Η Νομική Αντιμετώπιση των Επιθέσεων κατά Συστημάτων Πληροφοριών

Οι επιθέσεις κατά συστημάτων πληροφοριών, και ιδίως οι επιθέσεις που συνδέονται με το οργανωμένο έγκλημα, αποτελούν συνεχώς αυξανόμενη απειλή, τόσο στην Ευρωπαϊκή Ένωση όσο και παγκοσμίως, εντείνοντας τις ανησυχίες για το ενδεχόμενο τρομοκρατικών επιθέσεων ή επιθέσεων με πολιτικά κίνητρα κατά των συστημάτων πληροφοριών που αποτελούν μέρος των υποδομών ζωτικής σημασίας των κρατών μελών και της Ένωσης (σκέψη 3 της Οδηγίας 2013/40/ΕΕ, στο εξής “Οδηγία”).

Υπάρχουν στοιχεία που δείχνουν μια τάση διάπραξης όλο και πιο επικίνδυνων και επαναλαμβανόμενων επιθέσεων μεγάλης κλίμακας κατά συστημάτων πληροφοριών που συχνά μπορούν να έχουν ζωτική σημασία για τα κράτη μέλη ή για ειδικές δραστηριότητες του δημόσιου ή του ιδιωτικού τομέα. Η τάση αυτή συνοδεύεται από την ανάπτυξη όλο και πιο εξελιγμένων μεθόδων, όπως η δημιουργία και η χρήση των αποκαλούμενων «botnet» (δίκτυα προγραμμάτων ρομπότ), η οποία περιλαμβάνει διάφορα στάδια της αξιόποινης πράξης, καθένα από τα οποία μπορεί από μόνο του να θέσει σε σοβαρό κίνδυνο το δημόσιο συμφέρον (σκέψη 5 της Οδηγίας 2013/40/ΕΕ).

Ενδεικτικά, αναφέρονται τα εξής γεγονότα συνδεόμενα με επιθέσεις σε παγκόσμιο, Ευρωπαϊκό αλλά και Ελληνικό επίπεδο :

  • Επιθέσεις σε επίπεδο κράτους – DDoS κατά κρατικών και εταιρικών υποδομών της Εσθονίας κατά τον Απρίλιο – Μάιο 2007 με αφορμή την απόφαση της Εσθονικής κυβέρνησης για τη μεταφορά της τοποθεσίας του μπρούτζινου αγάλματος του Στρατιώτη του Ταλίν [πηγή].
  • Αρχές 2013 – Ο anti-spam φορέας Spamhaus τίθεται εκτός πρόσβασης από την μεγαλύτερη μέχρι τότε επίθεση DDoS, μεγέθους 300 Gbps. 18χρονος βρετανός φυλακίζεται ως υπαίτιος της επίθεσης [πηγή].
  • 2015 – Η συμβουλευτική εταιρεία Arbor Networks εκδίδει έκθεση, σύμφωνα με την οποία κατά το έτος 2015 καταγράφηκε η ιστορικά μεγαλύτερη επίθεση DdoS,  μεγέθους 500 Gbps [πηγή].
  • Δεκέμβριος 2015 – Επίθεση χάκερ σε τρεις ελληνικές τράπεζες. Απαίτηση για λύτρα σε bitcoin [πηγή].
  • Φεβρουάριος 2016 – Επιθέσεις DDoS σε επιχειρήσεις ηλεκτρονικού εμπορίου στην Ελλάδα και συλλήψεις [πηγή].

Περί Κυβερνοεγκλήματος
Τα εγκλήματα κατά πληροφοριακών συστημάτων αποτελούν υποκατηγορία του κυβερνοεγκλήματος. Με τον όρο «κυβερνοέγκλημα» [cybercrime] νοούνται τρεις κατηγορίες ποινικών αδικημάτων :

  1. Γνήσια πληροφορικά εγκλήματα – Κλασικά ποινικά αδικήματα, που τελούνται μέσω ηλεκτρονικού υπολογιστή και μέσω συστημάτων πληροφοριών (πχ. απάτη, πλαστογραφία).
  2. Εγκλήματα σε σχέση με ψηφιακό περιεχόμενο – Ποινικά αδικήματα, που σχετίζονται με την διακίνηση παράνομου περιεχομένου μέσω συστημάτων πληροφοριών (πχ παιδική πορνογραφία).
  3. Εγκλήματα κατά πληροφοριακών συστημάτων – Ποινικά αδικήματα, που διαπράττονται κατά της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των πληροφοριακών συστημάτων και των ψηφιακών δεδομένων.

Συνεπώς, βασικό στοιχείο της διάπραξης κυβερνοεγκλημάτων είναι ο διασυνδεδεμένος σε σύστημα πληροφοριών ηλεκτρονικός υπολογιστής, είτε ως στόχος της επίθεσης, είτε ως το βασικό μέσο / εργαλείο της επίθεσης, είτε τέλος ως ένα βοηθητικό  μέσο / εργαλείο για τη διάπραξη της επίθεσης. Τα εγκλήματα κατά πληροφοριακών συστημάτων αποτελούν υποκατηγορία κυβερνοεγκλημάτων.

