Apakah DoS merupakan Kejahatan? Pengacara Menjelaskan tentang 'Hukum Jepang tentang Gangguan Bisnis melalui Kerusakan Komputer, dll.
Kejahatan Penghancuran Komputer Elektronik dan Gangguan Bisnis lainnya adalah kejahatan yang baru dibentuk pada tahun Showa 62 (1987). Pada saat itu, dengan pertumbuhan ekonomi sosial dan perkembangan teknologi, komputer mulai banyak diperkenalkan di kantor-kantor.
Pekerjaan yang sebelumnya dilakukan oleh manusia kini dilakukan oleh komputer, dan lingkup bisnis juga semakin luas. Oleh karena itu, gangguan bisnis yang menggunakan kerusakan pada komputer sebagai metode mulai dipertimbangkan, dan untuk mengatasinya, hukum ini dibuat.
Namun, pada saat pembentukan, komputer masih dalam tahap perkembangan, dan internet juga belum merata, sehingga sulit untuk memprediksi secara spesifik tentang kejahatan internet. Selain itu, hukum ini tidak menggunakan istilah yang digunakan dalam ilmu komputer atau ilmu informasi, atau istilah yang digunakan dalam masyarakat umum, tetapi menggunakan istilah yang tampak seperti kode pidana, sehingga interpretasinya bervariasi dan dapat dikatakan sebagai ketentuan yang sulit dipahami oleh masyarakat umum.
Selain itu, kejahatan ini umumnya diakui sebagai sesuatu yang berhubungan dengan jenis kejahatan komputer dalam kejahatan siber.
Artikel ini akan menjelaskan secara rinci tentang Kejahatan Penghancuran Komputer Elektronik dan Gangguan Bisnis lainnya dengan mudah dipahami.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Apa itu Serangan DoS
Serangan DoS (Denial of Service attack) adalah salah satu jenis serangan siber, yang menyerang situs web atau server target dengan mengirimkan sejumlah besar data atau data yang tidak sah, sehingga memberikan beban berlebih pada sistem dan membuatnya tidak dapat berfungsi dengan normal. Serangan ini tidak seperti akses ilegal yang mengelabui hak akses, atau virus yang mengambil alih kontrol sistem, melainkan mengganggu pengguna reguler dalam menggunakan hak akses mereka. Meskipun ini adalah metode serangan siber yang telah ada sejak lama, serangan DDoS (Distributed Denial of Service attack) yang merupakan jenis serangan terdistribusi juga digunakan, dan kerugian akibat gangguan masih sering terjadi hingga saat ini.
Jenis Serangan DoS
Serangan DoS dapat dibagi menjadi dua jenis, yaitu ‘serangan banjir’ dan ‘serangan kerentanan’.
Banjir berasal dari kata dalam bahasa Inggris ‘Flood’ (= banjir), yang merujuk pada serangan yang membanjiri target dengan sejumlah besar data melalui pengeksploitasian protokol, sehingga target tidak dapat memproses semua data tersebut.
Di sisi lain, serangan kerentanan memanfaatkan kerentanan server atau aplikasi untuk melakukan proses ilegal dan menghentikan fungsi mereka. Meskipun batas antara akses ilegal dan serangan kerentanan bisa kabur, misalnya, serangan LAND yang merupakan serangan DoS kerentanan khas, adalah serangan yang mengirimkan paket dengan alamat IP dan nomor port pengirim dan penerima yang sama. Untuk menjelaskan dengan lebih sederhana, jika penyerang A mengirimkan paket ke server target B dengan pesan “Saya adalah B dan saya ingin balasan”, B akan memberikan “balasan” kepada dirinya sendiri, dan B akan memberikan “balasan” lagi setelah menerima balasan tersebut, dan fenomena ini akan terus berulang, sehingga terjadi loop tak terbatas. Meskipun ini memanfaatkan “kerentanan” dalam arti “memberikan balasan bahkan untuk paket yang pengirimnya adalah diri sendiri”, ini bukan “akses ilegal” karena tidak melanggar autentikasi kata sandi, dan oleh karena itu dikategorikan sebagai “serangan DoS kerentanan”.
Selain itu, serangan DDoS adalah metode terdistribusi yang melakukan serangan DoS banjir dari ribuan komputer yang telah diinfeksi oleh virus bot melalui operasi jarak jauh.
Mekanisme Serangan DoS
Mekanisme serangan DoS adalah sesuatu yang sederhana secara teknis, seperti melakukan hal yang diperbolehkan dalam jangkauan TCP/IP secara sering dan sekaligus. Misalnya, ketika mencoba membeli tiket konser idola populer melalui penjualan umum dan mengakses halaman penjualan, situs tersebut menjadi berat atau turun karena banyak orang mengaksesnya secara bersamaan, sehingga sulit untuk terhubung. Serangan DoS adalah serangan yang dengan sengaja menciptakan situasi seperti ini dengan menyalahgunakan hak yang sah.
