Co to są 3 klasyfikacje cyberprzestępstw? Adwokat wyjaśnia środki zaradcze dla każdego wzorca szkód
“Cyberprzestępczość” to termin, który jest do pewnego stopnia rozpowszechniony nawet jako język codzienny, ale na arenie międzynarodowej jest definiowany jako “przestępstwo polegające na nadużywaniu technologii komputerowej i telekomunikacyjnej”. Tak zwane “hakowanie (cracking)” i inne formy cyberprzestępczości mogą dotknąć również firmy jako ofiary, a w przypadku takiego zdarzenia, konieczne jest rozważenie odpowiednich środków zaradczych.
W tym artykule, cyberprzestępczość jako całość jest klasyfikowana według trzech typowych wzorców stosowanych w Japonii, a dla każdego wzorca wyjaśniamy, jakie przestępstwa są z nim związane i jakie środki zaradcze są dostępne w przypadku stania się ofiarą. Dlaczego ta klasyfikacja jest ważna? Ponieważ:
- Jeśli nie można mówić o “ofiara” w sensie prawnym, nawet jeśli przestępstwo ma miejsce i jest “zgłaszane”, trudno jest skłonić policję do śledztwa poprzez zgłoszenie szkody lub oskarżenie.
- W przypadku przestępstw, które mają środki zaradcze w prawie cywilnym, nie musisz polegać na śledztwie policji, ale możesz zwrócić się do adwokata, aby zidentyfikować sprawcę i złożyć roszczenie o odszkodowanie.
- Jeśli jesteś ofiarą przestępstwa i nie ma cywilnych rozwiązań, będziesz musiał skłonić policję do śledztwa.
Właśnie dlatego, że “środki zaradcze” różnią się w zależności od wzorca.
Trzy kategorie cyberprzestępstw
Jak pokazano powyżej, w Japonii zazwyczaj dzieli się cyberprzestępstwa na trzy kategorie.
- Przestępstwa komputerowe: Dokładna definicja zostanie przedstawiona później, ale mówiąc w skrócie, są to działania przestępcze zakłócające działalność firm.
- Przestępstwa związane z wykorzystaniem sieci: Działania przestępcze przeprowadzane poprzez nadużycie Internetu.
- Naruszenie japońskiego Prawa o zakazie nieautoryzowanego dostępu: Tak zwane działania polegające na nielegalnym logowaniu się.
Poniżej przedstawiamy szczegółowe wyjaśnienia każdej z tych kategorii.
Co to jest cyberprzestępstwo?
Co to jest przestępstwo polegające na uszkodzeniu komputera i zakłóceniu działalności?
Typowym przykładem tego rodzaju przestępstwa jest działanie, które spełnia kryteria przestępstwa polegającego na uszkodzeniu komputera i zakłóceniu działalności, określonego w japońskim Kodeksie Karnym (japońskie: 刑法).
Osoba, która uszkadza komputer używany do celów biznesowych lub magnetyczny zapis danych służący do tego celu, lub podaje fałszywe informacje lub nieprawidłowe instrukcje do komputera używanego do celów biznesowych, lub w inny sposób powoduje, że komputer nie działa zgodnie z jego przeznaczeniem, lub działa w sposób sprzeczny z jego przeznaczeniem, zakłócając tym samym działalność biznesową, podlega karze pozbawienia wolności do 5 lat lub grzywnie do 1 miliona jenów.
Artykuł 224-2 Kodeksu Karnego
Choć tekst jest trudny do zrozumienia, w skrócie mówi o:
- uszkodzeniu komputera używanego do celów biznesowych lub danych na nim zawartych
- wysyłaniu do komputera używanego do celów biznesowych fałszywych informacji lub informacji, które nie były pierwotnie przewidziane
Przestępstwo to jest popełniane, gdy powyższe działania powodują, że komputer działa w sposób nieprzewidziany, zakłócając działalność biznesową.
Typowym przykładem jest działanie, które wykorzystuje luki w zabezpieczeniach lub nielegalnie loguje się na czyjeś konto, aby zwiększyć saldo na koncie bankowym online. Podobnie, działania takie jak wykorzystywanie luk w zabezpieczeniach lub nielegalne pozyskiwanie informacji logowania, aby zmienić treść strony internetowej firmy, również spełniają kryteria tego przestępstwa. Chociaż samo działanie “nielegalne logowanie” jest typem przestępstwa “naruszenie zakazu nieautoryzowanego dostępu”, które zostanie omówione później, to przestępstwo to obejmuje działania takie jak nielegalne operacje, fałszowanie, usuwanie danych lub nielegalne zmienianie danych.
Jaka jest różnica między nieautoryzowanym dostępem?
