MONOLITH LAW OFFICE+81-3-6262-3248Hari Minggu 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Adakah DoS Jenayah? Peguam Menerangkan Mengenai 'Japanese Computer Damage and Business Interference Crime

IT

Adakah DoS Jenayah? Peguam Menerangkan Mengenai 'Japanese Computer Damage and Business Interference Crime

Jenayah Penggangguan Perniagaan melalui Kerosakan Komputer Elektronik, merupakan jenayah yang baru diperkenalkan pada tahun Showa 62 (1987). Pada masa itu, dengan pertumbuhan ekonomi sosial dan perkembangan teknologi, komputer mula diperkenalkan secara meluas di pejabat.

Kerja-kerja yang sebelum ini dilakukan oleh manusia kini dilakukan oleh komputer, dan lingkup perniagaan juga semakin meluas. Oleh itu, penggangguan perniagaan melalui serangan terhadap komputer menjadi sesuatu yang dijangka, dan undang-undang ini diperkenalkan untuk menangani isu tersebut.

Walau bagaimanapun, pada masa peraturan ini diperkenalkan, komputer masih dalam tahap perkembangan, dan internet belum lagi meluas. Oleh itu, adalah sukar untuk meramalkan secara spesifik tentang jenayah internet. Selain itu, undang-undang ini tidak menggunakan istilah yang biasa digunakan dalam bidang kejuruteraan komputer atau sains maklumat, atau dalam masyarakat umum, tetapi menggunakan istilah yang sesuai dengan kod jenayah, menjadikan interpretasinya pelbagai dan sukar difahami oleh rakyat biasa.

Selain itu, jenayah ini umumnya dianggap sebagai respons terhadap jenis jenayah komputer dalam jenayah siber.

Artikel ini akan menjelaskan secara terperinci tentang Jenayah Penggangguan Perniagaan melalui Kerosakan Komputer Elektronik ini dengan cara yang mudah difahami.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Apa itu Serangan DoS

Serangan DoS (Denial of Service attack) adalah sejenis serangan siber, di mana laman web atau server sasaran diserang dengan penghantaran data dalam jumlah besar atau data tidak sah, menyebabkan beban berlebihan dan mengganggu operasi sistem sasaran. Serangan ini tidak melibatkan penggunaan hak akses secara tidak sah atau pengawalan sistem melalui virus, tetapi menghalang pengguna biasa daripada menggunakan hak akses mereka. Walaupun ini adalah teknik serangan siber yang telah lama ada, ia masih digunakan dalam serangan DDoS (Distributed Denial of Service attack), dan masih menjadi sumber gangguan dan kerugian.

Jenis Serangan DoS

Serangan DoS boleh dibahagikan kepada dua jenis: ‘Flood’ dan ‘Vulnerability’.

‘Flood’ berasal dari perkataan Inggeris ‘Flood’ (=banjir), yang merujuk kepada serangan yang membanjiri sasaran dengan data dalam jumlah besar sehingga sasaran tidak dapat memprosesnya.

Sebaliknya, serangan ‘Vulnerability’ menggunakan kelemahan dalam server atau aplikasi untuk melakukan proses tidak sah dan menghentikan operasi. Walaupun ia mungkin kelihatan sama dengan akses tidak sah, perbezaannya adalah serangan ‘Vulnerability’ tidak melibatkan pengelakan pengesahan kata laluan atau seumpamanya. Sebagai contoh, serangan LAND, yang merupakan serangan DoS ‘Vulnerability’ yang biasa, melibatkan penghantaran paket dengan alamat IP dan nombor port yang sama untuk pengirim dan penerima. Dalam erti kata yang mudah, penyerang A menghantar paket ke server sasaran B dengan pesanan ‘Saya adalah B dan saya mahu balasan’, yang menyebabkan B menghantar ‘balasan’ kepada dirinya sendiri, dan proses ini berulang tanpa henti, mencipta gelung tak terhingga. Ini adalah penggunaan ‘kelemahan’ dalam erti kata ‘menghantar balasan kepada paket yang dikirim oleh diri sendiri’, tetapi kerana ia tidak melibatkan pengelakan pengesahan kata laluan, ia dikategorikan sebagai serangan DoS ‘Vulnerability’, bukan ‘akses tidak sah’.

https://monolith.law/reputation/unauthorized-computer-access[ja]

Selain itu, serangan DDoS adalah teknik yang melibatkan pengendalian jarak jauh ribuan komputer yang dijangkiti virus bot dan melancarkan serangan DoS ‘Flood’ dari setiap komputer tersebut.