Apakah Serangan DoS Termasuk dalam Kejahatan Penghancuran Komputer Elektronik dan Gangguan Bisnis?
Lalu, apakah serangan DoS termasuk dalam kejahatan? Mari kita pertimbangkan apakah ini termasuk dalam kejahatan penghancuran komputer elektronik dan gangguan bisnis yang telah disebutkan sebelumnya.
“Orang yang merusak rekaman elektromagnetik yang digunakan untuk bisnis orang lain atau memberikan informasi palsu atau instruksi yang tidak sah kepada komputer elektronik yang digunakan untuk bisnis orang lain, atau dengan cara lain, membuat komputer elektronik tidak berfungsi sesuai dengan tujuan penggunaannya, atau membuatnya berfungsi bertentangan dengan tujuan penggunaannya, sehingga mengganggu bisnis orang lain, akan dihukum dengan penjara selama lima tahun atau kurang, atau denda satu juta yen atau kurang.”
Pasal 234-2 Ayat 1 dari Hukum Pidana Jepang (Kejahatan Penghancuran Komputer Elektronik dan Gangguan Bisnis)
Dengan demikian, untuk memenuhi kejahatan penghancuran komputer elektronik dan gangguan bisnis, sebagai persyaratan objektif, harus memenuhi:
- Tindakan merugikan yang ditujukan pada komputer elektronik
- Penghambatan operasi komputer elektronik
- Gangguan bisnis
dan sebagai persyaratan subjektif, niat harus ada dalam ketiga hal tersebut untuk memenuhi kejahatan.
Kesesuaian Persyaratan Konstitusional Objektif
Mari kita pertimbangkan masing-masing dari hal-hal berikut.
Tindakan Merugikan yang Ditujukan pada Komputer Elektronik
Sebagai tindakan merugikan (tindakan eksekusi), harus memenuhi salah satu dari:
- “Merusak rekaman elektromagnetik yang digunakan untuk komputer elektronik atau tujuannya”
- “Memberikan informasi palsu atau instruksi yang tidak sah kepada komputer elektronik”
- “Atau metode lainnya”
Untuk ini, “komputer elektronik” telah didefinisikan oleh putusan pengadilan (Putusan Pengadilan Tinggi Fukuoka, 21 September 2000 (Tahun Heisei 12)) sebagai perangkat elektronik yang melakukan perhitungan dan pemrosesan data secara otomatis, dan tidak ada perselisihan bahwa komputer kantor atau komputer pribadi, komputer kontrol, dll. adalah contoh utamanya. Definisi rekaman elektromagnetik diberikan dalam Pasal 7-2 dari Hukum Pidana Jepang. Server, yang merupakan target serangan DoS, tentu saja termasuk dalam ini.
“Penghancuran” mencakup semua tindakan yang merusak fungsi suatu benda, bukan hanya kerusakan fisik, seperti penghapusan data. “Informasi palsu” berarti bahwa isinya bertentangan dengan kebenaran. “Instruksi yang tidak sah” berarti memberikan instruksi yang dapat diproses oleh komputer tersebut tanpa otoritas. Misalnya, jika serangan DoS tipe banjir dilakukan secara massal dan terkonsentrasi, server target menjadi overload dan tidak dapat menjalankan proses dengan benar. Serangan seperti ini, meskipun tidak “merusak” seperti menghapus data, adalah akses yang bertentangan dengan keinginan pemilik server dan dapat dikatakan memberikan “instruksi yang tidak sah” karena memberikan instruksi tanpa otoritas.
Penghambatan Operasi Komputer Elektronik
Pertanyaannya adalah apakah ini termasuk dalam “membuat komputer elektronik tidak berfungsi sesuai dengan tujuan penggunaannya” atau “membuatnya berfungsi bertentangan dengan tujuan penggunaannya”. Ada perselisihan tentang tujuan penggunaan siapa yang harus dijadikan dasar, tetapi mengingat bahwa kepentingan hukum yang dilindungi oleh kejahatan ini adalah pelaksanaan bisnis yang aman dan lancar, tujuan penggunaan oleh penginstal harus dianggap sebagai dasar. Ketika serangan DoS dilakukan dan server menjadi overload, layanan dapat menjadi tidak dapat digunakan, dan operasi pemrosesan yang tepat yang dimaksudkan oleh penginstal server mungkin tidak dapat dilakukan. Dalam kasus seperti itu, dapat dikatakan bahwa “operasi yang seharusnya sesuai dengan tujuan penggunaan” tidak dilakukan, dan ini termasuk dalam penghambatan operasi.
