CRIMINALITATEA ÎN CYBERSPAŢIU

(1)

Ioana VASIU Lucian VASIU

CRIMINALITATEA ÎN CYBERSPAŢIU

Universul Juridic Bucureşti

-2011-

(2)

Toate drepturile asupra prezentei ediþii aparţin S.C. Universul Juridic S.R.L.

Nicio parte din acest volum nu poate fi copiată fără acordul scris al S.C. Universul Juridic S.R.L.

NICIUN EXEMPLAR DIN PREZENTUL TIRAJ NU VA FI COMERCIALIZAT DECÂT ÎNSOÞIT DE SEMNÃTURA ªI ªTAMPILA EDITORULUI, APLICATE PE INTERIORUL ULTIMEI COPERTE.

Descrierea CIP a Bibliotecii Naţionale a României VASIU, IOANA

Criminalitatea în cyberspaţiu / Ioana Vasiu, Lucian Vasiu. - Bucureşti : Universul Juridic, 2011 ISBN 978-973-127-674-8

I. Vasiu, Lucian 004.056.5 343.23:004

REDACÞIE: tel./fax: 021.314.93.13 tel.: 0731.121.218

e-mail: [email protected] DEPARTAMENTUL telefon: 021.314.93.15; 0726.990.184 DISTRIBUÞIE: tel./fax: 021.314.93.16

e-mail: [email protected]

www.universuljuridic.ro

COMENZI ON-LINE,

CU REDUCERI DE PÂNÃ LA 15%

(3)

CRIMINALITATEA ÎN CYBERSPAŢIU 5

CUVÂNT ÎNAINTE

Studiul criminalităţii informatice s-a îmbogăţit cu o nouă lucrare remarcabilă a reputaţilor specialişti în materie Ioana Vasiu şi Lucian Vasiu.

Deşi cei doi cunoscuţi specialişti nu sunt la prima lucrare în acest domeniu, de astă dată s-au întrecut pe ei înşişi elaborând un adevărat tratat de drept penal special informatic, analizând nu numai proble- mele generale pe care le ridică criminalitatea informatică (sistemele informatice, prevenirea criminalităţii informatice, ameninţări la adresa sistemelor informatice), dar şi infracţiunile care se comit în acest domeniu (infracţiuni în cyberspaţiu, definiţie, clasificări, cate- goriile de infracţiuni informatice).

Deosebit de important este şi ultimul capitol (partea a III-a), con- sacrat mijloacelor procedurale şi tehnice de prevenire a criminalităţii în cyberspaţiu (politici şi proceduri), analiza de risc, atenuarea ris- curilor, controale tehnice.

Lucrarea este deosebit de interesantă prin ampla documentare de specialitate pe care o are la bază, cât şi prin multiplele probleme noi pe care le abordează în legătură cu criminalitatea informatică.

Autorii analizează pe larg dezbaterile şi controversele care au loc în acest nou domeniu al cunoaşterii ştiinţifice şi al tehnicii infor- matice, exprimând păreri personale competente asupra evoluţiei şi perspectivelor pe care le oferă cunoaşterea şi prevenirea criminalităţii informatice.

Valoroase sunt şi trimiterile la legislaţia penală europeană, cît şi a unor state nord-americane, precum şi informaţiile asupra pro- gramelor unor societăţi internaţionale în materie de criminalitate informatică.

Se citesc cu mare interes, de asemenea, exemplificările cu care autorii îşi întregesc demonstraţiile şi expunerile privitoare la ultimele congrese ale Naţiunilor Unite privind problemele de prevenire a cri- minalităţii.

(4)

Lucrarea este rodul unor eforturi creatoare notabile ale auto- rilor, care s-au străduit şi au reuşit să pună la dispoziţia cititorului român interesat de problematica criminalităţii informatice o carte valoroasă, plină de informaţii şi reflecţii asupra unui fenomen care preocupă întreaga comunitate internaţională.

Prof. univ. dr. George Antoniu Bucureşti, 20 octombrie 2011

(5)

INTRODUCERE

Încă din cele mai vechi timpuri, reţelele au oferit oportunităţi pentru dezvoltare şi inovaţie şi au furnizat o structură pentru sistemele economice şi sociale. De la drumurile şi apeductele romane până la sistemul de drumuri din secolul al XIX-lea şi la reţelele de sateliţi şi telecomunicaţii din zilele noastre, capacităţile oferite de reţele au fost folosite pentru a depăşi barierele de timp şi spaţiu şi pentru a deschide noi frontiere pentru interacţiunea şi activităţile umane¹. Răspândirea largă a calculatoarelor nu este chestiune de „modă” sau hiperbolă, cu toate că există multe asemenea elemente în literatura de specialitate – este un proces ireversibil, cu implicaţii majore asupra vieţii şi acti- vităţii umane², care, în mai puţin de o generaţie, a schimbat semnificativ societatea actuală.

Revoluţia informatică a fost comparată cu revoluţia industrială referitor la impactul asupra societăţii³: cu excepţia electrificării, nicio altă invenţie tehnologică nu a afectat atât de fundamental modul în care oamenii trăiesc, lucrează, învaţă, comunică sau fac afaceri. Apli- caţiile tehnologiilor informaţiei şi comunicaţiilor în zilele noastre sunt

1 Vezi R. J. Gordon, Does the „New Economy” Measure up to the Great Inventions of the Past?, NBER Working Paper No. w7833 (2000); J. S. Landefeld şi B.

