Wat zijn de 3 classificaties van cybercriminaliteit? Een advocaat legt de schadebeheersing voor elk patroon uit
“Cybercriminaliteit” is een term die inmiddels redelijk ingeburgerd is in het dagelijks taalgebruik, maar internationaal wordt het gedefinieerd als “misdaden die misbruik maken van computertechnologie en telecommunicatietechnologie”. Zogenaamde “hacken (kraken)” en andere vormen van cybercriminaliteit kunnen ook bedrijven treffen. Als een bedrijf slachtoffer wordt van dergelijke misdaden, is het noodzakelijk om te overwegen welke maatregelen genomen kunnen worden.
In dit artikel classificeren we cybercriminaliteit in drie algemeen gebruikte patronen in Japan en leggen we uit welke misdaden onder elk patroon vallen en welke maatregelen er zijn als je slachtoffer wordt. De reden waarom deze classificatie belangrijk is, is omdat:
- Als je in de eerste plaats niet als een “slachtoffer” in de juridische zin kan worden beschouwd, kan het moeilijk zijn om de politie te vragen om een onderzoek in te stellen, zelfs als je een misdaad meldt.
- In het geval van misdaden waarvoor er civiele maatregelen zijn, kun je een advocaat inschakelen om de dader te identificeren en een schadevergoeding te eisen, zonder te vertrouwen op een politieonderzoek.
- Als je zelf het slachtoffer bent van een misdaad en er geen civiele oplossing is, zul je de politie moeten vragen om een onderzoek in te stellen.
Met andere woorden, de “maatregelen” verschillen per patroon.
De 3 classificaties van cybercriminaliteit
Zoals hierboven vermeld, is het in Japan gebruikelijk om cybercriminaliteit in drie categorieën in te delen.
- Computerdelicten: De exacte definitie wordt later uitgelegd, maar in het kort zijn dit misdaden die de bedrijfsvoering verstoren.
- Netwerkgerelateerde misdaden: Misdaden die worden gepleegd door misbruik van het internet.
- Overtredingen van de Japanse ‘Wet op het verbod van ongeoorloofde toegang’: Dit omvat bijvoorbeeld onrechtmatige inlogpogingen.
Hieronder leggen we elk van deze punten in detail uit.
Wat is computercriminaliteit?
Wat is het misdrijf van het verstoren van bedrijfsvoering door beschadiging van computers, etc.?
In het strafrecht is er een misdrijf genaamd ‘het verstoren van bedrijfsvoering door beschadiging van computers, etc.’, dat typisch is voor dit soort misdrijven.
Het beschadigen van een computer of magnetische opslag die wordt gebruikt voor iemands bedrijfsvoering, of het geven van valse informatie of onjuiste instructies aan een computer die wordt gebruikt voor iemands bedrijfsvoering, of het op een andere manier voorkomen dat de computer functioneert zoals bedoeld, of het laten functioneren in strijd met het beoogde gebruik, waardoor iemands bedrijfsvoering wordt verstoord, wordt bestraft met een gevangenisstraf van maximaal vijf jaar of een boete van maximaal 1 miljoen yen.
Artikel 224-2 van het Japanse Strafwetboek
Het is een moeilijk te lezen tekst, maar in het kort betekent het dat,
- het beschadigen van een computer of de gegevens erin die voor bedrijfsdoeleinden worden gebruikt
- het versturen van valse informatie of informatie die niet bedoeld is om naar een computer te worden gestuurd die voor bedrijfsdoeleinden wordt gebruikt
Als je door deze middelen de betreffende computer onverwachte acties laat uitvoeren en de bedrijfsvoering verstoort, is het een misdrijf.
Een typisch voorbeeld hiervan is het gebruik van beveiligingslekken of het onrechtmatig inloggen op iemands account om het saldo van een online bankrekening te verhogen. Ook het gebruik van beveiligingslekken of het onrechtmatig verkrijgen van inloggegevens om de website van een bedrijf te wijzigen, valt hieronder. Hoewel het handelen van ‘onrechtmatig inloggen’ op zichzelf een overtreding is van de ‘Wet op het verbod van onrechtmatige toegang’ die later wordt besproken, is dit soort misdrijf gericht op het vangen van onrechtmatige handelingen, wijzigingen, verwijderingen, of onrechtmatige wijzigingen van gegevens.
Wat is het verschil met ongeoorloofde toegang?