Gangguan Bisnis
Kejahatan penghancuran komputer elektronik dan gangguan bisnis adalah jenis kejahatan gangguan bisnis yang diperberat (Pasal 233, 234 Hukum Pidana Jepang), jadi gangguan bisnis ini dipertimbangkan sama seperti kejahatan gangguan bisnis biasa. Yaitu, “bisnis” adalah urusan yang dilakukan secara berulang dan berkelanjutan berdasarkan status dalam kehidupan sosial, dan “gangguan” tidak memerlukan kerusakan bisnis yang nyata.
Ketika serangan DoS dilakukan, “bisnis” memberikan layanan melalui internet dengan menggunakan server oleh penginstal dapat dikatakan terganggu, dan ini termasuk dalam gangguan bisnis.
Kesesuaian Persyaratan Subjektif (Niat)
Setelah memenuhi persyaratan ini, niat (Pasal 38 Ayat 1 Hukum Pidana Jepang) harus diakui. Niat berarti mengakui dan menerima fakta yang sesuai dengan ① hingga ③ di atas (disebut persyaratan konstitusional). Ini tidak memerlukan niat jahat atau merugikan untuk mengganggu orang lain, dan bahkan jika Anda tidak berniat seperti itu, jika Anda memiliki pemahaman bahwa “mungkin server akan jatuh dan layanan mungkin menjadi tidak dapat digunakan”, niat dapat diakui.
Kasus Akses Berlebihan ke Situs Web Perpustakaan Pusat Kota Okazaki
Sehubungan dengan hal di atas, kami akan memperkenalkan “Kasus Akses Berlebihan ke Situs Web Perpustakaan Pusat Kota Okazaki (dikenal juga sebagai Kasus Librahack)”.
Seorang pria (39) di Prefektur Aichi ditangkap karena diduga melakukan serangan siber setelah mengumpulkan informasi buku baru dari situs web perpustakaan menggunakan program buatannya sendiri. Namun, berdasarkan analisis oleh ahli yang diminta oleh Asahi Shimbun, ternyata ada masalah dengan perangkat lunak perpustakaan, dan tampaknya telah menerima serangan akses berlebihan. Ditemukan juga bahwa gangguan serupa telah terjadi di enam perpustakaan lainnya di seluruh negeri yang menggunakan perangkat lunak yang sama. Perusahaan pengembang perangkat lunak telah memulai perbaikan di sekitar 30 perpustakaan di seluruh negeri.
Asahi Shimbun Edisi Pagi Nagoya (21 Agustus 2010)
Masalah ini terjadi di Perpustakaan Kota Okazaki. Perangkat lunak tersebut memiliki masalah di mana setiap kali data buku dipanggil, pemrosesan komputer berlanjut, seperti telepon yang ditinggalkan setelah panggilan. Meskipun diputuskan secara paksa setelah beberapa waktu, di perpustakaan ini, jika akses melebihi sekitar 1.000 dalam 10 menit, tidak dapat melihat halaman web, dan tampaknya telah menerima akses berlebihan.
Pria tersebut adalah seorang teknisi perangkat lunak dan meminjam sekitar 100 buku setahun dari Perpustakaan Kota Okazaki. Situs web perpustakaan tidak mudah digunakan, jadi dia membuat program untuk mengumpulkan informasi buku baru setiap hari dan mulai menggunakannya pada bulan Maret.
Sejak bulan itu, perpustakaan telah menerima keluhan dari warga bahwa “situs web tidak dapat diakses”. Polisi Prefektur Aichi, yang menerima konsultasi, menilai bahwa dia telah mengirim permintaan yang melebihi kapasitas pemrosesan dengan sengaja, dan menangkap pria tersebut dengan tuduhan mengganggu bisnis. Kantor Kejaksaan Distrik Nagoya, Cabang Okazaki, memutuskan pada bulan Juni untuk menunda dakwaan karena “tidak ada niat kuat untuk mengganggu bisnis”.
Pria yang ditangkap dalam kasus ini adalah pengguna Perpustakaan Pusat Kota Okazaki, dan dia melakukannya dengan tujuan mengumpulkan informasi buku baru dari situs web perpustakaan, dan tampaknya tidak ada niat untuk mengganggu operasi perpustakaan. Dan frekuensi aksesnya rendah, sekitar satu kali per detik, yang biasanya tidak akan dianggap sebagai serangan DoS, tetapi ada masalah dengan server perpustakaan dan gangguan sistem terjadi pada tingkat ini.
Meskipun tidak ada niat jahat, fakta bahwa dia menurunkan server perpustakaan dengan tindakan yang dapat dianggap sebagai serangan DoS dan mengganggu operasinya dapat diakui, jadi kita akan melihat persyaratan objektif. Dan tentang niat, seperti yang disebutkan sebelumnya, niat dapat diakui meskipun tidak ada niat jahat. Polisi prefektur berpendapat bahwa pria ini adalah seorang teknisi yang mengerti tentang komputer, dan meskipun dia menyadari bahwa jika dia mengirim banyak permintaan, itu bisa mempengaruhi server perpustakaan, dia mengirim banyak permintaan, jadi ada niat, dan kejahatan bisa terjadi.
