Działania zabronione przez Japońską Ustawę o zakazie nielegalnego dostępu
Ustawa o zakazie nielegalnego dostępu (pełna nazwa “Ustawa o zakazie nielegalnego dostępu i innych”) została wprowadzona w lutym 2000 roku (rok 2000 w kalendarzu gregoriańskim) i została zmieniona w maju 2012 roku (rok 2012 w kalendarzu gregoriańskim). Obecnie jest ona w mocy. Jest to prawo mające na celu zapobieganie cyberprzestępczości i utrzymanie porządku w telekomunikacji, składające się z 14 artykułów.
“Ustawa o zakazie nielegalnego dostępu i innych” (Cel)
Artykuł 1. Celem tej ustawy jest zapobieganie przestępstwom związanym z komputerami za pośrednictwem linii telekomunikacyjnych, poprzez zakazanie nielegalnego dostępu, ustanowienie sankcji za takie działania oraz środków pomocy ze strony komisji bezpieczeństwa publicznego w prefekturach w celu zapobiegania ich powtarzaniu, utrzymanie porządku w telekomunikacji realizowanej za pomocą funkcji kontroli dostępu, a tym samym przyczynienie się do zdrowego rozwoju społeczeństwa informacyjnego.
Jakie konkretne działania są zakazane przez Ustawę o zakazie nielegalnego dostępu? Jakie są rzeczywiste przykłady i jakie środki należy podjąć w sprawach karnych i cywilnych? Wyjaśniamy zasady Ustawy o zakazie nielegalnego dostępu i środki, które należy podjąć w przypadku doświadczenia szkód.
Działania zabronione przez Japońską Ustawę o zakazie nielegalnego dostępu (Unauthorised Access Prohibition Act)
W Japońskiej Ustawie o zakazie nielegalnego dostępu, działania, które są zabronione i karane, można podzielić na trzy główne kategorie:
- Zakaz nielegalnego dostępu (Artykuł 3)
- Zakaz działań wspierających nielegalny dostęp (Artykuł 5)
- Zakaz nielegalnego pozyskiwania, przechowywania lub żądania identyfikatorów innych osób (Artykuły 4, 6, 7)
Co to jest nielegalny dostęp?
Artykuł 2, punkt 4, definiuje to jako “działania podszywające się pod innych” i “atakowanie luk w zabezpieczeniach”. W Japońskiej Ustawie o zakazie nielegalnego dostępu, zabronione jest nielegalne dostawanie się do komputera innej osoby.
“Działania podszywające się pod innych” oznaczają, że podczas korzystania z dostawcy usług internetowych, musisz wprowadzić na komputerze identyfikatory, takie jak ID i hasło. W tym kontekście, działania podszywające się pod innych oznaczają wprowadzanie identyfikatorów innej osoby bez jej zgody.
Może to być nieco trudne do zrozumienia, ale “inna osoba” w tym kontekście oznacza ID i hasło, które już zostały utworzone (i są używane) przez inną osobę. Innymi słowy, “działania podszywające się pod innych” oznaczają przejęcie konta, które już jest używane przez inną osobę, na przykład na Twitterze lub innej platformie społecznościowej.
Na ogół “podszywanie się pod innych” oznacza tworzenie nowego konta, używając nazwiska i zdjęcia innej osoby, i korzystanie z Twittera lub innej platformy społecznościowej, udając tę osobę. Jest to jednak inna kwestia. Szczegółowe wyjaśnienie “podszywania się pod innych” w tym sensie można znaleźć w poniższym artykule.
https://monolith.law/reputation/spoofing-dentityright[ja]
“Atakowanie luk w zabezpieczeniach” oznacza wykorzystywanie luk w zabezpieczeniach komputera innej osoby, aby móc go używać. Działa to poprzez użycie programów do ataków, aby dostarczyć informacje lub instrukcje niezwiązane z identyfikatorami do celu ataku, omijając funkcje kontroli dostępu do komputera innej osoby i używając go bez zgody.
Jeśli wykonasz te nielegalne działania, możesz zostać skazany na karę pozbawienia wolności do 3 lat lub grzywnę do 1 miliona jenów (Artykuł 11).
Co to są działania wspierające nielegalny dostęp?