M. Fraumeni, Measuring the New Economy, Bureau of Economic Analysis (2000);

President’s Information Technology Advisory Committee, Information Technology Research: Investing in Our Future, Report to the President (1999); E. Brynjolfsson şi S. Yang, The Intangible Costs and Benefits of Computer Investments: Evidence from the Financial Markets (1999).

2Vezi H. C. Jr. Lucas, Information technology and physical space, COMMUNI-

CATIONS OF THE ACM, November, 44 (11), 89-96 (2001); OECD, The new economy beyond the hype (2001).

3Vezi, spre exemplu, D. S. Alberts şi D. S. Papp (eds.), The Information Age: An Anthology on Its Impact and Consequences (1997); M. Castells, The Rise of the Network Society (1996); C. Freeman, L. Soete şi U. Efendioglu, Diffusion and the Employment Effects of Information and Communication Technology, INTERNATIONAL

LABOR REVIEW, 134, 4-5, 587-603 (1995).

(6)

extrem de diverse, practic în toate domeniile calculatorul este, dacă nu absolut necesar, cel puţin foarte util. Printre domeniile în care calculatorul este utilizat pe scară largă amintim: juridic¹, guverna- mental², creaţiei vestimentare³, financiar-bancar⁴, industrial, educaţiei, militar, artistic, jurnalistic, cinematografic, televiziune, medical etc.⁵

Reţelele de comunicaţii electronice, în mod deosebit Internetul⁶, permit o inovaţie crescută⁷, obţinerea de avantaje competiţionale⁸, stocarea, procesarea şi transmiterea de cantităţi imense de date şi crearea de noi pieţe⁹, reducerea numărului de erori potenţiale cauzate

1 Vezi S. Pallaras, New technology: opportunities and challenges for prosecutors, CRIME, LAW AND SOCIAL CHANGE, Aug, 71-89 (2011); I. Vasiu şi L. Vasiu, Informatică juridică şi Drept informatic 2009, Ed. Albastră, Cluj-Napoca (2009); O.

Rabinovich-Einy, Beyond efficiency: The transformation of courts through technology, UCLA JOURNAL OF LAW &TECHNOLOGY, Vol. 12, Iss. 1, Spring (2008).

2 Vezi, spre exemplu, I. Vasiu şi L. Vasiu, Top Management Skills in E-Government: A Conceptual Framework, JOURNAL OF E-GOVERNMENT, 2 (3), 5-17 (2006).

3 Vezi Intellectual property in the fashion industry, WIPO MAGAZINE, May-June (2005).

4 Vezi B. F. Kubiak şi M. F. Kowalik, Marketing Information Systems As A Driver Of An Organization’s Competitive Advantage, JOURNAL OF INTERNET BANKING AND COMMERCE, vol. 15, No. 3, December (2010); L. R. Klein, C. Saltzman şi V. G.

Duggal, Information Technology and Productivity: The Case of the Financial Sector (2003).

5 Vezi D. W. Jorgenson, Information Technology and the G7 Economies, în Hard-to-Measure Goods and Services: Essays in Honor of Zvi Griliches (E. R. Berndt şi C. R. Hulten, ed.) (2007).

6 Vezi J. L. Zittrain, The Generative Internet, 119 HARVARD LAW REVIEW, 1974 (2006).

7 Vezi E. Brynjolfsson (interviu), The four ways IT is revolutionizing innovation, MIT SLOAN MANAGEMENT REVIEW, vol. 51, No. 3, Spring (2010). Vezi şi OECD, Information Technology Outlook (2010).

8 Vezi, spre exemplu, B. F. Kubiak şi M. F. Kowalik, Marketing Information Systems as a Driver of an Organization’s Competitive Advantage, JOURNAL OF

INTERNET BANKING AND COMMERCE, vol. 15, No.3, December (2010); A. McAfee şi E.

Brynjolfsson, Investing in the IT That Makes a Competitive Difference, HARVARD

BUSINESS REVIEW, July (2008); D. W. Jorgenson, Information Technology and the G7 Economies, în Hard-to-Measure Goods and Services: Essays in Honor of Zvi Griliches (E. R. Berndt şi C. R. Hulten, ed.) (2007); D.W. Jorgenson şi K. Motohashi, Informa- tion Technology and the Japanese Economy, NBER Working Paper No. 11801 (2005).

9 Vezi, spre exemplu, J. D. Levin, The Economics of Internet Markets, NBER Working Paper No. 16852 (2011); J. Cha, Exploring the internet as a unique shopping channel to sell both real and virtual items: A comparison of factors affecting purchase

(7)

CRIMINALITATEA ÎN CYBERSPAŢIU 9 de procesări manuale, o mai bună gestionare a stocurilor, o utilizare intuitivă, ceea ce reduce cheltuielile şi timpul alocat pentru pregătirea utilizatorilor, adaptarea unor funcţii conform nevoilor utilizatorilor, posibilitatea de a colabora, cerceta (virtual research communities¹) şi învăţa de la distanţă², de a integra sisteme şi aplicaţii diverse şi posibilitatea efectuării de tranzacţii financiare şi comerciale electronice sau mobile (e-banking³, m-banking⁴, m-payment⁵) prin folosirea de mesaje text (SMS) sau tehnologii precum Wireless Application Protocol (WAP), Universal Subscriber Identity Module⁶ (USIM) sau Near Field Communication (NFC).

