Criminalistica
Masuri de combatere a criminalitatii informaticeMasuri de combatere a criminalitatii informatice Odata cu aparitia calculatoarelor, a retelelor si in special a internetului, s-au dezvoltat toate celelalte functii ale comunicatiei iar mijloacele de lucru s-au schimbat radical fata de sistemele clasice. Evident, cei mai interesati pentru imbunatatirea securitatii datelor au fost cei din domeniul militar al carui interes pentru tehnologia protectiei informatice este primordiala, aceasta confundandu-se in proportie maxima cu securitatea de stat. Astfel, politicile de prevenire si combatere a infractionalitatii au inceput sa ia o alta turnura in clipa in care domeniile aflate in mediul civil precum cel politic, medical sau economic au inceput sa copieze sau sa fie interesate de aplicatiile folosite in politica de aparare militara a sistemelor informatice. In Anglia a fost introdus nivelul de informatii „restrictionate” ce a aparut in zona ce delimita informatiile „confidentiale” si cele „neclasificate”. SUA de asemenea a adoptat aceasta clasificare insa odata cu legea „libertatii accesului la informatii” aceasta clasificare a disparut. Astfel, in SUA exista „FOUO” „For official use only” si „Unclassified but sensitive”. Exista anomalii atat in Marea Britanie, cat si in SUA referitor la aceste tipuri de clasificari ale informatiilor, exemplul fiind practica ce arata ca informatiile restrictionate sunt facute publice insa jurnalistii sunt sanctionati daca le dezvaluie. Totodata, informatiile „neclasificate” din SUA ce ajung in Marea Britanie devin „restrictionate” iar odata ce revin in SUA devin confidentiale, ceea ce reprezinta o ingrijorare pentru reprezentantii armatelor ce se ocupa de organizarea sistemelor militare de clasificare a datelor. Securitatea ca si sistem, este reprezentata de niveluri controlate datorita clasificarii tipului de informatie. Astfel, avem tipuri de informatii publice, confidentiale, secrete, iar in varful piramidei sunt cele strict secrete. David Bell ti LaPadula au implementat in anul 1973 un model de politica a securitatii foarte cunoscut si in zilele noastre in urma solicitarii venite din partea aviatiei militare americane. Acest model de sistem includea 3 principii : cel al securitatii simple, prin care nu era permisa citirea de date aflate la un nivel mai inalt decat cel autorizat, principiul stea, ce se referea la interzicerea de a scrie date de catre un proces pe un nivel inferior, cunoscut sub numele „No Write Down, NWD”. ”Securitatea discretionara” este un alt principiu ce „introduce o matrice de acces pentru a specifica controlul accesului discretionar. Este cunoscut si ca „Trusted Subject”. Matricea ce controleaza accesul, reprezinta de asemenea un model de securitate, aceasta oferind drepturi pentru accesarea unor informatii din cadrul sistemului. Aceste matrici sunt de genul „executa” , „citeste” sau „scrie”. (Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag. 87 – 89). Ken Biba, este inventatorul unui sistem de asemenea consacrat in ceea ce priveste siguranta datelor, acesta fiind viabil in ceea ce priveste securitatea, siguranta sistemelor si nu are legatura cu confidentialitatea datelor. Modelul sau, se refera la protejarea datelor de modificari cu caracter neautorizat de catre persoane fara un acces autorizat, „asigurarea consistentei interne si externe a datelor” precum si schimbarea caracteristicilor datelor de catre persoane ce au acces la acele informatii in mod autorizat. (Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag. 90). Toate aceste sisteme de securitate a datelor si ansamblurilor informatice, au totodata un sprijin venit din partea programelor informatice create tocmai pentru protectia diferitelor resurse aflate in posesia persoanelor, institutiilor de stat sau companiilor private. Aceste programe, este imperativ necesar sa aiba o stransa legatura cu politica de securitate bine definita a