En advokat forklarer handlinger og eksempler forbudt av den japanske 'Lov om forbud mot uautorisert tilgang
Den japanske “Lov om forbud mot uautorisert tilgang” (offisielt navn “Lov om forbud mot uautorisert tilgang og lignende”) ble iverksatt i februar 2000 (Heisei 12) og ble revidert i mai 2012 (Heisei 24), og er fortsatt gjeldende. Denne loven, som består av 14 artikler, har som formål å forhindre cyberkriminalitet og opprettholde orden i forbindelse med elektronisk kommunikasjon.
“Lov om forbud mot uautorisert tilgang og lignende” (Formål)
Artikkel 1: Formålet med denne loven er å forby uautorisert tilgang og å fastsette straffer og hjelpetiltak av fylkes sikkerhetskommisjoner for å forhindre gjentakelse, for å forhindre forbrytelser relatert til datamaskiner utført via telekommunikasjonslinjer og for å opprettholde orden i telekommunikasjon realisert ved hjelp av tilgangskontrollfunksjoner, og dermed bidra til sunn utvikling av et avansert informasjonssamfunn.
Hva forbinder den japanske “Lov om forbud mot uautorisert tilgang” konkret? Hva slags eksempler finnes det i virkeligheten, og hvilke tiltak bør tas på strafferettslig og sivilrettslig nivå? Vi vil forklare en oversikt over “Lov om forbud mot uautorisert tilgang” og tiltakene som skal tas hvis du blir et offer.
Handlinger forbudt av den japanske loven mot uautorisert tilgang
Handlinger som er forbudt og straffet av den japanske loven mot uautorisert tilgang kan grovt sett deles inn i følgende tre kategorier:
- Forbud mot uautorisert tilgang (Artikkel 3)
- Forbud mot handlinger som fremmer uautorisert tilgang (Artikkel 5)
- Forbud mot urettmessig tilegnelse, lagring eller forespørsel om andres identifikasjonskoder (Artikkel 4, 6, 7)
Identifikasjonskoder, som nevnt her, er koder som er definert av hver tilgangsadministrator for de som har fått tillatelse til å bruke en bestemt elektronisk datamaskin, og som tilgangsadministratoren bruker for å skille mellom forskjellige brukere (Artikkel 2, paragraf 2).
Et typisk eksempel på en identifikasjonskode er et passord som brukes i kombinasjon med en ID. I tillegg til dette, er det i økende grad vanlig med systemer som identifiserer en person ved hjelp av fingeravtrykk eller iris i øyet, og disse regnes også som identifikasjonskoder. Videre, i tilfeller der en person blir identifisert ved hjelp av formen eller trykket av en signatur, vil den numeriske og kodifiserte versjonen av signaturen også bli betraktet som en identifikasjonskode.
Hva er uautorisert tilgang?
Spesifikt er det definert i paragraf 2, artikkel 4, men uautorisert tilgang er handlinger som misbruker andres identifikasjonskoder, kjent som “spoofing”, og utnytter svakheter i dataprogrammer, kjent som “sikkerhetshullangrep”. I den japanske “Lov om forbud mot uautorisert tilgang” (Uautorisert tilgangsforbud-loven), er det forbudt å få uautorisert tilgang til andres datamaskiner ved hjelp av disse metodene.
Handlinger som misbruker andres identifikasjonskoder
“Spoofing” refererer til å bruke en datamaskin som man egentlig ikke har tillatelse til å få tilgang til, ved å misbruke andres identifikasjonskoder.
I praksis, når du bruker et datamaskinsystem, må du skrive inn identifikasjonskoder som ID og passord på datamaskinen. “Spoofing” refererer til handlingen med å skrive inn identifikasjonskodene til en annen person som har legitim tilgangsrett, uten deres tillatelse.
Det kan være litt vanskelig å forstå, men “andres” i denne sammenhengen refererer til IDer og passord som allerede er opprettet (og brukt) av andre. Med andre ord, “spoofing” er handlingen med å “overta” kontoer som andre allerede bruker, for eksempel på sosiale medier som Twitter.