Ubicuitatea tehnologiilor informaţiei şi comunicaţiilor este re- flectată şi de veniturile marilor firme din domeniu: HP peste 126 miliarde; AT&T peste 124 miliarde; IBM circa 100 miliarde;

Microsoft circa 62,5 miliarde; Intel 43,6 miliarde; Cisco peste 40

intention and consumer characteristics, JOURNAL OF ELECTRONIC COMMERCE

RESEARCH, vol. 12, No. 2 (2011); Information Technology Industry Council, The IT Industry’s Cybersecurity Principles for Industry and Government (2011), care estimează beneficiile globale anuale ale folosirii comerciale a Internetului la circa 1,5 trilioane dolari. Vezi şi A. Barua, P. Konana, A. B. Whinston şi F. Yin, An Empirical Investigation of Net-Enabled Business Value, MIS QUARTERLY, 28, 4, 585-620 (2004);

T. Dewett şi G. R. Jones, The Role Of Information Technology In The Organization:

A Review, Model, and Assessment, JOURNAL OF MANAGEMENT, 27, 3 (2001), p. 313 şi urm.; M. E. Porter, Strategy and the Internet, HARVARD BUSINESS REVIEW, March (2001).

1 Vezi G. Andronico, V. Ardizzone, R. Barbera, B. Becker, R. Bruno, A. Calanducci, D. Carvalho, L. Neumann Ciuffo, M. Fargetta, E. Giorgio, G. La Rocca şi A. Masoni, e-Infrastructures for e-Science: A Global View, JOURNAL OF GRID

COMPUTING, Vol. 9, No. 2, 155-184 (2011).

2 Vezi, spre exemplu, C. Reimsbach-Kounatze, Virtual Worlds: Immersive Online Platforms for Collaboration, Creativity and Learning, OECD Digital Economy Papers, No. 184 (2011).

3 Vezi J-H. Wu, T.-Li Hsia şi M. S. H. Heng, Core capabilities for exploiting electronic banking, JOURNAL OF ELECTRONIC COMMERCE RESEARCH, Vol. 7, No. 2 (2006).

4 Vezi, spre exemplu, folosirea telefonului mobil pentru a depozita cecuri (mobile remote deposit capture): fotografiere faţă şi verso a cecului şi transmiterea imaginilor către instituţia financiară.

5 Vezi în T. R. McTaggart şi D. W. Freese, Regulation of Mobile Payments, THE BANKING LAW JOURNAL, Vol. 127, No. 6, June (2010).

6 Aplicaţie care rulează pe un card cu cip (Universal Integrated Circuit Card) introdus într-un telefon mobil WCDMA 3G.

(8)

miliarde (vezi şi Vision: The Network is the Platform to Change the Way the World Works, Lives, Plays, and Learns - conform Annual Report); Amazon.com, peste 34,2 miliarde; Google 29,3 miliarde;

Apple peste 22,3 miliarde¹. Piaţa mondială a tehnologiilor informaţiei şi comunicaţiilor a atins 2000 miliarde de euro şi creşte în prezent cu o rată de 4% în fiecare an (piaţa europeană reprezintă 34% din această valoare; acest sector reprezintă 4,5% din PIB-ul european)². Investiţiile în cercetare şi dezvoltare în domeniul tehnologiilor informaţiei şi comunicaţiilor sunt, de asemenea, foarte importante în anul 2010, în creştere, de regulă faţă de 2009: Microsoft 8,7 miliarde; Intel 6,6 miliarde (5,7 miliarde în 2009); IBM peste 6 miliarde (peste 5,8 miliarde în 2009); Google 3,762 miliarde (2,843 miliarde în 2009);

HP 3 miliarde (faţă de 2,8 miliarde 2009); Apple 1,8 miliarde (în creştere cu 34% faţă de anul precedent); Cisco peste 5,2 miliarde (în creştere cu 1,2% faţă de anul precedent)³.

Printre cele mai semnificative caracteristici ale societăţii contemporane se numără: Viteza, Voracitatea informaţională şi Vulnera- bilitatea.

Viteza

După cum consideră Adam⁴, modul de viaţă occidental este asociat cu o abordare particulară a timpului şi a vitezei: timpul este perceput ca o resursă valoroasă, iar viteza este asociată cu eficienţa.

Ecuaţia „timpul este bani” este prezentă în toate activităţile şi relaţiile contemporane şi un întreg şir de consecinţe se naşte din decontex- tualizarea şi relaţia care se formează între timp ca „bani”; atunci când timpul este bani, două consecinţe prezintă un interes particular: cu cât ceva se mişcă mai repede prin sistem, cu atât mai bine este pentru eficienţa şi productivitatea respectivului sistem, respectiv timpul

1 Conform Raportului anual al firmelor respective, sumele fiind exprimate în dolari.

2 Vezi Comunicare a Comisiei către Parlamentul European, Consiliu, Comitetul Economic şi Social European şi Comitetul regiunilor, COM (2009) 116 final, Bruxelles, 13.3.2009.

3 Conform Raportului anual al firmelor respective, sumele exprimate în dolari.

4 Vezi B. Adam, When Time is Money: Contested Rationalities of Time and Challenges to the Theory and Practice of Work, Working Paper Series, Cardiff University (2001).

(9)

CRIMINALITATEA ÎN CYBERSPAŢIU 11 nefolosit este o risipă de bani, de aici dezvoltarea societăţii care funcţionează non-stop – cu siguranţă, tehnologiile informaţiei şi comunicaţiilor susţin şi impulsionează o asemenea abordare. Dezvol- tarea tehnologiilor informaţiei şi comunicaţiilor a fost influenţată de realizările remarcabile din domeniul electronicii, de la valve ter- mionice şi tranzistori până la circuitele puternic integrate, care au generat un progres tehnologic remarcabil.