fiecarei companii sau societati daca vorbim de nivelul international unde fiecare stat are cadrul sau legislativ. Pentru o deservire mai buna, programul de securitate trebuie sa fie bazat pe normele legislative si sa urmareasca interesele celui ce il utilizeaza. Politicile de securitate, sunt adaptate de fiecare organizatie intr-un mod individual urmarind sa fie cat mai apropiate de cerintele contextuale ale structurii. Astfel, se porneste din varf de la grupul de conducere al acelei organizatii ce trebuie sa defineasca intr-un mod concret importanta resurselor aflate la dispozitia angajatilor sau a oamenilor ce se afla in contact cu structura organizationala. Exista o serie de proceduri si regulamente in ceea ce priveste controlul informatiei interne unele obligatorii iar altele recomandabile, insa puternic promovate pentru ca participantii din sistem sa si le insuseasca. Exista politicile informative, ce se adreseaza tuturor oamenilor aflati in structura organizatiei respective fiind foarte bine conturate si explicate, ce se refera doar la instiintarea personalului cu privire la diferite aspecte. In comparatie cu politicile recomandate, acestea sunt asimilate mult mai usor, politica recomandata urmarind si un set de actiuni de monitorizare a angajatilor si a persoanelor aflate in contact cu structura, acestea avand anumite responsabilitati. (Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag. 94 – 95). Dincolo de aceste politici desfasurate in cadrul fiecarei institutii, exista elemente ce se refera la detaliile acestor politici, acestea fiind cuprinse de manuale, carti, cursuri s.a.m.d. Standardele, denota o subdiviziune ce se refera la uniformizarea implementarii tehnologice de securitate pentru un mai bun control in ceea ce priveste accesul si controlul accesului la resurse. Normele politicilor sunt reprezentate de metodele utilizate in securitatea informatiilor iar procedurile sunt acele instructiuni redate in detaliu destinate personalului in vederea cunoasterii modului de operare. (Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag. 95 – 96). Tot in cartea lui Dumitru Oprea, sunt redate exemple de politici de securitate, acestea referindu-se la prevenirea accesului fara autorizatie la resurse, asigurarea politicilor si normelor de securitate in cadrul organizatiei, detectarea eventualelor scurgeri de informatii si lansarea de masuri impotriva acestora si continuitatea ce se refera la functionarea permanenta a sistemelor fara a fi puse in pericol de calamitati, dezastre sau alte situatii neprevazute printr-un plan bine pus la punct. ”Utilizarea adecvata”, se refera la respectarea schemelor de acces a utilizatorilor de resurse din cadrul organizatiei, fiecare avand un cont de utilizator si responsabilitate fata de resursele accesate. ” (Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag. 98 – 99). Departandu-ne de structurile organizationale si politicile de securitate informatica, avem ca optiune de securizare diferite modele tehnologice bazate pe programe create astfel incat sa ofere acces limitat, restrictionat sau sa nu il ofere deloc cand cazul o impune. Utilizarea parolelor este un argument in acest sens. In functie de sistemul cu care se opereaza, acestea pot fi alfanumerice cu un numar de simboluri litere sau cifre intre 3 si 60. Este foarte important numarul acestor caractere folosite in compunerea unor parole deoarece fiind prea lungi acestea pot fi scrise de catre utilizatorii contului parolat pe hartie sau in alte dispozitive de retinere a datelor electronice. O parola este mai eficienta daca contine litere si cifre in mod aleatoriu, reprezentarea ei printr-un nume comun de orice fel avand un sens aparte putand fi descifrat de catre un cracker relativ repede. Totusi, deoarece cu parolele lucreaza oamenii, iar memoria omului poate da gres la un moment dat, foarte multe sisteme permit introducerea cu precadere a 3 parole gresite inaintea taierii