Criminalistica
Criminalitatea informaticaCriminalitatea informaticaDezvoltarea fara precedent in domeniul tehnologiei informatice, la nivel mondial, are, din pacate, o parte negativa: s-a deschis o poarta catre producerea unor fapte antisociale, denumite „criminale' atat in dreptul international penal, cat si in rapoartele prezentate de specialisti ai informaticii, fapte care nu ar fi putut exista in conditiile tehnice existente acum 15 ani, de exemplu. Sistemele de calculatoare ofera, in prezent, oportunitati noi, unele chiar sofisticate, de incalcare a legilor si creeaza un potential ridicat de comitere a unor tipuri de infractiuni realizate altfel decat in modurile cunoscute, traditionale. Desi societatea, in ansamblul ei, plateste pentru toate daunele economice cauzate de „criminalitatea informatica', aceasta continua sa se bazeze pe sistemele computerizate in aproape toate domeniile vietii sociale: controlul traficului aerian, al trenurilor si metrourilor, coordonarea serviciului medical sau al securitatii nationale. O singura bresa realizata in operarea acestor sisteme poate pune in pericol vieti omenesti, ceea ce denota faptul ca dependenta societatii de sistemele informatice a capatat o dimensiune mult mai profunda decat cea intuita initial[1]. Expansiunea transnationala extraordinar de rapida a retelelor de calculatoare si extinderea accesului la aceste retele prin intermediul telefoniei mobile au dus la cresterea vulnerabilitatii acestor sisteme si la crearea de oportunitati pentru producerea de infractiuni. Tehnologia informationala atinge fiecare aspect al vietii cotidiene a unei persoane fara a tine cont de pozitionarea geografica a acesteia. Activitatea zilnica a unei persoane este afectata in forma, continut si timp de calculator. Tot mai multe activitati comerciale, industriale, economice sau guvernamentale sunt dependente de retelele informatice. Calculatoarele nu sunt utilizate doar pentru cresterea performantelor economice si industriale ale unei tari, acestea au devenit parte integranta a vietii personale a individului. Calculatoarele sunt utilizate pentru stocarea si transmiterea datelor confidentiale de natura politica, sociala, economica sau pur personale. Date de volum impresionant pot fi comprimate si stocate compact sau pe discuri partitionate de densitate mare. Viteza de lucru a cunoscut o crestere exponentiala, cele mai complicate calcule fiind realizate intr-un interval de timp de ordinul milisecundelor. Miniaturizarea procesoarelor a permis realizarea conexiunilor si a comunicatiilor in timp real la nivelul globului. Calculatoarele asista si intretin chiar si confortul locurilor de munca sau al locuintelor personale[2]. Legislatia statelor lumii este in continua schimbare datorita dezvoltarii tot mai accelerate a tehnologiei informatice, iar cooperarea internationala este pusa in fata unei provocari continue produsa de cresterea criminalitatii informatice transnationale. Din ce in ce mai multe state au procedat la armonizarea propriilor legislatii in vederea combaterii fenomenului in discutie, insa rezultatele sunt doar multumitoare si nu se va putea vorbi de o eradicare a fenomenului. Problemele ridicate in cadrul reuniunilor internationale privind combaterea criminalitatii informatice sunt urmatoarele: a) lipsa unui consens global privind definitia „criminalitatii informatice'; b) lipsa unui consens global privind motivatia realizarii acestor fapte; c) lipsa expertizelor din partea persoanelor autorizate apartinand unor institutii cu atributii de control in domeniu; d) inexistenta unor norme legale adecvate privind accesul si investigatia sistemelor informatice, inclusiv lipsa normelor prin care pot fi confiscate bazele de date computerizate; e) lipsa armonizarii legislative privind investigatiile in domeniu; f) caracterul transnational al acestui tip de infractiune; g) existenta unui numar redus de tratate internationale privind extradarea si asistenta mutuala in domeniu. Organizatia pentru Cooperare Economica si Dezvoltare (OECD) a fost una dintre primele organizatii internationale care a realizat un studiu privind armonizarea legislatiei in domeniu. In anul 1983, OECD a publicat un raport prin care a propus diferite recomandari legislative statelor membre ale Uniunii Europene precum si o minima lista de activitati care trebuie pedepsite: fraudarea si falsificarea realizata prin calculator, alterarea programelor de calcul si a datelor, copyright-ul, interceptarea comunicatiilor sau a altor functii a unui calculator, accesul si utilizarea neautorizata a unui calculator[3]. In completarea