Wykrywanie cyberzagrożeń i zapobieganie im
2. Pojęcie cyberprzestępczości i pojęcia pokrewne
2.2. Klasyfikacja form cyberprzestępczości
Uważam, że jeśli chcemy zająć się kwestią cyberprzestępczości, należałoby przynajmniej ogólnie określić, co może wchodzić w zakres tego przestępstwa. Dlatego na zakończenie tego podrozdziału chciałbym przedstawić czytelnikowi kilka klasyfikacji cyberprzestępczości (lub przestępczości komputerowej) w ujęciu różnych norm prawnych, różnych autorów oraz organizacji zajmujących się zwalczaniem cyberprzestępczości. Chcę też pokazać, jak na tych klasyfikacjach opiera się pogląd na cyberprzestępczość.
1. Klasyfikacja zgodnie z Konwencją o cyberprzestępczości i Protokołem dodatkowym.
Konwencja o cyberprzestępczości dzieli cyberprzestępstwa na cztery kategorie:
1. przestępstwa przeciwko poufności, integralności i dostępności danych i systemów komputerowych,
2. przestępstwa komputerowe,
3. przestępstwa związane z treścią,
4. przestępstwa związane z naruszeniem praw autorskich i praw pokrewnych.
W protokole dodatkowym określono dodatkowe przestępstwa związane z cyberprzestrzenią:
1. rozpowszechnianie materiałów rasistowskich i ksenofobicznych za pośrednictwem systemów komputerowych,
2. groźby o podłożu rasistowskim i ksenofobicznym,
3. zniewagi o podłożu rasistowskim i ksenofobicznym,
4. zaprzeczanie, rażące minimalizowanie, aprobowanie lub usprawiedliwianie ludobójstwa lub zbrodni przeciwko ludzkości.
2. Klasyfikacja Komitetu Ekspertów ds. Przestępczości w Cyberprzestrzeni
Zgodnie ze Statutem Komisji Ekspertów ds. Przestępczości w Cyberprzestrzeni Rady Europy z 2000 r., cyberprzestępczość można podzielić na:
1) W zależności od pozycji komputera w czasie popełniania przestępstwa:
- cel ataku;
- środki (narzędzia) ataku.
2. W zależności od rodzaju przestępstwa:
- tradycyjne przestępstwa (np. fałszowanie banknotów itp.)
- nowe przestępstwa (np. phishing, DDoS itp.)[1].
3. Klasyfikacja według eEurope+
Dokument ten dzieli przestępstwa komputerowe na:
1. przestępstwa naruszające prywatność
- Nielegalne gromadzenie, przechowywanie, modyfikowanie, ujawnianie i rozpowszechnianie danych osobowych.
2. przestępstwa związane z zawartością komputera
- Pornografia dziecięca, rasizm, podżeganie do przemocy itp.
3. ekonomiczne
- Nieuprawniony dostęp, sabotaż, hakerstwo, rozprzestrzenianie wirusów, szpiegostwo komputerowe, fałszerstwa komputerowe i oszustwa.
4. Przestępstwa związane z własnością intelektualną[2]
4. Klasyfikacja przestępstw komputerowych według kryminologii
Porada i Konrad[3] dzielą przestępczość komputerową na pięć podstawowych grup.
1. Nieuprawniona ingerencja w dane wejściowe
- zmiana dokumentu wejściowego do przetwarzania komputerowego,
- tworzenie dokumentu zawierającego fałszywe dane do późniejszego przetwarzania komputerowego.
2. Nieuprawnione zmiany w przechowywanych danych
- ingerencja w dane, nieuprawniona ingerencja w dane, a następnie powrót do normalnego stanu.
3. Nieuprawnione instrukcje dotyczące obsługi komputera
- bezpośrednia instrukcja wykonania operacji lub instalacja oprogramowania, które wykonuje operacje automatycznie.
4. Nieuprawnione włamanie do komputera, systemu komputerowego i jego baz danych
- informacyjne wprowadzanie danych do bazy danych, bez wykorzystywania informacji,
- nieuprawnione wykorzystanie informacji do użytku osobistego,
- zmienianie, niszczenie lub zastępowanie informacji innymi informacjami,
- nielegalne "przechwytywanie" i rejestrowanie ruchu w komunikacji elektronicznej.
5. Ingerowanie w cudzy komputer, oprogramowanie i pliki oraz dane w bazach danych
- tworzenie programów w celu atakowania,
- wprowadzenie wirusa do oprogramowania komputerowego,
- zainfekowanie wirusami lub innymi programami.