accesului la resurse intr-un mod definitiv. Semnaturile vocale, de asemenea sunt pe cale sa se raspandeasca in sistemele de securitate informatica. In ciuda faptului ca sunt inca in stadiu experimental, acestea se bazeaza pe un principiu de utilizare al sunetelor de catre un calculator ce le inregistreaza, le analizeaza si le transpune intr-un tipar digital, urmand sa redea semnatura vocala. La analizarea frecventelor de sunet atunci cand se da comanda respectiva, calculatorul va permite sau nu va permite accesul dupa caz. Exista unele semne de intrebare legate de aceasta tehnologie cel putin in mintea mea deoarece vocea umana se poate deteriora datorita unor afectiuni, astfel incat exista posibilitatea nerecunoasterii semnaturii vocale de catre calculator. Pattern-ele ochiului, sunt de asemenea caracteristici umane unice precum amprentele digitale si se refera la acea retea de vase sanguine situata in spatele retinei, ce poate fi scanata doar cu ajutorul razelor infrarosii. ”Pentru a scana retina, este utilizata o raza infrarosie, folosind o cale circulara. Un detector situat in perifericul folosit masoara intensitatea luminii, asa cum este reflectata ea din diferitele puncte. Deoarece vasele sanguine nu absorb si reflecta aceeasi cantitate de infrarosu ca tesutul inconjurator, senzorul inregistreaza vasele ca un complicat pattern intunecat pe un fundal luminos.” (Ioana Vasiu, Criminalitatea Informatica, 2001, pag. 151 – 152, 156 – 157). Trecand dincolo de metode si tehnici de protectie a sistemelor informatice, a informatiilor si a tuturor resurselor aflate pe suport digital, nu trebuie sa scapam din vedere legislatia in vigoare la nivel international. Astfel, fiecare stat are propria-i structura legislativa si propria strategie de prevenire si combatere a criminalitatii informatice. Este evident faptul ca cea mai puternica organizare in acest sens se afla in tarile occidentale ba mai mult, am sa ma refer la SUA, tara ce practic a inventat internetul si calculatorul. Astfel, in aceasta tara a democratiei si a „cuvantarii libere”, Congresul este cel ce a analizat si si-a canalizat atentia asupra sigurantei informatice din ce in ce mai intens in ultimile doua decenii. Asta nu doar datorita cresterii importantei tehnologiei in viata cotidiana ci si datorita raspandirii internetului si a aplicatiilor acestuia pe plan mondial, fapt ce a dus la o sporire a riscurilor in ceea ce priveste propria-i securitate nationala in ceea ce priveste institutiile civile de stat sau cele militare. Cateva acte normative le voi da ca exemple elocvente pentru a defini o structura legislativa de baza as spune eu dupa care ceilalti actori globali au incercat sa adapteze principii si caracteristici. Astfel, exista „Legea privind dreptul de protejare a confidentialitatii datelor personale” (Federal Privacy Act), adoptata in anul 1974. Aceasta, se refera la utilizarea si manipularea informatiilor cu caracter general ale persoanelor ce se folosesc in institutiile medicale, sau terte departamente federale. Prin aceasta lege, diversele agentii americane sunt obligate sa pastreze intr-un mediu sigur si confidential toate datele apartinand cetatenilor care le detin. Acest principiu al bunelor practici este definit prin „Codul principiilor de buna practica privind informatiile cu caracter personal, adoptat de Ministerul Sanatatii in 1973”. Incepand cu luna aprilie a anului 2003, exista si o standardizare referitoare la aceasta confidentialitate, reglementata prin „Standardele pentru confidentializarea informatiilor identificabile privind sanatatea persoanelor”. „Legea privind libertatea electronica a informatiei (Electronic Freedom of Information Act), se refera la disponibilitatea informatiilor aflate in posesia agentiilor de stat pentru publicul larg in vederea consultarii. Aceasta reprezinta o modificare a „Legii privind libertatea informatiei” a anilor 1974 si 1986. Astfel, toate institutiile si agentiile