Χαρακτηριστικά Κυβερνοεγκλήματος
Το κυβερνοέγκλημα φέρει τα ακόλουθα χαρακτηριστικά, που καθιστούν την ποινική του δίωξη δυσχερή :

  • Ταχύτητα – Η διάπραξη των σχετικών πράξεων λαμβάνει χώρα σε ελάχιστο χρόνο και συχνά δεν γίνεται αντιληπτή από το θύμα.
  • Ευκολία – Η διάπραξη των σχετικών πράξεων είναι εύκολη και γίνεται από τον ηλεκτρονικό υπολογιστή και τον οικείο χώρο του δράστη.
  • Ανωνυμία – Η διάπραξη κυβερνοεγκλημάτων εκμεταλλεύεται την σχετική ανωνυμία, που προσφέρουν ορισμένες τεχνολογικές υποδομές του διαδικτύου.
  • Διασυνοριακός Χαρακτήρας – Οι προπαρασκευαστικές ενέργειες, οι πράξεις αλλά και τα αποτελέσματα του κυβερνοεγκλήματος συνήθως λαμβάνουν χώρα ταυτοχρόνως σε πολλές δικαιοδοσίες.
  • Δυσχέρεια στην Διερεύνηση – Ο διασυνοριακός χαρακτήρας αλλά και τα ψηφιακά ίχνη του κυβερνοεγκλήματος δυσχεραίνουν τη διερεύνηση και εξιχνίασή του.
  • Διακρατική Συνεργασία – Ο διασυνοριακός χαρακτήρας του κυβερνοεγκλήματος απαιτεί την διακρατική συνεργασία των διωκτικών αρχών.
  • Έλλειψη Επαρκούς Καταγραφής – Το μέγεθος των τελούμενων κυβερνοεγκλημάτων είναι δυσανάλογα μεγαλύτερο των καταγραφόμενων περιστατικών.

Ιδιωτικά Μέτρα Αυτοπροστασίας
Οι δυσχέρειες στην δίωξη και καταστολή των κυβερνοεγκλημάτων έχουν ωθήσει στη λήψη ιδιωτικών μέτρων αυτοπροστασίας, η ζήτηση για τα οποία έχει δημιουργήσει μία τεράστια βιομηχανία παροχής προϊόντων / υπηρεσιών ασφάλειας συστημάτων πληροφοριών.

Ο επικρατέστερος τρόπος προστασίας από επιθέσεις κατά συστημάτων πληροφοριών είναι η χρήση προϊόντων περιμετρικής ασφάλειας δικτύων και δικτυακών εφαρμογών, δηλαδή συστημάτων λογικής ασφάλειας που παρεμβάλλονται μεταξύ των συστημάτων πληροφοριών, που αποτελούν το αντικείμενο προστασίας, και του διαδικτύου. Τέτοια συστήματα αυτά διαθέτουν μηχανισμούς αποτροπής και εντοπισμού επιθέσεων όπως DDoS καθώς και αντίμετρα.

Ωστόσο, τέτοια προϊόντα δεν μπορούν να ανταπεξέλθουν σε επιθέσεις ευρείας κλίμακας. Πιο εκλεπτυσμένες τεχνικές αντιμετώπισης στηρίζονται στον διαχωρισμό μεταξύ κανονικής και κακόβουλης τηλεπικοινωνιακής κίνησης και στην απομάκρυνση της τελευταίας προς συστήματα απόκρουσης.

Ιστορική Αναδρομή της Νομικής Αντιμετώπισης
Το έτος 2001 τα κράτη-μέλη του Συμβουλίου της Ευρώπης υπέγραψαν την Σύμβαση για το Κυβερνοέγκλημα στη Βουδαπέστη [CETS No. 185, Budapest, 23.XI.2001, σε ισχύ από τις 01.07.2004]. Η Ελλάδα είναι συμβαλλόμενο κράτος στην εν λόγω διεθνή σύμβαση, ωστόσο μέχρι και σήμερα δεν την έχει κυρώσει και ενσωματώσει στην Ελληνική έννομη τάξη.

Το έτος 2004 η Ευρωπαϊκή Επιτροπή εξέδωσε την Ανακοίνωση “για μια ασφαλέστερη κοινωνία της πληροφορίας και τη βελτίωση της ασφάλειας των υποδομών πληροφόρησης και την καταπολέμηση του εγκλήματος πληροφορικής” [26/1/2001, COM (2000) 890], όπου αναγνώρισε την κρισιμότητα του κυβερνοεγκλήματος και την ανάγκη προστασίας των συστημάτων πληροφοριών.

Το έτος 2004 το Ευρωπαϊκό Συμβούλιο εξέδωσε την Απόφαση-Πλαίσιο 2005/222/ΔΕΥ, της 24ης Φεβρουαρίου 2005, για τις επιθέσεις κατά των συστημάτων πληροφοριών [ΕΕ L 69 της 16.3.2005, σ. 67], η οποία είχε ως στόχο την καταπολέμηση του κυβερνοεγκλήματος και την προώθηση της ασφάλειας πληροφοριών ιδιαίτερα σε σχέση με τις επιθέσεις κατά συστημάτων πληροφοριών. Η Ελλάδα δεν ενσωμάτωσε την προαναφερόμενη Απόφαση-Πλαίσιο στην Ελληνική έννομη τάξη.

Στο Ελληνικό δίκαιο, τα κυβερνοεγκλήματα τιμωρούνται μέχρι και σήμερα κατά βάση με τις διατάξεις του Ν. 1805/1988, ο οποίος είχε εισάγει στα άρθρα 370Β, 370Γ, 386Α του Ποινικού Κώδικα τα εγκλήματα που διαπράττονται με ηλεκτρονικούς υπολογιστές [computer crimes], εφόσον βέβαια τέτοια αδικήματα διαπράττονται επιγραμμικά [online]. Στην ελληνική νομοθεσία όμως, δεν υπάρχει νόμος που να αναφέρεται αποκλειστικά στο κυβερνοέγκλημα.

