Vad är de tre kategorierna av cyberbrott? En advokat förklarar skadestånd för varje mönster
“Cyberbrott” är ett ord som har blivit ganska vanligt i vardagligt språk, men internationellt definieras det som “brott som missbrukar dator- och telekommunikationsteknik”. Så kallade “hackningar (cracking)” och liknande är exempel på cyberbrott där företag kan bli offer. Om man drabbas av sådana brott är det nödvändigt att överväga vilka åtgärder man bör vidta.
I denna artikel kommer vi att klassificera cyberbrott i allmänhet i tre mönster som vanligtvis används i Japan, och förklara vilka brott varje mönster motsvarar och vilka åtgärder som finns tillgängliga om man blir offer. Anledningen till att denna klassificering är viktig är att:
- Om man inte kan betraktas som ett “offer” i juridisk mening, även om man kan “rapportera” att ett brott har begåtts, kan det vara svårt att få polisen att utreda genom att lämna in en skadeanmälan eller stämma.
- Om det finns civila åtgärder för brottet, behöver man inte förlita sig på polisutredningen, utan kan anlita en advokat för att identifiera gärningsmannen och begära skadestånd på ett civilt sätt.
- Om man själv är offret för ett brott och det inte finns några civila lösningar, kommer man att behöva uppmuntra polisutredningen.
Detta beror på att “åtgärderna” varierar beroende på mönstret.
Tre kategorier av cyberbrott
Som nämnts ovan, är det vanligt att dela in cyberbrott i tre kategorier i Japan.
- Datorbrott: En mer exakt definition kommer senare, men för att uttrycka det enkelt, brott som stör företagens verksamhet
- Nätverksbrott: Brott som begås genom missbruk av internet
- Brott mot lagen om förbud mot obehörig åtkomst (Japanese Unlawful Access Prohibition Law): Så kallade obehöriga inloggningsaktiviteter etc.
Nedan följer en förklaring av varje kategori.
Vad är datorbrott?
Vad är brottet för skadegörelse av datorer och störning av verksamhet?
I strafflagen finns det ett brott som kallas för skadegörelse av datorer och störning av verksamhet, vilket är typiskt för denna kategori.
Den som skadar en dator eller magnetisk lagring som används i någons verksamhet, eller ger falsk information eller felaktiga instruktioner till en dator som används i någons verksamhet, eller på annat sätt får datorn att inte utföra de åtgärder den är avsedd för, eller får den att utföra åtgärder som strider mot dess avsedda användning, och därigenom stör någons verksamhet, ska straffas med fängelse i högst fem år eller böter på högst en miljon yen.
Strafflagen paragraf 224-2
Det är en svårläst text, men för att sammanfatta det,
- Skadar en dator eller data som används i verksamheten
- Skickar falsk information eller information som inte var tänkt att skickas till en dator som används i verksamheten
Om du genom sådana metoder får datorn att utföra oväntade åtgärder och stör verksamheten, är det ett brott.
Typiska exempel på detta är handlingar som att utnyttja säkerhetshål eller olagligt logga in på någon annans konto för att öka saldot på ett onlinebankkonto. På samma sätt, handlingar som att utnyttja säkerhetshål eller olagligt erhålla inloggningsinformation för att ändra en företagswebbplats, faller också under detta. Att “logga in olagligt” är i sig en typ av “brott mot förbudet mot olaglig åtkomst”, men det är detta brott som fångar upp handlingar som olaglig manipulation, ändring, radering eller olaglig ändring av data.
Vad är skillnaden från obehörig åtkomst?
Denna typ av brott behöver inte nödvändigtvis involvera obehörig inloggning för att vara giltig. Ett typiskt exempel är den så kallade DoS-attacken. Detta innebär att man skickar stora mängder e-post för att orsaka problem på e-postservern, eller att man gör massvis med besök på en webbplats för att orsaka problem på webbservern. Även om varje enskild e-post eller besök i sig är lagligt, kan det genom att utföras i stora mängder få servern (PC) att bete sig oväntat och orsaka skada på företaget, till exempel genom att göra det omöjligt att använda e-post eller öppna webbplatsen. Därför är det så att “även om det inte bryter mot den japanska lagen om förbud mot obehörig åtkomst, så faller det under brottet att skada en dator eller störa dess funktion”. Dessutom kan brottet att bedrägligt störa verksamheten också bli ett problem i dessa typer av brott.
För att uppmuntra polisutredning
Dessa handlingar är brott, som nämnts ovan, och eftersom företaget i fråga är offret, är det möjligt att begära en polisutredning. Men i praktiken kan man inte säga att den japanska polisen är särskilt aktiv när det gäller att hantera sådana brott. Detta beror delvis på tekniska problem. Till exempel, även om vi talade om en enkel DoS-attack ovan, är den faktiska attacken inte så enkel som att en miljon e-postmeddelanden eller åtkomster kommer från en enda IP-adress. Istället är det inte ovanligt att attackerna kommer från ett stort antal IP-adresser, det vill säga att källan till attacken är spridd. Sådana attacker kallas “DDoS”.