raportului OECD, Consiliul Europei a initiat propriul studiu de caz pentru dezvoltarea cadrului legal privind combaterea criminalitatii informatice. Comisia de experti in domeniul criminalitatii pe calculator a Consiliului a adoptat Recomandarea R(89)9 care reprezinta un ghid de actiune si pentru statele membre ale Uniunii Europene. Organizatia Natiunilor Unite s-a implicat, la randul sau, in studiul si combaterea fenomenului analizat. In studiile elaborate pe plan international, se foloseste expresia „criminalitate legata de calculator' sau „criminalitate informatica', care nu este insa general recunoscuta sau acceptata. De asemenea, si grupul de experti reuniti in cadrul OCDE a adoptat o definitie de lucru sub forma: „abuzul informatic este orice comportament ilegal sau contrar eticii sau neautorizat care priveste un tratament automat de date si/sau o transmitere de date'. Se poate observa ca acesti experti nu au considerat utila definirea explicita a expresiei „criminalitate informatica', dar au retinut o clasificare functionala, ca baza de studiu . Astfel, termenul de criminalitate informatica este definit ca fiind „orice actiune ilegala in care un calculator constituie instrumentul sau obiectul delictului, altfel spus orice infractiune al carei mijloc sau scop este influentarea functiei unui calculator'. Abuzul informatic ar putea fi definit, la randul sau, prin „orice incident legat de tehnica informatica in care o persoana a suferit sau ar fi putut sa sufere un prejudiciu si din care autorul a obtinut sau ar fi putut obtine intentionat un profit'[5] sau prin „totalitatea faptelor comise in zona noilor tehnologii, intr-o anumita perioada de timp si pe un anumit teritoriu bine determinat' . Potrivit Comitetului European pentru Probleme Criminale, toate aceste tentative de definire a criminalitatii informatice prezinta unele inconveniente ce nu se impaca usor cu obiectivul conciziei formularii si cu acela de a nu mai lasa nici o indoiala asupra importantei sau utilizarii definitiei. Aceste deliberari au condus Comitetul spre adoptarea aceleiasi abordari functionale ca si cea a grupului de experti OCDE, fara a incerca totusi o definire proprie a criminalitatii informatice. Notiunea de infractiune informatica include infractiuni foarte diferite, mai mult sau mai putin incriminate de fiecare tara in parte. Odata cu redactarea principiilor directoare pentru legiuitorii nationali, nu apare necesara adoptarea, pentru criminalitatea legata de calculator, a unei definiri formale, care ar crea mai multe dificultati decat ar putea aduce explicatii . In prezent, „criminalitatea in relatie cu calculatorul', expresie folosita de Comitet, se reduce pur si simplu la infractiunile definite in principiile directoare pentru legiuitorii nationali, care lasa in sarcina diferitelor state de a adapta aceasta definitie la propriul lor sistem judiciar si la traditiile lor istorice[8]. Pe de alta parte, criminalitatea informatica implica realizarea unor infractiuni traditionale cuprinse in codurile penale sau legile speciale, cum ar fi frauda, falsul sau inselaciunea, calculatorul devenind o potentiala sursa de alte actiuni abuzive, care pot fi sanctionate. Mai sunt utilizate notiunile de cybercrime, „abuz informatic' si „utilizare gresita a calculatorului', expresiile avand semnificatii diferite. Trebuie facuta distinctia intre intentia de frauda si utilizarea gresita a unui sistem informatic sau intre patrunderea neautorizata intr-o retea si actionarea gresita a unor taste ale calculatorului. De exemplu, daca un angajat primeste o parola de acces la o baza de date de la un alt angajat, acesta nu trebuie acuzat de o infractiune daca patrunde in acea baza de date. Cu totul altfel se judeca situatia in care un angajat fura parola de acces la acea baza de date, cunoscand faptul ca nu are autorizare de acces la acea baza.
O distinctie clara trebuie facuta intre actiunile ilegale si cele care incalca etica profesionala, doar foarte putine dintre activitatile curente realizate in retelele mondiale de calculatoare fiind considerate infractiuni de catre autoritatile cu atributii in domeniu. Ca orice fenomen social, criminalitatea informatica reprezinta un sistem cu proprietati si functii proprii, distincte din punct de vedere calitativ de cele ale elementelor componente[9]. Este cunoscut faptul ca, in cercetarea criminologica, criminalitatea ca fenomen social cuprinde: criminalitatea reala - care presupune totalitatea faptelor penale savarsite pe un anumit teritoriu si intr-o anumita perioada de timp; criminalitatea aparenta - care cuprinde intregul