Με τον Ν. 4411/2016 (ΦΕΚ 142/Α/-03-08-2016) κυρώθηκε η Σύμβαση του Συμβουλίου της Ευρώπης για το Εγκλημα στον Κυβερνοχώρο, καθώς και το Πρόσθετο Πρωτόκολλο αυτής σχετικά με την ποινικοποίηση πράξεων ρατσιστικής και ξενοφοβικής φύσεως, όπως επίσης ενσωματώθηκε στην Ελληνική έννομη τάξη η Οδηγία 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 12ης Αυγούστου 2013 για τις επιθέσεις κατά συστημάτων πληροφοριών.

Νομικό Πλαίσιο
Σε διεθνές επίπεδο οι επιθέσεις κατά συστημάτων πληροφοριών ρυθμίζονται από τις σχετικές διατάξεις της Σύμβασης του Συμβουλίου της Ευρώπης για το Κυβερνοέγκλημα [CETS No. 185, Budapest, 23.XI.2001, σε ισχύ από τις 01.07.2004].

Σε Ενωσιακό επίπεδο οι επιθέσεις κατά συστημάτων πληροφοριών ρυθμίζονται από τις σχετικές διατάξεις της Οδηγίας 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 12ης Αυγούστου 2013 για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης-πλαισίου 2005/222/ΔΕΥ του Συμβουλίου («Οδηγία»).

Η Οδηγία αφήνει στη διακριτική ευχέρεια των κρατών-μελών να μην ποινικοποιήσουν τις  επιθέσεις κατά συστημάτων πληροφοριών, οι οποίες είναι ήσσονος σημασίας. Μία περίπτωση μπορεί να θεωρείται ήσσονος σημασίας όταν, παραδείγματος χάριν, οι ζημίες που προκαλεί το αδίκημα και/ή ο κίνδυνος για το δημόσιο ή το ιδιωτικό συμφέρον, όπως η ακεραιότητα ενός συστήματος υπολογιστών ή ηλεκτρονικών δεδομένων, ή η σωματική ακεραιότητα, τα δικαιώματά ή άλλα συμφέροντα ενός προσώπου, είναι αμελητέα ή τέτοιας φύσης ώστε δεν είναι απαραίτητη η επιβολή ποινικής κύρωσης εντός του νομικού ορίου ή η απόδοση ποινικής ευθύνης (σκέψη 11 της Οδηγίας).

Στο Ελληνικό δίκαιο οι επιθέσεις κατά συστημάτων πληροφοριών ρυθμίζονται από τον Ν. 4411/2016 (ΦΕΚ 142/Α’/03-08-2016), με τον οποίο επιφέρονται οι σχετικές τροποποιήσεις των άρθρων 13, 292Β, 292Γ, 348Β, 370Γ ως Ε, 381Α, 381Β και 386 του Ποινικού Κώδικα.

Ορισμοί
Στην διεθνή και Ενωσιακή νομοθεσία δεν έχει νομοθετηθεί κοινά αποδεκτός ορισμός του εγκλήματος στον κυβερνοχώρο. Κατά συνέπεια, οι όροι «έγκλημα που διαπράττεται μέσω ηλεκτρονικών υπολογιστών» [computer crime], «ηλεκτρονικό έγκλημα» [electronic crime] ή «έγκλημα στον κυβερνοχώρο» [cybercrime] χρησιμοποιούνται κατ’ εναλλαγή, για να περιγράψουν «αξιόποινες πράξεις που διαπράττονται με χρήση [μέσω] ηλεκτρονικών δικτύων επικοινωνιών και συστημάτων πληροφοριών ή εναντίον αυτών των δικτύων και συστημάτων» [Ευρωπαϊκή Επιτροπή, Ανακοίνωση προς μία Γενική Πολιτική σχετικά με την Καταπολέμηση του Εγκλήματος στον Κυβερνοχώρο, COM(2007) 267, § 1.1].

Πληροφοριακό σύστημα είναι συσκευή ή ομάδα διασυνδεδεμένων ή σχετικών μεταξύ τους συσκευών, εκ των οποίων μία ή περισσότερες εκτελούν, σύμφωνα με ένα πρόγραμμα, αυτόματη επεξεργασία ψηφιακών δεδομένων, καθώς και τα ψηφιακά δεδομένα που αποθηκεύονται, αποτελούν αντικείμενο επεξεργασίας, ανακτώνται ή διαβιβάζονται από την εν λόγω συσκευή ή την ομάδα συσκευών με σκοπό τη λειτουργία, τη χρήση, την προστασία και τη συντήρηση των συσκευών αυτών (άρθρα 13 § η’ ΠΚ και 2 § a της Οδηγίας).

Ψηφιακά δεδομένα είναι η παρουσίαση γεγονότων, πληροφοριών ή εννοιών σε μορφή κατάλληλη προς επεξεργασία από πληροφοριακό σύστημα, συμπεριλαμβανομένου προγράμματος που παρέχει τη δυνατότητα στο πληροφοριακό σύστημα να εκτελέσει μια λειτουργία (άρθρα 13 § θ’ ΠΚ και 2 § b της Οδηγίας).

