SVEUČILIŠTE U SPLITU PRAVNI FAKULTET
SEMINARSKI RAD
KOMPJUTORSKI KRIMINALITET
Prof.dr.sc. Slavko Šimundić Sandra Bahunek
1.
Uvod
Brzina napretka na području informacijske tehnologije ne može se mjeriti sa brzinom napretka na bilo kojem drugom području. Ovakav napredak omogućio je enormno povećanje dostupnosti informacija, tako da od svih informacija koje su nam dostupne teško razaznajemo one najvažnije. Takve nevjerojatne mogućnosti, te brzina i širina razvoja na tom području, koje omogućava današnja informacijska tehnologija, djeluju upravo zbunjujuće i iznenađujuće za čovjeka. Permanentna informatička revolucija sa sve učestalijim tehnološkim i društvenim promjenama, te dostignuta informatička i telekomunikacijska tehnologija, najzaslužniji su za svestranu primjenu kompjutorskih mreža, te njihovo globalno povezivanje u jedinstveni informacijsko – komunikacijski sustav Internet. Daljnjim razvojem visoke tehnologije informacije postaju sve dostupnije, čak i sa najudaljenijih mjesta. Takav uzastopni i skokoviti uspon čovjeka gotovo jednakom brzinom prati i širenje starih, te nastanak novih zloupotreba. Razvojem kompjutora, širenjem i povezivanjem, a osobito globaliziranjem kompjutorskih mreža pojavljuju se novi oblici i metode kompjutorskog kriminaliteta, a njegovi učinci postaju sve opasniji, pogađajući privatnost ljudi, čitave grane poslovanja, velike djelatnosti, te nacionalna i regionalna gospodarstva. Isto tako, kompjutorski kriminalitet iziskuje sve veća sredstva i bolje metode zaštite od takvih zloupotreba. No, da bi se znali zaštititi ili barem minimizirati njegove štetne posljedice, potrebno je proučiti njegov nastanak, razvoj, obilježja, te pojavne oblike u kojima se javlja.
2
2.
Kompjutorski kriminalitet
2.1
Pojam kompjutorskog kriminaliteta
Do danas ne postoji općeprihvaćena definicija, pa čak niti jedinstven pogled na sadržaj i oblik koje kompjutorski kriminalitet obuhvaća. Teškoće definiranja, šarolikost oblika kroz koje se izražava, brzina kojom se širi i različitost stajališta pravnih teoretičara doveli su do toga da kompjutorski kriminalitet još ne predstavlja zaokruženu i jedinstvenu fenomenološku kategoriju. Neke definicije su preuske jer svode kompjutorski kriminalitet samo na ona kaznena djela koja nije moguće počiniti bez posebnog stručnog znanja ili samo na ona djela koja se ne bi uopće mogla počiniti bez korištenja kompjutora. Tako npr.: „kompjutorski kriminalitet obuhvaća svako ono djelo koje je počinjeno pomoću posebnog znanja o stručnom korištenju kompjutorske tehnologije“ ili „Taber: kompjutorski delikt mora uključivati visoko stručne operacije na kompjutoru u okolnostima gdje do povrede ne bi moglo doći na drugi način“ ili „Parker, Nycumom, Aurom: svaki nezakonit akt za koji je neophodno posebno znanje o kompjutorskoj tehnologiji za njegovo izvršenje, istragu ili procesuiranje“ ili, pak „Encyclopedia Britanica: svako kazneno djelo počinjeno posredstvom posebnog znanja ili stručnog korištenja kompjutorske tehnologije“. Druge definicije su preopćenite: „Međunarodna ekspertna grupa u okviru OECD-a iz 1983.: podrazumijeva pod kompjutorski kriminalitet sva protupravna, nemoralna i nedopuštena ponašanja u vezi s automatskom obradom podataka ili njegovim prijenosom.“ S druge strane, ne vodeći računa o tome je li djelo zakonom propisano ili ne, ovakvim se definicijama ide preširoko: „von zur Muhlen: sva ona deliktna ponašanja kod kojih je kompjutor oruđe ili cilj izvršenja“ „D. Krapac: sve slučajeve zloupotrebe elektronskog računala (manipulacija na njemu i s njim) koji su pravno određeni kao kaznena djela“. S obzirom na ovako široko određivanje pojma kompjutorskog kriminaliteta i na različitost spomenutih definicija, nije ni čudo da mnogi izbjegavaju odrediti pojam i dati definiciju kompjutorskog kriminaliteta, ograničavajući se samo na njegove pojavne oblike kroz koje se manifestira, te uzroke koji su do njega doveli. Definicija koja obuhvaća sve slučajeve: ukupnost kaznenih djela, učinjenih na određenom prostoru, kroz određeno vrijeme, kojima se neovlašteno utječe na korištenje, cjelovitost i dostupnost tehničke, programske ili podatkovne osnovice kompjutorskog sustava ili tajnost digitalnih podataka.
2.2
Nastanak kompjutorskog kriminaliteta Teško je točno utvrditi kada je došlo do prvih zloupotreba na računalima ili pomoću
njih. Neki povezuju zloupotrebe već uz primjenu prvih ručnih računala; drugi uz izum Josepha-Marie Jacquard koji je 1808. usavršio tkalački stroj tako da je automatski utiskivao
3
uzorke na tkanine uz pomoć brušene kartice, što je 1833. poslužilo Charlesu Babbageu da postavi teorijske osnove za rad suvremenih kompjutora. Babbageu je, nastavljajući rad Pascala i Leibnitza napravio analitički stroj i to je bio idejni zametak modernog kompjutora. Analitički stroj ima pet dijelova; dio u koji su se unosili podaci; dio koji je služio za računanje; dio koji je služio za pamćenje; dio koji je upućivao stroj što valja raditi; dio koji je pokazivao rezultate. Kako bi ga obeshrabrili u daljnjoj primjeni nove tehnologije i još većoj automatizaciji procesa rada dolazi do prvih sabotaža na njegovim strojevima. Počinjene sabotaže predstavljale su prva kaznena djela na području kompjutorskog kriminaliteta. Treći nalaze začetke kompjutorskog kriminaliteta u pojavi tzv. poslovnog kriminaliteta, poznatijeg pod nazivom kriminalitet „bijelih ovratnika“ početkom 20. stoljeća. Prve pretpostavke za to stvorene su već krajem 19. stoljeća kada je Herman Hollerich izumio električni tabulirajući stroj koji se koristio za statičke analize a bio je prvi električni kompjutor na brušene kartice. Korišten je 1890. godine za obradu podataka o stanovništvu SAD-a, koje su se dotad obavljali u roku deset godina. Primjenom tabulirajućeg stroja popis je bio gotov za dvije godine a troškovi su se smanjili za pet milijuna dolara. Bio je to začetak električnih računala koja su se sve više koristila u poslovne svrhe, ponajviše za obavljanje financijskih poslova čije izvršavanje dovodi do raznih zloupotreba, osobito u vezi s financijskim poslovanjem tvrtke. Ostali polaze od samog razvoja elektroničkih digitalnih kompjutora sredinom prošlog stoljeća i njihove sve šire primjene u poslovanju tvrtki šezdesetih godina kada se u medijima počinju objavljivati. Prvi prijavljeni slučaj kompjutorske zloupotrebe zabilježen je 1958. godine, a 1966. zabilježen je prvi slučaj da je kompjutor korišten kao osnovno sredstvo za izvršenje krađe. Počinitelji takvih djela redovito su zaposlenici tvrtki. Začetke kompjutorskog kriminaliteta treba tražiti u telekomunikacijskom kriminalu koji se razvija šezdesetih godina 20. stoljeća. Otkrivši nove načine i tehnička rješenja kako zloupotrijebiti tadašnju telekomunikacijsku tehnologiju, nije im trebalo dugo pa da ta iskustva prenesu i na područje tehnologije. Tada dolazi do pojave prvih kompjutorskih delikvenata, poznatijih pod nazivom HACKERI.