Działania wspierające nielegalny dostęp, które są zabronione w Japońskiej Ustawie o zakazie nielegalnego dostępu, oznaczają dostarczanie ID i haseł innych osób bez ich zgody osobom trzecim. Bez względu na to, czy robisz to przez telefon, e-mail, czy na stronie internetowej, jeśli powiesz komuś “ID to XX, hasło to YY”, umożliwiając innym osobom dostęp do danych innych osób bez ich zgody, to jest to działanie wspierające nielegalny dostęp.
Jeśli wykonasz te działania, możesz zostać skazany na karę pozbawienia wolności do 1 roku lub grzywnę do 500 000 jenów (Artykuł 12, punkt 2).
Warto zauważyć, że nawet jeśli dostarczysz hasło nie wiedząc, że ma to na celu nielegalny dostęp, możesz zostać ukarany grzywną do 300 000 jenów (Artykuł 13).
Co to jest nielegalne pozyskiwanie, przechowywanie lub żądanie identyfikatorów innych osób?
W Japońskiej Ustawie o zakazie nielegalnego dostępu, zabronione jest nielegalne pozyskiwanie, przechowywanie lub żądanie identyfikatorów (ID, hasła) innych osób.
Artykuł 4: Zakaz nielegalnego pozyskiwania identyfikatorów innych osób
Artykuł 6: Zakaz nielegalnego przechowywania identyfikatorów innych osób
Artykuł 7: Zakaz nielegalnego żądania identyfikatorów innych osób
Typowym przykładem takiego zakazanego działania jest “żądanie wprowadzenia danych”, czyli tzw. phishing. Na przykład, podszywając się pod instytucję finansową, ofiara jest kierowana na fałszywą stronę internetową, która wygląda jak prawdziwa, a na tej fałszywej stronie ofiara jest zmuszana do wprowadzenia swojego hasła lub ID.
Identyfikatory pozyskane przez phishing są często wykorzystywane w oszustwach aukcyjnych, a także do nieautoryzowanego przekazywania depozytów na inne konta, co prowadzi do wielu przypadków oszustwa.
Jeśli wykonasz te działania, możesz zostać skazany na karę pozbawienia wolności do 1 roku lub grzywnę do 500 000 jenów (Artykuł 12, punkt 4).
Jakie są prawa regulujące cyberprzestępstwa inne niż nielegalny dostęp?
Jak widać, Japońska Ustawa o zakazie nielegalnego dostępu jest prawem służącym do zwalczania pewnych typów tzw. cyberprzestępstw. Jeśli chodzi o całość “cyberprzestępstw”, mogą pojawić się kwestie związane z innymi prawami, takimi jak przestępstwo zakłócania działalności poprzez zniszczenie komputera, przestępstwo zakłócania działalności poprzez oszustwo, przestępstwo zniesławienia i inne. Szczegółowe wyjaśnienie całego obrazu cyberprzestępstw można znaleźć w poniższym artykule.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Obowiązki administratora dostępu
Japońskie Prawo o zakazie nieautoryzowanego dostępu nie tylko definiuje nieautoryzowane działania i kary, ale także nakłada na administratorów serwerów i innych systemów obowiązek zapobiegania nieautoryzowanemu dostępowi.
Środki obronne administratora dostępu
Artykuł 8. Administrator dostępu, który dodał funkcję kontroli dostępu do określonego komputera elektronicznego, powinien dążyć do prawidłowego zarządzania kodem identyfikacyjnym lub kodem używanym do weryfikacji tego kodu identyfikacyjnego za pomocą tej funkcji kontroli dostępu, stale weryfikować skuteczność tej funkcji kontroli dostępu i, jeśli uzna to za konieczne, szybko dążyć do ulepszenia tej funkcji i podjęcia innych niezbędnych środków w celu ochrony tego określonego komputera elektronicznego przed nieautoryzowanym dostępem.
Obowiązkiem jest “prawidłowe zarządzanie kodem identyfikacyjnym”, “stałe weryfikowanie skuteczności funkcji kontroli dostępu” i “ulepszanie funkcji kontroli dostępu w razie potrzeby”. Jednakże, ponieważ są to obowiązki dołożenia starań, nie ma kary za zaniedbanie tych środków.
Jednakże, jeśli administrator zauważy jakiekolwiek ślady wycieku identyfikatorów lub haseł, musi natychmiast podjąć kontrolę dostępu, taką jak usunięcie konta lub zmiana hasła.