To przestępstwo może być popełnione nawet bez nielegalnego logowania. Typowym przykładem jest tzw. atak DoS. Wysyłanie dużej ilości e-maili, powodując awarię serwera pocztowego, lub generowanie dużej ilości ruchu na stronie internetowej, powodując awarię serwera internetowego. Te działania są legalne, jeśli spojrzeć na każdy e-mail lub dostęp indywidualnie, ale jeśli są wykonywane w dużej ilości, powodują, że serwer (komputer) działa w sposób nieprzewidziany, powodując szkody dla firmy, takie jak niemożność korzystania z e-maili lub niemożność otwarcia strony internetowej. Dlatego mówimy, że “nie jest to naruszenie zakazu nieautoryzowanego dostępu, ale spełnia kryteria przestępstwa polegającego na uszkodzeniu komputera i zakłóceniu działalności”. W przypadku tego rodzaju przestępstw, przestępstwo polegające na oszustwie i zakłóceniu działalności jest również problemem.
Jak zachęcić policję do śledztwa?
Te działania są przestępstwami, jak opisano powyżej, a ponieważ firma jest ofiarą, możliwe jest żądanie śledztwa przez policję. Jednak w praktyce, japońska policja nie jest zbyt aktywna w ściganiu tego rodzaju przestępstw. Częściowo wynika to z problemów technicznych. Na przykład, mówiłem wcześniej o prostym ataku DoS, ale w rzeczywistości ataki często nie pochodzą z pojedynczego adresu IP, ale są dystrybuowane z wielu adresów IP. Takie ataki nazywane są “DDoS”.
Jeśli duże ilości e-maili lub ruchu pochodzą z tego samego adresu IP, jest jasne, że są to duże ilości dostępów dokonanych przez tę samą osobę i że są to “informacje, które nie były przewidziane”. Jednak jeśli adresy IP są dystrybuowane, każdy e-mail lub dostęp jest legalny, więc nie można powiedzieć, że jest to nielegalne przesyłanie informacji, chyba że istnieją dowody, że wszystkie te działania zostały wykonane przez tę samą osobę. Więc jak można udowodnić, że “duże ilości e-maili lub dostępów pochodzą od tej samej osoby” w ramach surowego procesu karnego? To jest rzeczywiście problemem dla policji i prokuratury.
W procesie karnym, nie wystarczy udowodnić, że “komunikacja stanowiąca przestępstwo (na przykład wysyłanie dużej ilości e-maili, jak opisano powyżej) pochodziła z komputera podejrzanego”. W sprawach karnych wymaga się stwierdzenia faktów na poziomie “kto”, a nie “z którego komputera”. W rzeczywistości, w wyrokach w sprawach karnych, często dokładnie analizuje się tę część, czyli “czy działania przestępcze zostały z pewnością wykonane z komputera podejrzanego, ale czy na pewno zostały wykonane przez podejrzanego”. Te trudności dowodowe są ważne dla zapobiegania niesłusznym oskarżeniom, ale mogą również powodować, że policja i prokuratura wahają się przed ściganiem cyberprzestępstw.
Jednak jeśli jest to krótki okres czasu od momentu wystąpienia zdarzenia, możliwe jest wydobycie dowodów, takich jak “jest bardzo prawdopodobne, że jest to ta sama osoba” i “jest to zdecydowanie podejrzany”, poprzez szczegółową analizę logów serwera itp. Badanie techniczne za pomocą technologii IT i prawna analiza tego, co wynika z tego badania, to dwa elementy, które, jeśli są obecne, mogą skłonić policję do podjęcia śledztwa.
Rozwiązanie na drodze cywilnej jest trudne
Chociaż byłoby dobrze, gdyby istniały cywilne rozwiązania, które nie wymagają interwencji policji, prawda jest taka, że w przypadku tego rodzaju przestępstw, środki cywilne są ograniczone.