2.3
Razvoj kompjutorskog kriminaliteta
Prvi kompjutori koristili su se u znanstvene i vojne svrhe, a tek potom i za poslovanje gospodarskih subjekata. Pristup takvim sustavima je bio ograničen samo na one koji su za to imali ovlaštenje tj. pravo pristupa. Zbog toga, prve zloupotrebe bile su uglavnom od strane ovlaštenih korisnika (sistem-inženjeri, sistem-administratori, programeri, dobavljači i serviseri, te drugi korisnici s pravom pristupa takvim sustavima). Njihovo delikventno ponašanje očitovalo se ponajprije kroz manipulaciju financijskih podataka u cilju stjecanja materijalne koristi a rjeđe zbog drugih razloga kao osvete, nesuglasica u vezi s autorskim pravima na kompjutorskim programima. Daljnji poticaj razvoju kompjutorskog kriminaliteta je posljedica izuma modema (sedamdesetih godina). Modemom se stvaraju preduvjeti za daljinski pristup i rad međusobno udaljenih kompjutorskih sustava, a time i sve veće korištenje i širenje kompjutorskih mreža. Osamdesetih godina sve se više širi softversko piratstvo, a time sve veće zloupotrebe. A razvojem Inteneta kompjutorski kriminalitet sve više prerasta nacionalne granice i dobija šire, regionalne, međunarodne, pa i globalne razmjere.
4
2.4
Glavne značajke kompjutorskog kriminaliteta
Unatoč malom broju otkrivenih i prijavljenih djela, o brojnosti takvih povreda i obujmu nastalih šteta najbolje govore slijedeći podaci: • o štetama od nezakonitog korištenja kompjutorskih programa najbolje govore podaci BSA, 1996. u pojedinim zemljama stopa piratstva se kreće: u Hrvatskoj – 94 posto; Austriji – 43 posto; Italiji – 55 posto; Kanadi – 42 posto; Mađarskoj – 69 posto; Njemačkoj – 36 posto; SAD – 40 posto; Sloveniji – 91 posto. Softversko piratstvo je samo u 1995. godini oštetilo kompjutorsku industriju za 13.1 milijardi dolara širom svijeta • prema podacima britanskog Department of Trade and Industry, štete od kompjutorskog kriminaliteta nanesene gospodarstvu Velike Britanije procijenjuju se na dvije milijarde funti godišnje, dok oko sedamdeset posto kaznenih djela iz tog područja ostane neprijavljeno • u Njemačkoj je 1996. policija registrirala 32128 slučajeva kompjutorskog kriminala i to: 26802 slučaja manipulacija bankomatom, 3588 slučajeva kompjutorske prijevare, 198 slučajeva neovlaštene izmjene podataka i kompjutorske sabotaže i 933 slučaja neovlaštenog pristupa kompjutorskim podacima Kod nas ne postoje takve statistike, ne zato što takvih djela nema ili ih nije bilo već zato što nisu otkrivena.
2.5
„Tamna brojka“ kompjutorskog kriminaliteta
„Tamna brojka“ je broj realiziranih kažnjivih ponašanja za koja se ne zna, ne zato što im počinitelj nije poznat već zato što nisu otkrivena. Razlozi tako malom broju prijavljenih kompjutorskih delikata su različiti, ponajprije zbog: • globalnog karaktera ovih djela, koji ne poznaju granice i omogućavaju počiniteljima da djelo izvrše s jednog kraja svijeta na drugom • teškoća otkrivanja, gonjenja i dokazivanja takvih djela. Počinitelj ne samo da ne mora biti na mjestu gdje je djelo izvršeno, nego u trenutku izvršenja ne mora niti poduzimati neku radnju (slučaj s raznim malicioznim programima) • oblika u kojem se nalaze podaci i programi. Podaci se u kompjutorima nalaze u digitalnom obliku što omogućava lak, brz i jednostavan uvid, izmjenu, kopiranje i njihovo brisanje, bez ostavljanja tragova o počinitelju i njegovoj aktivnosti • osobina počinitelja; počinitelji kompjutorskih zloupotreba najčešće posjeduju stručno znanje koje im omogućava da zaobiđu sigurnosne mehanizme • osobina oštećenika. Ponekad nisu ni svjesni da je do napada došlo ili smatraju kako se on više neće ponovit jer su štete neznatne ili ih ni nema. A kad su u pitanju pravne osobe, zbog brige oko pada povjerenja u sigurnost njihovog zaštitnog sustava uopće ne prijavljuju takve slučajeve • metoda i sredstava kojima se počinitelji služi; one su u tolikoj mjeri sofisticirane da je takve aktivnosti vrlo teško uočiti čak i profesionalnim osobama • drugih objektivnih i subjektivnih slabosti, kao što su: sigurnosne slabosti kompjutorskog programa, mrežnih protokola i informacijskih sustava, nepoznavanje problematike, niski stupanj svijesti o opasnostima koje prijete kompjutorskim sustavima, nepažnja i neobrazovanost korisnika i drugih zaposlenika, nekorištenje suvremenih metoda i sredstava zaštite, nepostojanje i/ili neprovođenje sigurnosne politike itd.
5
Tamnoj brojci kompjutorskog kriminaliteta u znatnoj mjeri doprinio je i nagli razvoj i masovno korištenje informatičke i telekomunikacijske tehnologije, dostupnost i jednostavnost korištenja, njihova mobilnost i minijaturizacija (prenosivi kompjutori i mobilna telefonija), zatim, razvoj i širenje kompjutorskih mreža, njihova globalizacija i s tim u vezi sve veća otvorenost i povezanost informacijskih sustava radi prelaska na novi, suvremeni način rada (daljinski, distribuirani, decentralizirani), te nedostatna edukacija zaposlenih, kao i nedostatak svijesti i nepoznavanje opasnosti koje prijete kompjutorskom kriminalitetu.
2.6
Vrste kompjutorskog kriminaliteta
Od pojave prvih zloupotreba do danas, što je relativno kratko razdoblje, pojavne oblike kompjutorskog kriminaliteta obilježava velika raznolikost. Zbog specifičnosti kompjutorskog kriminaliteta, koje su ujedno osnovni uzrok “tamnoj brojci“, odnosno mnogim počinjenim kaznenim djelima za koja se ne zna, kampjutorski kriminalitet obilježava prilagodljivost brzom razvoju i primjeni nove tehnologije. Počinitelji takvih djela brzo se prilagođavaju novonastalim situacijama i neprekidno traže propuste u sigurnosti kompjutorskih sustava. Što se tiče podjele kompjutorskog kriminaliteta na različite vrste, po različitim kriterijima, ne postoje općeprihvaćeni kriteriji niti jedinstvena metodologija. Postoje mnoge podjele od različitih autora, koje se kreću od najopćenitijih do vrlo detaljnih. I jedne i druge imaju svoje nedostatke. Neke su preopćenite i zbog toga ne obuhvaćaju sve objekte kojima bi trebalo pružiti zaštitu, a neke su loše zbog toga što zanemaruju činjenicu da se informatička tehnologija, a s njome usporedno i kompjuitorski kriminalitet, razvijaju nepredvidivo i brzo. Neke od najčešće navođenih podjela u literaturi ćemo navesti. Von zur Muhlen razlikuje situacije u kojima je kompjutor sredstvo zloupotrebe i situacije u kojima je kompjutor cilj zloupotrebe. Sieber, njemački teoretičar, pak razlikuje: povrede privatnosti, kompjutorski ekonomski kriminal ( tu pripadaju : kompjutorska manipulacija, sabotaža i iznuda, haking, špijunaža, softversko piratstvo i drugi oblici piratstva) zatim, komunikacijske povrede i druge povrede. Wasik, na području kompjutorskog kriminaliteta razlikuje tri grupe: neovlašten pristup i neovlašteno korištenje (unauthorized access and unauthorized use), zatim prijevaru i krađu informacija (fraud and information theft), te srodne povrede (associated offences); Minimalna lista1 zloupotreba iz prijedloga koji je sačinjen na osnovi izvještaja Organizacije za ekonomsku suradnju i razvoj iz 1986. godine, pod nazivom Computer – Related Crime: Analysis of Legal Policy, obuhvaćala je sljedeća djela - unos, izmjenu, brisanje i/ili onemogućavanje korištenja kompjutorskih sustava i/ili kompjutorskih programa svjesno napravljen s namjerom da se počini ilegalni transfer sredstava ili drugih vrijednosti; unos, izmjenu, brisanje i/ili onemogućavanje korištenja kompjutorskih sustava i/ili kompjutorskih programa svjesno napravljen s namjerom da se izvrši krivotvorenje; unos, izmjenu, brisanje i/ili onemogućavanje korištenja kompjutorskih sustava i/ili kompjutorskih programa ili drugo ometanje rada kompjutorskih sustava, napravljeno svjesno, s namjerom da se onemogući funkcioniranje kompjutorskog ili telekomunikacijskog sustava; povrede ekskluzivnog prava vlasnika zaštićenog kompjutorskog programa; i pristup ili onemogućavanje pristupa kompjutorskom ili telekomunikacijskom sustavu, napravljen 1
Minimalna lista je sadržavala zloupotrebe koje koje bi zemlje članice Organizacije za ekonomsku suradnju i razvoj, trebale uzeti u obzir pri dopunama i reformama svojih kaznenih zakona , u cilju suzbijanja i sankcioniranja kompjutorskog kriminaliteta.