Ως άρνηση Παροχής Υπηρεσίας ή Αποκεντρωμένη Άρνηση Παροχής Υπηρεσίας [Denial of Service (DoS) ή Distributed Denial of Service (DDoS)]  ορίζεται η τεχνική με την οποία υπηρεσίες και πόροι ενός υπολογιστή καθίστανται μη διαθέσιμοι στους προοριζόμενους χρήστες (άρθρο 2 της υπ’ αρ. 750/2/19-02-2015 Απόφασης της ΕΕΤΤ, ΦΕΚ 412/Β/24-03-2015). Η διαφορά απλής και αποκεντρωμένης επίθεσης έγκειται στο ότι η τελευταία λαμβάνει χώρα από περισσότερα σημεία εκκίνησης. Η συντριπτική πλειονότητα των επιθέσεων DdoS ανήκει στην κατηγορία των αποκεντρωμένων επιθέσεων. Μια επίθεση DDoS απαιτεί έναν αριθμό από ηλεκτρονικούς υπολογιστές [hardware], καθώς και, ειδικό λογισμικό [software] με το οποίο το hardware της επίθεσης προγραμματίζεται να αποστέλλει αλλεπάλληλες εντολές καταφόρτωσης [downloading] στον στόχο της επίθεσης. Τέλος, προϋποθέτει τον χειρισμό των όρων και των χαρακτηριστικών της επίθεσης από τον δράστη/ες αυτής.

Δίκτυα “botnets” είναι δίκτυα σημαντικού αριθμού ηλεκτρονικών υπολογιστών, που έχουν μολυνθεί με κακόβουλο λογισμικό και καθίστανται αντικείμενο εξ αποστάσεως ελέγχου από χειριστές άλλων ηλεκτρονικών υπολογιστών χωρίς τη γνώση ή την συνέργεια του ιδιοκτήτη τους (σκέψη 5 της Οδηγίας). Κατά την τέλεση αποκεντρωμένων επιθέσεων κατά συστημάτων πληροφοριών τέτοια δίκτυα χρησιμοποιούνται κατά κόρον, προκειμένου με τον κατάλληλο προγραμματισμό τους να εκτελούν επιθέσεις μεγάλης κλίμακας και μαζικότητας κατά των εκάστοτε στοχευόμενων πληροφοριακών συστημάτων.

Σκοπός και Προστατευόμενο Έννομο Αγαθό
Σκοπός [ratio legis] της ποινικής δίωξης των επιθέσεων κατά συστημάτων πληροφοριών μέσω της Οδηγίας είναι (α) η προσέγγιση του ποινικού δικαίου των κρατών μελών στον τομέα των επιθέσεων κατά συστημάτων πληροφοριών, καθιερώνοντας ελάχιστους κανόνες σχετικά με τον ορισμό των ποινικών αδικημάτων και των σχετικών κυρώσεων, και (β) η βελτίωση της συνεργασίας μεταξύ των αρμόδιων αρχών (σκέψη 1 της Οδηγίας).

Η Οδηγία ανάγει σε έννομο αγαθό, άξιο προστασίας από το ποινικό δίκαιο, την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των πληροφοριακών συστημάτων και των ψηφιακών δεδομένων. Συγκεκριμένα, σύμφωνα με το σκεπτικό της Οδηγίας τα συστήματα πληροφοριών είναι βασικό στοιχείο για την πολιτική, κοινωνική και οικονομική αλληλεπίδραση στην Ένωση. Η κοινωνία εξαρτάται σε υψηλό και αυξανόμενο βαθμό από τέτοια συστήματα. Η ομαλή λειτουργία και η ασφάλεια αυτών των συστημάτων στην Ένωση είναι ζωτικής σημασίας για την ανάπτυξη της εσωτερικής αγοράς και μιας ανταγωνιστικής και καινοτόμου οικονομίας. Η εξασφάλιση κατάλληλων επιπέδων προστασίας των συστημάτων πληροφοριών θα πρέπει να αποτελεί μέρος ενός αποτελεσματικού ολοκληρωμένου πλαισίου από μέτρα πρόληψης τα οποία συνοδεύουν τις απαντήσεις του ποινικού δικαίου στον κυβερνοχώρο (σκέψη 2 της Οδηγίας).

Επιπλέον, σύμφωνα με την Οδηγία η προσβολή ορισμένων υποδομών ζωτικής σημασίας, δηλαδή όσων η διακοπή ή η καταστροφή θα μπορούσε να έχει σημαντικό διασυνοριακό αντίκτυπο, κρίνεται ότι έχει αυξημένη απαξία και, συνεπώς, ότι πρέπει να αντιμετωπίζεται με αυστηρές ποινικές κυρώσεις που να αντανακλούν τη σοβαρότητα των επιθέσεων αυτών. Ως υποδομές ζωτικής σημασίας μπορούν να νοούνται τα περιουσιακά στοιχεία, συστήματα ή μέρη αυτών που ευρίσκονται εντός των κρατών μελών και τα οποία είναι ουσιώδη για τη διατήρηση των ζωτικών κοινωνιακών λειτουργιών, της υγείας, της ασφάλειας, της προστασίας της οικονομικής ή κοινωνικής ευημερίας, όπως εγκαταστάσεις παραγωγής ενεργείας, μεταφορικά δίκτυα ή κυβερνητικά δίκτυα, και η διακοπή ή η καταστροφή των οποίων θα είχε σημαντικό αντίκτυπο για ένα κράτος μέλος, ως αποτέλεσμα της αδυναμίας διατήρησης των λειτουργιών αυτών (σκέψη 3 της Οδηγίας).