Na przykład, w przypadku otrzymania dużej ilości e-maili, chciałbyś, aby dostawca usług internetowych ujawnił adres i nazwisko abonenta, który używał danego adresu IP, który jest zapisany w e-mailu (w nagłówku e-maila). Jednak w japońskim prawie cywilnym nie ma prawa do żądania takiego ujawnienia. W przypadku zniesławienia w Internecie, jak opisano poniżej, można skorzystać z prawa do ujawnienia informacji o nadawcy na podstawie japońskiej Ustawy o ograniczeniu odpowiedzialności dostawców usług internetowych (japońskie: プロバイダ責任制限法), ale mówiąc w skrócie, to prawo do ujawnienia jest przyznawane tylko w odniesieniu do:
Komunikacji służącej do publikacji postów widocznych dla nieokreślonej liczby osób (typowym przykładem jest komunikacja służąca do publikacji postów zniesławiających na publicznych forach internetowych)
W praktyce, w przypadku zaawansowanych cyberprzestępstw, często wymagane są bardziej szczegółowe raporty itp. niż w przypadku wniesienia pozwu, aby skłonić policję do śledztwa. Ponadto, od pierwszego kontaktu z policją do rzeczywistego śledztwa i aresztowania może upłynąć rok lub więcej. Z drugiej strony, rozwiązanie na drodze cywilnej może być prostsze, wymagać mniej pracy i być szybsze… ale w przypadku tego rodzaju przestępstw, rozwiązanie na drodze cywilnej jest zasadniczo niemożliwe lub bardzo trudne. Jeśli można zidentyfikować sprawcę, można domagać się odszkodowania za szkody spowodowane przez przestępstwo, na przykład awarię serwera internetowego, ale nie ma środków do identyfikacji.
https://monolith.law/corporate/denial-of-service-attack-dos[ja]
Przestępstwa związane z korzystaniem z sieci
Szkody wynikające z oszczerstw w Internecie
Przestępstwa te są popełniane za pomocą komputerów i sieci, ale nie są to przestępstwa komputerowe, o których mówiliśmy wcześniej. Na przykład, tak zwane oszczerstwa w Internecie nie polegają na uszkadzaniu danych, wysyłaniu nieprzewidzianych informacji, ani na zmuszaniu komputera do nieprzewidzianych działań, ale są one realizowane za pomocą sieci internetowej.
Posty, które mogą być uznane za oszczerstwa, są klasyfikowane jako:
- nielegalne zarówno w sensie karnym, jak i cywilnym (typowym przykładem jest zniesławienie)
- nielegalne w sensie cywilnym, ale nie w sensie karnym (typowymi przykładami są naruszenie prywatności i naruszenie praw do wizerunku)
Jeśli coś jest nielegalne zarówno w sensie karnym, jak i cywilnym, można dążyć do zidentyfikowania autora posta za pomocą wniosku o ujawnienie informacji o nadawcy na podstawie japońskiego “Ustawy o ograniczeniu odpowiedzialności dostawców usług internetowych” (Provider Liability Limitation Act), a także poprosić policję o przeprowadzenie śledztwa i aresztowanie autora posta.
Jednakże, w zależności od treści, policja może nie być skłonna do przeprowadzenia aktywnego śledztwa w sprawie takich postów, z powodu tak zwanej “zależności od spraw cywilnych”. Ponadto, naruszenie prywatności i praw do wizerunku nie są przestępstwami w sensie prawa karnego, dlatego konieczne jest rozwiązanie problemu na drodze cywilnej.
https://monolith.law/practices/reputation[ja]
Szkody wynikające z komunikacji jeden na jeden, takiej jak e-mail
Trudne jest radzenie sobie z niewłaściwymi wiadomościami wysyłanymi za pomocą komunikacji jeden na jeden, takiej jak e-mail czy DM na Twitterze. Typowym przykładem jest e-mail zawierający treści, które mogą być uznane za groźby karalne lub wymuszenie. Wniosek o ujawnienie informacji o nadawcy na podstawie japońskiego “Ustawy o ograniczeniu odpowiedzialności dostawców usług internetowych” (Provider Liability Limitation Act) może być użyty tylko w przypadku:
Komunikacji służącej do publikacji postów widocznych dla nieokreślonej liczby osób (typowym przykładem jest komunikacja służąca do publikacji postów zawierających oszczerstwa na publicznych forach internetowych)
W związku z tym, w przypadku takiej komunikacji, nie ma przygotowanych środków rozwiązania problemu na drodze cywilnej, a jedyną opcją jest oczekiwanie na śledztwo policji. Jednakże, nawet jeśli treść posta na forum internetowym może być uznana za zniesławienie, jeśli użyto komunikacji jeden na jeden, przestępstwo zniesławienia nie jest uznawane. Mówiąc prosto, przestępstwo zniesławienia jest uznawane tylko wtedy, gdy jest skierowane do nieokreślonej liczby osób lub do wielu osób. W przypadku komunikacji jeden na jeden, zniesławienie zasadniczo nie jest uznawane. Szczegółowe wyjaśnienia dotyczące tych problemów znajdują się w innym artykule.
https://monolith.law/reputation/email-sender-identification[ja]
Szkody wynikające z nieprzyzwoitych obrazów lub nielegalnych stron
Do tej kategorii należą również przestępstwa, które nie mają ofiar, lub które, mimo że powodują szkody dla firm, nie czynią tych firm ofiarami. Na przykład:
- Publikowanie nieocenzurowanych zdjęć lub filmów na tak zwanych stronach dla dorosłych (publiczne wystawianie nieprzyzwoitych obrazów)
- Reklamowanie nielegalnych stron kasynowych
- Strony oszustwowe, które twierdzą, że sprzedają markowe produkty, ale w rzeczywistości nie wysyłają towaru
Są to typowe wzorce.
