Handlingar som förbjuds enligt den japanska lagen mot obehörig åtkomst
Lagen mot obehörig åtkomst (officiellt namn “Lagen om förbud mot obehörig åtkomst och liknande”) trädde i kraft i februari 2000 (Heisei 12) och reviderades i maj 2012 (Heisei 24). Den är för närvarande i kraft. Det är en lag som syftar till att förhindra cyberbrott och upprätthålla ordningen i elektronisk kommunikation, och består av 14 artiklar.
“Lagen om förbud mot obehörig åtkomst och liknande” (Syfte)
Artikel 1 Denna lag syftar till att förbjuda obehörig åtkomst och fastställa straff och stödåtgärder av prefekturernas säkerhetskommittéer för att förhindra återfall, för att upprätthålla ordningen i elektronisk kommunikation som realiseras genom åtkomstkontrollfunktioner och förhindra brott relaterade till datorer som utförs via telekommunikationslinjer, och därigenom bidra till en sund utveckling av ett avancerat informationssamhälle.
Vad förbjuder lagen mot obehörig åtkomst specifikt? Vilka är de faktiska exemplen, och vilka åtgärder bör vidtas i straffrättsliga och civilrättsliga termer? Vi kommer att förklara översikten av lagen mot obehörig åtkomst och åtgärder att vidta om du har blivit offer för skada.
Handlingar som förbjuds enligt den japanska lagen om förbud mot obehörig åtkomst
Handlingar som förbjuds och bestraffas enligt den japanska lagen om förbud mot obehörig åtkomst (不正アクセス禁止法) kan i stort sett delas in i följande tre kategorier:
- Förbud mot obehörig åtkomst (Artikel 3)
- Förbud mot handlingar som främjar obehörig åtkomst (Artikel 5)
- Förbud mot obehörig förvärv, lagring och begäran om inmatning av andras identifieringskoder (Artikel 4, 6, 7)
Vad är obehörig åtkomst?
Specifikt definieras detta i Artikel 2, punkt 4 som “identitetskapning” och “säkerhetshålsattacker”. Enligt den japanska lagen om förbud mot obehörig åtkomst är det förbjudet att obehörigt få tillgång till någon annans dator.
“Identitetskapning” innebär att när du använder en leverantör måste du mata in identifieringskoder som ID och lösenord på din dator. Detta innebär att du obehörigt matar in någon annans identifieringskoder utan deras tillstånd.
Det kan vara lite svårt att förstå, men “någon annans” i detta sammanhang hänvisar till ID och lösenord som någon annan redan har skapat (och använder). Med andra ord, “identitetskapning” innebär i princip att “ta över” någon annans konto, till exempel på sociala medier som Twitter.
Generellt sett innebär “identitetskapning” att skapa ett nytt konto med någon annans namn eller profilbild och använda sociala medier som Twitter under denna falska identitet. Detta är dock inte samma sak. Vi förklarar detta mer detaljerat i artikeln nedan.
https://monolith.law/reputation/spoofing-dentityright[ja]
“Säkerhetshålsattacker” innebär att attackera säkerhetshålen (brister i säkerhetsåtgärder) i någon annans dator för att kunna använda den. Genom att använda attackerande program och liknande för att ge information och instruktioner till målet för attacken, kringgår du åtkomstkontrollfunktionen på någon annans dator och använder datorn utan tillstånd.
Om du utför dessa obehöriga åtkomsthandlingar kan du straffas med upp till tre års fängelse eller en böter på upp till 1 miljon yen (Artikel 11).
Vad är handlingar som främjar obehörig åtkomst?
Handlingar som främjar obehörig åtkomst, vilka är förbjudna enligt den japanska lagen om förbud mot obehörig åtkomst, innebär att du tillhandahåller någon annans ID eller lösenord till en tredje part utan deras tillstånd. Oavsett om det sker via telefon, e-post eller hemsida, om du till exempel berättar för någon annan att “ID för XX är XX och lösenordet är XX”, och därmed gör det möjligt för någon annan att obehörigt få tillgång till någon annans data, kommer detta att betraktas som en handling som främjar obehörig åtkomst.
Om du utför handlingar som främjar obehörig åtkomst kan du straffas med upp till ett års fängelse eller en böter på upp till 500 000 yen (Artikel 12, punkt 2).
Observera att även om du tillhandahåller ett lösenord utan att veta att det kommer att användas för obehörig åtkomst, kan du fortfarande bötfällas upp till 300 000 yen (Artikel 13).
Vad innebär det att obehörigt förvärva, lagra och begära inmatning av andras identifieringskoder?
Enligt den japanska lagen om förbud mot obehörig åtkomst är det förbjudet att obehörigt förvärva, lagra och begära inmatning av andras identifieringskoder (ID, lösenord).