Om ett stort antal e-postmeddelanden eller åtkomster kommer från samma IP-adress, är det klart att det är en stor mängd åtkomst från samma person och att det är “information som inte förväntas”. Men om IP-adresserna är spridda, kan varje e-postmeddelande eller åtkomst i sig vara lagligt, så utan bevis på att de alla utfördes av samma person, kan det inte sägas att det var olaglig informationssändning. Så hur kan man bevisa att det var “en stor mängd e-postmeddelanden eller åtkomster från samma person” under en sträng brottmålsrättegång? Detta är verkligen ett problem för polisen och åklagaren.
I en brottmålsrättegång kan man inte få en fällande dom bara genom att visa att “kommunikation som motsvarar ett brott (till exempel massutskick av e-post som nämnts ovan) utfördes från en dator som tillhör misstänkt”. Vad som krävs i ett brottmål är inte att fastställa “från vilken dator” utan “av vem”. I faktiska brottmålsdomar är det inte ovanligt att denna del, det vill säga “det är klart att brottet utfördes från den misstänktes dator, men var det verkligen utfört av den misstänkte själv?”, granskas noggrant. Denna bevisbörda är viktig för att förhindra oskyldiga domar, men det kan också vara en orsak till att polisen och åklagaren tvekar att utreda cyberbrott.
Men om händelsen inträffade nyligen, kan det i vissa fall vara möjligt att genom en detaljerad analys av serverloggar och liknande hitta bevis som “det är mycket troligt att det var samma person” och “det var definitivt den misstänkte själv”. En teknisk undersökning med IT och en juridisk analys för att omvandla det som framkommit i undersökningen till juridiskt meningsfulla dokument. Om dessa två delar finns, kan det finnas fall där man kan uppmuntra till en polisutredning.
Civil lösningar är svåra
Det skulle vara bra om det fanns civila lösningar utan att behöva lita på polisen, men sanningen är att det finns få civila åtgärder för denna typ av brott.
Till exempel, om en stor mängd e-post har skickats, skulle du vilja att leverantören avslöjar adressen och namnet på den person som använde den IP-adress som anges i e-posthuvudet. Men enligt japansk civilrätt (Japanese Civil Code) finns det ingen rätt att juridiskt begära denna information. I fall av förtal på internet, som kommer att diskuteras senare, kan du använda rätten att begära avslöjande av sändarinformation enligt lagen om begränsning av leverantörsansvar (Japanese Provider Liability Limitation Act), men för att uttrycka det enkelt, denna rätt att begära avslöjande är,
endast tillåtet för kommunikation som syftar till att göra inlägg som ses av ett obestämt antal personer (typiskt, kommunikation för att göra förtalande inlägg på internetforum som är öppna för allmänheten)
Det är inte tillåtet för något annat.
I praktiken, i fall av avancerad cyberbrott, är det ofta nödvändigt med mer detaljerade rapporter än vid rättegång för att uppmuntra polisen att utreda. Dessutom är det inte ovanligt att det tar upp till ett år från den första kontakten med polisen till den faktiska utredningen och gripandet. Å andra sidan kan en civil lösning vara mindre tidskrävande och mer praktisk… men brott av denna typ är i princip omöjliga eller mycket svåra att lösa civilrättsligt. Om gärningsmannen kan identifieras, kan skadestånd begäras för skador orsakade av brottet, till exempel om en webbserver har blivit skadad, men det finns inga specifika medel för att göra detta.
https://monolith.law/corporate/denial-of-service-attack-dos[ja]
Nätverksbrott
Skada genom förtal på internet
Detta är brott som begås med hjälp av datorer eller nätverk, förutom de datorbrott som nämnts ovan. Till exempel, så kallat förtal på internet innebär inte att data skadas, att oväntad information skickas, eller att datorer tvingas att utföra oväntade operationer, men det utförs med hjälp av internetnätverk.
Inlägg som kan anses vara förtal klassificeras som:
- Olaga både straffrättsligt och civilrättsligt (typiskt exempel är ärekränkning)
- Olaga civilrättsligt men inte straffrättsligt (typiska exempel är intrång i privatlivet och kränkning av porträtträttigheter)
Om det är olagligt både straffrättsligt och civilrättsligt kan du försöka identifiera postaren genom att använda en begäran om avslöjande av sändarinformation enligt den japanska lagen om begränsning av internetleverantörers ansvar (Japanese Provider Liability Limitation Act), eller genom att uppmana polisen att utreda och arrestera postaren.