americane, trebuie sa foloseasca tehnologia noua in vederea imbunatatirii accesului publicului larg la informatii. Exista un set de obiective urmarite ale acestei legi ce se refera la asigurarea unei democratii prin punerea la dispozitie a informatiilor agentiilor de stat catre public, sporirea utilitatii informatiilor ce se regasesc in posesia institutiilor statului. ”Legea privind accesul neautorizat, frauda si abuzul informatic” (Computer Fraud and Abuse Act) ce a aparut in anul 1984, reglementeaza dreptul de abtine si a dezvalui informatii aflate sub protectie din considerente de securitate nationala, informatii apartinand agentiilor de stat ce au in administrare informatii personale confidentiale precum si informatiile ce sunt detinute in sistemul public, in format electronic. Abuzul informatic, este si el reglementat de legislatia americana, prin „Legea privind frauda si abuzul informatic” ce dateaza din 1986, aceasta scotand in afara legii obtinerea de date de catre o persoana fara autorizatie ce poate afecta interesele unei societati comerciale, banci sau oricarei alte institutii financiar-bancare si nu numai. Este stipulata in lege denumirea de „persoana neautorizata” ca fiind „acea persoana ce in mod intentionat acceseaza un sistem informatic fara a avea acordata autoritatea necesara sau care isi depaseste limitele accesului permis de sistem”.
Confidentialitatea referitoare la modalitatile de comunicare electronica, este reglementata printr-o extensie a legii din 1968, si are propria titulatura „Legea privind confidentialitatea comunicatiilor electronice” (Electronic Communications Privacy Act) ce a fost instituita in anul 1988 si se refera si la legiferarea folosirii telefonului, mai precis dorind sa pedepseasca indivizii ce obtin acces neautorizat in retelele de telefonie in special datorita faptului ca se pot folosi aceste accese pentru a penetra celelalte sisteme informatice. Ca o consecinta a acestei legi, companiile de telefonie vor introduce mijloace de codificare a liniilor telefonice. O alta problema ingrijoratoare pentru Congresul american a fost reprezentata de accesul foarte facil al minorilor la internet si la materialele cu continut pornografic si nu numai. Exista o multitudine de informatii in spatiul virtual ce poate atenta la integritatea psihologi si intelectuala a minorilor astfel incat toate aceste lucruri trebuiau reglementate printr-un proiect de lege. In aceasta situatie a aparut „Legea privind protectia Online a copilului” in anul 1998 (Child Online Protection Act). Aceasta interzicea distibuirea materialelor interzise minorilor si favoriza dezvoltarea de noi tehnici in ceea ce priveste educarea copiilor si chiar restrictionarea materialelor considerate un risc pentru copii. (Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag. 346 – 348). Dincolo de reglementarile SUA referitoare la criminalitatea informatica si securitatea datelor, avem cateva exemple europene referitoare la aceleasi domenii. Astfel, in Franta, anul 1978 a adus prima lege referitoare la datele cu caracter personal. Ea oferea protectie cetatenilor francezi atat in sectorul public cat si in mediul privat, specificand responsabilitati si obligatii ale institutiilor legate de informatiile personale. S-a infiintat si o comisie independenta pentru supravegherea prelucrarii si inregistrarii acestui tip de date din mediul privat dar si din cel public. In anul 1988 „Legea privind frauda informatica” a stabilit ca fiind fraude, patrunderea neautorizata intr-un sistem informatic, falsificarea actelor obtinute dupa prelucrare in defavoarea cetateanului, obtinerea de avantaje cu ajutorul unui document falsificat. Spatiul german, anul 1983 a propus Decizia Curtii Constitutionale referitoare la „dreptul la personalitate, protejarea persoanelor impotriva colectarii, pastrarii, prelucrarii si transmiterea datelor cu caracter personal fara acordul persoanei