Siden det er et krav at identifikasjonskodene er skrevet inn uten personens tillatelse, vil det ikke være i strid med Uautorisert tilgangsforbud-loven hvis du for eksempel gir kollegaen din passordet ditt mens du er på forretningsreise, og ber dem sjekke e-posten din på dine vegne, siden du har fått tillatelse fra personen selv.
Vanligvis refererer “spoofing” til handlingen med å opprette en ny konto ved hjelp av andres navn eller profilbilde, og bruke sosiale medier som Twitter som om du var den personen. Men handlingene som er forbudt i henhold til Uautorisert tilgangsforbud-loven er forskjellige fra dette. Vi forklarer “spoofing” i den generelle betydningen mer detaljert i artikkelen nedenfor.
https://monolith.law/reputation/spoofing-dentityright[ja]
Handlinger som utnytter svakheter i dataprogrammer
“Sikkerhetshullangrep” refererer til handlingen med å angripe sikkerhetshullene (svakheter i sikkerhetstiltak) i andres datamaskiner, og gjøre det mulig å bruke disse datamaskinene. Ved hjelp av angrepsprogrammer og lignende, gir de informasjon og instruksjoner som ikke er identifikasjonskoder til målet for angrepet, omgår tilgangskontrollfunksjonene til andres datamaskiner, og bruker datamaskinene uten tillatelse.
“Tilgangskontrollfunksjon” i denne sammenhengen refererer til funksjonen som tilgangsadministratorer gir til en bestemt elektronisk datamaskin eller en elektronisk datamaskin som er koblet til en bestemt elektronisk datamaskin via en telekommunikasjonslinje, for å begrense bruken av den bestemte elektroniske datamaskinen til bare de som har legitim tilgangsrett (paragraf 2, artikkel 3).
For å forklare det enkelt, er det en mekanisme som lar de som prøver å få tilgang til et datamaskinsystem skrive inn ID og passord osv. over nettverket, og bare tillater bruk hvis riktig ID og passord osv. er skrevet inn.
Med andre ord, “sikkerhetshullangrep” kan sies å være handlingen med å gjøre det mulig å bruke det aktuelle datamaskinsystemet uten å skrive inn riktig ID og passord osv., ved å deaktivere denne mekanismen.
To typer uautorisert tilgang
Som nevnt ovenfor, er det to typer uautorisert tilgang.
Det som bør bemerkes er at for at en handling skal betraktes som uautorisert tilgang, må den utføres via et datanettverk. Derfor, selv om du skriver inn passordet osv. uten tillatelse og bruker en datamaskin som ikke er koblet til et nettverk, dvs. en såkalt standalone-datamaskin, vil det ikke bli betraktet som uautorisert tilgang.
Imidlertid, når det gjelder datanettverk, gjelder det ikke bare åpne nettverk som internett, men også lukkede nettverk som bedrifts-LAN.
Det er ingen begrensninger på innholdet i uautorisert bruk som utføres gjennom uautorisert tilgang, og det vil være i strid med Uautorisert tilgangsforbud-loven å gjøre ting som uautorisert bestilling, datainnsyn, filoverføring, og endring av hjemmesider.
Hvis du utfører en av disse to typene uautorisert tilgang, kan du bli straffet med fengsel i opptil 3 år eller en bot på opptil 1 million yen (artikkel 11).
Hva er handlinger som fremmer uautorisert tilgang?
Handlinger som fremmer uautorisert tilgang, som er forbudt under den japanske “Uautorisert Tilgangsforbud-loven”, innebærer å gi andres ID og passord til en tredjepart uten eierens tillatelse. Uavhengig av metoden, enten det er via telefon, e-post eller hjemmeside, vil det å informere andre om “ID-en til ○○ er ××, og passordet er △△”, og dermed gjøre det mulig for andre å få uautorisert tilgang til andres data, bli ansett som en handling som fremmer uautorisert tilgang.
Hvis du utfører handlinger som fremmer uautorisert tilgang, kan du bli straffet med fengsel i opptil ett år eller en bot på opptil 500 000 yen (Artikkel 12, punkt 2).
For øvrig, selv om du gir ut et passord uten å være klar over at det vil bli brukt til uautorisert tilgang, kan du bli bøtelagt med opptil 300 000 yen (Artikkel 13).