Men, beroende på innehållet, är det faktum att polisen inte är särskilt aktiv i att utreda sådana inlägg på grund av en attityd som kallas “icke-inblandning i civila ärenden”. Dessutom, eftersom intrång i privatlivet och kränkning av porträtträttigheter inte är brott enligt strafflagen, är en civilrättslig lösning nödvändig.
https://monolith.law/practices/reputation[ja]
Skada genom en-till-en kommunikation som e-post
Det svåra är att hantera olämpliga meddelanden som skickas via en-till-en kommunikationsmedel som e-post och Twitter DM. Ett typiskt exempel är ett e-postmeddelande med text som kan anses vara hot eller utpressning. En begäran om avslöjande av sändarinformation enligt den japanska lagen om begränsning av internetleverantörers ansvar kan endast användas i följande fall:
Kommunikation för att göra inlägg som ses av ett obestämt antal personer (typiskt exempel är kommunikation för att göra förtalande inlägg på internetforum som är öppna för allmänheten)
Därför finns det ingen civilrättslig lösning för sådan kommunikation, och vi kan bara hoppas på en polisutredning. Men även om innehållet skulle anses vara ärekränkande om det postades på ett internetforum, om en en-till-en kommunikationsmetod används, kommer ärekränkningsbrottet inte att uppfyllas. För att uttrycka det enkelt, ärekränkningsbrottet uppfylls endast för handlingar som riktas mot ett obestämt antal eller många personer. Med en-till-en kommunikationsmetoder, ärekränkning uppfylls i princip inte. Vi har en separat artikel som förklarar dessa problem i detalj.
https://monolith.law/reputation/email-sender-identification[ja]
Skada genom obscena bilder eller olagliga webbplatser
Dessutom inkluderar denna kategori brott där det inte finns några offer, eller där företag som faktiskt lider skada inte blir offer. Till exempel:
- Publicering av ocensurerade bilder eller videor på så kallade vuxna webbplatser (offentlig visning av obscena bilder)
- Reklam för olagliga kasinowebbplatser
- Bedrägeriwebbplatser som påstår sig sälja varumärkesvaror men faktiskt inte skickar några produkter
Detta är typiska mönster.
Till exempel, om det har skett hemlig fotografering i kvinnornas omklädningsrum på ett företag och bilderna har publicerats på internet, är dessa bilder uppenbarligen ett intrång i den avbildade kvinnans privatliv (och kränkning av hennes porträtträttigheter), men eftersom intrång i privatlivet (och kränkning av porträtträttigheter) inte är brott, och även om hemlig fotografering i sig är ett brott, blir publiceringen av bilderna som tagits genom hemlig fotografering inte omedelbart ett brott, vilket gör det svårt att begära att polisen ska utreda.
Dessutom, även om företagets försäljning minskar eller dess rykte försämras på grund av existensen av olagliga kasinowebbplatser eller bedrägeriwebbplatser, är sådana handlingar brott för samhällets skull där det inte finns några specifika offer (typiskt exempel är hastighetsöverträdelser och drogkontroll, som är av samma typ), eller de är brott som endast har direkta offer (till exempel konsumenter som faktiskt har betalat pengar till den bedrägliga webbplatsen), så även om ett företag klagar över skadan, blir det bara en rapport från en tredje part som inte är ett offer. Dessutom, eftersom du inte är ett “offer”, kan du inte ens tänka på att identifiera genom en begäran om avslöjande av sändarinformation.
Men om det handlar om försäljning av falska varumärkesvaror och liknande, som kränker företagets immateriella rättigheter (varumärkesrättigheter, upphovsrättigheter, etc.), kan företaget som “offer” uppmana polisen att utreda, eller försöka identifiera säljaren genom civilrättsliga medel.
Överträdelse av lagen mot obehörig åtkomst
Handlingar som förbjuds av lagen mot obehörig åtkomst
Slutligen, handlingar som förbjuds av lagen mot obehörig åtkomst. Lagen mot obehörig åtkomst förbjuder:
- Obehörig åtkomst
- Främjande av obehörig åtkomst
- Obehörig erhållning och liknande handlingar
Av dessa, den första, obehörig åtkomst, innefattar huvudsakligen:
- Förfalskningshandlingar: Handlingar där man loggar in som någon annan utan tillstånd genom att ange någon annans ID och lösenord, etc.
- Säkerhetshålsattacker: Handlingar där man utnyttjar säkerhetshål för att logga in som någon annan utan att behöva ange ID och lösenord, etc.
Det finns två typer av dessa.
Den andra, främjande av obehörig åtkomst, innebär handlingar där man utan tillstånd ger eller säljer någon annans kontoinformation (ID, lösenord, etc.) till någon annan.
Slutligen, den tredje, obehörig erhållning och liknande handlingar, innebär handlingar där man får någon annan att ange sitt konto, till exempel genom en så kallad phishing-webbplats, eller lagrar kontoinformation som har erhållits obehörigt på detta sätt.
För mer detaljerad information om lagen mot obehörig åtkomst, se följande artikel.
https://monolith.law/reputation/unauthorized-computer-access[ja]
Lösning genom polisen
Även om du har blivit utsatt för obehörig åtkomst, kommer du att behöva uppmana polisen att utreda. Men, eftersom många fall innebär mycket avancerade tekniska problem, precis som i fallet med datorbrott som nämnts ovan, om inte någon med kunskap och know-how inom både IT och lagstiftning skapar en rapport, kan det vara svårt att få polisen att faktiskt genomföra en utredning.
Om gärningsmannen kan identifieras, är det möjligt att begära skadestånd från denne. Men, precis som i fallet med datorbrott som nämnts ovan, kan det vara mycket svårt att identifiera gärningsmannen med civilrättsliga medel.
Category: IT
Tag: CybercrimeIT