vizate. ”Bundesdatenschutzgesetz”(BDSG), aparut in anul 1977 se refera la protectia acordata cetatenilor germani impotriva folosirii in mod fraudulos a datelor personale ale indivizilor. Aceasta reglementa faptul ca un acces la o informatie legata de un anume individ, necesita acordul celui vizat. (Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag. 342 – 343). In legislatia Marii Britanii, temelia legiferarii infractiunilor informatice o reprezinta „Legea protectiei datelor” din 1984 ce a fost inlocuita cu cea din 1998. Aceasta lege era aplicabila datelor cu caracter personal din domeniul public si privat, urmarind responsabilizarea institutiilor in ceea ce priveste crearea unui suport de securitate al informatiilor inca din faza proiectului sistemului informatic. Totodata, se urmarea un acces limitat la aceste date precum si instruirea si responsabilizarea personalului ce urma a lucra si opera cu toate aceste informatii. ”Legea privind folosirea ilegala a calculatoarelor” a aparut in anul 1990 fiind aprobata si implementata cu succes definind un acces neautorizat ca reprezentare a unei infractiuni. Aceasta reglementa fapte precum accesul fara permisiune la diferite date si programe, accesul referitor la modificarea unor informatii in mod abuziv si accesul neautorizat in vederea crearii posibilitatii de comitere a unei fapte de natura infractionala. Aceste exemple de legi ale tarilor occidentale dezvoltate au fost definitivate mult mai devreme decat legislatia tarilor est-europene de exemplu ale caror demersuri in ceea ce priveste stoparea fenomenului de infractionalitate informatica au fost mult sub necesitatile unei societati moderne aflate in plina expansiune informatica. Ungaria anului 1992 propunea „Legea privind protectia datelor personale si publicarea informatiilor de interes public”. Aceasta protejeaza accesul la datele personale ale cetatenilor si reglementeaza colectarea si stocarea informatiilor de acest gen. Cehia, a adoptat copiind modelul american in anul 1999 „Legea privind accesul liber la informatii” ce completeaza „Legea accesului la dosarele create de politia secreta in perioada comunista” din 1996. (Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag. 343 – 346). Legislatia Romaneasca a inceput sa se dezvolte inca de la inceputul anilor 1990. ”Legea privind siguranta nationala a Romaniei” 51/1991, este una din primele ce abordeaza problema securitatii informatiilor si reglementeaza faptul ca Serviciul Roman de Informatii este institutia specializata in informatiile de pe teritoriul romanesc, Serviciul de Informatii Externe se ocupa cu obtinerea de date privitoare la siguranta nationala iar Servicul de Protectie si Paza deserveste protectia oficialitatilor romane si straine. „Legea 445/iulie 2001” se refera la „semnatura electronica” iar „Legea 544/2001” abordeaza „Accesul la informatia publica”. ”Legea 445/iulie 2001”, defineste datele electronice ca fiind „reprezentare a informatiei sub forma conventionala adecvata crearii, prelucrarii si trimiterii, primirii si stocarii acesteia prin mijloace electronice”, defineste semnatura electronica ca fiind „data in forma electronica ce este atasata sau logic asociata cu alte date sub forma electronica si care serveste ca metoda de identificare”. Aceasta lege reglementeaza autenticitatea inscrisului electronic egala cu „inscrisurile sub semnatura privata, avand acelasi efect ca actul autentic intre cei ce l-au subscris si cei ce le reprezinta drepturile”. ”Legea 544/2001” referitoare la „accesul la informatia publica” se refera la „orice informatie care priveste activitatea sau care rezulta din activitatile unei autoritati publice sau institutii publice indiferent de suportul, forma sau modul de exprimare a acesteia”. Aceasta lege reglementeaza modul de distribuire a informatiilor prin persoanele desemnate sau organismele special infiintate pentru informarea publicului. ”Legea 676/2001” este cea ce se refera la manipularea