Artikel 4: Förbud mot obehörig förvärv av andras identifieringskoder
Artikel 6: Förbud mot obehörig lagring av andras identifieringskoder
Artikel 7: Förbud mot obehörig begäran om inmatning av andras identifieringskoder
En typisk handling som förbjuds är “begäran om inmatning”, vilket är vad som kallas phishing. Till exempel, genom att utge sig för att vara en finansinstitut, lockar man offret till en falsk hemsida som ser ut som den riktiga, och får offret att mata in sitt lösenord och ID på den falska hemsidan.
Identifieringsnumren som erhållits genom phishing används för att begå auktionsbedrägerier, och det finns många fall där insättningar obehörigt överförs till andra konton.
Om du utför dessa handlingar kan du straffas med upp till ett års fängelse eller en böter på upp till 500 000 yen (Artikel 12, punkt 4).
Vilka lagar reglerar cyberbrott utöver obehörig åtkomst?
Den japanska lagen om förbud mot obehörig åtkomst är en lag som är avsedd att hantera vissa typer av så kallade cyberbrott. När det gäller cyberbrott i sin helhet kan andra lagar, såsom lagen om förstöring av elektroniska datorer och störning av verksamhet, lagen om bedräglig störning av verksamhet och lagen om ärekränkning, också bli relevanta. Vi förklarar den övergripande bilden av cyberbrott mer detaljerat i artikeln nedan.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Åligganden för åtkomstadministratören
Den japanska lagen mot obehörig åtkomst definierar inte bara obehöriga åtkomsthandlingar och straff, utan den lägger också skyldigheter på administratörer för att förhindra obehörig åtkomst till servrar och liknande.
Försvarsåtgärder av åtkomstadministratören
Artikel 8: En åtkomstadministratör som har lagt till en åtkomstkontrollfunktion till en specifik elektronisk dator ska sträva efter att korrekt hantera identifieringskoden eller koden som används för att verifiera den genom åtkomstkontrollfunktionen, ständigt verifiera effektiviteten av åtkomstkontrollfunktionen, och när det bedöms nödvändigt, snabbt sträva efter att förbättra funktionen och vidta andra nödvändiga åtgärder för att skydda den specifika elektroniska datorn från obehörig åtkomst.
“Korrekt hantering av identifieringskoden”, “ständig verifiering av effektiviteten av åtkomstkontrollfunktionen” och “förbättring av åtkomstkontrollfunktionen vid behov” är skyldigheter, men eftersom dessa är ansträngningsskyldigheter, finns det inga straff för att försumma dessa åtgärder.
Men om en administratör upptäcker tecken på att ID eller lösenord har läckt ut, måste de snabbt utföra åtkomstkontrollåtgärder som att radera konton eller ändra lösenord.
Exempel på brott mot lagen om förbud mot obehörig åtkomst (Japanese Unlawful Access Prohibition Law)
Övertagande av en populär manlig students Twitter-konto
En tredjeårsstudent (18) på en gymnasieskola i Hyogo-prefekturen greps den 30 januari 2017 (Heisei 29) av Hyogo-prefekturens polis för misstänkt brott mot lagen om förbud mot obehörig åtkomst. Han hade tagit över en klasskamrats Twitter-konto och utgett sig för att vara honom, och skickat över 300 meddelanden till kvinnliga studenter.
Den misstänkta brottslingen loggade in på Twitter-kontot till en populär manlig student (18) 63 gånger mellan september och november föregående år genom att ange lösenordet på Twitter-autentiseringsservern. Han skickade olämpliga meddelanden till kvinnliga studenter från andra skolor som följde kontot, såsom “Låt oss visa varandra våra kroppar” och “Låt oss prata om sexuella saker”.
Obehörig åtkomst till Facebook och andra
I ett fall där en person anklagades för att ha brutit mot lagen om förbud mot obehörig åtkomst genom att upprepade gånger få obehörig åtkomst till Facebook och andra för att få personlig information, dömde Tokyo District Court den 3 augusti 2016 (Heisei 28) den åtalade (29) till två och ett halvt års fängelse. Han hade obehörigt fått tillgång till Facebook och andra för 238 gånger för sju kvinnor, och hans brott var vanligt och ihärdigt. Domstolen ansåg att det inte fanns något utrymme för skönsmässig bedömning av motivet att vilja uppnå en känsla av prestation när obehörig åtkomst lyckades. Domstolen beaktade dock omständigheterna att han inte hade läckt den information han hade tittat på och att han inte hade några tidigare brott, och gav honom en fyraårig villkorlig dom.
Obehörig erhållning av kundinformation från företaget där man arbetar
Den 12 november 2009 (Heisei 21), dömde Tokyo District Court en företagsanställd (45) som var ansvarig för utveckling, drift och allmänt användarstöd för företagets informationssystem, till två års fängelse för att ha obehörigt erhållit och försökt sälja kundinformation som företaget hade och för att ha stulit en CD-R.
Domstolen kunde inte ignorera det faktum att han hade gjort en vinst på nästan 350 000 yen genom att sälja informationen. Även om han inte hade några tidigare brott att titta på och hade fått vissa sociala sanktioner, såsom att bli avskedad från sitt jobb, kunde domstolen inte anse att det var ett fall där verkställigheten av straffet skulle skjutas upp.
