Ασφάλεια Πληροφοριών και Κυβερνοέγκλημα

Οι επιθέσεις κατά συστημάτων πληροφοριών, και ιδίως οι επιθέσεις που συνδέονται με το οργανωμένο έγκλημα, αποτελούν συνεχώς αυξανόμενη απειλή, τόσο στην Ευρωπαϊκή Ένωση όσο και παγκοσμίως, εντείνοντας τις ανησυχίες για το ενδεχόμενο τρομοκρατικών επιθέσεων ή επιθέσεων με πολιτικά κίνητρα κατά των συστημάτων πληροφοριών που αποτελούν μέρος των υποδομών ζωτικής σημασίας των κρατών μελών και της Ένωσης (σκέψη 3 της Οδηγίας 2013/40/ΕΕ, στο εξής “Οδηγία”).

Υπάρχουν στοιχεία που δείχνουν μια τάση διάπραξης όλο και πιο επικίνδυνων και επαναλαμβανόμενων επιθέσεων μεγάλης κλίμακας κατά συστημάτων πληροφοριών που συχνά μπορούν να έχουν ζωτική σημασία για τα κράτη μέλη ή για ειδικές δραστηριότητες του δημόσιου ή του ιδιωτικού τομέα. Η τάση αυτή συνοδεύεται από την ανάπτυξη όλο και πιο εξελιγμένων μεθόδων, όπως η δημιουργία και η χρήση των αποκαλούμενων «botnet» (δίκτυα προγραμμάτων ρομπότ), η οποία περιλαμβάνει διάφορα στάδια της αξιόποινης πράξης, καθένα από τα οποία μπορεί από μόνο του να θέσει σε σοβαρό κίνδυνο το δημόσιο συμφέρον (σκέψη 5 της Οδηγίας 2013/40/ΕΕ).

Ενδεικτικά, αναφέρονται τα εξής γεγονότα συνδεόμενα με επιθέσεις σε παγκόσμιο, Ευρωπαϊκό αλλά και Ελληνικό επίπεδο :

  • Επιθέσεις σε επίπεδο κράτους – DDoS κατά κρατικών και εταιρικών υποδομών της Εσθονίας κατά τον Απρίλιο – Μάιο 2007 με αφορμή την απόφαση της Εσθονικής κυβέρνησης για τη μεταφορά της τοποθεσίας του μπρούτζινου αγάλματος του Στρατιώτη του Ταλίν [πηγή].
  • Αρχές 2013 – Ο anti-spam φορέας Spamhaus τίθεται εκτός πρόσβασης από την μεγαλύτερη μέχρι τότε επίθεση DDoS, μεγέθους 300 Gbps. 18χρονος βρετανός φυλακίζεται ως υπαίτιος της επίθεσης [πηγή].
  • 2015 – Η συμβουλευτική εταιρεία Arbor Networks εκδίδει έκθεση, σύμφωνα με την οποία κατά το έτος 2015 καταγράφηκε η ιστορικά μεγαλύτερη επίθεση DdoS,  μεγέθους 500 Gbps [πηγή].
  • Δεκέμβριος 2015 – Επίθεση χάκερ σε τρεις ελληνικές τράπεζες. Απαίτηση για λύτρα σε bitcoin [πηγή].
  • Φεβρουάριος 2016 – Επιθέσεις DDoS σε επιχειρήσεις ηλεκτρονικού εμπορίου στην Ελλάδα και συλλήψεις [πηγή].