Din anii ’60 ai secolului trecut, numărul de tranzistori pe micro- procesor s-a dublat la fiecare 18-24 luni, rezultând o creştere deosebită a capacităţii de procesare a calculatoarelor (această dublare este aproximativ echivalentă cu mărirea de 10 ori la fiecare 5 ani şi de 100 de ori la fiecare 10 ani, fenomen cunoscut sub denumirea de Legea lui Moore¹), unele iniţiative vizând dezvoltarea de calculatoare exaflop (10¹⁸ operaţii floating point pe secundă) până în anul 2020². La fel de remarcabile au fost avansurile în ceea ce priveşte tehnologiile de stocare (discuri care pot stoca teraocteţi, memorii flash de mare capacitate etc.) sau realizarea ecranelor (spre exemplu, Capacitive touchscreen, Haptic technology, Retina Display etc.).

Voracitatea informaţională

Informaţia este o componentă centrală, constitutivă a vieţii umane, inerentă relaţiilor interpersonale, economice sau de altă natură.

Informaţia, produsele informaţiei, precum şi costurile şi beneficiile rezultate din informaţie joacă un rol din ce în ce mai mare în societatea contemporană. Adoptarea pe scară largă a tehnologiilor informaţiei şi comunicaţiei a dus la o nouă formă de capitalism, numită hiperca- pitalism³ sau capitalism informaţional⁴, care depinde esenţial de infor- maţie şi de sistemele informatice.

1 Fenomen prezis de Gordon Moore, co-fondator al corporaţiei Intel, în anul 1965 – vezi K. Grifantini, Moore's Law, TECHNOLOGY REVIEW, Jan/Feb (2009), p. 30;

W. R. Bottoms, Beyond Moore's Law, CIRCUITS ASSEMBLY, Apr (2008), p. 44;

U.S. Department of Commerce, Digital Economy 2000 (2000). Vezi şi J. G. Koomey, Outperforming Moore's Law, IEEE SPECTRUM, vol. 47, Iss. 3 (2010), p. 68.

2 Vezi IBM Project Proposes Using Light to Make Chips Faster, COMPUTER, Feb, 14-15 (2011).

3 Vezi P. Graham, Hypercapitalism: Political economy, electric identity, and authorial alienation, EXPLORING CYBERSOCIETY CONFERENCE (1999).

4 Vezi T. Morris-Suzuki, Capitalism in the Computer Age, în J. Davis, T. Hirschl şi M. Stack (Eds.), Cutting Edge: Technology, Information, Capitalism and Social Revolution (1997).

(10)

La nivel individual, consumul informaţiei este din ce în ce mai mare. Astfel, în anul 2008, americanii au consumat informaţie de circa 1,3 trilioane ore (în medie circa 12 ore pe zi), un total de 3,6 zettaocteţi (un milion de milioane gigaocteţi) şi peste 10 trilioane cuvinte (peste 100.000 cuvinte în medie pe persoană)¹. YouTube serveşte peste 2 miliarde înregistrări video pe zi, circa 10% fiind vizionate pe telefonul mobil (conform Google, Annual Report 2010); Facebook are peste 900 milioane obiecte cu care indivizii interacţionează (pagini, grupuri, evenimente), peste 2 miliarde de postări sunt ‘Like’ şi comentate zilnic, peste 250 milioane fotografii sunt încărcate pe zi; peste 7 milioane aplicaţii şi site-uri web sunt integrate². Traficul IP global anual se estimează că va ajunge la circa 1 zettaoctet până la sfârşitul anului 2015, numărul de dispozitive conectate la reţele IP va fi dublu faţă de populaţia globală în 2015, iar traficul IP per capita va atinge 11 gigaocteţi în 2015 (faţă de 3 gigaocteţi per capita în anul 2010)³.

Vulnerabilitatea

Sofisticata lume a sistemelor informatice este deosebit de ispi- titoare: o lume digitală unde sunt posibile afaceri de la distanţă, documentare eficientă, comunicaţii instantanee ş.a.; cu toate acestea, lumea tehnologiilor informaţiei şi comunicaţiilor nu este deloc lipsită de vulnerabilităţi, unele dintre acestea asociate cu criminalitatea în cyberspaţiu⁴. Dezvoltările tehnologiilor informaţiei şi comunicaţiei au

1 Vezi în R. E. Bohn şi J. E. Short, How Much Information? 2009 Report on American Consumers (2010); vezi şi IDG, The Expanding Digital Universe (2007).

2 Vezi statistici Facebook.com (2011).

3 Vezi Cisco, Visual Networking Index: Forecast and Methodology, 2010–2015 (2010).

4 Dovedind o preocupare deosebită pentru prevenirea criminalităţii informatice, Consiliul Europei a adoptat în 2001 Convention on Cybercrime, iar în anul 2002 a lansat Proposal for a Council Framework Decision on attacks against information systems (COM(2002) 173 final – Official Journal C 203 E of 27.08.2002.

De asemenea, la nivel european a fost creată European Network and Information Security Agency (ENISA), prin Regulation (EC) No 460/2004 of the European Parliament and of the Council of 10 March 2004). Vezi şi Decizia-Cadru 2005/222/JAI a Consiliului din 24 februarie 2005 privind atacurile împotriva sistemelor informatice şi Report from the Commission to the Council based on Article 12 of the Council Framework Decision of 24 February 2005 on attacks against information systems - COM(2008) 448. Vezi şi U. S. Government Accountability Office, Cybercrime:

Impact and Responses to Cyber Threats (2008).