Åtta års fängelse för en cyberattackant
Den 27 april 2017 (Heisei 29), dömde Tokyo District Court en åtalad (32) som hade använt phishing-e-post och fjärrstyrda virus för att obehörigt erhålla identifieringskoder för internetbanking från flera företag, utfört obehöriga inloggningar och obehöriga överföringar, och även erhållit e-postadresser genom attacker på databaser och skickat fjärrstyrda virus för att göra dem körbara, till åtta års fängelse för brott mot lagen om förbud mot obehörig åtkomst, bedrägeri med användning av elektroniska datorer, olämplig framställning och användning av privata elektromagnetiska poster, olämplig leverans av elektromagnetiska poster med olämpliga instruktioner, och brott mot Radio Law.
Den åtalade hade utfört cyberattacker med olika metoder och hade dessutom anslutit till andras trådlösa LAN-åtkomstpunkter med krypteringsnycklar som han hade erhållit obehörigt på förhand för att undvika att hans brott upptäcktes, ibland även via reläservrar för att dölja källan till anslutningen, och hade även ändrat kontakt-e-postadresser före obehöriga överföringar. Hans brott var sofistikerade och illvilliga, och dessutom hade den ekonomiska skadan från de obehöriga överföringarna uppgått till mer än 5,19 miljoner yen. Dessutom hade han begått dessa brott kort efter att ha blivit villkorligt frigiven från ett tidigare straff för liknande brott, vilket ledde till det tunga straffet.
Om det finns e-postmeddelanden som gärningsmannen har skickat under processen för denna typ av attack, kan det i vissa fall vara möjligt att identifiera gärningsmannen genom att använda dessa e-postmeddelanden som en utgångspunkt. Men på civilrättslig nivå är detta generellt svårt. Vi tar upp denna punkt i artikeln nedan.
https://monolith.law/reputation/email-sender-identification[ja]
Åtgärder vid obehörig åtkomst
Om du använder e-post eller sociala medier kan du bli utsatt för obehörig åtkomst från andra. Vad kan du göra i sådana fall?
Anmäl till polisen
Först och främst kan du anmäla den person som gjort sig skyldig till obehörig åtkomst till polisen. Obehörig åtkomst är ett brott och den som gör sig skyldig till det kan straffas. Som vi förklarade tidigare kan den skyldige få upp till tre års fängelse eller böter på upp till 1 miljon yen (ungefär 80 000 SEK), och om det finns någon som har uppmuntrat till brottet kan de få upp till ett års fängelse eller böter på upp till 500 000 yen (ungefär 40 000 SEK).
Det bör noteras att brott mot lagen om förbud mot obehörig åtkomst är ett brott som kan utredas av polisen även utan en anmälan. Om polisen får reda på att ett sådant brott har begåtts kan de inleda en utredning och gripa gärningsmannen. Dessutom kan vem som helst som känner till brottet anmäla det till polisen, inte bara den person som utsatts för obehörig åtkomst.
Vi nämnde också i en tidigare artikel om störande av verksamhet att även om vissa brott kräver en anmälan från offret för att åtal ska kunna väckas, betyder det inte att man inte kan anmäla brott som inte kräver en sådan anmälan. Även i fall där brottet inte kräver en anmälan kan offret anmäla gärningsmannen.
Även om brottet inte kräver en anmälan kan gärningsmannens situation förvärras om offret gör en polisanmälan, vilket kan leda till ett hårdare straff. Om du märker att du har blivit utsatt för obehörig åtkomst bör du konsultera en advokat och lämna in en anmälan eller klagomål till polisen. När polisen har accepterat din anmälan kommer de att påbörja en utredning och eventuellt gripa eller åtala gärningsmannen.
Kräv skadestånd
Om du har lidit skada på grund av obehörig åtkomst kan du kräva skadestånd från gärningsmannen enligt artikel 709 i den japanska civilrätten (Japanese Civil Code).
Civilrätten (Japanese Civil Code) Artikel 709
Den som avsiktligt eller genom vårdslöshet kränker en annans rättigheter eller intressen som skyddas enligt lag, är skyldig att ersätta den skada som uppstått till följd av detta.
Om gärningsmannen har spridit personlig information som de har fått tillgång till genom obehörig åtkomst, stulit föremål från ett socialt spel, fått tillgång till data från kreditkort eller bankkonton och orsakat ekonomisk skada, bör du kräva skadestånd, inklusive kompensation för lidande. Naturligtvis, om du faktiskt har lidit ekonomisk skada på grund av att någon har fått tillgång till data från ditt kreditkort eller bankkonto, kan du också kräva ersättning för detta.
Men för att kunna kräva skadestånd från gärningsmannen måste du först identifiera dem och samla bevis på att de verkligen har gjort sig skyldiga till obehörig åtkomst, vilket kräver avancerad expertkunskap. Om du har blivit utsatt för skada på grund av obehörig åtkomst bör du konsultera en advokat med stor erfarenhet av internetrelaterade problem och be dem att hantera ärendet.
Category: IT
Tag: CybercrimeIT