Περί Κυβερνοεγκλήματος
Τα εγκλήματα κατά πληροφοριακών συστημάτων αποτελούν υποκατηγορία του κυβερνοεγκλήματος. Με τον όρο «κυβερνοέγκλημα» [cybercrime] νοούνται τρεις κατηγορίες ποινικών αδικημάτων :

  1. Γνήσια πληροφορικά εγκλήματα – Κλασικά ποινικά αδικήματα, που τελούνται μέσω ηλεκτρονικού υπολογιστή και μέσω συστημάτων πληροφοριών (πχ. απάτη, πλαστογραφία).
  2. Εγκλήματα σε σχέση με ψηφιακό περιεχόμενο – Ποινικά αδικήματα, που σχετίζονται με την διακίνηση παράνομου περιεχομένου μέσω συστημάτων πληροφοριών (πχ παιδική πορνογραφία).
  3. Εγκλήματα κατά πληροφοριακών συστημάτων – Ποινικά αδικήματα, που διαπράττονται κατά της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των πληροφοριακών συστημάτων και των ψηφιακών δεδομένων.

Συνεπώς, βασικό στοιχείο της διάπραξης κυβερνοεγκλημάτων είναι ο διασυνδεδεμένος σε σύστημα πληροφοριών ηλεκτρονικός υπολογιστής, είτε ως στόχος της επίθεσης, είτε ως το βασικό μέσο / εργαλείο της επίθεσης, είτε τέλος ως ένα βοηθητικό  μέσο / εργαλείο για τη διάπραξη της επίθεσης. Τα εγκλήματα κατά πληροφοριακών συστημάτων αποτελούν υποκατηγορία κυβερνοεγκλημάτων.

Χαρακτηριστικά Κυβερνοεγκλήματος
Το κυβερνοέγκλημα φέρει τα ακόλουθα χαρακτηριστικά, που καθιστούν την ποινική του δίωξη δυσχερή :

  • Ταχύτητα – Η διάπραξη των σχετικών πράξεων λαμβάνει χώρα σε ελάχιστο χρόνο και συχνά δεν γίνεται αντιληπτή από το θύμα.
  • Ευκολία – Η διάπραξη των σχετικών πράξεων είναι εύκολη και γίνεται από τον ηλεκτρονικό υπολογιστή και τον οικείο χώρο του δράστη.
  • Ανωνυμία – Η διάπραξη κυβερνοεγκλημάτων εκμεταλλεύεται την σχετική ανωνυμία, που προσφέρουν ορισμένες τεχνολογικές υποδομές του διαδικτύου.
  • Διασυνοριακός Χαρακτήρας – Οι προπαρασκευαστικές ενέργειες, οι πράξεις αλλά και τα αποτελέσματα του κυβερνοεγκλήματος συνήθως λαμβάνουν χώρα ταυτοχρόνως σε πολλές δικαιοδοσίες.
  • Δυσχέρεια στην Διερεύνηση – Ο διασυνοριακός χαρακτήρας αλλά και τα ψηφιακά ίχνη του κυβερνοεγκλήματος δυσχεραίνουν τη διερεύνηση και εξιχνίασή του.
  • Διακρατική Συνεργασία – Ο διασυνοριακός χαρακτήρας του κυβερνοεγκλήματος απαιτεί την διακρατική συνεργασία των διωκτικών αρχών.
  • Έλλειψη Επαρκούς Καταγραφής – Το μέγεθος των τελούμενων κυβερνοεγκλημάτων είναι δυσανάλογα μεγαλύτερο των καταγραφόμενων περιστατικών.

Ιδιωτικά Μέτρα Αυτοπροστασίας
Οι δυσχέρειες στην δίωξη και καταστολή των κυβερνοεγκλημάτων έχουν ωθήσει στη λήψη ιδιωτικών μέτρων αυτοπροστασίας, η ζήτηση για τα οποία έχει δημιουργήσει μία τεράστια βιομηχανία παροχής προϊόντων / υπηρεσιών ασφάλειας συστημάτων πληροφοριών.

