti, oli Okazaki keskraamatukogu kasutaja ja ta tegi seda selleks, et koguda teavet raamatukogu veebilehe uute raamatute kohta, ja tal ei olnud kavatsust takistada raamatukogu tööd. Ja juurdepääsu sagedus oli umbes üks kord sekundis, mis tavaliselt ei kvalifitseeru DoS-rünnakuks, kuid raamatukogu serveril oli viga ja see põhjustas süsteemi tõrke.

Kuigi puudub pahatahtlikkus, võib raamatukogu serveri sulgemine DoS-rünnaku tüüpi tegevuse tõttu ja selle töö takistamine tunnistada objektiivsete nõuete täitmiseks. Mis puutub tahtlikkusse, siis nagu ma varem ütlesin, võib tahtlikkust tunnistada isegi ilma pahatahtlikkuseta. Prefektuuri politsei otsustas, et kuna see mees on arvutispetsialist, saatis ta hoolimata sellest, et ta mõistis, et suure hulga päringute saatmine võib mõjutada raamatukogu serverit, suure hulga päringuid ja seega oli tahtlikkus olemas ning kuritegu võis toime panna.

Juhtumi probleemid ja kriitika

Meetod, mida mees kasutas avaliku veebisaidi andmete masinlikuks kogumiseks, on laialdaselt levinud ja programmeerimine ise ei ole ebaseaduslik. See mees on oma veebisaidil selgitanud juhtumi kulgu ja kavatsusi, kuid selle sisu põhjal ei ole midagi, mida võiks nimetada “kuriteoks” või mis vääriks moraalset hukkamõistu, ja see on šokeerinud paljusid tehnikuid, kes kasutavad sellist tehnikat, ning tekitanud palju kriitikat ja muret.

Näiteks esiteks, kui avaliku raamatukogu avalik veeb, mida kasutavad paljud inimesed, on selline, et server läheb alla ühe sekundi jooksul pärast ühte juurdepääsu, on see liiga nõrk ja haavatav ning kui oleks olnud server, mida tavaliselt peaks olema, ei oleks mees pidanud arreteerima.
Lisaks on mehel “kättemaks” või “tüütus”, nagu rünnak või äritegevuse takistamine, selgelt erinev suur hulk andmeid, nagu selgelt kuritegelikud elemendid, ja hoolimata sellest, et kuritegu võib toime panna sellise sätte alusel, on seadusandlik probleem.
Lisaks on probleemiks seaduse rakendamine ja interneti kasutamise tegelikkus. Näiteks sama 10 000 juurdepääsu puhul on interneti- ja infotöötlustehnoloogia valdavate inimeste mulje erinev politsei ja prokuratuuri, sealhulgas tavaliste inimeste muljest, ja see on probleem, kui seda rakendatakse ilma sellise taju erinevuse parandamiseta.
Lisaks on märgitud, et on muret ja ärevust, et vaba interneti kasutamine ja areng, tööstus võib kahaneda, kuna igaüks võib olla arreteeritud nagu see mees.

Mees, kellele äritegevuse takistamise tugevat kavatsust ei tunnistatud, sai lõpuks süüdistusest loobumise, kuid ta oli 20 päeva vahistatud ja kuulati üle ning talle määrati füüsiline piirang. Lisaks avaldati tema nimi arreteerimise ajal. Lisaks on süüdistusest loobumine erinev “kahtluse puudumisest” ja “kuritegu on toime pandud, kuid see on vähem tõsine või sügavalt kahetsev, nii et seekord loobume süüdistusest”, mis tähendab, et ta on kuriteo toime pannud. Isegi kui ta ei ole süüdistatud, on see probleem, et ta on saanud suurt sotsiaalset kahju.

Kokkuvõte

Nagu näha, võib DoS-rünnaku korral olla tegemist elektroonilise arvuti rikkumise või muu äritegevuse häirimise kuriteoga. Siiski on selle seaduse rakendamisel mitmeid probleeme ning nagu mainitud juhtumite puhul, võib kuritegu olla ka neil juhtudel, mida on raske nimetada pahatahtlikuks. Erinevalt seaduse kehtestamise ajast, omavad tänapäeval paljud inimesed nutitelefone, arvuteid ja muid internetiühendusega seadmeid ning internetiühiskond areneb kiiresti. Nende probleemide ületamiseks ja internetivabaduse kaitsmiseks on vaja muuta seaduse rakendamist ja kaaluda uusi seadusandlikke meetmeid.

Kui ettevõtte serverid on saanud kahju DoS-rünnaku või muu küberrünnaku tõttu, tuleb politseil uurimist alustada. Kuid sageli on tegemist väga keeruliste tehniliste probleemidega ning nagu eespool mainitud raamatukogu juhtumi puhul, võib olla vajalik nii IT kui ka õigusalaste teadmiste ja oskuste olemasolu, et olukorraga korrektselt toime tulla.

Tsiviilõigusliku lahendusena on võimalik, kui kurjategija on tuvastatud, nõuda temalt kahjutasu. Seega võib olla üks võimalus konsulteerida interneti- ja äriõiguse alal tugeva advokaadiga.