Mekanisme Serangan DoS

Mekanisme serangan DoS adalah teknikal tetapi mudah, yang melibatkan pengulangan tindakan yang sah dalam rangkaian TCP/IP dengan frekuensi yang tinggi. Sebagai contoh, apabila tiket konsert idola popular dijual secara umum dan ramai orang mengakses laman jualan pada masa yang sama, laman web tersebut mungkin menjadi lambat atau turun, menyebabkan sukar untuk diakses. Serangan DoS adalah serangan yang menggunakan hak yang sah untuk mencipta situasi seperti ini secara sengaja.

Adakah Serangan DoS Menyamai Jenayah Penghancuran Komputer Elektronik dan Gangguan Perniagaan?

Jadi, adakah serangan DoS merupakan jenayah? Kita akan mempertimbangkan sama ada ia menyamai jenayah penghancuran komputer elektronik dan gangguan perniagaan yang disebutkan sebelum ini.

“Sesiapa yang merosakkan komputer elektronik atau rekod magnetik yang digunakan untuk perniagaan, atau memberikan maklumat palsu atau arahan tidak sah kepada komputer elektronik yang digunakan untuk perniagaan, atau dengan cara lain, menghalang komputer elektronik daripada berfungsi mengikut tujuan penggunaan, atau memaksa ia berfungsi bertentangan dengan tujuan penggunaan, dan dengan itu mengganggu perniagaan orang lain, akan dihukum penjara tidak melebihi lima tahun atau denda tidak melebihi satu juta yen.”

Perenggan 1 Artikel 234 Undang-Undang Jenayah Jepun (Penghancuran Komputer Elektronik dan Gangguan Perniagaan)

Sebagai syarat objektif untuk penubuhan jenayah penghancuran komputer elektronik dan gangguan perniagaan, perlu dipenuhi:

  1. Tindakan pencerobohan terhadap komputer elektronik
  2. Penghalangan fungsi komputer elektronik
  3. Gangguan perniagaan

dan sebagai syarat subjektif, niat perlu ada dalam semua ini untuk penubuhan jenayah.

Kepatuhan Syarat Struktur Objektif

Kita akan mempertimbangkan setiap perkara berikut secara individu.

Tindakan Pencerobohan Terhadap Komputer Elektronik

Sebagai tindakan pencerobohan (tindakan pelaksanaan), perlu memenuhi salah satu daripada:

  • “Penghancuran komputer elektronik atau rekod magnetik yang digunakan untuk tujuan tersebut”
  • “Memberikan maklumat palsu atau arahan tidak sah kepada komputer elektronik”
  • “Atau cara lain”

Untuk ini, “komputer elektronik” merujuk kepada peranti elektronik yang melakukan pengiraan dan pemprosesan data secara automatik, dan tidak ada pertikaian bahawa komputer pejabat, komputer peribadi, dan komputer kawalan adalah contoh utama. Definisi rekod magnetik diberikan dalam Artikel 7(2) Undang-Undang Jenayah Jepun. Server, yang merupakan sasaran serangan DoS, tentunya termasuk dalam ini.

“Penghancuran” merujuk kepada semua tindakan yang merosakkan fungsi benda, bukan hanya kerosakan fizikal, seperti penghapusan data. “Maklumat palsu” merujuk kepada sesuatu yang bertentangan dengan kebenaran. “Arahan tidak sah” merujuk kepada memberikan arahan yang boleh diproses oleh komputer tersebut tanpa kebenaran. Sebagai contoh, jika serangan DoS jenis banjir dilakukan secara besar-besaran dan berpusat, server yang menjadi sasaran menjadi terlalu beban dan tidak dapat menjalankan proses dengan betul. Serangan seperti ini, walaupun tidak “merosakkan” seperti menghapus data, adalah akses yang bertentangan dengan kehendak pemilik server dan memberikan arahan tanpa kebenaran, dan oleh itu, ia adalah “arahan tidak sah”.

Penghalangan Fungsi Komputer Elektronik

Soalannya adalah sama ada ia menyamai “menghalang komputer elektronik daripada berfungsi mengikut tujuan penggunaan” atau “memaksa ia berfungsi bertentangan dengan tujuan penggunaan”. Ada pertikaian tentang siapa yang seharusnya menjadi tujuan penggunaan, tetapi mengingat bahawa manfaat undang-undang yang dilindungi oleh jenayah ini adalah pelaksanaan perniagaan yang selamat dan lancar, kita seharusnya menganggap tujuan penggunaan oleh pemasang sebagai asas. Apabila serangan DoS dilakukan dan server menjadi terlalu beban, perkhidmatan mungkin menjadi tidak dapat digunakan, dan proses yang betul yang dimaksudkan oleh pemasang server mungkin tidak dapat dilakukan. Dalam kes seperti itu, kita boleh mengatakan bahawa “komputer elektronik tidak berfungsi mengikut tujuan penggunaan”, dan ini adalah penghalangan fungsi.