Ο επικρατέστερος τρόπος προστασίας από επιθέσεις κατά συστημάτων πληροφοριών είναι η χρήση προϊόντων περιμετρικής ασφάλειας δικτύων και δικτυακών εφαρμογών, δηλαδή συστημάτων λογικής ασφάλειας που παρεμβάλλονται μεταξύ των συστημάτων πληροφοριών, που αποτελούν το αντικείμενο προστασίας, και του διαδικτύου. Τέτοια συστήματα αυτά διαθέτουν μηχανισμούς αποτροπής και εντοπισμού επιθέσεων όπως DDoS καθώς και αντίμετρα.

Ωστόσο, τέτοια προϊόντα δεν μπορούν να ανταπεξέλθουν σε επιθέσεις ευρείας κλίμακας. Πιο εκλεπτυσμένες τεχνικές αντιμετώπισης στηρίζονται στον διαχωρισμό μεταξύ κανονικής και κακόβουλης τηλεπικοινωνιακής κίνησης και στην απομάκρυνση της τελευταίας προς συστήματα απόκρουσης.

Ιστορική Αναδρομή της Νομικής Αντιμετώπισης
Το έτος 2001 τα κράτη-μέλη του Συμβουλίου της Ευρώπης υπέγραψαν την Σύμβαση για το Κυβερνοέγκλημα στη Βουδαπέστη [CETS No. 185, Budapest, 23.XI.2001, σε ισχύ από τις 01.07.2004]. Η Ελλάδα είναι συμβαλλόμενο κράτος στην εν λόγω διεθνή σύμβαση, ωστόσο μέχρι και σήμερα δεν την έχει κυρώσει και ενσωματώσει στην Ελληνική έννομη τάξη.

Το έτος 2004 η Ευρωπαϊκή Επιτροπή εξέδωσε την Ανακοίνωση “για μια ασφαλέστερη κοινωνία της πληροφορίας και τη βελτίωση της ασφάλειας των υποδομών πληροφόρησης και την καταπολέμηση του εγκλήματος πληροφορικής” [26/1/2001, COM (2000) 890], όπου αναγνώρισε την κρισιμότητα του κυβερνοεγκλήματος και την ανάγκη προστασίας των συστημάτων πληροφοριών.

Το έτος 2004 το Ευρωπαϊκό Συμβούλιο εξέδωσε την Απόφαση-Πλαίσιο 2005/222/ΔΕΥ, της 24ης Φεβρουαρίου 2005, για τις επιθέσεις κατά των συστημάτων πληροφοριών [ΕΕ L 69 της 16.3.2005, σ. 67], η οποία είχε ως στόχο την καταπολέμηση του κυβερνοεγκλήματος και την προώθηση της ασφάλειας πληροφοριών ιδιαίτερα σε σχέση με τις επιθέσεις κατά συστημάτων πληροφοριών. Η Ελλάδα δεν ενσωμάτωσε την προαναφερόμενη Απόφαση-Πλαίσιο στην Ελληνική έννομη τάξη.

Στο Ελληνικό δίκαιο, τα κυβερνοεγκλήματα τιμωρούνται μέχρι και σήμερα κατά βάση με τις διατάξεις του Ν. 1805/1988, ο οποίος είχε εισάγει στα άρθρα 370Β, 370Γ, 386Α του Ποινικού Κώδικα τα εγκλήματα που διαπράττονται με ηλεκτρονικούς υπολογιστές [computer crimes], εφόσον βέβαια τέτοια αδικήματα διαπράττονται επιγραμμικά [online]. Στην ελληνική νομοθεσία όμως, δεν υπάρχει νόμος που να αναφέρεται αποκλειστικά στο κυβερνοέγκλημα.