Na przykład, jeśli w damskiej szatni firmy dochodzi do podglądania, a zdjęcia z podglądania są publikowane w Internecie, te zdjęcia oczywiście naruszają prywatność (i prawa do wizerunku) kobiety, która jest na nich przedstawiona. Jednakże, jak wspomniano wcześniej, naruszenie prywatności (i praw do wizerunku) nie jest przestępstwem, a choć podglądanie jest przestępstwem, publikowanie zdjęć zrobionych podczas podglądania nie jest automatycznie przestępstwem. Dlatego trudno jest zdecydować, jak poprosić policję o śledztwo.
Ponadto, nawet jeśli obecność nielegalnych stron kasynowych lub oszustwowych stron spowodowała spadek sprzedaży firmy lub utratę zaufania do niej, takie działania, jak te opisane powyżej, są przestępstwami dla dobra społeczeństwa, nawet jeśli nie ma konkretnych ofiar (typowymi przykładami są przekroczenie prędkości lub regulacje dotyczące narkotyków), lub są one skierowane tylko do bezpośrednich ofiar (na przykład konsumentów, którzy zapłacili pieniądze na stronie oszustwowej). Dlatego, nawet jeśli firma zgłasza szkody, jest to po prostu zgłoszenie od osoby trzeciej, która nie jest ofiarą. Ponadto, jeśli nie jesteś “ofiara”, nie możesz nawet myśleć o identyfikacji nadawcy za pomocą wniosku o ujawnienie informacji o nadawcy.
Jednakże, jeśli działania takie jak sprzedaż fałszywych produktów markowych naruszają prawa własności intelektualnej firmy (takie jak prawa do znaków towarowych i prawa autorskie), firma może “jako ofiara” poprosić policję o śledztwo lub dążyć do zidentyfikowania sprzedawcy na drodze cywilnej.
Naruszenie Ustawy o zakazie nielegalnego dostępu
Działania zabronione przez Ustawę o zakazie nielegalnego dostępu
Na koniec, omówimy działania, które są zabronione przez Ustawę o zakazie nielegalnego dostępu (japońską Ustawę o zakazie nielegalnego dostępu). Ta ustawa zabrania:
- Nielegalnego dostępu
- Wspierania nielegalnego dostępu
- Nielegalnego pozyskiwania danych
Wśród tych, pierwsze, nielegalne działania dostępowe, obejmują głównie:
- Podszywanie się: działania polegające na wprowadzaniu cudzego ID lub hasła i logowaniu się bez zgody jako ta osoba
- Ataki na luki w zabezpieczeniach: działania polegające na wykorzystaniu luk w zabezpieczeniach, które umożliwiają logowanie się jako inna osoba bez wprowadzania ID lub hasła
Te działania można podzielić na dwa typy.
Drugie, wspieranie nielegalnego dostępu, to działania polegające na udostępnianiu lub sprzedaży informacji o koncie innej osoby (ID, hasło itp.) bez jej zgody.
Na koniec, trzecie, nielegalne pozyskiwanie danych, to działania polegające na zmuszaniu innych do wprowadzania informacji o swoim koncie, na przykład za pomocą tzw. stron phishingowych, lub przechowywaniu informacji o koncie pozyskanych w ten sposób.
Szczegółowe informacje na temat Ustawy o zakazie nielegalnego dostępu można znaleźć w poniższym artykule.
https://monolith.law/reputation/unauthorized-computer-access[ja]
Rozwiązanie przez policję
W przypadku doświadczenia szkód związanych z nielegalnym dostępem, można poprosić policję o przeprowadzenie śledztwa. Jednakże, często są to problemy o wysokim stopniu skomplikowania technicznego, podobnie jak w przypadku wcześniej omówionych przestępstw komputerowych, i bez osoby posiadającej wiedzę i doświadczenie z zakresu IT i prawa, która przygotuje raport, śledztwo policyjne może być trudne do przeprowadzenia.
Jeśli można zidentyfikować sprawcę, możliwe jest żądanie od niego odszkodowania za szkody. Jednakże, podobnie jak w przypadku wcześniej omówionych przestępstw komputerowych, identyfikacja sprawcy za pomocą środków cywilnoprawnych może być bardzo trudna.
Category: IT
Tag: CybercrimeIT