6
svjesno i bez autorizacije osobe odgovorne za sustav, bilo kršenjem sigurnosnih mjera ili za druge štetne ili nepoštene namjere. Minimalna lista djela koja treba sankcionirati, a za koja je postignuta opća suglasnost zemalja, prema Preporuci br. (89) 9 koju je usvojilo Vijeće Europe 1989.2 , sadržavala je djela: kompjutorske prijevare, kompjutorsko krivotvorenje, oštećenje kompjutorskih podataka ili kompjutorskih programa, kompjutorsku sabotažu, neovlašten pristup, neovlašteno prisluškivanje, zatim neovlaštenu reprodukciju zaštićenih kompjutorskih programa, te neovlaštenu reprodukciju topografije poluvodičkih proizvoda. Dopunska (opcijska) lista , koju je također prijedlog sadržavao, ali za nju nije postignuta zajednička suglasnost u pogledu uvođenja i sankcioniranja, već je to prepušteno zemljama članicama, sadržavala je izmjenu kompjutorskih podataka ili kompjutorskih programa, kompjutorsku špijunažu, neovlašteno korištenje kompjutora, i neovlašteno korištenje zaštićenog kompjutorskog programa. D.Krapac3, polazeći od radnje počinitelja, odnosno objekta prema kojemu je ona usmjerena, napravio je najprihvatljiviju podjelu , te razlikuje: neovlašteno korištenje sustava elektronskog računala bez mijenjanja podataka i programa (haking, prisluškivanje i kompjutorska špijunaža, i neovlašteno korištenje usluga elektronskog računala); neovlašteno mijenjanje podataka i programa (kompjutorska prijevara i kompjutorski falsifikati), i neovlašteno uklanjanje ili upropaštavanje podataka i programa, strojne podrške elektronskog računala (kompjutorska sabotaža). Do danas su isprofilirane tri grupe kompjutorskih zloupotreba: • zloupotrebe na kompjutoru, kod kojih je kompjutorski sustav, odnosno njegovi resursi objekt, odnosno cilj takvih zloupotreba. To su haking, kompjutorska špijunaža i kompjutorska sabotaža. • zloupotrebe uz pomoć kompjutora, pri čemu se kompjutorki sustav koristi kao pomoćno sredstvo da bi se izvršila neka zloupotreba. To su kompjutorska prijevara i kompjutorsko krivotvorenje; i • zloupotrebe učinjene kompjutorom, pri čemu je kazneno djelo, odnosno sama zloupotreba učinjena kompjutorom. Cilj takvih zloupotreba je da se kažnjiva radnja realizira na samom kompjutoru, a ne posredstvom kompjutora. Počinitelji takvih zloupotreba su najčešće ovlašteni korisnici kompjutorskog sustava. To su softversko piratstvo, kompjutorska pornografija, kompjutorsko krivotvorenje kada se kompjutor koristi za produkciju krivotvorenih sadržaja, zlouporabe koje imaju za cilj na kompjutoru napraviti kakve nezakonite i štetne sadržaje. Osim takvih zloupotreba, sve rašireniji problem čine produkcije i distribucije nezakonitih i štetnih sadržaja (npr. dječja pornografija, ideološki sadržaji i slično) na kompjutorskim sustavima, te tzv. krađa vremena (time – theft), odnosno neovlašteno korištenje kompjutorskih sustava za osobne potrebe od strane inače ovlaštenih korisnika nekog kompjutorskog sustava. Što se tiče klasifikacije pojavnih oblika kompjutorskog kriminaliteta, tu možemo navesti kako su oni najčešće klasificirani u literaturi i od strane regionalnih i međunarodnih organizacija i udruženja, te praktičkih iskustava na tom području. Posebno ćemo se osvrnuti na podjelu kompjutorskog kriminaliteta na neovlašten pristup kompjutorskom sustavu (“haking”), kompjutorsku špijunažu, kompjutorsku sabotažu, kompjutorsku prijevaru, kompjutorsko krivotvorenje, softversko piratstvo i štetne i nezakonite sadržaje, te na moguće počinitelje takvih djela i načine njihova izvršenja. 2
Preporuka (89)9 koju je po uzoru na OECD usvojilo Vijeće Europe, sadržavala je smjernice s prijedlozima za nacionalna zakonodavstva, kojima se vladama zemalja članica preporučuje da pri izmjeni i dopuni svojih zakonodavstava uzmu u obzir tu minimalnu listu zloupotreba. 3 Krapac, Kompjutorski kriminalitet, 1992., str. 55. - 76.
7
2.6.1 Neovlašten pristup kompjutorskom sustavu Neovlašteni pristup su sve one radnje kojima je cilj da se zaobiđe provjera pristupa središnjem kompjutorskom sustavu (serveru) i omogući njihovom počinitelju da se kao ovlašteni korisnik služi njegovim resursima – programima, podacima ili nekim od servisa koje taj sustav pruža. Do neovlaštenog pristupa može doći unutar samog informacijskog sustava , od strane osoba koje mu mogu fizički pristupiti ( to mogu biti zaposlenici, serviseri, dobavljači, komintenti i dr.) ili neovlaštenim daljinskim pristupom s bilo kojeg drugog mjesta, najčešće putem telefonskih veza, pristupa središnjem kompjutorskom sustavu ili radnoj stanici povezanoj s njim. Kada su u pitanju unutarnji počinitelji, neovlašteni pristup se ostvaruje zbog nepažnje drugih zaposlenika, što je u praksi vrlo čest slučaj. No, kada su u pitanju tzv. vanjski počinitelji, pristup sustavu ostvaruje se daljinski. U tu svrhu najčešće je prisutan tzv. društveni inžinjering4. Pristup također može biti realiziran korištenjem nekog automatiziranog alata, tj. programskog rješenja za pronalaženje odgovarajuće lozinke. Za pronalaženje podataka o korisničkim imenima i lozinkama koriste se i npr. Pocket Snifferi5, odnos “povjerenja”, Trojanski konj6, a moguće je i korištenje tzv. stražnjih vrata7. Do lozinki se može doći i putem Interneta ili putem BBS – ova. Pri takvim napadima može doći do povrede tajnosti, cjelovitosti ili dostupnosti pohranjenih podataka i programa ili samog kompjutorskog sustava i usluga koje se pružaju putem njega. Što se tiče napadača, najčešće su to u pitanju tzv. hakeri8. Motivi takvih napadača mogu se kretati od najbezazlenijih do daleko opasnijih. Napadači mogu biti motivirani znatiželjom, koristoljubljem, ideološkim ili drugim pobudama. 2.6.2 Kompjutorska špijunaža Kompjutorska špijunaža obuhvaća sve manipulacije kojima je cilj neovlašteno pribavljanje tajnih podataka i informacija, koji se nalaze pohranjeni na kompjutorskim sustavima ili u prijenosu putem komunikacijskih kanala. U pitanju su najčešće vrlo vrijedni podatci, stoga počinitelji najčešće žele prodajom takvih informacija pribaviti sebi neku imovinsku korist, a takve zloupotrebe često su izvršene od strane konkurencije, koja krađom 4
Društveni inžinjering (engl. Human (Social) engineeing) obuhvaća brojne i raznovrsne načine pribavljalja lozinki za neovlašten pristup sustavu koji su rezultat nepažnje ili lakovjernosti žrtve. Najpoznatiji su: Shoulder surfing i Strvinarenje. 5
Pocket Sniffer je kompjutorski program namijenjen kopiranju podataka iz paketa u kojima oni putuju kompjutorskom mrežom, a sadrže korisnička imena i lozinke za pristup sustavu ili druge informacije koje se mogu zloupotrijebiti. 6
Trojanski konj (engl.Trojan horse) je kompjutorski program koji osim svoje vidljive namjere ima i neku skrivenu i korisniku nepoznatu funkciju. O trojanskom konju se radi samo ako je ta skrivena funkcija svjesno i namjerno umetnuta u program. 7
Stražnja vrata (engl. Backdoor) omogućavaju pristup bez provjere, a mogu biti postavljena namjerno ili nepažnjom programera. 8
Haker (engl. hacker) je osoba vješta u programiranju, pri čemu se najčešće koristi strojnim jezikom ili nekim sistemskim programskim jezikom; osobe koje neovlašteno pristupaju tuđim kompjutorskim sustavima, potaknuti različitim motivima.