(11)

CRIMINALITATEA ÎN CYBERSPAŢIU 13 dus la un tip de criminalitate ce nu a fost posibilă anterior (spre exemplu, diseminarea contaminanţilor informatici¹); pe de altă parte, oferă oportunităţi crescute de comitere a unor infracţiuni tradiţionale (spre exemplu, falsul)². Tendinţe recente, cum ar fi cloud computing (soluţii informatice distribuite deţinute de o terţă parte, în care utilizatorii nu au posesia fizică a datelor lor), mobilitatea (folosirea de calculatoare portabile sau telefoane mobile³ inteligente), adoptarea de programe de tip open source (care, cel puţin teoretic, prezintă o vulnerabilitate sporită), convergenţa serviciilor şi reţelelor⁴, folosirea Web 2.0 (site-uri de socializare, blog-uri sau wiki-uri) şi numărul mare de erori potenţiale (spre exemplu, erori de design, instalare sau întreţinere a programelor informatice⁵) cresc semnificativ vectorii potenţiali pentru atacuri informatice. Adiţional, numărul foarte mare de utilizatori⁶ şi calculatoare pe Internet (hosts)⁷, posibilitatea de a

1 Google a anunţat că a descoperit peste 11000 domenii pe Internet implicate în distribuirea de contaminanţi informatici (malware distribution) – vezi în F. Paget, Running Scared: Fake Security Software Rakes in Money Around the World (2010);

vezi şi numărul de peste 3400 de site-uri web maliţioase blocate zilnic, conform Symantec, State of Security Survey (2011).

2 A se vedea S. W. Brenner, Cybercrime: criminal threats from cyberspace, Praeger (2010); S. Fafinski, W. H. Dutton şi H. Margetts, Mapping and Measuring Cybercrime (2010); F. Calderoni, The European legal framework on cybercrime:

striving for an effective implementation, CRIME,LAW AND SOCIAL CHANGE, 339–357 (2010); J. R. E. Bell, The prosecution of computer crime, JOURNAL OF FINANCIAL

CRIME, 9 (4), 308-325 (2002).

3 Conform International Telecommunication Union, The world in 2010, numărul global al abonamentelor la telefonia mobilă este de circa 5,3 miliarde, incluzând 940 milioane abonamente la servicii 3G.

4 Vezi Rajendra Singh and Siddhartha Raja, Convergence in information and communication technology: Strategic and regulatory considerations (2010).

5 Vezi B. Schneier, The Problem Is Information Insecurity, SECURITY WATCH, August 10 (2008); Web Application Security Consortium, Web Application Security Statistics Project (2008).

6 Conform Internet World Stats, în 31 martie 2011 erau 2,095 miliarde utilizatori (44% în Asia, 22,7% în Europa, 13% în America de Nord); potrivit International Telecommunication Union, The world in 2010, numărul utilizatorilor Internet a depăşit 2 miliarde; conform International Bank for Reconstruction and Development/The World Bank, The Little Data Book on Information and Communication Technology (2011), există peste 1,8 miliarde utilizatori Internet.

7 În iulie 2011 erau 849869781 hosts pe Internet (818374269 în ianuarie 2011), conform Internet Systems Consortium (2011).

(12)

acţiona de la distanţă, comercializarea atacurilor informatice (oferirea ca produs comercial de contaminanţi informatici, acces la botnet¹-uri sau informaţii pentru realizarea atacurilor²) şi asimetriile informa- ţionale şi, adesea, motivaţionale măresc considerabil riscul atacurilor informatice şi efectele lor potenţiale.

Atacurile informatice pot viza beneficii financiare, intimidare, supraveghere sau manipulare a informaţiilor. După cum remarcă în mod corect Comisia Europeană³, atacurile pe scară largă împotriva sistemelor informatice au devenit din ce în ce mai frecvente, prezintă o dimensiune transfrontalieră considerabilă⁴şi au dus la ameninţări noi, sofisticate din punct de vedere tehnologic şi la o tendinţă de utilizare a tehnologiilor informaţiei şi comunicaţiilor în scopul supremaţiei politice, economice şi militare, inclusiv prin capacităţi ofensive.

Ameninţările pot viza:

• Exploatare (cazul ameninţărilor persistente avansate⁵ sau exfiltrarea de informaţii în scopul spionajului economic sau politic⁶, încălcarea drepturilor de proprietate intelectuală etc.);

1 Un număr de calculatoare controlate de un calculator central (command-and- control) pentru executarea de comenzi.

2 Vezi, spre exemplu, R. Anderson, R. Bohme, R. Clayton şi Tyler Moore, Security Economics and European Policy (2008).

3 Vezi Comunicare a Comisiei către Parlamentul European, Consiliu, Comitetul Economic şi Social European şi Comitetul regiunilor privind protecţia infrastructurilor critice de informaţie, COM(2011) 163 final, Bruxelles, 31.3.2011.

4 Vezi şi UNODC, Draft collection of topics for consideration within a comprehensive study on impact and response to cybercrime, 17-21 January (2011).