Dit type misdrijf hoeft niet noodzakelijkerwijs gepaard te gaan met ongeoorloofde inlogactiviteiten om te worden gevestigd. Een typisch voorbeeld is de zogenaamde DoS-aanval. Patronen zoals het verzenden van een groot aantal e-mails om storingen te veroorzaken op de e-mailserver, of het uitvoeren van een groot aantal toegangen tot een website om storingen te veroorzaken op de webserver. Hoewel deze acties legaal zijn als je alleen naar elke individuele e-mail of toegang kijkt, veroorzaken ze onverwacht gedrag op de server (PC) door ze in grote hoeveelheden uit te voeren, waardoor het bedrijf schade lijdt, zoals het niet kunnen gebruiken van e-mail of het niet kunnen openen van de website. Daarom is het “geen overtreding van de Japanse Wet op het Verbod op Ongeoorloofde Toegang, maar het valt onder de Japanse Wet op het Strafrecht voor het Beschadigen van Computers en het Verstoren van Bedrijfsactiviteiten”. Bovendien, in dit soort misdrijven, wordt de Japanse Wet op het Strafrecht voor het Verstoren van Bedrijfsactiviteiten door Misleiding ook een probleem.
Om een politieonderzoek te bevorderen
Deze handelingen zijn, zoals hierboven vermeld, misdaden en aangezien het betreffende bedrijf het slachtoffer is, is het mogelijk om een politieonderzoek te vragen. Echter, in de praktijk kan niet gezegd worden dat de Japanse politie goed reageert op dergelijke misdaden. Dit heeft ook te maken met technische problemen. Bijvoorbeeld, hoewel we hierboven spraken over eenvoudige DoS-aanvallen, zijn de werkelijke aanvallen vaak niet zo eenvoudig, met miljoenen e-mails of toegangen vanuit een enkel IP-adres, maar eerder verspreid vanuit meerdere IP-adressen. Dergelijke aanvallen worden “DDoS” genoemd.
Als er veel e-mails of toegangen vanuit hetzelfde IP-adres zijn, is het duidelijk dat dit veel toegangen van dezelfde persoon zijn en “ongebruikelijke informatie”. Maar als de IP-adressen verspreid zijn, is elke e-mail of toegang op zichzelf legaal, dus tenzij er bewijs is dat ze allemaal door dezelfde persoon zijn gedaan, kan het niet gezegd worden dat het illegale informatieoverdracht is. Dus, hoe kan men bewijzen dat “het zijn veel e-mails of toegangen van dezelfde persoon” onder strikte strafrechtelijke procedures? Dit is inderdaad een lastig probleem voor de politie en het Openbaar Ministerie.
Bovendien, in een strafproces, kan men niet schuldig worden bevonden alleen omdat “communicatie die overeenkomt met een misdrijf (zoals het verzenden van veel e-mails in het bovenstaande voorbeeld) is gedaan vanaf de PC van de verdachte”. Wat vereist is in een strafzaak is niet “van welke PC” maar “door wiens hand” feitelijke vaststelling. In feite zijn er in strafrechtelijke vonnissen vaak zorgvuldige overwegingen van dit deel, dat wil zeggen, “het misdrijf is zeker gedaan vanaf de PC van de verdachte, maar is het echt gedaan door de verdachte zelf?” Deze bewijslast is natuurlijk belangrijk om “onterechte veroordelingen te voorkomen”, maar het lijkt erop dat het ook een reden is voor de politie en het Openbaar Ministerie om aarzelen bij het onderzoeken van cybercriminaliteit.
Echter, als het incident net is gebeurd, is het in sommige gevallen mogelijk om bewijs te verzamelen dat “het is zeer waarschijnlijk gedaan door dezelfde persoon” en “het is zeker gedaan door de verdachte zelf” door het serverlogboek en dergelijke in detail te analyseren. IT-technisch onderzoek en juridische analyse om wat er uit dat onderzoek is gebleken om te zetten in juridisch significant materiaal. Als deze twee elementen aanwezig zijn, kan men zeggen dat er gevallen zijn waarin men een politieonderzoek kan bevorderen.
Burgerlijke oplossingen zijn moeilijk
Het zou mooi zijn als er burgerlijke oplossingen waren zonder de politie in te schakelen, maar de eerlijke waarheid is dat er weinig burgerlijke maatregelen zijn voor dit soort misdaden.