8
ili izmjenom tuđih podataka nastoji steći pradnost i ostvariti korist smanjenjem troškova koje bi imali od ulaganja u vlastiti razvoj ili prednost u odnosu na druge zemlje. U tom smislu najčešće se upotrebljava izraz informacijsko ratovanje (Information Warfare) Počinitelji takvih djela su u pravilu osobe velikog znanja s područja informatičke i telekomunikacijske tehnologije. Također, počinitelji takvih djela su, dakle vanjski subjekti. Često su to u pitanju profesionalci, zaposlenici poduzeća i organizacije koje se nastoje domoći podataka, ili pak vanjski plaćeni hakeri. Za takva djela koriste se svim sigurnosnim slabostima, te greškama u konfiguraciji ili funkcioniranju kompjutorskih programa. Posebno se koriste optičkim promatranjem, prisluškivanjem, te kompromitiranjem ovlaštenih korisnika, a također koriste i sofisticiranije programe i uređaje, izvorno namjenjene zaštiti i osiguranju samih informacijskih sustava. 2.6.3
Kompjutorska sabotaža
Kompjutorska sabotaža obuhvaća neovlaštene aktivnosti počinjene s namjerom da se onemogući nesmetani rad ili spriječi korištenje kompjutorskog sustava, odnosno njegovih resursa. To se odnosi na brisanje, mijenjanje ili oštećivanje kompjutorskih podataka ili programa. Takve radnje poduzete su namjerno s ciljem da se onemogući njihovo daljnje korištenje i funkcioniranje. Ovaj oblik kriminaliteta je posebno opasan jer može biti usmjeren na velike informacijske sustave gospodarskih ili državnih organizacija i institucija. Počinitelji takvih zloupotreba su osobe s većim tehničkim znanjem. Najčešći su vanjski počinitelji, a to mogu biti hakeri, teroristi, profesionalni ili organizirani kriminalci. Njihova su djela najčešće motivirana koristoljubljem, ali postoje i slučajevi kada je to učinjeno radi osvete, političkih ili drugih uvjerenja, nezadovoljnih zaposlenika, vanjskih suradnika ili komintenata, ili pak prikrivanja nekog drugog kaznenog djela. Ovakva se djela mogu izvršiti na tehničkoj, programskoj ili podatkovnoj osnovici informacijskog sustava. Aktivnost može biti usmjerena na daljnje onesposobljavanje ili bitno otežavanje korištenja kompjutora ili drugih tehničkih komponenti sustava. Rjeđe je usmjerena na uništenje cijelog sustava, a češće na krađu pojedinih dijelova sustava, njihovo uništenje ili oštećenje. Do izmjena ili brisanja programa ili podataka može doći prijenosom malicioznih programa, kompjutorskih virusa, trojanskog konja i slično. Do nemogućnosti korištenja sustava dolazi i uslijed razmnožavanja kompjutorskog crva ili kao rezultat zagušenosti uslijed slanja velike količine podataka, odnosno poruka putem elektroničke pošte (spamming). 2.6.4 Kompjutorska prijevara Kompjutorska prijevara obuhvaća razne vrste manipulacija na podacima, najčešće s namjerom da se nezakonito pribavi imovinska ili neka druga korist. Ovo je najbrojnija vrsta kompjutorskih zloupotreba i izražava se kroz brojne različite oblike. Do prijevare dolazi prilikom unosa, obrade, pohranjivanja, distribucije podataka i informacija i pri razmjeni podataka unutar kompjutorske mreže ili putem telefonskih i drugih komunikacijskih kanala. Ovakav oblik manipulacija javlja se već šezdesetih i posebno sedamdesetih godina, kada je bio vezan uz početak korištenja kompjutora u poslovne svrhe. Njegovom daljnjem širenju uvelike je pridonio kasniji razvoj kompjutorskih mreža, telekomunikacija, osobnih kompjutora, a posebno Interneta. Osamdesetih godina ovakve se manipulacije počinju izvoditi pomoću ukradenih ili falsificiranih kreditnih kartica.
9
Počinitelji se ovakvih djela koriste, dakle, tuđim osobnim podatcima i brojevima kreditnih kartica, kako bi sebi priskrbili neku korist. Najčešći su počinitelji osobe ovlaštene za pristup nekom kompjutorskom sustavu, odnosno namještenici, programeri, sistem inžinjeri, sistem administratori ili operateri i ostali koji imaju pristup sustavu. Takve je manipulacije moguće ostvariti bez većeg stručnog znanja, teško se otkrivaju i dokazuju. Motivi počinitelja često su usmjerene na ostvarivanje nezakonite imovinske koristi, no manipulacije se vrše i radi osvete i zlonamjernosti bivših zaposlenika ili dokazivanja nadmoćnosti. 2.6.5 Kompjutorsko krivotvorenje Kompjutorsko krivotvorenje obuhvaća dvije vrste manipulacija. Kod prvih se kompjutorski sustav koristi za krivotvorenje tuđih postojećih dokumenata u digitalnom obliku, a kod drugih se kompjutor koristi da bi se kreiralo takve dokumente, radi pribavljanja imovinske ili neke druge koristi. Počinitelji krivotvorenja u pravilu raspolažu većim znanjem i koriste sofisticiraniju tehnologiju te razne legalne i ilegalne programe. No, današnja tehnologija omogućava izvršenje takvih djela bez nekog većeg znanja , tako da počinitelji zapravo mogu biti svih dobi. Najčešći je motiv počinitelja stjecanje nezakonite imovinske koristi. Krivotvorenje se izvodi ovlaštenim ili neovlaštenim pristupom kompjutorskom sustavu, neposrednom izmjenom postojećeg dokumenta, kopiranjem već izmjenjenog dokumenta preko postojećeg ili prenošenjem nekog malicioznog programa (npr. Trojanski konj). Pri tome se najčešće koriste ulazne jedinice (skeneri) da bi se postojeći dokument prenio na kompjutor, zatim se pomoću programa mijenja njegov sadržaj ili oblik, a potom se pisaćima velike rezolucije ispisuje na papir. U novije vrijeme poznati su slučajevi krivotvorenja kreditnih i telefonskih kartica.