datelor personale si protectia individuala in domeniul telecomunicatiilor. Aceasta, stipuleaza crearea de conditii de securitate optima a datelor si informatiilor cu caracter personal, asigurarea de catre operatorii retelelor de telefonie a cadrului de infrastructura sigur, informarea abonatilor referitor la orice risc sa ofere informatii autoritatilor legate de orice risc sau potential risc. (Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag. 353 – 359). Aceste legi, reprezinta un oarecare fundament al legislatiei Romaniei in ceea ce priveste securizarea informatiilor in spatiul cibernetic. Totusi nu am putut sa nu observ faptul ca exista o serie de legi si amendamente extrem de interpretabile dar totodata „stufoase” pe alocuri contradictorii sau repetate sub alte forme astfel incat o incadrare juridica concreta va fi aproape imposibil de realizat. Totusi, nu voi mai continua enumerarea de legi si acte normative si ma voi concentra pe enumerarea unora. Bogdan Manolea, intr-un blog de informare juridica, transpune cateva amendamente din noul Cod Penal al Romaniei ce reglementeaza infractiunile informatice. Astfel, o serie de articole au suferit modificari majore, in paginile ce urmeaza enumerand o serie de prevederi si articole schimbate: - art. 230 – „Folosirea fara drept a unui terminal de comunicatii al altuia sau folosirea unui terminal de comunicatii racordat fara drept la o retea, daca s-a produs o paguba (1) Furtul care are ca obiect un vehicul,
savarsit in scopul de a-l folosi pe nedrept, se sanctioneaza cu
pedeapsa prevazuta in art. 228 sau art. 229, dupa caz, ale
carei limite speciale se reduc cu o treime. Introducerea, modificarea sau stergerea de
date informatice, - art. 311 – „Falsificarea de titluri de credit sau instrumente de plata (1) Falsificarea de titluri de credit, titluri
sau instrumente pentru - art. 314 – „Detinerea de instrumente in vederea falsificarii de valori (1) Fabricarea, primirea, detinerea sau
transmiterea de instrumente sau materiale cu scopul de a servi la falsificarea
valorilor sau titlurilor prevazute in art. 310, art. 311 alin. (1) si
art. 312 se pedepseste cu inchisoarea de la 1 la 5 ani. - art. 325 – „Falsul informatic Fapta de a introduce, modifica sau sterge,
fara drept, date informatice (1) Accesul, fara drept, la un sistem
informatic se pedepseste cu - art. 362 – „Alterarea integritatii
datelor informatice - art. 363 – „Perturbarea functionarii
sistemelor informatice Transferul neautorizat de date dintr-un sistem
informatic sau dintr-un - art. 365 – „Operatiuni ilegale cu dispozitive sau programe informatice Fapta persoanei care, fara drept, produce,
importa, distribuie sau Am ales sa prezint, aceasta serie de articole impreuna cu prevederile lor pentru o evidentiere a noilor infractiuni incluse in acest Nou Cod Penal, insa urmeaza a observa odata cu intrarea in vigoare si eficacitatea acestuia. Exista deja discutii si dezbateri pe blogurile de profil juridic ce exprima nemultumire datorita ambiguitatii termenilor si prevederilor. Un exemplu ar fi articolul 230, alineatul 2 ce se refera la „folosirea fara drept a unui terminal de comunicatii al altuia sau folosirea unui terminal de comunicatii racordat fara drept la o retea, daca s-a produs o paguba”. Aici, trebuie luata in discutie utilizarea retelelor „wireless” la care te poti conecta „autorizat” sau „neautorizat” insa poti folosi „fara drept” un terminal de comunicatii cu care sa te conectezi legitim la orice retea wireless si sa ai actiuni ilegale impotriva unui alt sistem informatic. O alta exprimare interesanta reiese din articolul referitor la pornografia infantila: -
Alineatul (1) din articolul 374 se refera la producerea, deținerea in vederea expunerii sau
distribuirii, achiziționarea, stocarea, expunerea, promovarea,
distribuirea, precum și punerea la dispoziție, in orice mod, de
materiale pornografice cu minori se pedepsesc cu inchisoarea de la un an la 5
ani.
|