Gangguan Perniagaan

Jenayah penghancuran komputer elektronik dan gangguan perniagaan adalah jenis yang lebih berat daripada jenayah gangguan perniagaan (Artikel 233 dan 234 Undang-Undang Jenayah Jepun), jadi kita mempertimbangkan gangguan perniagaan ini sama seperti jenayah gangguan perniagaan biasa. Iaitu, “perniagaan” merujuk kepada urusan yang dilakukan secara berulang dan berterusan berdasarkan kedudukan dalam kehidupan sosial, dan “gangguan” tidak memerlukan perniagaan sebenar untuk dirugikan. Apabila serangan DoS dilakukan, “perniagaan” pemasang yang menyediakan perkhidmatan di internet dengan menggunakan server diganggu, dan ini adalah gangguan perniagaan.

Kepatuhan Syarat Subjektif (Niat)

Setelah memenuhi syarat-syarat ini, niat (Perenggan 1 Artikel 38 Undang-Undang Jenayah Jepun) perlu diakui. Niat merujuk kepada pengakuan dan penerimaan fakta yang menyamai ① hingga ③ (dikenali sebagai syarat struktur). Ini tidak memerlukan niat jahat atau niat merosakkan, dan walaupun tidak ada niat seperti itu, jika ada pengakuan bahawa “mungkin server akan jatuh dan perkhidmatan mungkin menjadi tidak dapat digunakan”, niat boleh diakui.

Insiden Akses Berlebihan Laman Web Perpustakaan Pusat Okazaki

Berkaitan dengan perkara di atas, kami ingin memperkenalkan “Insiden Akses Berlebihan Laman Web Perpustakaan Pusat Okazaki (dikenali juga sebagai Insiden Librahack)”.

Seorang lelaki (39) di Aichi telah ditangkap kerana disyaki melancarkan serangan siber setelah mengumpulkan maklumat buku baru dari laman web perpustakaan menggunakan program buatannya sendiri. Namun, menurut analisis pakar yang diminta oleh Asahi Shimbun, terdapat masalah dengan perisian perpustakaan yang membuatnya kelihatan seperti telah diserang oleh akses berlebihan. Diketahui juga bahawa masalah yang sama telah berlaku di enam perpustakaan lain di seluruh negara yang menggunakan perisian yang sama. Syarikat pembangunan perisian telah memulakan pembaharuan di kira-kira 30 perpustakaan di seluruh negara.
Masalah ini berlaku di Perpustakaan Pusat Okazaki. Perisian tersebut mempunyai masalah di mana setiap kali data buku dipanggil, proses komputer berterusan, seperti keadaan di mana telefon masih diangkat selepas panggilan. Ia akan diputuskan secara paksa setelah beberapa masa, tetapi di perpustakaan ini, jika akses melebihi kira-kira 1,000 dalam 10 minit, laman web tidak dapat dilihat dan kelihatan seperti telah menerima akses berlebihan.
Lelaki tersebut adalah jurutera perisian dan meminjam kira-kira 100 buku setahun dari Perpustakaan Pusat Okazaki. Laman web perpustakaan tidak mudah digunakan, jadi dia membuat program untuk mengumpulkan maklumat buku baru setiap hari dan mulai menggunakannya pada bulan Mac.
Sejak bulan itu, perpustakaan telah menerima aduan dari penduduk yang mengatakan mereka tidak dapat mengakses laman web. Polis Aichi, yang menerima pertanyaan, menilai bahawa lelaki itu telah menghantar permintaan yang melebihi kapasiti pemprosesan dengan sengaja dan menangkapnya atas tuduhan mengganggu perniagaan. Pejabat Pendakwaan Nagoya Okazaki pada bulan Jun memutuskan untuk menangguhkan pendakwaan kerana “tiada niat kuat untuk mengganggu perniagaan”.

Asahi Shimbun Edisi Pagi Nagoya (21 Ogos 2010)

Lelaki yang ditangkap dalam insiden ini adalah pengguna Perpustakaan Pusat Okazaki dan melakukan tindakan tersebut dengan tujuan mengumpulkan maklumat buku baru dari laman web perpustakaan, dan tidak ada niat untuk mengganggu operasi perpustakaan. Frekuensi aksesnya juga rendah, kira-kira satu kali per saat, yang biasanya tidak dianggap sebagai serangan DoS, tetapi terdapat masalah dengan pelayan perpustakaan dan gangguan sistem berlaku pada tahap ini.

Walaupun tidak ada niat jahat, tindakan yang dianggap sebagai serangan DoS yang menyebabkan pelayan perpustakaan turun dan mengganggu operasinya dapat diterima, jadi kita akan melihat syarat objektif. Dan tentang niat, seperti yang saya sebutkan sebelum ini, niat dapat diterima walaupun tidak ada niat jahat. Polis daerah percaya bahawa lelaki ini adalah jurutera yang mahir dalam komputer, jadi walaupun dia menyedari bahawa menghantar banyak permintaan dapat memberi kesan kepada pelayan perpustakaan, dia menghantar banyak permintaan, jadi ada niat, dan jenayah dapat dilakukan.