Υπάρχει, τέλος, ρητή αναφορά στην Οδηγία ότι η απόδοση ποινικής ευθύνης για επιθέσεις κατά συστημάτων πληροφοριών συντρέχει αποκλειστικά και μόνο όταν τέτοια αδικήματα τελούνται με πρόθεση του δράστη. Αν δεν υφίσταται πρόθεση τέλεσης του σχετικού αδικήματος ως προς όλες τις διαστάσεις της αντικειμενικής του υπόστασης, τότε οι σχετικές πράξεις παραμένουν ατιμώρητες, όπως παραδείγματος χάριν όταν το πρόσωπο δεν γνωρίζει ότι απαγορεύεται η πρόσβαση ή στην περίπτωση εξουσιοδοτημένης δοκιμής ή προστασίας συστημάτων πληροφοριών, ενδεικτικά όταν μια εταιρεία ή ένας πωλητής αναθέτει σε ένα πρόσωπο να ελέγξει την ισχύ του συστήματος ασφαλείας του. Περαιτέρω, τα προβλεπόμενα στην Οδηγία ποινικά αδικήματα δεν περιλαμβάνουν την απόδοση ποινικής ευθύνης για πράξεις παραβίασης συμβατικών υποχρεώσεων ή συμφωνιών να περιορισθεί η πρόσβαση σε συστήματα πληροφοριών με τη μέθοδο της πολιτικής χρηστών ή όρων παροχής υπηρεσίας, καθώς και εργατικές διαφορές (σκέψη 17 της Οδηγίας).

Παράνομη Πρόσβαση σε Πληροφοριακό Σύστημα
Οποιος χωρίς δικαίωμα αντιγράφει ή χρησιμοποιεί προγράμματα υπολογιστών, τιμωρείται με φυλάκιση μέχρι έξι (6) μήνες και με χρηματική ποινή διακοσίων ενενήντα (290) ευρώ έως πέντε χιλιάδων εννιακοσίων (5.900) ευρώ (άρθρα 370Γ § 1 ΠΚ και 3 της Οδηγίας).

Όποιος χωρίς δικαίωμα αποκτά πρόσβαση στο σύνολο ή τμήμα πληροφοριακού συστήματος, παραβιάζοντας απαγορεύσεις ή μέτρα ασφαλείας που έχει λάβει ο νόμιμος κάτοχός του, τιμωρείται με φυλάκιση (άρθρα 370Γ § 2 ΠΚ και 3 της Οδηγίας).

Αν η πράξη αναφέρεται στις διεθνές σχέσεις ή την ασφάλεια του κράτους, προβλέπεται διακεκριμένο ποινικό αδίκημα, με βάση το οποίο ο υπαίτιος τιμωρείται με βάση τις διατάξεις του 148 ΠΚ για την κατασκοπεία (άρθρα 370Γ § 2 ΠΚ και 3 της Οδηγίας).

Οι παραπάνω πράξεις διώκονται ύστερα από έγκληση (άρθρα 370Γ § 3 ΠΚ και 3 της Οδηγίας).

Οι παραπάνω διατάξεις του Ποινικού Κώδικα καθιστούν ποινικό αδίκημα το hacking / cracking και κάθε είδους πρόσβαση σε συστήματα πληροφοριών χωρίς άδεια ανεξάρτητα από το είδος του σκοπού του δράστη και ανεξάρτητα από την επέλευση ή μη ζημίας. Έτσι, το Ελληνικό κράτος ποινικοποίησε και τις επιθέσεις ήσσονος σημασίας κατά συστημάτων πληροφοριών, μολονότι κάτι τέτοιο δεν συνιστούσε υποχρέωση κατά την Οδηγία. Εντούτοις, η απόφαση αυτή του νομοθέτη διακινδυνεύει την πρόοδο της επιστημονικής έρευνας για θέματα ασφάλειας πληροφοριών, επιδεινώνει την εγχώρια ασφάλεια των συστημάτων πληροφοριών και ποινικοποιεί ανεπίτρεπτα πράξεις κυβερνοακτιβισμού [hacktivism], που τελούνται για πολιτικούς / συμβολικούς λόγους δίχως να διακινδυνεύουν τη λειτουργία των συστημάτων πληροφοριών.

Σχετικά ποινικά αδικήματα ήδη προβλέπονται στο άρθρο 292Α ΠΚ, με το οποίο τιμωρείται η χωρίς δικαίωμα πρόσβαση σε σύνδεση ή σε δίκτυο παροχής υπηρεσιών τηλεφωνίας ή σε σύστημα υλικού ή λογισμικού, καθώς και στο άρθρο 370Α ΠΚ με το οποίο τιμωρείται η χωρίς δικαίωμα παρέμβαση σε δίκτυο ή σύστημα υλικού ή λογισμικού παρόχου ηλεκτρονικών επικοινωνιών.

Εγκλήματα κατά της Λειτουργίας των Πληροφοριακών Συστημάτων
Οποιος χωρίς δικαίωμα παρεμποδίζει σοβαρά ή διακόπτει τη λειτουργία συστήματος πληροφοριών με την εισαγωγή, διαβίβαση, διαγραφή, καταστροφή, αλλοίωση ψηφιακών δεδομένων ή με αποκλεισμό της πρόσβασης στα δεδομένα αυτά, τιμωρείται με φυλάκιση μέχρι τριών (3) ετών (άρθρα 292Β § 1 ΠΚ και 4 της Οδηγίας).

Η παραπάνω πράξη τιμωρείται με φυλάκιση από ένα (1) έως τρία (3) έτη, αν τελέστηκε με τη χρήση εργαλείου που έχει σχεδιαστεί κατά κύριο λόγο για πραγματοποίηση επιθέσεων που επηρεάζουν μεγάλο αριθμό συστημάτων πληροφοριών ή επιθέσεων που προκαλούν σοβαρές ζημίες και ιδίως επιθέσεων που προκαλούν μεγάλης έκτασης ή για μεγάλο χρονικό διάστημα διατάραξη των υπηρεσιών των συστημάτων πληροφοριών, οικονομική ζημιά ιδιαίτερα μεγάλης αξίας ή σημαντική απώλεια δεδομένων (άρθρα 292Β § 2α ΠΚ και 4 της Οδηγίας).