Przykłady naruszeń japońskiego Prawa o zakazie nielegalnego dostępu (Nielegalne dostępy)
Przejęcie konta Twitter popularnego ucznia
30 stycznia 2017 roku (2017 w kalendarzu gregoriańskim), policja w prefekturze Hyogo aresztowała 18-letniego ucznia liceum pod zarzutem naruszenia japońskiego Prawa o zakazie nielegalnego dostępu. Uczeń ten przejął konto Twittera swojego kolegi z klasy i udając jego osobę, wysłał ponad 300 wiadomości do uczennic.
Zarzuty obejmują wprowadzenie hasła do serwera uwierzytelniającego Twittera popularnego ucznia (18 lat) od września do listopada poprzedniego roku, zalogowanie się 63 razy, a następnie wysłanie nieprzyzwoitych wiadomości, takich jak “pokażmy sobie ciała” czy “porozmawiajmy o seksie”, do uczennic z innych szkół, które obserwowały to konto.
Nielegalny dostęp do Facebooka i innych
3 sierpnia 2016 roku (2016 w kalendarzu gregoriańskim), Sąd Okręgowy w Tokio skazał 29-letniego mężczyznę za naruszenie japońskiego Prawa o zakazie nielegalnego dostępu, ponieważ wielokrotnie nielegalnie uzyskiwał dostęp do Facebooka i innych serwisów, zdobywając prywatne informacje. Mężczyzna ten nielegalnie uzyskał dostęp do kont Facebooka i innych serwisów siedmiu kobiet 238 razy. Sąd uznał, że jego działania były uporczywe i nałogowe, a motywem było uzyskanie satysfakcji z udanego nielegalnego dostępu. Skazany został na karę 2,5 roku pozbawienia wolności, jednak ze względu na brak wcześniejszych przestępstw i fakt, że nie ujawnił żadnych informacji, które podglądał, wyrok został zawieszony na 4 lata.
Nielegalne pozyskanie informacji o klientach firmy, w której pracował
12 listopada 2009 roku (2009 w kalendarzu gregoriańskim), Sąd Okręgowy w Tokio skazał 45-letniego pracownika firmy, który był odpowiedzialny za rozwój, obsługę i wsparcie systemu informacyjnego firmy, na karę 2 lat pozbawienia wolności za nielegalne pozyskanie i próbę sprzedaży informacji o klientach firmy oraz kradzież CD-R.
Sąd stwierdził, że nie można pominąć faktu, że pracownik ten zarobił prawie 350 000 jenów na sprzedaży informacji. Mimo braku wcześniejszych przestępstw i faktu, że został zwolniony dyscyplinarnie z pracy, sąd uznał, że nie można zawiesić wykonania kary.
8 lat pozbawienia wolności dla sprawcy ataku cybernetycznego
27 kwietnia 2017 roku (2017 w kalendarzu gregoriańskim), Sąd Okręgowy w Tokio skazał 32-letniego mężczyznę na 8 lat pozbawienia wolności za naruszenie japońskiego Prawa o zakazie nielegalnego dostępu, oszustwo komputerowe, nielegalne tworzenie i dostarczanie prywatnych zapisów elektromagnetycznych, dostarczanie nielegalnych instrukcji elektromagnetycznych i naruszenie Prawa o falach radiowych. Mężczyzna ten nielegalnie zdobył kody identyfikacyjne internetowego bankowości wielu firm za pomocą phishingu i zdalnie sterowanego wirusa, a następnie zalogował się nielegalnie i przeprowadził nielegalne przelewy. Ponadto, zaatakował bazy danych, zdobył adresy e-mail i wysłał zdalnie sterowany wirus, aby umożliwić jego uruchomienie.
Sprawca używał różnych metod do przeprowadzania ataków cybernetycznych, ukrywał źródło połączenia, łącząc się z punktami dostępu do sieci WLAN innych osób za pomocą wcześniej nielegalnie zdobytych kluczy szyfrujących, a czasami korzystał z serwerów pośredniczących. Ponadto, przed nielegalnymi przelewami zmieniał adres e-mail do kontaktu. Sposób działania był sprytny i złośliwy, a straty finansowe spowodowane nielegalnymi przelewami wyniosły łącznie ponad 5,19 miliona jenów. Ponadto, sprawca dopuścił się tych przestępstw krótko po tym, jak został warunkowo zwolniony za podobne przestępstwa.