5. Skupienie się Europolu na określonych rodzajach cyberprzestępstw według stopnia ich nasilenia
Europol przestrzega konwencji o cyberprzestępczości i stosuje się do zawartej w niej klasyfikacji przestępstw. Aby wspierać walkę z cyberprzestępczością i pomagać państwom członkowskim, w ramach Europolu utworzono europejskie centrum ds. walki z cyberprzestępczością (EC3)[4]. Zespół ten jasno zadeklarował zakres swoich kompetencji w walce z cyberprzestępczością i określił trzy punkty centralne (PR):
1. FP TERMINAL - oszustwo płatnicze. Grupa zajmująca się oszustwami internetowymi i udzielająca wsparcia w ich zwalczaniu.
2. FP Cyborg - Zbrodnie zaawansowane technologicznie. Grupa zajmująca się i zapewniająca wsparcie w różnych atakach cybernetycznych na infrastrukturę krytyczną[5] i systemy informatyczne. W szczególności ataki następujących typów: złośliwe oprogramowanie, oprogramowanie ransomware, hakerstwo, phishing, kradzież tożsamości itp.
3. Bliźniaki FP - wykorzystywanie seksualne dzieci. Grupa zajmująca się prowadzeniem dochodzeń w sprawie przestępstw związanych z seksualnym wykorzystywaniem dzieci i udzielająca wsparcia w tym zakresie.
6. Klasyfikacja cyberprzestępstw według ich związku ze środowiskiem cyfrowym
Wraz z rozwojem cyberprzestępczości jako takiej, w ostatnich latach coraz częściej pojawia się pogląd, że cyberprzestępczość można postrzegać jako zachowania, które można określić jako "czyste" lub "czysto" cyberprzestępcze. Takim postępowaniem można objąć wyłącznie ataki cybernetyczne, które miały miejsce w cyberprzestrzeni, a ich celem i narzędziem był system komputerowy lub dane. Zazwyczaj ataki te mają charakter hakerski, DoS, DDoS, ataki na infrastrukturę krytyczną itp.
Inne przestępstwa popełniane w środowisku cyberprzestrzeni uważa się jedynie za przeniesienie "starych" lub "zwykłych" zachowań przestępczych do nowego środowiska cyfrowego.
Zgodnie z powyższym podziałem, cyberprzestępczość można rozumieć w następujący sposób:
- węższe pojęcie ("czysta" cyberprzestępczość);
- szersze pojęcie ("zwykłe" zachowanie przestępcze w nowym środowisku).
7. Inne możliwe klasyfikacje cyberprzestępczości
Istnieje wiele innych sposobów klasyfikowania cyberprzestępczości, dlatego dla celów ilustracyjnych podajemy inne możliwe klasyfikacje cyberprzestępczości[6].
W tym miejscu pozwolę sobie również przedstawić klasyfikację, którą opracowałem na podstawie własnej wiedzy zdobytej głównie podczas interpretowania problematyki cyberprzestępczości na różnego rodzaju seminariach czy konferencjach.
W dużym uproszczeniu można stwierdzić, że cyberprzestępczość można podzielić na trzy aspekty:
1. w zależności od częstotliwości (charakteru) ataków:
(a) naruszenie praw autorskich (zob. piractwo internetowe (komputerowe)). Jest to czyn dominujący w cyberprzestrzeni, w którym dochodzi do naruszenia własności intelektualnej. Widoczne są wysiłki na rzecz zwalczania tego zjawiska, zwłaszcza ze strony prywatnych organizacji broniących praw autorów);
b) inne ataki cybernetyczne (zob. Przejawy cyberprzestępczości. Z wyjątkiem piractwa internetowego (komputerowego)).
2. W zależności od karalności wg prawa karnego:
(a) działanie prawnokarne - każde z wymienionych działań, które można powiązać z czynami zabronionymi pod groźbą kary;
b) zachowania nieobjęte przepisami prawa karnego (niekaralne) (niektóre z wymienionych zachowań nie mogą zostać objęte ustawowymi znamionami przestępstwa, nawet przy zastosowaniu dopuszczalnej analogii[7]).
3. W zależności od stopnia tolerancji ze strony większości społeczeństwa:
(a) zachowanie tolerowane przez społeczeństwo (najbardziej tolerowane jest zachowanie polegające na naruszeniu praw autorskich);
b) zachowania nieakceptowane przez społeczeństwo (np. pornografia dziecięca itp.).
--------------------
[1] Dostępne pod adresem: http://assembly.coe.int/documents/WorkingDocs/doc01/edoc9263.htm
Por. MATĚJKA, Michał. Przestępstwa komputerowe. Praga: Computer Press, 2002, s. 49.
[2] Więcej informacji na ten temat można znaleźć w: JIROVSKÝ, Václav. Cyberprzestępczość to nie tylko hakerstwo, cracking, wirusy i trojany bez tajemnic. Praga: Grada, 2007, s. 92.
[3] Więcej informacji: STRAUS, Jiří et al. Kryminalistyczna metodologia. Pilzno: Aleš Čeněk, 2006, s. 272-274.