Bijvoorbeeld, in het geval dat er een groot aantal e-mails is verzonden, staat het IP-adres van de afzender in de e-mailheader, dus je zou willen dat de provider de naam en het adres van de abonnee die dat IP-adres gebruikte, onthult. Echter, onder het Japanse burgerlijk recht (Japanse Burgerlijk Wetboek) is er geen recht om deze openbaarmaking juridisch te eisen. In gevallen van laster op het internet, zoals hieronder beschreven, kan het recht om informatie van de afzender te onthullen onder de Provider Liability Limitation Act (Japanse Wet op de Beperking van de Aansprakelijkheid van Providers) worden gebruikt, maar om het simpel te zeggen, dit recht om openbaarmaking te eisen is alleen erkend voor,
communicatie voor het plaatsen van berichten die door een onbepaald aantal mensen worden bekeken (typisch, communicatie voor het plaatsen van lasterlijke berichten op internetfora die openbaar zijn voor een onbepaald aantal mensen)
en is niet erkend voor iets anders.
In de praktijk zijn er vaak gevallen waarin gedetailleerde rapporten nodig zijn om de politie aan te moedigen om onderzoek te doen in gevallen van geavanceerde cybercriminaliteit, meer dan wanneer een rechtszaak wordt aangespannen. Bovendien is het niet ongebruikelijk dat er een jaar of langer nodig is vanaf het eerste contact met de politie tot het daadwerkelijke onderzoek en de arrestatie. Aan de andere kant kan een burgerlijke oplossing minder tijdrovend en gemakkelijker zijn… maar dit soort misdaden zijn in principe onmogelijk of zeer moeilijk op te lossen op een burgerlijke manier. Als de dader kan worden geïdentificeerd, is het mogelijk om schadevergoeding te eisen voor de schade veroorzaakt door de criminele daad, zoals het optreden van een storing in de webserver, maar er is geen specifieke methode voorbereid om dit te doen.
Netwerkgerelateerde misdrijven
Schade door laster op het internet
Dit zijn misdrijven die worden gepleegd met behulp van pc’s of netwerken, anders dan de computermisdrijven die hierboven zijn genoemd. Bijvoorbeeld, zogenaamde laster op het internet beschadigt geen gegevens, stuurt geen onverwachte informatie, of veroorzaakt geen onverwacht gedrag op een pc, maar het wordt uitgevoerd met behulp van een internetnetwerk.
Posten die als laster worden beschouwd, worden geclassificeerd als:
- Illegaal in zowel strafrechtelijke als civielrechtelijke zin (typisch voorbeeld is smaad)
- Niet strafrechtelijk illegaal, maar civielrechtelijk illegaal (typisch voorbeelden zijn inbreuk op privacy en portretrecht)
Als het strafrechtelijk illegaal is, is het mogelijk om de poster te identificeren met behulp van een verzoek om openbaarmaking van de afzenderinformatie onder de Japanse Provider Liability Limitation Act (Provider Aansprakelijkheidsbeperkingswet) in civielrechtelijke zin, en om de politie aan te moedigen om de poster te arresteren of te onderzoeken.
Echter, afhankelijk van de inhoud, is de realiteit dat de politie niet erg actief is in het onderzoeken van dergelijke berichten vanwege een houding die bekend staat als “niet-interventie in civiele zaken”. Bovendien, aangezien inbreuk op privacy en portretrecht geen strafbare feiten zijn, is een civielrechtelijke oplossing noodzakelijk.
https://monolith.law/practices/reputation[ja]
Schade door één-op-één communicatie, zoals e-mail
Wat moeilijk is, zijn de ongepaste berichten en dergelijke die worden verzonden via één-op-één communicatiemiddelen zoals e-mail en Twitter DM’s. Een typisch voorbeeld is een e-mail met een tekst die overeenkomt met bedreiging of afpersing. Een verzoek om openbaarmaking van de afzenderinformatie onder de Japanse Provider Liability Limitation Act kan alleen worden gebruikt in gevallen zoals hierboven, waarbij:
Communicatie wordt uitgevoerd voor het plaatsen van berichten die door een onbepaald aantal mensen worden bekeken (typisch voorbeeld is communicatie voor het plaatsen van lasterlijke berichten op internetforums die openbaar zijn voor een onbepaald aantal mensen)
Dus voor dergelijke communicatie is er in de eerste plaats geen civielrechtelijke oplossing voorzien, en we kunnen alleen maar hopen op een politieonderzoek. Echter, zelfs als de inhoud van een bericht dat op een internetforum wordt geplaatst lasterlijk is, als een één-op-één communicatiemiddel wordt gebruikt, wordt er geen smaad gepleegd. Simpel gezegd, smaad wordt alleen gepleegd als de handeling wordt uitgevoerd tegen een onbepaald aantal of meerdere mensen. Bij één-op-één communicatie wordt smaad in principe niet gepleegd. We hebben een apart artikel waarin we deze kwestie in detail bespreken.