2.6.6 Softversko piratstvo Softversko piratstvo je neovlašteno korištenje i reproduciranje zaštićenih kompjutorskih programa. To je jedan od najrasprostranjenijih oblika zloupotrebe na području informacijske tehnologije. Piratstvu posebno pogoduje digitalni oblik programa, koji omogućava njegovo jeftino, jednostavno i brzo reproduciranje i razmjenjivanje, a nedostatna pravna regulativa k tome nije imala adekvatne odgovore za zaštitu tih nematerijalnih dobara. Softverskom piratstvu dodatno je pridonio razvoj modema i daljinskog rada, osobnih kompjutora, BBS – ova9 , te globalno povezivanje i komunikacija putem Interneta. Treba razlikovati neovlašteno kopiranje za osobne potrebe, od neovlaštene distribucije, koja se uglavnom čini radi pribavljanja nezakonite imovinske koristi. Prema procjenama “Bussines Software Alliance”10 udio nezakonito kopiranog softvera u ukupnoj prodaji po zemljama kreće se: u SAD – u 40 posto, u Njemačkoj 76 posto, u Japanu 81 posto, u Tajlandu 98 posto, a u Hrvatskoj se procjenjuje kako se između 90 i 97 posto
9
BBS (engl. bulletin board system) je kompjutorski sustav namjenjen razmjeni poruka, podataka, informacija i softvera daljinskim komuniciranjem uz pomoć modema. Pojavili su se i koristili prije www-a, a i danas su u širokoj upotrebi. 10 “Bussines Software Alliance” (BSA) je udruženje vodećih proizvođača softvera
10
softvera koristi nezakonito, što je daleko gore od europskog prosjeka, koji iznosi oko 50 posto. Počinitelji ovih djela mogu biti gotovo svi građani, budući da njihovo izvođenje ne zahtjeva gotovo nikakvo tehničko predznanje, niti korištenje nekih posebnih sredstava. Uglavnom se takva djela čine radi pribavljanja nezakonite materijalne koristi. 2.6.7 Štetni i nezakoniti sadržaji U ovu kategoriju spadaju djela kojima se uz pomoć suvremene informatičke tehnologije proizvode, reproduciraju ili distribuiraju razni nemoralni i nezakoniti sadržaji u digitalnom obliku. Tu je riječ o dječjoj pornografiji, sadističkim, neonacističkim, rasističkim, šovinističkim i drugim ideološkim sadržajima, pranju novca, ponudi i prodaji robe pribavljene na nezakonit način i korištenju informatičke tehnologije za potrebe organiziranih kriminalaca, njihove komunikacije, razmjene podataka, pripreme i izvršenja kaznenih djela. Ova se kaznena djela razlikuju od ostalih po tome što se njima inkriminira sam sadržaj informacija, čiji je autor , odnosno osoba koja ih distribuira ujedno i počinitelja ovakvih djela. Moguće je razlikovati dvije skupine kaznenih djela: ona koja se općenito mogu primjeniti na elektroničku obradu podataka, te ona kojima se inkriminira sam sadržaj informacije. Širenju ovakvih nezakonitih djela pridonio je posebno razvoj multimedije, daljinskog pristupa kompjutorima, a posebno razvoj i širenje Interneta. Počinitelji ovakvih djela ne moraju imati neko posebno znanje. Možemo ih svrstati u četiri grupe: prvu čine oni koji to rade iz materijalnih pobuda, drugu oni koji se vode nekim ideološkim ciljevima, treću psihički poremećene osobe, a četvrtu čine profesionalni kriminalci. Takva djela izvršavaju se pomoću sredstava kao što su zvučne kartice, mikrofoni, skeneri, digitalni fotoaparati i kamere, te kompjutorski programi za njihovo snimanje, obradu i memoriranje. Takvi materijali se mogu relativno brzo i jeftino preneti i distribuirati putem disketa, optičkih diskova i drugih medija, ili daljinskim prijenosom neposredno, putem BBS – ova ili Interneta. Tome pogoduju brojni tajni, piratski BBS – ovi, koje je teško otkriti jer za njih zna samo određeni krug njihovih suradnika, te neodgovornost pružatelja usluga na Internetu. Počinitelji se pri tome često koriste kriptografijom11 i steganografijom12 kako bi njihova komunikacija i razmjenjivani sadržaji ostali tajni, odnosno nevidljivi ostalima.
2.7
Ciljevi kompjutorskog kriminaliteta
Najčešći ciljevi napada koji se izvode na Internetu ili putem njega su uglavnom: korisničke lozinke, podaci i informacije, datoteke, kompjutorski programi, Web stranice i News grupe, onemogućavanje korištenja kompjutorskog sustava, te materijalni (tehnički) resursi informacijskog sustava i to vojnih i obavještajnih kompjutora koji su meta špijunaže, poslovnih kompjutora koji su cilj konkurencija, kompjutora bankovnih i drugih financijskih institucija koji su najčešće cilj profesionalnih kriminalaca, zatim kompjutora vladinih i javnih službi koji mogu biti metom terorista, na kompjutorskim sustavima poduzeća koji mogu biti meta zaposlenika ili bivših zaposlenika, te sveučilišta kao meta studenata i bivših studenata, a 11
Kriptografija je jedno od sredstava za zaštitu podataka pohranjenih unutar memorije kompjutora ili na nekom drugom mediju, ili se prenose putem kompjutorske mreže ili udaljenih kompjutorskih sustava. 12
Steganografija (engl. steganography) je umijeće i tehnologija skrivenog pisanja; koristi se u raznim oblicima.
11
svaka organizacija može biti cilj krakera , ponekad zbog intelektualnog izazova, a ponekad kao rezultat aktivnosti profesionalaca koji to rade za druge osobe.
2.8
Kaznenopravni aspekti kompjutorskog kriminaliteta
Početkom sedamdesetih godina počinju se provoditi pravne reforme, reforme zakonodavstva, donose se novi zakoni i nadopunjuju se postojeći. Međutim, razvoj tehnologije kretao se tolikom brzinom, štoviše širi se i na druga područja, tako da pravni sustavi teško to mogu pratiti. Osamdesetih godina širenje i sve veće uvođenje kompjutorskih mreža pridonosi sve većem broju neovlaštenih pristupa kompjutorskim sustavima, jer oni koji su uvidjeli mogućnosti zloupotrebe informacijske tehnologije javljaju se vrlo rano. Sve veći broj napada i manipulacija dovodi do pitanja jesu li takva ponašanja kaznena djela i može li postojeće kazneno zakonodavstvo dati odgovor na njih ili je potrebno izvršiti reforme. Naravno, trebalo je vremena da se uvidi štetnost i da je riječ o postupcima koji ugrožavaju elementarne vrijednosti društvenog i pravnog poretka. Kazneno pravo je sa postulatima svoje zaštitne funkcije –supsidijarnošću i fragmentarnošću kaznenopravne zaštite, sa strogim načelom zakonitosti ( nullum crimen, nulla poena sine lege), vrlo sporo i u ograničenoj mjeri moglo reagirati na korištenje informatičke tehnologije u kriminalne svrhe. Da bi se popunile pravne praznine mnoge zemlje donose nove zakone. Zato se kaznenopravna odgovornost, svojstvena u prvom redu zemljama kontinentalnog prava, sa zaštite privatnosti (osobnih podataka građana, odnosno baza podataka u kojima su pohranjeni), proširila na područje kompjutorskog gospodarskog kriminaliteta( neovlaštenog pristupa drugim kompjutorskim sustavima-tzv.hacking, kompjutorsku sabotažu, kompjutorsku špijunažu i prisluškivanje, te razne druge manipulacije podacima na kompjutoru ili uz njegovu pomoć).Uskoro se širi i na područje zaštite intelektualnog vlasništva, a od nedavno i na zaštitu od prezentacije i distribucije raznih štetnih i nezakonitih sadržaja.
2.8.1 Razvoj kriminaliteta
kaznenopravnog
zakonodavstva
na
području
kompjutorskog
Neovlašten pristup sustavu (HAKING)
Pravna zaštita se nije mogla osigurati tradicionalnim propisima zbog same prirode pristupa koji nema fizički karakter, pa je i granicu pristupa kao i vrijeme kada je do povrede došlo daleko teže utvrditi i dokazati. Kao odgovor na sve brojnije slučajeve neovlaštenog pristupa mnoge su zemlje donijele nove zakone inkriminirajući haking. Prva zemlja koja je sankcionirala neovlašten pristup bila je Švedska 1973.godine. Primjenjuju se razni pristupi, kreću od inkriminiranja samog pristupa (Austrija, Danska, VB, većina SAD), do onih gdje se kažnjava pristup samo u slučaju gdje su podaci kojima se pristupilo zaštićeni sigurnosnim mjerama (Njemačka, Nizozemska) ili gdje počinitelj ima štetne namjere (Francuska, Izrael) ili gdje su podaci izmijenjeni ili oštećeni (neke države SAD), gdje je počinjena i najmanja šteta ili gdje je djelo počinjeno od strane osoba zaposlenih u javnim službama. U nekim zemljama inkriminira se i osnovno djelo hakinga, ukoliko i ne dođe do daljnjeg protupravnog djelovanja počinitelj se kažnjava samo za haking (SAD, VB). U praksi se uglavnom kažnjava samo namjerni ne i nenamjerni, nesvjesni pristup.Rijetke zemlje ne kažnjavaju haking (Japan, Austrija, Poljska, Belgija).