set de infractiuni semnalate organelor abilitate ale statului si inregistrate ca atare; criminalitatea legala - vazuta ca totalitatea faptelor de natura penala comise in spatiul informatic si pentru care s-au pronuntat hotarari judecatoresti ramase definitive. Fiecare dintre aceste segmente isi are corespondentul si in criminalitatea informatica[10] . Diferenta dintre criminalitatea informatica reala si criminalitatea informatica aparenta reprezinta „cifra neagra' a acestui nou gen de infractiuni si ea cuprinde toate acele fapte sanctionate de legiuitor, dar care, din anumite motive, raman nedescoperite de catre organele 'abilitate . Daca in cadrul criminalitatii generale se apreciaza ca cifra neagra reprezinta un important segment de fapte penale nedescoperite, in cadrul criminalitatii informatice procentul acesteia tinde sa fie in jur de 90%. Rata extrem de ridicata a infractiunilor nedescoperite este o consecinta directa a faptului ca infractiunea informatica, in general, este un act ilegal mai recent sanctionat si se afla deocamdata ascuns in spatele noilor tehnologii, deseori inaccesibile chiar celor care ar trebui sa combata fenomenul. In ceea ce priveste formalizarea criminalitatii informatice, statele membre ale Uniunii Europene au ajuns la un numitor comun, fiind identificate patru activitati distincte: a) activitati care aduc atingere vietii private: colectarea, stocarea, modificarea si dezvaluirea datelor cu caracter personal; b) activitati de difuzare a materialelor cu continut obscen si/sau xenofob: materiale cu caracter pornografic (in special cele legate de minori), materiale cu caracter rasist si care incita la violenta; c) criminalitatea economica, accesul neautorizat si sabotajul: activitati prin care se urmareste distribuirea de virusi, spionajul si frauda realizata prin calculator, distrugerea de date si programe sau alte infractiuni: programarea unui calculator de a „distruge' alt calculator. Pana in prezent, la nivelul UE nu exista instrumente de combatere a acestui tip de criminalitate; d) incalcarea dreptului de proprietate intelectuala. Revolutia tehnologiei informatiei a dus la schimbari fundamentale in societate si este foarte probabil ca aceste schimbari profunde sa se produca in continuare. Unul din efectele informatizarii tehnologice este impactul asupra evolutiei tehnologiei telecomunicatiilor. Comunicarea clasica, prin intermediul telefoniei, a fost depasita de noile metode de transmitere la distanta nu numai a vocii, ci si a datelor, muzicii, fotografiilor ori filmelor. Aceste schimburi de informatii nu mai apar numai intre oameni, dar si intre oameni si sisteme informatice ori numai intre acestea din urma. Folosirea postei electronice sau accesul la pagini web prin intermediul internetului constituie exemple ale acestei evolutii, modificand profund societatea noastra[12]. Usurinta accesului la informatii in sistemele informatice, combinata cu posibilitatile practic nelimitate de schimb sau diseminare a acestora, indiferent de granitele geografice sau nationale, a dus la o crestere exploziva a cantitatii de informatie disponibila si a cunostintelor care pot fi extrase din aceasta. Aceasta evolutie a dat nastere la schimbari economice si sociale fara precedent, dar in acelasi timp foloseste si scopurilor mai putin legitime: aparitia unor noi infractiuni ori savarsirea infractiunilor traditionale prin intermediul noii tehnologii. Conceptele juridice existente sunt puse la incercare de aparitia noii tehnologii. Adesea locul savarsirii infractiunii difera de locul unde se gaseste infractorul. Printr-o simpla apasare a unui buton acesta poate declansa catastrofe la mii de kilometri departare. Dreptul trebuie sa faca fata noilor provocari ridicate de dezvoltarile tehnologice. Iata de ce in ultimii ani legiuitorul roman a fost preocupat de elaborarea unui cadru normativ care sa reglementeze accesul si desfasurarea activitatii prin intermediul sistemelor informatice in diferite sectoare. In Romania, cea mai importanta reglementare juridica aplicabila in acest moment in materia criminalitatii informatice este Legea nr. 161/2003 privind unele masuri pentru asigurarea transparentei si exercitarea demnitatilor publice, a functiilor publice si mediul de afaceri, prevenirea si sanctionarea coruptiei . Aceasta introduce un numar de 7 infractiuni, ce corespund clasificarilor si definitiilor prezentate odata cu analiza prevederilor Conventiei asupra criminalitatii informatice, ce au fost grupate in cuprinsul Titlului III din lege, „Prevenirea si combaterea criminalitatii informatice'. Textul a fost o adaptare