Η παραπάνω πράξη τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους, αν προκάλεσε σοβαρές ζημίες και ιδίως μεγάλης έκτασης ή για μεγάλο χρονικό διάστημα διατάραξη των υπηρεσιών των συστημάτων πληροφοριών, οικονομική ζημία ιδιαίτερα μεγάλης αξίας ή σημαντική απώλεια δεδομένων και με φυλάκιση τουλάχιστον ενός (1) έτους, αν τελέστηκε κατά συστημάτων πληροφοριών που αποτελούν μέρος υποδομής για την προμήθεια του πληθυσμού με ζωτικής σημασίας αγαθά ή υπηρεσίες. Ως ζωτικής σημασίας αγαθά ή υπηρεσίες νοούνται ιδίως η εθνική άμυνα, η υγεία, οι συγκοινωνίες, οι μεταφορές και η ενέργεια (άρθρα 292Β § 2β ΠΚ, 3 και 4 της Οδηγίας).

Αν η παραπάνω πράξη τελέστηκε στο πλαίσιο δομημένης και με διαρκή δράση ομάδας τριών ή περισσότερων προσώπων, που επιδιώκει την τέλεση περισσότερων εγκλημάτων του παρόντος άρθρου, τιμωρείται με φυλάκιση τουλάχιστον δύο (2) ετών (άρθρα 292Β § 3 ΠΚ και 4 της Οδηγίας).

Οι παραπάνω πράξεις διώκονται ύστερα από έγκληση (άρθρα 292Β § 4 ΠΚ).

Οι παραπάνω διατάξεις του Ποινικού Κώδικα καθιστούν ποινικό αδίκημα τις επιθέσεις κατά συστημάτων πληροφοριών, αποκεντρωμένες ή μη [DoS & DDoS], και επομένως και σχετικές πράξεις κυβερνοακτιβισμού [hacktivism], που τελούνται για πολιτικούς / συμβολικούς λόγους, εφόσον προσβάλλουν ουσιωδώς τη λειτουργία συστημάτων πληροφοριών.

Μολονότι κάτι τέτοιο προβλέπεται στην Οδηγία (άρθρο 9 § 5 της Οδηγίας), ο σχετικός νόμος, που ενσωματώνει την Οδηγία, δεν ανάγει σε αυτό το άρθρο την κλοπή ταυτότητας [identity theft] σε ποινικό αδίκημα κατά της λειτουργίας συστημάτων πληροφοριών, δηλαδή την υφαρπαγή δεδομένων προσωπικού χαρακτήρα άλλου προσώπου, προκειμένου να αποκτηθεί η εμπιστοσύνη τρίτων, και, ως εκ τούτου, προκαλούν ζημία στον νόμιμο δικαιούχο της ταυτότητας.

Φθορά Ηλεκτρονικών Δεδομένων
Οποιος χωρίς δικαίωμα διαγράφει, καταστρέφει, αλλοιώνει ή αποκρύπτει ψηφιακά δεδομένα ενός συστήματος πληροφοριών, καθιστά ανέφικτη τη χρήση τους ή με οποιονδήποτε τρόπο αποκλείει την πρόσβαση στα δεδομένα αυτά, τιμωρείται με φυλάκιση έως τρία (3) έτη. Σε ιδιαίτερα ελαφρές περιπτώσεις, το δικαστήριο μπορεί, εκτιμώντας τις περιστάσεις τέλεσης, να κρίνει την πράξη ατιμώρητη (άρθρα 381Α § 1 ΠΚ και 5 της Οδηγίας).

Η παραπάνω πράξη τιμωρείται: α) με φυλάκιση από ένα (1) έως τρία (3) έτη, αν τελέστηκε με τη χρήση εργαλείου που έχει σχεδιαστεί κατά κύριο λόγο για πραγματοποίηση επιθέσεων που επηρεάζουν μεγάλο αριθμό συστημάτων πληροφοριών ή επιθέσεων που προκαλούν σοβαρές ζημίες και ιδίως επιθέσεων που προκαλούν μεγάλης έκτασης ή για μεγάλο χρονικό διάστημα διατάραξη των υπηρεσιών των συστημάτων πληροφοριών, οικονομική ζημία ιδιαίτερα μεγάλης αξίας ή σημαντική απώλεια δεδομένων, και με φυλάκιση τουλάχιστον ενός (1) έτους, αν προκάλεσε σοβαρές ζημίες και ιδίως μεγάλης έκτασης ή για μεγάλο χρονικό διάστημα διατάραξη των υπηρεσιών των συστημάτων πληροφοριών, οικονομική ζημία ιδιαίτερα μεγάλης αξίας ή σημαντική απώλεια δεδομένων και γ) με φυλάκιση τουλάχιστον ενός (1) έτους, αν τελέστηκε κατά συστημάτων πληροφοριών που αποτελούν μέρος υποδομής για την προμήθεια του πληθυσμού με ζωτικής σημασίας αγαθά ή υπηρεσίες. Ως ζωτικής σημασίας αγαθά ή υπηρεσίες νοούνται ιδίως η εθνική άμυνα, η υγεία, οι συγκοινωνίες, οι μεταφορές και η ενέργεια (άρθρα 381Α § 2 ΠΚ και 5 της Οδηγίας).

Αν οι πράξεις των προηγούμενων παραγράφων τελέστηκαν στο πλαίσιο δομημένης και με διαρκή δράση ομάδας τριών ή περισσότερων προσώπων, που επιδιώκει την τέλεση περισσότερων εγκλημάτων του παρόντος άρθρου, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον δύο (2) ετών (άρθρα 381Α § 3 ΠΚ και 5 της Οδηγίας).