Masalah dan Kritik Kasus
Metode untuk mengambil data dari situs web publik secara mekanis, seperti yang dilakukan oleh pria ini, umumnya dilakukan secara luas, dan tidak ada ilegalitas dalam pemrogramannya sendiri. Pria ini menjelaskan latar belakang dan niat kasus ini di situsnya sendiri, tetapi tidak ada titik yang layak dikutuk secara moral sebagai “kejahatan” dari kontennya, dan banyak teknisi yang menggunakan teknologi ini terkejut, dan banyak kritik dan kekhawatiran telah dibahas.
Misalnya, pertama-tama, meskipun ini adalah situs yang digunakan oleh banyak orang, seperti situs web publik perpustakaan umum, jika servernya memiliki masalah sehingga turun dengan satu akses per detik, itu terlalu lemah dan rapuh, dan jika ada server yang kuat yang seharusnya ada, pria itu seharusnya tidak ditangkap, itu adalah poin.
Selain itu, pria itu tidak memiliki niat “balas dendam” atau “mengganggu”, seperti serangan atau gangguan bisnis, dan pengiriman data dalam jumlah besar yang jelas berbeda dari metode penggunaan normal, yaitu, elemen yang jelas seperti kejahatan, meskipun tidak ada, itu adalah masalah hukum bahwa kejahatan dapat terjadi dengan ketentuan seperti itu. Selain itu, ada poin seperti perbedaan antara penerapan hukum dan realitas penggunaan internet. Misalnya, kesan yang diterima oleh orang yang mahir dalam teknologi informasi dan internet dan kesan yang diterima oleh orang biasa, termasuk polisi dan jaksa, berbeda untuk 10.000 akses yang sama, dan masalahnya adalah bahwa perbedaan persepsi ini dioperasikan tanpa dikoreksi. Selain itu, ada kekhawatiran dan kecemasan bahwa jika semua orang, seperti pria ini, memiliki kemungkinan ditangkap, penggunaan dan perkembangan internet yang bebas dan industri mungkin akan menyusut.
Pria itu, karena tidak ada niat kuat untuk mengganggu bisnis, akhirnya mendapatkan penundaan dakwaan, tetapi dia diperiksa selama 20 hari penangkapan dan penahanan, dan dia dipaksa untuk ditahan fisik. Selain itu, namanya dilaporkan secara terbuka saat ditangkap. Selain itu, penundaan dakwaan adalah jenis “tidak cukup bukti” dalam kasus non-penuntutan, yaitu, “kejahatan telah terjadi tetapi kejahatan rendah, atau dia telah menyesali secara mendalam, jadi kali ini kami akan menunda dakwaan”, yaitu, dia telah melakukan kejahatan. Meskipun tidak dituntut, fakta bahwa dia menderita kerugian besar secara sosial adalah masalah.
Kesimpulan
Seperti yang telah dijelaskan, serangan DoS dapat memenuhi unsur tindak pidana ‘Japanese ~ Penghancuran Komputer Elektronik dan Gangguan Bisnis Lainnya’. Namun, terdapat beberapa masalah dalam penerapan hukum tersebut, dan ada kemungkinan tindak pidana dapat terpenuhi bahkan pada kasus yang sulit dikatakan sebagai tindak jahat, seperti serangkaian kasus yang telah kami perkenalkan. Berbeda dengan saat hukum ini ditetapkan, saat ini banyak orang memiliki perangkat internet seperti smartphone dan komputer, dan masyarakat internet berkembang dengan pesat. Untuk mengatasi masalah ini dan melindungi kebebasan di internet, perlu ada perubahan dalam penerapan hukum dan pertimbangan baru terhadap langkah-langkah legislatif.
Jika server perusahaan Anda menjadi korban serangan cyber seperti serangan DoS, Anda akan diminta untuk mendorong polisi untuk melakukan penyelidikan. Namun, banyak kasus yang menjadi masalah teknis yang sangat tinggi, dan seperti kasus perpustakaan yang telah kami sebutkan sebelumnya, mungkin ada kasus di mana penanganan yang tepat tidak dapat dilakukan kecuali oleh orang yang memiliki pengetahuan dan keahlian dalam IT dan hukum.
Sebagai solusi hukum perdata, jika pelaku dapat diidentifikasi, maka klaim ganti rugi terhadap pelaku tersebut adalah mungkin. Oleh karena itu, salah satu cara adalah dengan berkonsultasi dengan pengacara yang ahli dalam internet dan bisnis.
Category: IT
Tag: CybercrimeIT