W przypadku takich ataków, jeśli sprawca wysyła e-mail, istnieje możliwość zidentyfikowania go na podstawie tego e-maila. Jednak na poziomie cywilnym jest to zazwyczaj trudne. Ten temat jest omówiony w poniższym artykule.
https://monolith.law/reputation/email-sender-identification[ja]
Środki zaradcze w przypadku nieautoryzowanego dostępu
Podczas korzystania z e-maila czy mediów społecznościowych, możemy paść ofiarą nieautoryzowanego dostępu ze strony innych osób. Jakie są możliwe środki zaradcze w takim przypadku?
Złożenie zawiadomienia o przestępstwie
Przede wszystkim, możliwe jest złożenie zawiadomienia o przestępstwie przeciwko osobie, która dokonała nieautoryzowanego dostępu. Nieautoryzowany dostęp jest przestępstwem, a osoba, która go dokonała, może zostać ukarana. Jak wyjaśniliśmy powyżej, osoba ta może zostać skazana na karę pozbawienia wolności do 3 lat lub grzywnę do 1 miliona jenów, a jeśli ktoś pomógł w tym przestępstwie, może zostać skazany na karę pozbawienia wolności do 1 roku lub grzywnę do 500 tysięcy jenów.
Warto zauważyć, że naruszenie zakazu nieautoryzowanego dostępu jest przestępstwem publicznym, co oznacza, że policja może rozpocząć śledztwo i aresztować sprawcę, nawet jeśli nie zostało złożone zawiadomienie. Ponadto, nie tylko osoba, która padła ofiarą nieautoryzowanego dostępu, ale także każda osoba, która dowiedziała się o tym fakcie, może zgłosić to policji.
Jak wspomnieliśmy również w artykule na temat przestępstwa zakłócania działalności, przestępstwo prywatne to “przestępstwo, które nie może być ścigane bez zawiadomienia ofiary”, ale to nie oznacza, że “nie można złożyć zawiadomienia, jeśli nie jest to przestępstwo prywatne”. Nawet w przypadku przestępstwa publicznego, ofiara może zgłosić sprawcę.
Nawet jeśli jest to przestępstwo publiczne, jeśli ofiara zgłosi przestępstwo, okoliczności sprawcy mogą się pogorszyć, a kara może być surowsza. Jeśli zauważysz, że padłeś ofiarą nieautoryzowanego dostępu, skonsultuj się z prawnikiem i złoż do policji zawiadomienie o przestępstwie lub wniosek o ściganie. Po przyjęciu zawiadomienia o przestępstwie, policja natychmiast przystąpi do śledztwa i aresztuje lub przekazuje sprawcę do prokuratury.
Wniesienie roszczenia o odszkodowanie cywilne
Jeśli padłeś ofiarą szkód spowodowanych przez nieautoryzowany dostęp, możesz wnosić roszczenia o odszkodowanie cywilne przeciwko sprawcy na podstawie artykułu 709 Kodeksu Cywilnego Japonii.
Kodeks Cywilny, Artykuł 709
Osoba, która naruszyła prawa innej osoby lub interesy chronione przez prawo z zamiarem lub z powodu niedbalstwa, jest odpowiedzialna za odszkodowanie za szkody wynikłe z tego naruszenia.
Jeśli sprawca dokonał nieautoryzowanego dostępu i rozpowszechnił uzyskane w ten sposób informacje osobiste, skradł przedmioty z gier społecznościowych, uzyskał dostęp do danych karty kredytowej lub konta bankowego, powodując szkody materialne, powinieneś wnosić roszczenia o odszkodowanie, takie jak zadośćuczynienie. Oczywiście, jeśli dostęp do danych karty kredytowej lub konta bankowego spowodował rzeczywiste szkody materialne, możliwe jest również wniesienie roszczenia o odszkodowanie za te szkody.
Jednakże, aby złożyć roszczenie o odszkodowanie przeciwko sprawcy, musisz zidentyfikować sprawcę i zebrać dowody, że to on rzeczywiście dokonał nieautoryzowanego dostępu, co wymaga zaawansowanej wiedzy specjalistycznej. Jeśli padłeś ofiarą szkód spowodowanych przez nieautoryzowany dostęp, powinieneś skonsultować się z prawnikiem z dużym doświadczeniem w kwestiach internetowych i poprosić go o podjęcie odpowiednich działań.
Category: IT
Tag: CybercrimeIT