Οι παραπάνω πράξεις διώκονται ύστερα από έγκληση (άρθρα 381Α § 4 ΠΚ και 5 της Οδηγίας).

Οι παραπάνω διατάξεις του Ποινικού Κώδικα καθιστούν ποινικό αδίκημα τις επιθέσεις με ιούς και κακόβουλο λογισμικό. Μέχρι πρότινος, τέτοιες πράξεις τιμωρούνταν από την Ελληνική νομοθεσία με τη διάταξη του άρθρου 381 ΠΚ περί φθοράς ξένης ιδιοκτησίας. Σχετικά ποινικά αδικήματα προβλέπονται στο άρθρο 15 του Ν. 3471/2006 για πράξεις αφαίρεσης, αλλοίωσης, καταστροφή δεδομένων συνδρομητών ή χρηστών υπηρεσιών ηλεκτρονικών επικοινωνιών καθώς και στο άρθρο 22 § 4 Ν 2472/1997 αναφορικά με δεδομένα προσωπικού χαρακτήρα.

Μολονότι κάτι τέτοιο προβλέπεται στην Οδηγία (άρθρο 9 § 5 της Οδηγίας), ο σχετικός νόμος, που ενσωματώνει την Οδηγία, δεν ανάγει ούτε σε αυτό το άρθρο την κλοπή ταυτότητας [identity theft] σε ποινικό αδίκημα κατά της λειτουργίας συστημάτων πληροφοριών, δηλαδή την υφαρπαγή δεδομένων προσωπικού χαρακτήρα άλλου προσώπου, προκειμένου να αποκτηθεί η εμπιστοσύνη τρίτων, και, ως εκ τούτου, προκαλούν ζημία στον νόμιμο δικαιούχο της ταυτότητας.

Παράνομη Υποκλοπή Ψηφιακών Δεδομένων
Οποιος, αθέμιτα, με τη χρήση τεχνικών μέσων, παρακολουθεί ή αποτυπώνει σε υλικό φορέα μη δημόσιες διαβιβάσεις δεδομένων ή ηλεκτρομαγνητικές εκπομπές από, προς ή εντός πληροφοριακού συστήματος ή παρεμβαίνει σε αυτές με σκοπό ο ίδιος ή άλλος να πληροφορηθεί το περιεχόμενό τους, τιμωρείται με κάθειρξη μέχρι δέκα (10) ετών (άρθρα 370Δ § 1 ΠΚ και 6 της Οδηγίας).

Με κάθειρξη μέχρι δέκα ετών τιμωρείται όποιος κάνει χρήση της πληροφορίας ή του υλικού φορέα επί του οποίου αυτή έχει αποτυπωθεί με τους τρόπους που προβλέπεται παραπάνω (άρθρα 370Δ § 2 ΠΚ και 6 της Οδηγίας).

Αν οι παραπάνω πράξεις συνεπάγονται παραβίαση στρατιωτικού ή διπλωματικού απορρήτου ή αφορούν απόρρητο που αναφέρεται στην ασφάλεια του Κράτους σε καιρό πολέμου τιμωρούνται για παραβίαση μυστικών της πολιτείας, που επισύρει ποινή κάθειρξης μέχρι δέκα ετών (άρθρα 370Δ § 3 ΠΚ και 6 της Οδηγίας).

Η υποκλοπή περιλαμβάνει, ενδεικτικά, την ακρόαση, έλεγχο ή επιτήρηση του περιεχομένου των επικοινωνιών και παροχή του περιεχομένου των δεδομένων είτε άμεσα, με πρόσβαση και χρήση των συστημάτων πληροφοριών, είτε έμμεσα με τη χρήση ηλεκτρονικής συνακρόασης ή συσκευών παγίδευσης με τεχνικά μέσα (σκέψη 9 της Οδηγίας).

Σχετικά ποινικά αδικήματα προβλέπονται στα άρθρα 292Α, 370Α, 370Β και 370Γ ΠΚ, στο άρθρο 15 του Ν. 3471/2006 για πράξεις αφαίρεσης, αλλοίωσης, καταστροφή δεδομένων συνδρομητών ή χρηστών υπηρεσιών ηλεκτρονικών επικοινωνιών, στα άρθρα 22 § 4 Ν 2472/1997 και 4 και 15 Ν 3471/2006 αναφορικά με δεδομένα προσωπικού χαρακτήρα, στο άρθρο 10 του Ν. 3115/2003 για την παραβίαση του απορρήτου των επικοινωνιών.

Εγκλήματα σε Σχέση με Εργαλεία για την Τέλεση Κυβερνοεγκλημάτων
Με φυλάκιση μέχρι δύο (2) ετών τιμωρείται όποιος χωρίς δικαίωμα και με σκοπό τη διάπραξη των εγκλημάτων του άρθρου 292Β παράγει, πωλεί, προμηθεύεται προς χρήση, εισάγει, κατέχει, διανέμει ή με άλλο τρόπο διακινεί: α) συσκευές ή προγράμματα υπολογιστή, σχεδιασμένα ή προσαρμοσμένα κυρίως για το σκοπό της διάπραξης των εγκλημάτων του άρθρου 292Β, β) συνθηματικά ή κωδικούς πρόσβασης ή άλλα παρεμφερή δεδομένα με τη χρήση των οποίων είναι δυνατόν να αποκτηθεί πρόσβαση στο σύνολο ή μέρος ενός πληροφοριακού συστήματος (άρθρα 292Γ ΠΚ και 7 της Οδηγίας).