5 Acestea sunt definite în US National Institute for Standards and Technology (NIST), Managing Information Security Risk: Organization, Mission, and Information System View (2011) ca fiind un adversar care posedă un nivel de expertiză sofisticată şi resurse importante care îi pot permite crearea de oportunităţi pentru realizarea obiectivelor prin utilizarea de vectori de atac multipli.

6 Vezi, spre exemplu, cazurile GhostNet şi Shadow Network: investigarea primului caz a relevat infectarea a 1295 de calculatoare în 103 ţări, circa 30% dintre acestea fiind considerate „high value” deoarece aparţineau unor instituţii guvernamentale (ambasade, ministere, comisii). Investigarea digitală a evidenţiat comunicaţii între calculatoarele infectate şi adrese IP ale unor servere situate în China care au relevat extracţia de documente senzitive – vezi ENISA, Botnets: Detection, Measurement, Disinfection & Defence (2011).

(13)

• Sabotaj (spre exemplu, atacurile de tip blocarea distribuită a serviciului (Distributed Denial of Service) sau spam-urile generate prin botnet-uri (spre exemplu, reţeaua Conficker de 7 milioane de calculatoare sau spam botnet-ul Rustock, care putea trimite 30 miliarde de mesaje de poştă electronică pe zi¹) şi întreruperea mijloacelor de comunicare;

• Distrugere fizică².

Atacurile informatice ridică probleme noi şi multiple şi pot afecta toate nivelele societăţii. Atacurile informatice vizează şi afectează persoane fizice din toate grupurile demografice (bărbaţii şi femeile raportând crime într-o proporţie aproape egală³), firme mici şi mijlocii (IMM-uri⁴), instanţe de judecată⁵, operatori bursieri⁶, corporaţii globale⁷, organisme guvernamentale, întregi industrii⁸ sau chiar ţări

1 Vezi Microsoft, Battling the Rustock Threat (2011).

2 Vezi cazul Stuxnet, care a distrus fizic o ţintă militară, descris în R. Langner, Stuxnet: Dissecting a Cyberwarfare Weapon, IEEE SECURITY &PRIVACY, May/June, 49–51 (2011); vezi şi Cisco, 2010 Annual Security Report (2011).

3 Vezi Internet Crime Complaint Center, 2010 Internet Crime Report (2011).

4 Vezi, spre exemplu, cazul raportat în anul 2010 de WALL STREET JOURNAL, în care o reţea internaţională de criminali a furat circa 70 milioane dolari de la mici firme, municipalităţi şi biserici, raportat în Verisign, The domain name industry brief, vol. 8, Iss. 3, August (2011).

5 Contaminantul informatic Downadup a afectat reţeaua de calculatoare a Penitenciarului Rahova, reţeaua internă a IGPR şi reţeaua Tribunalului Bucureşti, rezultând în nefuncţionarea sistemului ECRIS (sistemul informatic de management al dosarelor de judecată) – vezi detalii la http://www.mondonews.ro/Virusul-Downadup- a-atacat-mai-multe-institutii+id-7424.html. Sistemul municipal de justiţie din Houston, Texas, a fost infectat de contaminanţi informatici, rezultând în afectarea capacităţii de acţiune a poliţiei – vezi detalii la http://www.chron.com/disp/story.mpl/front/

6250411.html.

6 Vezi D. Barrett, Hackers Penetrate Nasdaq Computers, WALL STREET

JOURNAL, February 5 (2011).

7 Cazul Aurora, spre exemplu: în ianuarie 2010, un atac informatic asupra mai multor corporaţii globale, printre care Google, IBM, Microsoft şi Adobe, declanşat din China – vezi detalii în A. Boulanger şi S. Ghosh, Malicious Code, în S. Ghosh şi E.

Turrini (eds.), Cybercrimes: A Multidisciplinary Analysis (2010); Symantec, Global Internet Security Threat Report Trends for 2009, Vol. XV, April (2010). Vezi şi cazurile Sony, Honda, Fox News, Epsilon şi Citibank, menţionate în Kaspersky Lab, IT Threat Evolution: Q2 2011.

8 Vezi McAfee, Global Energy Cyberattacks: „Night Dragon” (2011).

(14)

(vezi, spre exemplu, cazul atacului informatic asupra Estoniei)¹. Impactul atacurilor informatice depinde de victimă şi poate consta în pagube financiare mari², încălcarea drepturilor de proprietate intelectuală, contaminarea sau copierea datelor informatice, blocarea accesului la date informatice, repudierea tranzacţiilor sau comu- nicaţiilor electronice, încetinirea vitezei de procesare a datelor ş.a.

Pentru aceste motive, securitatea cyberspaţiului (cybersecurity), armo- nizarea legislaţiei şi cooperarea internaţională în acest domeniu sunt foarte importante, fapt reflectat, printre altele, de numeroase iniţiative legislative³, Rezoluţii ale Naţiunilor Unite⁴ sau ale Uniunii Interna- ţionale a Telecomunicaţiilor (ITU, agenţie a Naţiunilor Unite)⁵ sau conferinţe internaţionale pe această temă⁶.

Promovând o „cultură a securităţii” în societatea contemporană, Organizaţia pentru Cooperare şi Dezvoltare Economică (OECD)⁷

1 Descris în M. Donner, Cyberassault on Estonia, IEEE SECURITY &PRIVACY, vol. 5, Iss. 4 (2007), p. 4; vezi şi G. Evron, Battling botnets and online mobs: Estonia’s defense efforts during the internet war, GEORGETOWN JOURNAL OF INTERNATIONAL

AFFAIRS, 9(1), 121–126 (2008).