rapida la mediul romanesc a prevederilor Conventiei Consiliului Europei asupra Criminalitatii Informatice si reprezinta un instrument eficient in lupta impotriva acestui flagel. Astfel, in cuprinsul Legii nr. 161/2003 gasim definite trei categorii de infractiuni, astfel: a) infractiuni contra confidentialitatii si integritatii datelor si sistemelor informatice: infractiunea de acces ilegal la un sistem informatic; infractiunea de interceptare ilegala a unei transmisii de date informatice; infractiunea de alterare a integritatii datelor informatice; infractiunea de perturbare a functionarii sistemelor informatice; infractiunea de a realiza operatiuni ilegale cu dispozitive sau programe informatice; b) infractiuni informatice: infractiunea de fals informatic; infractiunea de frauda informatica; c) pornografia infantila prin intermediul sistemelor informatice. Pentru inceput este necesara o definire a instrumentelor sau conceptelor cu care legiuitorul a inteles sa opereze in acest domeniu. Acest lucru este facut chiar de legiuitor in art. 35. Astfel: a) prin „sistem informatic' se intelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate in relatie functionala, dintre care unul sau mai multe asigura prelucrarea automata a datelor, cu ajutorul unui program informatic. Exemple: computer personal (PC), doua sau mai multe calculatoare conectate prin cablu sau fara fir (wireless), retea de calculatoare, ansamblu de tip calculator-periferice (imprimanta, mediu de stocare extern, scanner etc); b) prin „prelucrare automata' a datelor se intelege procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic. Exemplu: urmarind un algoritm logic, instructiunile pentru calculator sunt scrise intr-un limbaj de programare de nivel inalt (Pascal, C++, Visual Basic, Java etc), introduse de la tastatura si interpretate de Unitatea Centrala de Prelucrare, iar mai apoi translatate in limbaj cod-masina si puse in executie de Unitatea de Executie, fiecare componenta a sistemului informatic realizand o anumita operatiune; c) prin „program informatic' se intelege un ansamblu de instructiuni care pot fi executate de un sistem informatic in vederea obtinerii unui rezultat determinat. Exemple de programe: sisteme de operare (MS-DOS, MS Windows, UNIX etc), pachete de aplicatii standard (MS OFFICE care cuprinde un editor de text, MS Word, un soft de administrate baze de date, MS Access, un program de calcul tabelar, MS Excel, un program de prezentare, MS Powerpoint, un program de gestiune corespondenta si activitati curente, MS Outlook etc), pachete de aplicatii dedicate (ERP -Enterprise Resource Planning - pentru planificarea resurselor financiare, logistice sau de personal in cadrul unei intreprinderi sau institutii, CRM - Customer Relationship Management - instrument pentru conducerea unei afaceri si organizarea relatiilor cu clientii etc), programe antivirus (BitDefender, Norton System Works, RAV etc), programe de acces la Internet (browsere - Explorer, Netscape etc, posta electronica - Outlook, Webmail, Eudora etc), diverse aplicatii create cu un anumit scop (virusi, cai troieni, bombe logice, keylogger, spyware etc.) si multe altele; d) prin „date informatice' se intelege orice reprezentare a unor fapte, informatii sau concepte intr-o forma care poate fi prelucrata printr-un sistem informatic in aceasta categorie se include si orice program informatic care poate determina realizarea unei functii de catre un sistem informatic. La nivel utilizator, datele sunt reprezentate in forma alfanumerica - cifre, litere, caractere speciale, asa cum apar ele pe ecranul calculatorului, iar la nivelul sistemului informatic acestea se prezinta sub forma de siruri ordonate de cate 8, 16, 32, 64 sau 128 de biti (elemente „0' si „1' care, la nivelul componentelor electronice ale sistemului de calcul, sunt echivalente cu variatii controlate ale tensiunii de alimentare). e) prin „furnizor de servicii' se intelege: - orice persoana fizica sau juridica ce ofera utilizatorilor posibilitatea de a comunica prin intermediul sistemelor informatice; orice alta persoana fizica sau juridica ce prelucreaza sau stocheaza date informatice pentru persoanele prevazute la pct. 1 si pentru utilizatorii serviciilor oferite de acestea; f) prin „date referitoare la traficul informational' se intelege orice date informatice referitoare la o comunicare realizata printr-un sistem informatic si produse de acesta, care reprezinta o parte din lantul de comunicare, indicand originea, destinatia, ruta, ora, data, marimea, volumul si durata comunicarii, precum si tipul serviciului utilizat