12
Kompjutorska špijunaža i prisluškivanje
Što se tiče zaštite poslovnih i drugih tajni kada se one nalaze u digitalnom obliku, tradicionalno zakonodavstvo također nije moglo dati odgovore. Što se tiče prisluškivanja, presretanja podatkovne komunikacije, većina zemalja ima samo zakone koji se odnose na presretanje govorne komunikacije. Većina zemalja kontinetalnog prava kao što su Belgija, Austrija, Njemačka, Grčka i Italija protivi se primjeni tradicionalnih odredbi o krađi i pronevjeri, zato što ovi propisi traže da se tjelesna imovina prisvoji s namjerom trajnog otuđenja od žrtve. Drugačiji stav imaju npr. SAD, Kanda, Izrael u kojima se kompjutorski podaci izjednačavaju s imovinom u tradicionalnom smislu13. Kao posljedica nemogućnosti da se pod postojeće propise o imovini podvedu i poslovne tajne u većini je zemalja kontinentalnog prava neovlašteno pribavljanje tuđih poslovnih tajni regulirano posebnim propisima o poslovnoj tajni.
Kompjutorska sabotaža
Zakonodavstva su imala odgovor samo kada je doslo do oštećenja/uništenja hardwarea, a ne i onda kada su u pitanju bili kompjutorski podaci. Rješenje je u većini zemalja nađeno u nadopuni postojećeg zakonodavstva, ali pristup je različit. Tako neke pokrivaju sve vrste dokumenata-Japan, neke samo kompjuterske podatke (Njemačka, Austrija, Izrael, Francuska) neke pak traže da postoji aktualna šteta i ozbiljna namjera počinitelja. Neke su zemlje donijele posebne propise o virusima (neke države SAD, Italija, Nizozemska) dok se u Švicarskoj od 95’ kažnjava svaka osoba koja proizvede, uvezeili trguje malicioznim programima. Kažnjivo je i samo davanje uputa kako se taj program radi.
Kompjutorsko krivotvorenje
Elektronička pošta,telebanking,elektroničko poslovanje i drugi oblici suvremenog načina komuniciranja stavljaju pred društvo nove zahtjeve u pogledu zaštite podataka. U prvom redu, to je zahtjev u pogledu osobe koja je dokument sastavila, tj. Zahtjev za njihovom vjerodostojnošću. Ništa manje nije važan zahtjev u pogledu sadržaja. Zakonski su propisi kojima se štiti vjerodostojnost i izvornost takvih dokumenatapropisi o krivotvorenju. Djelo krivotvorenja odnosilo se samo na vidljivo čitljive dokumente. Zbog toga se ti propisi nisu mogli primijeniti na dokumente u digitalnom obliku. Neke zemlje (Njemačka, Francuska, Japan…) donijele su zakone o krivotvorenju gdje se napušta nužnost vizualnog zapažanja.
Kompjutorska prijevara
Riječ je o zloupotrebama koje se izvode na kompjuterskim podacima. Kompjutorske prijevare raznolike su i mnogobrojne na što se pokušalo odgovoriti postojećim institutima (krađa, pronevjera,zlouporaba povjerenja…). Propisi o prijevari ne mogu se valjano primjeniti na zaštitu podataka u digitalnom obliku, naročito u zemljama kontinentalnog prava gdje se ono definiralo kao slučaj varanja osobe, što se ne može primjeniti na slučaj kad je prevaren stroj. 13
Znači da se na njih mogu primijeniti klasični propisi o krađi
13
S druge strane pak krađa uvjetuje radnju kojom se oduzima stvar u vlasništvu druge osobe što nije slučaj i s digitalnim podacima. Zbog tih razloga mnoga su zakonodavstva uvele nove propise i nove odredbe o kompjutorskoj prijevari. 2.8.2 Kompjutorski kriminalitet u Republici Hrvatskoj Potencijalni broj počinitelja i kod nas je velik čemu je doprinijela nedostatna i neefikasna regulativa, ali i nevoljkost žrtava da slučajeve prijave organima gonjenja. Sve do donošenja novog Kaznenog zakona Republike Hrvatske, koji je stupio na snagu 1.siječnja 1998.g.,kod otkrivenih i procesuiranih slučajeva kompjutorskog kriminala, protiv počinitelja se nije poketao postupak ili su se primjenjivali postojeći zakonski propisi. U vezi sa zaštitom privatnosti nije bilo posebnih inkriminacija kojima bi se pružala zaštita osobnih podataka građana, već se to činilo postojećim inkriminacijama o izdavanju i neovlaštenom pribavljanju poslovne tajne.Što se tiče zaštite intelektualnog vlasništva situacija je bila drugačija samo u pogledu kompjutorskih programa, no ne i zaštite topografije čipova ili sadržaja baza podataka. Kada je u pitanju bila tehnička osnovica, kazneno zakonodavstvo nije imalo problema s postojećim normama osim ako je do oštećenja/ uništenja došlo na podacima. Naše je zakonodavstvo moglo odgovoriti na djela kompjutorske sabotaže samo u onom dijelu koji se odnosi na tehničku osnovicu na kojoj je ona izvršena. Također nije imalo odgovore niti na slučajeve kompjutorskog krivotvorenja, niti na slučajeve neovlaštenog pristupa tuđim kompjutorskim sustavima. Što se tiče kompjutorske prijevare postojeće odredbe podrazumijevale su dovođenje ili održavanje nekog u zabludi, razumljivo je da se na ovakva djela nisu mogli primijeniti jer se stroj ne može dovesti u zabludu. Zato su se primjenjivale odredbe o zloupotrebi položaja i ovlaštenja, pa su počinitelji, u pravilu, bili okrivljeni za kazneno djelo protiv službene dužnosti.
2.8.2.1 Konvencija o kibernetičkom kriminalu Vijeće Europe je 1997.g. osnovalo posebnu komisiju14 sastavljenu od stručnjaka s različitih područja, sa zadatkom da utvrde stanje i započnu rad na međunarodnim instrumentima za borbu protiv kriminala na Internetu. Nacrt je nakon nekoliko izmjena konačno prihvaćen 2001.g. Cilj konvencije je bio da utvrdi jedinstvene kriterije i standarde kako bi se u različitim zakonodavstvima na jedinstven način sankcionirala djela počinjena u kibernetičkom prostoru. Konvencija sadrži popriličan broj rezervi. Države potpisnice mogu izrijekom izjaviti neku od rezervi koja se tad neće primjenjivati u njihovom pravnom sustavu. Nacrtom konvencije predviđeno je da će stranke prihvatiti takve zakonske i druge mjere nužne da bi se domaćim zakonodavstvom moglo sankcionirati počinitelje četiri skupine računalnih kaznenih djela: a) Kaznenih djela protiv tajnosti, cjelovitosti i dostupnosti računalnih podataka i sustava b) Računalnih kaznenih djela c) Kaznenih djela u svezi sa sadržajem d) Kaznenih djela povrede autorskoga i srodnih prava 14
Committee of Experts on Crime in Cyberspace PC-CY
14
2.8.2.2 Stanje nakon izmjena i dopuna KZ-a od 1.listopada 2004.g Usporedno sa događanjima u ostalim zemljama došlo je i do promjena u našem zakonodavstvu. Proteklih je godina doneseno nekoliko zakona kako bi se stvorili uvjeti za siguran i nesmetan razvoj. To se posebno odnosi na: 1) Zakon o elektroničkom potpisu 2) Zakon o zaštiti osobnih podataka 3) Zakon o telekomunikacijama 4) Zakon o elektroničkim medijima 5) Zakon o autorskom pravu i srodnim pravima 6) Zakon o zaštiti topografija poluvodičkih proizvoda Navedeni zakoni, kao i izmjene i dopune kaznenog zakonodavstva temeljni su pravni okvir za izgradnju informacijskog društva u RH. Na taj su način sankcionirana djela nezakonitog pristupa, ometanja sustava, ometanja podataka, nezakonitog presretanja i zloporabe naprava. Popisana su i dva nova kaznena djela ; računalno krivotvorenje i računalna prijevara. Glede kaznenih djela sadržaja Konvencijom je bilo predviđeno samo sankcioniranje dječje pornografije. Tek je dodatnim protokolom uz Konvenciju lista kaznenih djela sadržaja proširena djelima rasističke i ksenofobičke naravi koja su počinjena putem računalnih sustava. 2.8.2.3 CERT CARNet je CERT.hr osnovao 1996. godine s ciljem posredovanja u rješavanju računalno sigurnosnih incidenata u kojima je barem jedna uključena strana iz Hrvatske, prikupljanja i distribucije sigurnosnih savjeta, preporuka i alata, edukacija i informiranje korisnika i javnosti o značaju i poboljšanju sigurnosti računalnih sustavaNaziv CERT je kratica za Computer Emergency Responce Team. CARNet CERT je nacionalno središte za sigurnost na mreži.Uz to uloga CERT-a jest pravodobno pružanje provjerenih informacija vezanih uz pojedine sigurnosne probleme, praćenje i izvještavanje o incidentima i trendovima pojava vezanih uz računalnu sigurnost. Posredovanje u rješavanju incidenata podrazumijeva razmjenu informacija s osobama ili službama nadležnim za računalnu sigurnost i korisničku politiku na drugoj strani bilo da se radi o izvoru ili žrtvi računalnog napada. CARNet CERT međutim ne pruža usluge tehničke podrške vezano za probleme u radu s pojedinim softverom ili hardverom, niti se bavi detekcijom računalnih napada, analizom posljedica i savjetovanjem vezano uz opremu i računala pojedinih korisnika. Na CERT-ovom webu možete naći općenite informacije koje vam mogu pomoći vezano uz vaša pitanja i probleme s računalnom sigurnošću, mjerama zaštite i sl.15 Razlog formiranja CARNet CERT-a: a) uspostava adekvatne koordinacije i suradnje u rješavanju sigurnosnih incidenata u kojima je barem jedna uključena strana iz Hrvatske, b) edukacija korisnika i rad na prevenciji sigurnosnih incidenata, c) suradnja s mjerodavnim ustanovama na izradi odgovarajućeg zakonodavstva koje bi moglo pratiti razvoj informatizacije društva. Ciljevi rada CARNet CERT-a su: 15
www.cert.hr
15
1. 2. 3. 4. 5. 6.