2 Vezi numeroase studii pe această temă: JP Morgan Chase, Cybercrime: The Growing Global Threat (2011); Uniunea Europeană, http://ec.europa.eu/home- affairs/policies/crime/crime_cybercrime_en.htm (circa 750 miliarde euro anual);

PricewaterhouseCoopers, Global State of Information Security Survey (2011); Ernts &

Young, Insights on IT risk, April (2011); Interpol, Financial and High-tech Crimes (2009); United Nations Conference on Trade and Development, Information Economy Report (2005).

3 Vezi, spre exemplu, The White House, Office of the Press Secretary, Cybersecurity Legislative Proposal, May 12 (2011).

4 Vezi Rezoluţiile 56/121 - Combating the criminal misuse of information technologies (2002) şi 55/63 - Combating the criminal misuse of information technologies (2001).

5 Vezi, spre exemplu, Rezoluţia 181 (Guadalajara, 2010) - Definitions and terminology relating to building confidence and security in the use of information and communication technologies şi Rezoluţia 130 - Strengthening the role of ITU in building confidence and security in the use of information and communication technologies.

6 Vezi, spre exemplu, J. Vogel, Towards a Global Convention against Cybercrime, FIRST WORLD CONFERENCE OF PENAL LAW. Penal law in the XXI^st century, Guadalajara, Mexic, 18-23 November (2007).

7 Vezi OECD, Guidelines for the Security of Information Systems and Networks:

Towards a Culture of Security (2002). Vezi şi United Nations General Assembly,

(15)

CRIMINALITATEA ÎN CYBERSPAŢIU 17 propune următoarele aspecte importante legate de securitatea sistemelor informatice:

I. Conştientizare: Participanţii trebuie să fie conştienţi de nevoia de securitate a sistemelor informatice şi de ce pot face pentru a îmbunătăţi securitatea acestora.

II. Responsabilitate: Toţi participanţii sunt responsabili de securitatea sistemelor informatice.

III. Răspuns: Participanţii trebuie să acţioneze într-o manieră co-operativă şi rapidă pentru a preveni, detecta şi răspunde la incidentele de securitate.

IV. Etică: Participanţii trebuie să respecte interesele legitime ale celorlalţi.

V. Democraţie: Securitatea sistemelor informatice trebuie să fie compatibilă cu valorile esenţiale ale unei societăţi demo- cratice.

VI. Evaluarea riscurilor: Participanţii trebuie să evalueze ris- curile de securitate.

VII. Design şi implementare a securităţii: Participanţii trebuie să încorporeze securitatea ca un element esenţial al sistemelor informatice.

VIII. Managementul securităţii¹: Participanţii trebuie să adopte o abordare comprehensivă a managementului securităţii sistemelor informatice; managementul trebuie să se bazeze pe evaluarea riscurilor şi trebuie să fie dinamic, acoperind toate nivelurile de activitate a participanţilor şi toate aspectele operaţiilor lor. Managementul trebuie să includă răspunsuri anticipative la ameninţări emergente şi să adreseze prevenirea, detectarea şi răspunsul la incidente, recuperarea după disfuncţionalităţi, întreţinere şi audit. Politicile, practicile,

Creation of a global culture of cybersecurity and taking stock of national efforts to protect critical information infrastructures (2010); United Nations, Resolution 58/199 - Creation of a global culture of cybersecurity and the protection of critical information infrastructures (2004); United Nations, Resolution 57/239 - Creation of a global culture of cybersecurity (2003).

1 Cele mai importante provocări pentru managementul securităţii sistemelor informatice în secolul al XXI-lea sunt considerate a fi: creşterea mobilităţii şi com- plexităţii, creşterea dimensiunii şi concentrării riscului, modificarea contextului şi incertitudinii majore, deplasarea responsabilităţilor şi importanţa percepţiei riscului – vezi în OECD, Emerging risks in the 21^st century. An agenda for action (2003).

(16)

măsurile şi procedurile de securitate trebuie coordonate şi integrate într-un sistem coerent. Cerinţele de securitate depind de nivelul de implicare a participanţilor, rolul acestora, riscul implicat şi cerinţele sistemului.

IX. Reevaluare: Deoarece noi ameninţări sau vulnerabilităţi pot să apară, participanţii trebuie să revadă şi să reevalueze securitatea sistemelor informatice şi să facă modificările necesare la nivel de politici, practici, măsuri şi proceduri.

Cartea de faţă abordează în mod holistic criminalitatea în cyber- spaţiu şi contribuie la dezvoltarea unei înţelegeri complete şi efective a acesteia şi a principalelor mijloace de prevenire a ei. Cartea este structurată în trei părţi: Partea I prezintă componentele şi caracteristicile sistemelor informatice şi ale Internetului, urmate de cerinţele operaţionale şi legale de securitate şi ameninţările prezente la adresa sistemelor informatice; Partea a II-a prezintă mijloace legale de prevenire a criminalităţii în cyberspaţiu; Partea a III-a prezintă mijloace procedurale şi tehnice de prevenire a criminalităţii în cyberspaţiu.

Abordarea cercetării pentru această carte a fost interdisciplinară, o tendinţă modernă în domeniul dreptului¹ şi al sistemelor informatice². Pentru elaborarea acestei cărţi a fost realizat un studiu exhaustiv al literaturii relevante. Formalizarea politicilor şi procedurilor de securitate ale sistemelor informatice se bazează pe cercetare empirică.