Masalah dan Kritikan Insiden

Metode pengambilan data dari laman web umum seperti yang dilakukan oleh lelaki ini secara umum dilakukan secara meluas, dan tidak ada ilegalitas dalam pengaturcaraan itu sendiri. Lelaki ini kemudian menjelaskan latar belakang dan niat insiden ini di laman webnya sendiri, tetapi dari kandungannya, tidak ada titik yang layak dipersalahkan secara moral sebagai “jenayah”, dan banyak jurutera yang menggunakan teknologi ini terkejut, dan banyak kritikan dan kebimbangan telah dibincangkan.

Contohnya, pertama sekali, laman web umum perpustakaan awam yang digunakan oleh orang ramai, jika pelayan itu mempunyai masalah yang menyebabkan ia turun dengan satu akses per saat, ia terlalu lemah dan rapuh, dan jika ada pelayan yang kuat yang sepatutnya ada, lelaki itu sepatutnya tidak ditangkap, itu adalah petunjuk.
Selain itu, lelaki itu tidak mempunyai niat “balas dendam” atau “mengganggu”, seperti serangan atau gangguan perniagaan, penghantaran data besar yang jelas berbeza dari cara penggunaan biasa, dan sebagainya, elemen yang jelas seperti jenayah, dan walaupun begitu, ia adalah peraturan yang dapat menjadikan jenayah, itu adalah masalah undang-undang. Selain itu, ada petunjuk tentang perbezaan antara penggunaan undang-undang dan realiti penggunaan internet. Contohnya, kesan yang diterima oleh orang yang mahir dalam teknologi internet dan pemprosesan maklumat sama dengan 10,000 akses adalah berbeza dari kesan yang diterima oleh orang awam yang tidak termasuk polis dan pendakwaan, dan masalahnya adalah penggunaan tanpa membetulkan perbezaan persepsi ini. Selain itu, ada kebimbangan dan rasa tidak aman bahawa industri dan perkembangan internet yang bebas mungkin merosot kerana semua orang, seperti lelaki ini, mempunyai potensi untuk ditangkap.

Lelaki itu, kerana tidak ada niat kuat untuk mengganggu perniagaan, akhirnya mendapat penangguhan pendakwaan, tetapi dia telah ditahan dan ditahan selama 20 hari dan diperiksa, dan dia telah dipaksa untuk menahan diri. Selain itu, nama sebenarnya telah dilaporkan semasa penangkapan. Selain itu, penangguhan pendakwaan adalah jenis “tidak cukup bukti” dalam tidak pendakwaan, yang berarti “ada jenayah tetapi tidak jahat, atau menyesal dengan mendalam, jadi kali ini saya akan menangguhkan pendakwaan”, jadi dengan kata lain, dia telah melakukan jenayah. Walaupun tidak didakwa, masalahnya adalah dia telah menerima kerugian sosial yang besar.

Rumusan

Seperti yang dinyatakan, serangan DoS boleh membawa kepada kesalahan mengganggu perniagaan melalui kerusakan komputer elektronik. Walau bagaimanapun, terdapat beberapa masalah dalam penggunaan undang-undang ini, dan seperti kes-kes yang diperkenalkan sebelum ini, ia juga boleh membawa kepada penubuhan jenayah yang sukar untuk dikatakan sebagai jahat. Berbeza dengan masa penguatkuasaan, kini ramai orang memiliki peranti internet seperti telefon pintar dan komputer, dan masyarakat internet berkembang dengan pesat. Untuk mengatasi masalah ini dan melindungi kebebasan di internet, kita perlu mempertimbangkan semula penggunaan undang-undang dan mempertimbangkan langkah-langkah legislatif baru.

Jika pelayan syarikat menjadi mangsa serangan siber seperti serangan DoS, anda perlu meminta polis untuk menyiasat. Walau bagaimanapun, banyak kes melibatkan isu yang sangat canggih dari segi teknikal, dan seperti insiden perpustakaan yang disebutkan sebelum ini, mungkin ada kes di mana anda tidak dapat mengambil tindakan yang sesuai kecuali anda mempunyai pengetahuan dan know-how dalam kedua-dua IT dan undang-undang.

Sebagai penyelesaian sivil, jika anda dapat mengenal pasti penjenayah, anda boleh membuat tuntutan ganti rugi terhadap penjenayah tersebut. Oleh itu, salah satu cara adalah untuk berunding dengan peguam yang berpengalaman dalam internet dan perniagaan.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Kembali ke Atas