pentru comunicare; g) prin „date referitoare la utilizatori' se intelege orice informatie care poate duce la identificarea unui utilizator, incluzand tipul de comunicatie si serviciul folosit, adresa postala, adresa geografica, numere de telefon sau alte numere de acces si modalitatea de plata a serviciului respectiv, precum si orice alte date care pot conduce la identificarea utilizatorului; h) prin „masuri de securitate' se intelege folosirea unor proceduri, dispozitive sau programe informatice specializate, cu ajutorul carora accesul la un sistem informatic este restrictionat sau interzis pentru anumite categorii de utilizatori. Exemplu: sistem de acces (LOGIN) pe baza de parola si nume utilizator, infrastructura de criptare a comunicatiilor, tip PKI - Public Key Infrastructure, cu chei publice sau private, aplicatii de semnatura electronica, echipamente de acces prin SmartCard, cititor/interpretor de amprente sau retina etc; i) prin „materiale pornografice cu minori' se intelege orice material care prezinta un minor avand un comportament sexual explicit sau o persoana majora care este prezentata ca un minor avand un comportament sexual explicit ori imagini care, desi nu prezinta o persoana reala, simuleaza, in mod credibil, un minor avand un comportament sexual explicit. De asemenea, in sensul prezentei legi, actioneaza fara drept persoana care se afla intr-una din urmatoarele situatii: a) nu este autorizata, in temeiul legii sau al unui contract; b) depaseste limitele autorizarii; c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, sa o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfasura cercetari stiintifice sau de a efectua orice alta operatiune intr-un sistem informatic. Pentru a exemplifica contextul si modalitatile de comitere a infractiunilor informatice este elocvent urmatorul caz instrumentat de D.G.C.C.O. In luna aprilie 2003, ofiterul de legatura al FBI la Bucuresti a sesizat DGCCO, cu privire la faptul ca unui numar de patru companii americane care ofereau diverse servicii prin Internet li s-au accesat fara drept serverele si li s-au sustras datele confidentiale ale unor clienti. Conform indiciilor existente la aceea data aceasta activitate infractionala era initiata din Sibiu, Romania. Ulterior, persoanele care au accesat bazele de date si au sustras informatiile secrete, au amenintat victimele solicitandu-le cca. 50.000 dolari SUA de la fiecare, pentru a nu publica datele sustrase. Pentru identificarea si probarea activitatii infractionale a acestora au fost desfasurate un complex de activitati specifice, precum si coordonarea cu ofiterii FBI a doua transferuri „supravegheate' de bani. Astfel, in urma acestor activitati au fost identificati numitii: O.S.A., de 21 ani, elev, cel care a accesat neautorizat serverele companiilor americane si a organizat activitatea de amenintare a acestora cu publicarea datelor confidentiale; M.E., de 25 ani, student si S.C.V., de 25 ani, administrator la un Internet-cafe, complici la accesarea neautorizata a serverelor companiilor; Z.S.N., de 25 ani, fara ocupatie si L.F.I., de 19 ani, elev, folositi pentru primirea banilor obtinuti in urma activitatilor ilegale si N.R.L., de 18 ani, fara ocupatie, pe numele careia cei in cauza au deschis un cont de card folosit la ridicarea banilor. In data 2 iunie 2003, 0.S.A. si Z.S.N. au ridicat de la mai multe ban-comate din Sibiu suma de 1.500 dolari SUA, bani transferati in contul de card al numitei N.R.L., de una din companiile din SUA santajate. Sub coordonarea unui procuror din cadrul Parchetului de pe langa Inalta Curte de Casatie si Justitie, Sectia de Combatere a Criminalitatii Organizate si Antidrog au fost efectuate mai multe descinderi la domiciliile suspectilor si la Internetul Cafe, ocazie cu care a fost gasita suma de 1.500 dolari SUA, cartea de credit, calculatoarele pe care se aflau informatiile sustrase, precum si alte mijloace de proba. O.S.A. si Z.S.N. au fost arestati preventiv pentru savarsirea infractiunii de acces neautorizat si transfer de date, iar celelalte persoane au fost cercetate in stare de libertate. Cazul se afla in acest moment pe rolul instantelor judecatoresti[14]. Este important ca institutiile statului ce au ca obiect de activitate securitatea nationala, dar si cele politienesti, sa fie pregatite a interveni in cazul unor asemenea incidente, astfel incat sa reuseasca sa reduca la minim riscurile si efectele unor cyber-atacuri, insa pentru ca acest lucru sa devina o realitate, trebuie ca respectivele institutii sa constientizeze iminenta amenintarilor informatice si amploarea dimensiunii.
|