Hva er handlinger som urettmessig tilegner seg, lagrer eller ber om andres identifikasjonskoder
I den japanske “Lov om forbud mot uautorisert tilgang” (Uautorisert Tilgangsforbud-loven), er det forbudt å urettmessig tilegne seg, lagre eller be om andres identifikasjonskoder (IDer og passord).
- Artikkel 4: Forbud mot handlinger som urettmessig tilegner seg andres identifikasjonskoder
- Artikkel 6: Forbud mot handlinger som urettmessig lagrer andres identifikasjonskoder
- Artikkel 7: Forbud mot handlinger som urettmessig ber om inntasting av andres identifikasjonskoder
En typisk forbudt handling er “inntastingsforespørsel”, også kjent som phishing. For eksempel, ved å utgi seg for å være en finansinstitusjon, lokker man ofrene til en falsk hjemmeside som ser ut som den ekte, og får dem til å taste inn passord og IDer.
Identifikasjonsnumre tilegnet gjennom phishing brukes ofte i auksjonssvindel, og det er mange tilfeller av svindel der innskudd urettmessig overføres til andre kontoer.
Utførelse av disse handlingene kan resultere i fengsel i opptil ett år eller en bot på opptil 500 000 yen (Artikkel 12, punkt 4).
Hva er lovene som regulerer cyberkriminalitet utover uautorisert tilgang?
Slik det er, er den japanske “Uautorisert Tilgangsforbud-loven” en lov som er ment for å håndtere visse typer av det som er kjent som cyberkriminalitet. Når det gjelder cyberkriminalitet som helhet, kan det være tilfeller der andre lover, som den japanske “Lov om forstyrrelse av virksomhet ved ødeleggelse av elektroniske datamaskiner”, “Lov om forstyrrelse av virksomhet ved bedrageri”, og “Lov om ærekrenkelse”, også blir relevante. En mer detaljert forklaring av det generelle bildet av cyberkriminalitet er gitt i artikkelen nedenfor.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Forpliktelser for tilgangsadministratorer
Vi vil forklare pliktene som er definert av den japanske “Ulovlig tilgangsforbud-loven”. En tilgangsadministrator er en person som styrer driften av en bestemt datamaskin som er koblet til en telekommunikasjonslinje (Artikkel 2, paragraf 1).
Administrasjonen her refererer til å bestemme hvem og i hvilken grad de skal tillate bruk av en bestemt datamaskin via nettverket. En person med autoritet til å bestemme slike brukere og bruksområder er en tilgangsadministrator i henhold til den japanske “Ulovlig tilgangsforbud-loven”.
For eksempel, når et selskap driver et datamaskinsystem, vil de utpeke en systemadministrator fra sine ansatte for å administrere det. Men hver systemadministrator administrerer bare i henhold til selskapets vilje. Derfor, i slike tilfeller, er tilgangsadministratoren ikke systemadministratoren, men selskapet som driver datamaskinsystemet.
Den japanske “Ulovlig tilgangsforbud-loven” definerer ikke bare ulovlig tilgang og straffer, men pålegger også administratorer plikter for å forhindre ulovlig tilgang i forvaltningen av servere og lignende.
Forsvarsforanstaltninger av tilgangsadministratorer
Artikkel 8: En tilgangsadministrator som har lagt til en tilgangskontrollfunksjon til en bestemt datamaskin, skal streve for å administrere identifikasjonskoder eller koder som brukes til å bekrefte dem gjennom denne tilgangskontrollfunksjonen på riktig måte, alltid verifisere effektiviteten av denne tilgangskontrollfunksjonen, og når det er nødvendig, raskt forbedre funksjonen og ta andre nødvendige tiltak for å beskytte den bestemte datamaskinen mot ulovlig tilgang.
“Riktig administrasjon av identifikasjonskoder”, “alltid verifisere effektiviteten av tilgangskontrollfunksjonen”, og “forbedre tilgangskontrollfunksjonen etter behov” er pålagt, men siden disse er plikter til å gjøre en innsats, er det ingen straffer for å forsømme disse tiltakene.
Imidlertid, hvis en administrator finner tegn på at ID-er eller passord har lekket ut, må de umiddelbart utføre tilgangskontroll, som å slette kontoer eller endre passord.