Schade door obscene afbeeldingen of illegale sites
Daarnaast zijn er ook misdrijven waarbij er geen slachtoffers zijn, of waarbij bedrijven die daadwerkelijk schade lijden niet het slachtoffer zijn. Bijvoorbeeld:
- Publicatie van ongecensureerde afbeeldingen of video’s op zogenaamde volwassenensites (openbare tentoonstelling van obscene afbeeldingen)
- Reclame voor illegale casinosites
- Frauduleuze sites die beweren merkartikelen te verkopen maar in werkelijkheid geen producten verzenden
Zijn typische patronen.
Bijvoorbeeld, als er stiekem gefilmd wordt in de dameskleedkamer van een bedrijf en de beelden worden op het internet gepubliceerd, is het duidelijk dat deze beelden inbreuk maken op de privacy (en portretrechten) van de betrokken vrouw, maar zoals hierboven vermeld, is inbreuk op de privacy (en portretrechten) geen misdrijf, en hoewel het filmen zelf een misdrijf is, betekent dit niet dat het publiceren van de gefilmde foto’s onmiddellijk een misdrijf is, dus het is een moeilijk probleem hoe de politie om een onderzoek te vragen.
Bovendien, zelfs als de aanwezigheid van illegale casinosites of frauduleuze sites resulteert in een daling van de omzet van uw bedrijf of een verlies van vertrouwen, zijn de bovengenoemde handelingen misdrijven die worden gepleegd voor de samenleving zonder specifieke slachtoffers (typisch voorbeelden zijn snelheidsovertredingen en drugsreguleringen) of die alleen directe slachtoffers (bijvoorbeeld consumenten die geld hebben betaald aan de betreffende frauduleuze site) als slachtoffers beschouwen, dus zelfs als een bedrijf schade claimt, wordt het uiteindelijk een melding door een derde partij die geen slachtoffer is. Bovendien, als u geen “slachtoffer” bent, kunt u niet eens denken aan identificatie door middel van een verzoek om openbaarmaking van de afzenderinformatie.
Echter, als het gaat om handelingen die inbreuk maken op de intellectuele eigendomsrechten (zoals handelsmerken en auteursrechten) van een bedrijf, zoals de verkoop van valse merkartikelen, kan het bedrijf als “slachtoffer” de politie aansporen om een onderzoek in te stellen, of kan het proberen de verkoper te identificeren door middel van civielrechtelijke maatregelen.
Overtreding van de Wet op het Verbod van Onrechtmatige Toegang
Wat de Wet op het Verbod van Onrechtmatige Toegang verbiedt
Ten slotte, de handelingen die verboden zijn door de Wet op het Verbod van Onrechtmatige Toegang (Japanse Wet op het Verbod van Onrechtmatige Toegang). Deze wet verbiedt:
- Onrechtmatige toegang
- Bevordering van onrechtmatige toegang
- Onrechtmatige verkrijging en dergelijke
Van deze, de eerste, onrechtmatige toegang, omvat grofweg:
- Impersonatie: Het invoeren van iemand anders’ ID en wachtwoord, enz., en inloggen als die persoon zonder toestemming
- Beveiligingsgat aanvallen: Het misbruiken van beveiligingsgaten, waarbij het niet nodig is om een ID en wachtwoord, enz., in te voeren, en inloggen als een ander persoon
Er zijn twee soorten van deze.
De tweede, bevordering van onrechtmatige toegang, is het handelen van het zonder toestemming aan anderen vertellen of verkopen van iemand anders’ accountinformatie (ID, wachtwoord, enz.).
Ten slotte, de derde, onrechtmatige verkrijging en dergelijke, is het handelen van het laten invoeren van iemand anders’ account op bijvoorbeeld een zogenaamde phishing-site, of het opslaan van accountinformatie die op deze manier onrechtmatig is verkregen.
Voor meer informatie over de Wet op het Verbod van Onrechtmatige Toegang, zie het volgende artikel.
Oplossing door de politie
Als u het slachtoffer bent van onrechtmatige toegang, zult u de politie moeten vragen om een onderzoek. Echter, in veel gevallen gaat het om technisch zeer geavanceerde problemen, en net als bij de bovengenoemde computercriminaliteit, tenzij iemand met kennis en knowhow van zowel IT als recht de rapporten en dergelijke opstelt, is het vaak het geval dat het onderzoek door de politie in de praktijk niet gemakkelijk wordt uitgevoerd.
Daarnaast, als de dader kan worden geïdentificeerd, is het mogelijk om schadevergoeding te eisen van de betreffende dader, maar het is zeer moeilijk om de dader te identificeren met civiele middelen, net als bij de bovengenoemde computercriminaliteit.
Category: IT
Tag: CybercrimeIT