prikupljanje i analiza informacija o sigurnosnim incidentima koordinacija i posredovanje između zainteresiranih strana pri rješavanju sigurnosnih incidenata prikupljanje i distribucija sigurnosnih savjeta, preporuka i alata edukacija i informiranje korisnika i javnosti o značaju i poboljšanju sigurnosti računalnih sustava pokretanje projekata i uspostava timova o sigurnosnim problemima i objavljivanje rezultata rada suradnja s relevantnim tijelima (Ministarstvo znanosti, obrazovanja i športa, Ministarstvo pravosuđa, Ministarstvo unutarnjih poslova,...) na uspostavi odgovarajuće pravne regulative na području sigurnosti računalnih sustava međunarodna suradnja s ostalim CERT-ovima preko članstva u Forum of Incident Response and Security Teams
2.8.3 Međunarodni aspekti kompjutorskog kriminaliteta Brzi tehnološki razvoj nije pratila i odgovarajuća pravna reakcija na brojne zloupotrebe na državnom, regionalnom i međunarodnom planu. Pravo je mislilo da ima odgovore na sve oblike kriminalnog ponašanja, no uskoro se ispostavilo da u slučaju informatičke tehnologije mnogo zaostaje. Zbog toga, ali i svijesti o sve većoj opasnosti od takvih djela, sedamdesetih je godina u razvijenim zemljama započela aktivnost na izmjenama i dopunama u njihovim zakonodavstvima. No, ubrzo se ispostavilo kako se tim problemima mora pristupiti zajednički na međunarodnom nivou. Problem zaštite privatnosti je prvi koji je potaknuo reforme u razvijenim zemljama, a budući da govori o temeljnim pravima i slobodama čovjeka, sasvim je jasno da je ineteres društava omogućiti korisnicima elektronskih računala i informacijskih sustava nesmetano služenje istih,bez straha da će njihovi podaci i informacije biti zloupotrebljeni. Na tom planu uslijedile su mnoge reforme nacionalnih zakonodavstava, a također i regionalna i međunarodna aktivnost u njihovom provođenju. Tu valja spomenuti Organizaciju za ekonomsku suradnju i ravoj (OECD), Vijeće Europe, Ujedinjene narode, Međunarodno udruženje za kazneno pravo, te Europsku zajednicu. Prve opsežnije međunarodne aktivnosti u vezi dopuna i usklađivanja postojećih kaznenih zakonodavstava djelima kompjutorskog kriminala poduzela je Organizacija za ekonomsku suradnju i ravoj (OECD). Komisija OECD-a provela je analizu postojećeg stanja u zemljama članicama kako bi utvrdila koji su problemi u njihovim zakonodavstvima kada je u pitanju kompjutorski kriminal. Kao konačnicu svog istraživanja izdala je izvještaj pod nazivom „Computer-Related Crime: Analysis of Legal Policy“, koji je sadržavao analizu postojećeg stanja u zakonodavstvima, ali i prijedloge reformi odnosno dopuna u cilju sprječavanja i suzbijanja kompjutorskog kriminaliteta. Prijedlog je sadržavao minimalnu listu zloupotreba, koja je trebala biti opći okvir za sve zemlje članice. Tom području priključilo se i Vijeće Europe s namjerom pomoći zakonodavcima u određivanju koja bi ponašanja trebalo zabraniti. Stoga je donesena i opcijska lista, sadržavajući popis djela već sankcioniranih u zakonodavstvima nekih zemalja (za nju nije donesena suglasnost u pogledu uvođenja i sankcioniranja). Minimalna lista obuhvaćala je kompjutorsku prijevaru, kompjutorsko krivotvorenje, oštećivanje kompjutorskih podataka ili kompjutorskih programa, kompjutorsku sabotažu, neovlašten pristup, neovlašteno prisluškivanje, neovlaštenu reprodukciju zaštićenog kompjutorskog programa, neovlaštenu reprodukciju topografije, a opcijska lista sadržavala je izmjenu kompjutorskih podataka ili kompjutorskih programa, kompjutorsku špijunažu,
16
neovlašteno korištenje kompjutora, i neovlašteno korištenje zaštićenog kompjutorskog programa. OECD i Vijeće Europe dali su značajan doprinos harmonizaciji novih oblika kriminalnog ponašanja u zakonodavstvima zemalja članica, no njihovi napori ne prelaze regionalni okvir, što nadalje predstavlja prepreku u otklanjanju svakog delikventnog ponašanja u zemlji koja nije ni u OECD-u, a mogli bi čak reći, ni u Zapadnoj Europi. Kompjutorski kriminalitet predstavlja globalni problem, stoga zahtijeva i globalnu akciju. Zato posebno treba istaknuti aktivnosti Ujedinjenih naroda (UN) i Međunarodnog udruženja za kazneno pravo (AIDP), jer takve bi organizacije, zbog okupljanja velikog broja zemalja trebale biti nositelji takvog globalnog pokreta. Posebna je pažnja posvećena problemu kompjutorskog kriminaliteta 1990. godine na Osmom kongresu Ujedinjenih naroda u Havani. Pozivane su zemlje članice na intenzivnije sudjelovanje u suzbijanju delikventnog kompjutorskog ponašanja uz provođenje slijedećih mjera: modernizaciju nacionalnih kaznenih zakona i postupaka, unapređenje kompjutorske sigurnosti i preventivnih mjera, primjenu mjera koje će pojasniti problem i važnost prevencije kompjutorskog kriminaliteta, primjena odgovarajućih obrazovnih mjera za suce i službenike, razraditi pravila etike pri korištenju kompjutora te primjena politike za žrtve kompjutorskog kriminaliteta. Veliki doprinos osjetio se i od strane AIDP-a, koji je u predloženoj rezoluciji istaknuo važnost problema „netjelesne“ prirode objekta takvih djela, jer se kompjutorskim kriminalom napadaju i podaci i informacije, te kaznenopravnu zaštitu treba proširiti i na takve objekte. Naglašeno je i da nova kaznena djela treba uvoditi samo kada je to nužno da bi se pružila odgovarajuća zaštita, a to nije moguće drugim pravnim mjerama, dok bi se odgovornost počinitelja trebala ograničiti samo na namjerna djela. Doprinos gore navedenih organizacija zasigurno je velik, međutim, pravo i sudovi u pojedinim državama nemaju kaznenopravne sankcije za djela kompjutorskog kriminala. Tome u prilog navodimo slučaj o proglašenju tinejdžera koji je bio optužen za provođenje visokoprofilnog hakerskog napada nevinim, što je bacilo mnoge dvojbe nad buduće tužbe za kompjutorski kriminal. Aaron Caffrey, 19, je bio optužen za rušenje sustava u luci Houstona u Texasu tako što je hakirao u njihov kompjutorski sistem. Ali porota ga je oslobodila nakon što je povjerovala njegovoj obrani da su hakeri upali u njegov kompjutor i iskoristili ga da lansiraju napad. „Ova presuda postavlja potencijalno opasan presedan za hakerske slučajeve“, rekao je Richard Starnes, stručnjak za sigurnost u firmi Cable & Wireless. „Potencijalni je ishod da će ti optuženici s takvom optužbom u budućnosti probati kompromitirati svoj vlastiti sustav u svrhu da postignu sličnu obranu u slučaju u kojem su uhvaćeni.