Considerăm că această carte se va dovedi foarte utilă juriştilor, managerilor sistemelor informatice, organelor judiciare, cadrelor didactice universitare, studenţilor de la facultăţi de drept, afaceri sau informatică, cercetătorilor, tuturor celor interesaţi de domeniul sistemelor informatice în general şi fiecărui utilizator de calculatoare pentru a înţelege ameninţările informatice, impactul lor potenţial şi măsurile necesare pentru protejarea personală.

1 Vezi J. Palfrey, The Challenge of Developing Effective Public Policy on the Use of Social Media by Youth, FEDERAL COMMUNICATIONS LAW JOURNAL, vol. 63 (2010);

D. W. Vic, Interdisciplinarity and the Discipline of Law, JOURNAL OF LAW AND

SOCIETY, Vol. 31, No. 2, June, 163-193 (2004).

2 Vezi, spre exemplu, I. Benbasat şi R. W. Zmud, The identity crisis within the IS discipline: Defining and communicating the discipline’s core properties, MIS QUARTERLY, 27 (2), 183–194 (2003); R. D. Galliers, Trans-disciplinary research in information systems, INTERNATIONAL JOURNAL OF INFORMATION MANAGEMENT, 24, 99-106 (2004).

(17)

P a r t e a I CYBERSPAŢIU

(18)

(19)

1. SISTEME INFORMATICE

1.1. Definiţie

Cyberspaţiul este domeniul global în mediul informaţional constând din reţeaua interdependentă de infrastructuri informatice incluzând Internet, reţelele de comunicaţii electronice, sistemele informatice şi procesoarele şi controlerele încorporate¹. Reţea de comunicaţii electronice înseamnă sisteme de transmisie şi, după caz, echipamente de comutare sau de rutare şi alte resurse, inclusiv elemente de reţea care nu sunt active, care permit transmiterea semnalelor prin cablu, unde radio, prin mijloace optice sau prin alte mijloace electromagnetice, inclusiv reţele de satelit, reţele terestre fixe (cu comutare de circuite sau de pachete, inclusiv Internet) şi mobile, sisteme care utilizează reţeaua electrică, atât timp cât servesc la transmiterea semnalelor, reţelele utilizate pentru difuzarea programelor de radio şi televiziune şi reţelele de televiziune prin cablu, indiferent de tipul de informaţie transmisă². Reţea publică de comunicaţii înseamnă o reţea de comunicaţii electronice utilizată în întregime sau în principal pentru furnizarea de servicii de comunicaţii electronice puse la dispoziţia publicului, care asigură transferul de informaţii între punctele de terminale ale reţelei³.

În general, sistemele pot fi identificate ca fiind:

• Simple: constând din puţine variabile, cu relaţii lineare între ele, care pot fi descrise, explicate şi prezise cu precizie;

1 Vezi NIST, Managing Information Security Risk: Organization, Mission, and Information System View (2011).

2 Vezi Directiva 2009/140/CE a Parlamentului European şi a Consiliului din 25 noiembrie 2009, de modificare a Directivelor 2002/21/CE privind un cadru de reglementare comun pentru reţelele şi serviciile de comunicaţii electronice, 2002/19/CE privind accesul la reţelele de comunicaţii electronice şi la infrastructura asociată, precum şi interconectarea acestora şi 2002/20/CE privind autorizarea reţelelor şi serviciilor de comunicaţii electronice; vezi şi Legea nr. 527 din 17 iulie 2002.

3 Id.

(20)

• Complicate: constând din multe variabile, într-un sistem închis cu relaţii lineare şi non-lineare, care pot fi descrise, explicate şi prezise cu precizie; sau

• Complexe: constând din multe variabile, într-un sistem deschis cu relaţii non-lineare, care nu pot fi descrise, explicate şi prezise cu precizie.

După cum argumentează unii cercetători¹, caracteristicile sistemelor complexe includ:

• Numărul mare de elemente, care fac dificilă înţelegerea lor completă;

• Existenţa unor interacţiuni dinamice între elemente şi transferul de informaţii;

• Natura bogată şi multidimensională a interacţiunilor între elemente;

• Caracterul nonlinear al interacţiunilor, care poate cauza reacţii extinse;

• Existenţa feedback-ului pozitiv şi negativ recurent în sistem;

• Deschiderea către alte sisteme, influenţate de mediul lor şi de observatori;

• Elementele componente sunt simple, complexitatea sistemului rezultând din natura interacţiunilor între elemente.

O clasificare a sistemelor deschise poate fi găsită în Falkenberg şi colab.², unde se disting următoarele tipuri de sisteme:

• Sistem reactiv: fiecare expresie este o reacţie, iar fiecare impresie cauzează o reacţie.

• Sistem responsiv: pentru fiecare expresie o anumită impresie sau pattern temporal este o condiţie necesară, dar nu suficientă pentru a determina apariţia expresiei.

• Sistem autonom: cel puţin o expresie este o acţiune.

1 Vezi, spre exemplu, P. Cilliers, Complexity and Postmodernism, Routledge (1998); K. Richardson şi P. Cilliers, What Is Complexity Science?: A View from Different Directions, EMERGENCE, 3 (1) 5-23 (2001).

2 Vezi E. D. Falkenberg, W. Hesse, P. Lindgreen, B. E. Nilsson, J. L. H. Oei, C. Rolland, R. K. Stamper, F. J. M. Van Assche, A. A. Verrijn-Stuart şi K. Voss, A framework of information system concepts, The FRISCO Report (1998).