Με φυλάκιση μέχρι δύο (2) ετών τιμωρείται όποιος χωρίς δικαίωμα και με σκοπό τη διάπραξη κάποιου από τα εγκλήματα των άρθρων 370Β, 370Γ παράγραφοι 2 και 3 και 370Δ παράγει, πωλεί, προμηθεύεται προς χρήση, εισάγει, κατέχει, διανέμει ή με άλλο τρόπο διακινεί: α) συσκευές ή προγράμματα υπολογιστή, σχεδιασμένα ή προσαρμοσμένα κυρίως για το σκοπό της διάπραξης κάποιου από τα εγκλήματα των άρθρων 370Β, 370Γ και 370Δ, β) συνθηματικά ή κωδικούς πρόσβασης ή άλλα παρεμφερή δεδομένα με τη χρήση των οποίων είναι δυνατόν να αποκτηθεί πρόσβαση στο σύνολο ή μέρος ενός πληροφοριακού συστήματος (άρθρα 370Ε ΠΚ και 7 της Οδηγίας).

Με φυλάκιση μέχρι δύο (2) ετών, τιμωρείται όποιος χωρίς δικαίωμα και με σκοπό τη διάπραξη κάποιου από τα εγκλήματα του άρθρου 381Α παράγραφοι 1, 2 και 3 παράγει, πωλεί, προμηθεύεται προς χρήση, εισάγει, κατέχει διανέμει ή με άλλο τρόπο διακινεί: α) συσκευές ή προγράμματα υπολογιστή, σχεδιασμένα ή προσαρμοσμένα κυρίως για το σκοπό της διάπραξης κάποιου από τα εγκλήματα του άρθρου 381Α, β) συνθηματικά ή κωδικούς πρόσβασης ή άλλα παρεμφερή δεδομένα με τη χρήση των οποίων είναι δυνατόν να αποκτηθεί πρόσβαση στο σύνολο ή μέρος ενός πληροφοριακού συστήματος (άρθρα 381Β ΠΚ και 7 της Οδηγίας).

Οι παραπάνω διατάξεις του Ποινικού Κώδικα καθιστούν ποινικό αδίκημα τις προπαρασκευαστικές των προηγούμενων εγκλημάτων πράξεις, όπως η χρήση δικτύων botnets. Σε επίπεδο ισχύοντος εθνικού δικαίου, θα μπορούσε να εφαρμοσθεί η διάταξη του άρθρου 9 § 6 Ν 3674/2008, σύμφωνα με την οποία: «Όποιος αθέμιτα διαθέτει στο εμπόριο ή με άλλον τρόπο προσφέρει προς εγκατάσταση ειδικά τεχνικά μέσα για την τέλεση των πράξεων της παραγράφου 1 [άρ. 292Α – χωρίς δικαίωμα πρόσβαση σε δίκτυο ή σύστημα παρόχου] ή δημόσια διαφημίζει ή προσφέρει τις υπηρεσίες του για την τέλεση τους, τιμωρείται με φυλάκιση τουλάχιστον ενός έτους και χρηματική ποινή από 10.000 μέχρι 50.000 ευρώ» καθώς και η διάταξη του άρθρου 394 ΠΚ περί αποδο- χής προϊόντων εγκλήματος, υπό την προϋπόθεση ότι ο π.χ. κωδικός, έχει αφαιρε- θεί παρανόμως από αρχείο προσωπικών δεδομένων.

Προς αποφυγή της ποινικοποίησης της έρευνας στον τομέα της ασφάλειας πληροφοριών προβλέπεται ότι τιμωρείται η παραγωγή και διάθεση των εν λόγω εργαλείων, εφόσον όμως υφίσταται πρόθεση να χρησιμοποιηθούν τέτοια προγράμματα λογισμικού για τη διάπραξη κάποιου από τα εγκλήματα που αναφέρθηκαν παραπάνω (σκέψη 16 της Οδηγίας). Έτσι, δεν θα τελείται σχετικό ποινικό αδίκημα όταν τέτοια πρόθεση δεν συντρέχει, όπως στην περίπτωση επιστήμονα ή white hacker που ελέγχει την ισχύ ενός συστήματος ασφάλειας πληροφοριών είτε κατόπιν άδειας είτε για τον σκοπό προόδου της επιστήμης (σκέψη 17 της Οδηγίας).

Δικαιοδοσία
Η δικαιοδοσία ενός κράτους-μέλους της ΕΕ αναφορικά με την δίωξη εγκλημάτων κατά συστημάτων πληροφοριών θεμελιώνεται, εφόσον το αδίκημα έχει διαπραχθεί εν όλω ή εν μέρει στο έδαφος του οικείου κράτους μέλους ή από υπηκόους τους, τουλάχιστον σε περιπτώσεις κατά τις οποίες η πράξη θεωρείται ποινικό αδίκημα στον τόπο όπου έχει διαπραχθεί (άρθρο 1 του Ν. 4411/2016 και 12 της Οδηγίας).

Περισσότερα
Σύμβαση του Συμβουλίου της Ευρώπης για το Κυβερνοέγκλημα [CoE Cybercrime Convention].
Ευρωπαϊκή Επιτροπή, Ανακοίνωση προς μία Γενική Πολιτική σχετικά με την Καταπολέμηση του Εγκλήματος στον Κυβερνοχώρο, COM(2007) 267.
Οδηγία 2013/40/ΕΕ για τις επιθέσεις κατά συστημάτων πληροφοριών.
Ν. 4411/2016 για την κύρωση της Σύμβασης του Συμβουλίου της Ευρώπης για το Κυβερνοέγκλημα και της Οδηγίας 2013/40/ΕΕ για τις επιθέσεις κατά συστημάτων πληροφοριών (ΦΕΚ 142/Α’/03-08-2016).

Leave a Reply

Your email address will not be published. Required fields are marked *