“ Caffrey se suočio s optužbom na sudu za neautoriziranu modifikaciju kompjutorskog kriminala. Optužen je za lansiranje napada 20. rujna 2001. na jednu od američkih najvećih luka bombardirajući njezin kompjutorski sistem s tisućama električnih poruka. Zaledio je lukine internet servise koji su sadržavali razne podatke za brodske firme i pomoćne firme odgovorne za pomaganje brodovima da uđu i izađu iz same luke. Caffrey je priznao da je član grupe koja se zove Allied Haxor Elite i da je provaljivao već u kompjutere prijatelja da testira njihovu sigurnost. Ali inzistirao je da nije odgovoran za napade na luku u Houstonu. I obrana i optužba obznanili su da je napad došao s Caffreyjevog kompjutora. Slučaj je visio na tome je li porota vjerovala optuženikovim argumentima da je njegov kompjutor preuzeo haker koristeći program Trojanski konj. Forenzička analiza Caffreyjevog kompjutora nije pronašla nikakav trag skrivenog programa s instrukcijama za napad. Presuda pokazuje da slučaj optužbe nije uspio
17
uvjeriti porotu da je tinejdžer odgovoran za napad. „Očito su vlasti suočene s fundamentalnim problemom kada pokušavaju osuditi osumnjičene kompjutorske kriminalce“, rekao je Graham Cluley, viši tehnički konzultant u u firmi za sigurnost Sophos. „Caffreyjev slučaj pokazuje da čak i ako nema dokaza da mu je netko provalio u kompjutor, oni će i dalje biti u mogućnosti uspješno tvrditi da nisu odgovorni za ono što je kompjutor učinio ili ono što je pronađeno na hard disku.“ Trojanska obrana je uspješno upotrebljavana na sudovima UK i prije. U srpnju, čovjek je bio oslobođen za posjedovanje dječje pornografije kada je određen broj Trojanskih konja pronađen na kompjutoru. Stručnjaci kažu da bi ovaj slučaj mogao pokazati policiji kako da prezentiraju dokaze pred porotom u slučajevima kompjutorskog kriminala.16 Ipak, u SAD-u se puno ulaže u rješavanje slučajeva kompjutorskog kriminala. Unatoč velikoj brojci zapostavljenih delikata, sudstvo SAD-a vrlo je oštro u određivanju sankcija za kompjutorske delikvente. Tu valja spomenuti Briana A. Solceda, koji je 2003., priznavši krivnju za neovlašten pristup lancu trgovina (Lowe's Companies) i pokušaj krađe, osuđen na 108 mjeseci zatvora. On je zajedno s prijateljem provalio u kompjutorski sustav trgovina i instalirao program koji je mogao očitati brojeve kreditnih kartica svih kupaca koji su na taj način paćali. To je uistinu stroga kazna i smatra se najdužom dosad (najveću zatvorsku kaznu prije te zaslužio je Kevin Mitnick – 68 mjeseci).17
3.
Zaključak
16
www.news.bbc.uk/1/hi/technology/3202116.stm Na stranici www.usdoj.gov/criminal/cybercrime/cccases.html spominje se mnoštvo rješenih, ali i zapostavljenih slučajeva, sistematiziranih po godinama, strogosti kazne ali i klasifikacijom samih kaznenih djela 17
18
Kompjutorski kriminalitet je kriminalitet informacijskog društva, a ostvaruje se posredstvom digitalnih elektroničkih mreža. Na pojavu kompjutorskog kriminaliteta utjecali su oblici telekomunikacijskog kriminala, odnosno neovlašteno korištenje telefonskih usluga, kao i druge zloupotrebe komunikacijskih sustava. To je ponajprije dovelo do pojave neovlaštenog pristupa kompjutorskim sustavima odnosno hackinga. Tek daljinskim pristupom pomoću kompjutora i komunikacijske tehnologije omogućena je pojava pravog i sve opasnijeg kompjutorskog kriminaliteta. No, unatoč nastojanjima da se utvrdi njegov točan pojam, sadržaj i opseg do danas ipak ne postoji opće prihvaćena definicija kompjutorskog kriminaliteta. Isto tako kao što smo već naveli ne postoji jedinstveno stajalište o njegovu nastanku već nekoliko različitih poimanja njegova nastanka. S obzirom na takvo stanje, odnosno nemogućnost njegovog točnog definiranja ne postoje ni opće prihvaćeni kriteriji niti jedinstvena metodologija što se tiče njegovih pojavnih oblika. Kompjutorski kriminalitet razvija se usporedno sa eksponencijalnim rastom informacija i neprekidnim razvojem kompjutorske tehnologije i digitaliziranih elektroničkih mreža. Tako napretkom informacijskog društva on poprima sve raznovrsnije i složenije pojavne oblike te se proširuje i na tradicionalne oblike kriminala. Kompjutorski kriminalitet, dakle danas ne predstavlja jedinstvenu fenomenološku kategoriju sa prepoznatljivim pojavnim oblicima kroz koje se manifestira, određenim profilom počinitelja i načina na koji se izvršava. To mu daje novu, drugačiju dimenziju u odnosu na tradicionalne oblike kriminala, a njegove posljedice štetnijim i dalekosežnijim.
4.Literatura 19
1. D. Dragičević, Kompjutorski kriminalitet i informacijski sustavi, Informator (2004.) 2. D. Dragičević, Privatnost u virtualnom svijetu, Zbornik Pravnog fakulteta u Zagrebu, broj 3-4, (2001) 3. Zakon o zaštiti osobnih podataka, NN 103/03 4. Zakon o potvrđivanju Konvencije o kibernetičkom kriminalu, NN 9/02 5. www.cert.hr 6..www.news.bbc.uk/1/hi/technology/3202116.stm
5.Sadržaj 20
1. Uvod 2. Kompjutorski kriminalitet 2.1 Pojam kompjutorskog kriminaliteta 2.2 Nastanak kompjutorskog kriminaliteta 2.3 Razvoj kompjutorskog kriminaliteta 2.4 Glavne značajke kompjutorskog kriminaliteta 2.5 Tamna brojka kompjutorskog kriminaliteta 2.6 Vrste kompjutorskog kriminaliteta 2.6.1 Neovlašten pristup kompjutorskom sustavu 2.6.2 Kompjutorska špijunaža 2.6.3 Kompjutorska sabotaža 2.6.4 Kompjutorska prijevara 2.6.5 Kompjutorsko krivotvorenje 2.6.6 Softversko piratstvo 2.6.7 Štetni i nezakoniti sadržaj 2.7 Ciljevi kompjutorskog kriminaliteta 2.8 Kaznenopravni aspekti kompjutorskog kriminaliteta 2.8.1 Razvoj kaznenopravnog zakonodavstva na području kompjutorskog kriminaliteta 2.8.2 Kompjutorski kriminalitet u Republici Hrvatskoj 2.8.2.1 Konvencija o kibernetičkom kriminalu 2.8.2.2 Stanje nakon izmjena i dopuna KZ-a od 1.listopada 2004.g 2.8.2.3 CERT 2.8.3 Međunarodni aspekti kompjutorskog kriminaliteta 3. Zaključak 4. Literatura 5. Sadržaj
21