[4] Zwalczanie cyberprzestępczości w erze cyfrowej. [online]. Dostępne pod adresem: https://www.europol.europa.eu/ec3
[5] Jeśli chodzi o definicję terminu infrastruktura krytyczna, w Republice Czeskiej (w przypadku cyberprzestrzeni) należy oprzeć się na ustawie o bezpieczeństwie cybernetycznym i o zmianach w powiązanych ustawach (ustawa o bezpieczeństwie cybernetycznym zwana dalej ustawą o cyberbezpieczeństwie). W rozdziale 2 lit. b) ustawy zdefiniowano termin "krytyczna infrastruktura informatyczna" oraz "element lub system elementów infrastruktury krytycznej".
Definicja krytycznej infrastruktury informatycznej opiera się na przepisach regulujących zarządzanie kryzysowe. Krytyczna infrastruktura informatyczna jest częścią infrastruktury krytycznej w rozumieniu ustawy nr 240/2000 Sb. o zarządzaniu kryzysowym i o zmianach niektórych ustaw (ustawa o kryzysie), z późniejszymi zmianami ("ustawa o kryzysie"). Aby system lub usługa informatyczna oraz sieć łączności elektronicznej mogły zostać włączone do krytycznej infrastruktury informatycznej, muszą spełniać kryteria definicyjne infrastruktury krytycznej oraz element infrastruktury krytycznej określone w ustawie o kryzysie, a także kryteria przekrojowe i sektorowe określone w rozporządzeniu rządu nr 432/2010 Sb. w sprawie kryteriów określania elementu infrastruktury krytycznej.
W kryteriach sektorowych dotyczących wyznaczania elementu infrastruktury krytycznej, pkt VI. "Systemy łączności i informacji", punkt G.: obszar bezpieczeństwa cybernetycznego. Określa on sektorowe kryteria wyznaczania danego systemu informatycznego, usługi lub sieci łączności elektronicznej jako krytycznej infrastruktury informatycznej.
Definicja ta dotyczy jednak tylko obszaru cyberbezpieczeństwa. Ogólnie rzecz biorąc, infrastrukturę krytyczną można zdefiniować w następujący sposób:
1. Infrastruktura krytyczna oznacza element infrastruktury krytycznej lub system elementów infrastruktury krytycznej, których zakłócenie funkcjonowania miałoby poważny wpływ na bezpieczeństwo państwa, zabezpieczenie podstawowych potrzeb życiowych ludności, zdrowie ludzi lub gospodarkę państwa.
2. Element infrastruktury krytycznej oznacza budynek, urządzenie, zasób lub infrastrukturę publiczną określone zgodnie z kryteriami przekrojowymi i sektorowymi zawartymi w rozporządzeniu rządu Republiki Czeskiej nr 432/2010 Sb. w sprawie kryteriów określania elementu infrastruktury krytycznej.
3. Kryterium przekrojowym dla wyznaczenia elementu infrastruktury krytycznej jest aspekt:
(a) wypadki, których próg wynosi ponad 250 ofiar śmiertelnych lub ponad 2 500 osób z następującą po nich hospitalizacją przez ponad 24 godziny,
(b) skutki gospodarcze o progu strat gospodarczych dla państwa przekraczającym 0,5% produktu krajowego brutto; lub
(c) wpływ na społeczeństwo, którego progiem jest rozległe ograniczenie świadczenia podstawowych usług lub inne poważne zakłócenia życia codziennego dotyczące więcej niż 125 000 osób.
[6] Por. PROSISE, Chris i Kevin MANDIVA. Incident response & computer forensics, second ed. Emeryville: McGraw-Hill, 2003, s. 22ff.
Ponadto, np. Cyberprzestępczość. [online]. Dostępne pod adresem: http://www.britannica.com/EBchecked/topic/130595/cybercrime/235699/Types-of-cybercrime; id.
[7] Przez analogię rozumie się objęcie przypadku, który nie został wyraźnie wymieniony w ustawie karnej, podobnym przepisem ustawowym wymienionym w ustawie. W odróżnieniu od wykładni rozszerzającej, w analogii stosuje się przepis, który ze względu na swoje znaczenie nie ma zastosowania do sprawy będącej przedmiotem subsumcji. Wykładnia rozszerzająca jest dokonywana zgodnie z celem prawa karnego i w jego granicach, natomiast analogia przekracza te wyobrażone granice. Analogię stosuje się w celu wypełnienia luk w prawie. Dotyczy ona przypadków, których ustawodawca nie uregulował normą prawną. W warunkach Republiki Czeskiej nie może być ona wykorzystywana na niekorzyść (na szkodę) sprawcy (in malam partem).
Więcej informacji można znaleźć na stronie NOVOTNÝ, František, Josef SOUČEK et al. Prawo karne. 3. wydanie rozszerzone. Pilzno: Aleš Čeněk, 2010, s. 83.