Tiltak ved uautorisert tilgang
Hvis du bruker e-post eller sosiale medier, kan du bli utsatt for uautorisert tilgang fra andre. Hva kan du gjøre i slike tilfeller?
Anmelde til politiet
Først og fremst, kan du anmelde personen som har fått uautorisert tilgang til politiet. Uautorisert tilgang er en forbrytelse, og den som har fått uautorisert tilgang kan bli straffet. Som forklart ovenfor, kan personen bli straffet med fengsel i opptil 3 år eller en bot på opptil 1 million yen, og hvis det er noen som har oppmuntret til handlingen, kan de bli straffet med fengsel i opptil 1 år eller en bot på opptil 500 000 yen.
For øvrig, brudd på loven om forbud mot uautorisert tilgang er en offentlig forbrytelse, så politiet kan starte en etterforskning og arrestere gjerningspersonen selv uten en anmeldelse. I tillegg kan enhver som kjenner til saken anmelde den til politiet, selv om de ikke er offeret for uautorisert tilgang.
Som nevnt i artikkelen om forstyrrelse av virksomhet, er en offentlig forbrytelse en forbrytelse som ikke kan bli tiltalt uten en anmeldelse fra offeret, men det betyr ikke at du ikke kan anmelde hvis det ikke er en offentlig forbrytelse. Selv i tilfelle av en offentlig forbrytelse, kan offeret anmelde gjerningspersonen.
Selv om det er en offentlig forbrytelse, kan straffen bli strengere hvis offeret har anmeldt, og det kan være lurt å konsultere en advokat og levere en skademelding eller anmeldelse til politiet hvis du oppdager uautorisert tilgang. Når politiet har akseptert skademeldingen, vil de raskt gå videre med etterforskningen og arrestere eller sende gjerningspersonen til påtalemyndigheten.
Kreve erstatning
Hvis du har blitt skadet av uautorisert tilgang, kan du kreve erstatning fra gjerningspersonen i henhold til artikkel 709 i den japanske sivilloven.
Artikkel 709 i den japanske sivilloven
En person som med vilje eller uaktsomhet krenker andres rettigheter eller interesser som er beskyttet av loven, er ansvarlig for å erstatte skaden som er forårsaket av dette.
Hvis gjerningspersonen har fått uautorisert tilgang og spredt personlig informasjon de har fått tilgang til, stjålet gjenstander fra et sosialt spill, fått tilgang til data som kredittkort- eller bankkontoopplysninger og forårsaket økonomisk skade, bør du kreve erstatning for skaden, inkludert kompensasjon for lidelse. Selvfølgelig, hvis du har fått økonomisk skade som følge av at noen har fått tilgang til data som kredittkort- eller bankkontoopplysninger, kan du også kreve erstatning for dette.
Imidlertid, for å kreve erstatning fra gjerningspersonen, må du identifisere gjerningspersonen og samle bevis for at de faktisk har fått uautorisert tilgang, noe som krever høy spesialisert kunnskap. Hvis du har blitt skadet av uautorisert tilgang, er det nødvendig å konsultere en advokat med rikelig erfaring med internettproblemer og be dem om å håndtere prosedyren.
Oppsummering
Den japanske loven mot uautorisert tilgang vil ha en stadig viktigere betydning i det moderne samfunnet der IT-utviklingen fortsetter å skride frem. Imidlertid er det ofte teknisk vanskelig for ofrene selv å identifisere gjerningspersonen, selv om de faktisk har blitt utsatt for uautorisert tilgang.
I tillegg, siden brudd på den japanske loven mot uautorisert tilgang er gjenstand for strafferettslig straff, kan det også være nødvendig å rapportere skaden til politiet. Men siden dette er en ny type kriminalitet, er det ikke alltid at politiet umiddelbart forstår saken. Derfor er det nødvendig å gi en grundig forklaring fra både et juridisk og teknisk perspektiv for å hjelpe politiet med å forstå når du rapporterer skaden. I denne forstand er det svært spesialisert å håndtere den japanske loven mot uautorisert tilgang, så det er viktig å konsultere en advokat som også er kjent med de tekniske aspektene ved IT.
Category: IT
Tag: CybercrimeIT