Με την υπ’ αρ. 94396/2015 ΥΑ (ΦΕΚ Β΄ 2892/30.12.2015) ο Υπουργός Δικαιοσύνης συνέστησε ειδική νομοπαρασκευαστική επιτροπή με αντικείμενο την τελική επεξεργασία σχεδίου νόμου για την προσαρμογή στο εσωτερικό δίκαιο των διατάξεων της Σύμβασης του Συμβουλίου της Ευρώπης για το Εγκλημα στον Κυβερνοχώρο, καθώς και του Πρόσθετου Πρωτοκόλλου αυτής σχετικά με την ποινικοποίηση πράξεων ρατσιστικής και ξενοφοβικής φύσεως, όπως επίσης και την τελική επεξεργασία διατάξεων για την ενσωμάτωση στην εθνική έννομη τάξη της Οδηγίας 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 12ης Αυγούστου 2013 για τις επιθέσεις κατά συστημάτων πληροφοριών. Στις 18-03-2016 τέθηκε σε δημόσια διαβούλευση το σχέδιο νόμου για την κύρωση της Σύμβασης του Συμβουλίου της Ευρώπης για το Κυβερνοέγκλημα και της Οδηγίας 2013/40/ΕΕ για τις επιθέσεις κατά συστημάτων πληροφοριών [“Σ/Ν”].

Νομικό Πλαίσιο
Σε διεθνές επίπεδο οι επιθέσεις κατά συστημάτων πληροφοριών ρυθμίζονται από τις σχετικές διατάξεις της Σύμβασης του Συμβουλίου της Ευρώπης για το Κυβερνοέγκλημα [CETS No. 185, Budapest, 23.XI.2001, σε ισχύ από τις 01.07.2004].

Σε Ενωσιακό επίπεδο οι επιθέσεις κατά συστημάτων πληροφοριών ρυθμίζονται από τις σχετικές διατάξεις της Οδηγίας 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 12ης Αυγούστου 2013 για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης-πλαισίου 2005/222/ΔΕΥ του Συμβουλίου («Οδηγία»).

Η Οδηγία αφήνει στη διακριτική ευχέρεια των κρατών-μελών να μην ποινικοποιήσουν τις  επιθέσεις κατά συστημάτων πληροφοριών, οι οποίες είναι ήσσονος σημασίας. Μία περίπτωση μπορεί να θεωρείται ήσσονος σημασίας όταν, παραδείγματος χάριν, οι ζημίες που προκαλεί το αδίκημα και/ή ο κίνδυνος για το δημόσιο ή το ιδιωτικό συμφέρον, όπως η ακεραιότητα ενός συστήματος υπολογιστών ή ηλεκτρονικών δεδομένων, ή η σωματική ακεραιότητα, τα δικαιώματά ή άλλα συμφέροντα ενός προσώπου, είναι αμελητέα ή τέτοιας φύσης ώστε δεν είναι απαραίτητη η επιβολή ποινικής κύρωσης εντός του νομικού ορίου ή η απόδοση ποινικής ευθύνης (σκέψη 11 της Οδηγίας).

Ορισμοί
Στην διεθνή και Ενωσιακή νομοθεσία δεν έχει νομοθετηθεί κοινά αποδεκτός ορισμός του εγκλήματος στον κυβερνοχώρο. Κατά συνέπεια, οι όροι «έγκλημα που διαπράττεται μέσω ηλεκτρονικών υπολογιστών» [computer crime], «ηλεκτρονικό έγκλημα» [electronic crime] ή «έγκλημα στον κυβερνοχώρο» [cybercrime] χρησιμοποιούνται κατ’ εναλλαγή, για να περιγράψουν «αξιόποινες πράξεις που διαπράττονται με χρήση [μέσω] ηλεκτρονικών δικτύων επικοινωνιών και συστημάτων πληροφοριών ή εναντίον αυτών των δικτύων και συστημάτων» [Ευρωπαϊκή Επιτροπή, Ανακοίνωση προς μία Γενική Πολιτική σχετικά με την Καταπολέμηση του Εγκλήματος στον Κυβερνοχώρο, COM(2007) 267, § 1.1].

Σύστημα πληροφοριών είναι η συσκευή ή ομάδα διασυνδεδεμένων ή σχετικών μεταξύ τους συσκευών, εκ των οποίων μια ή περισσότερες εκτελούν, σύμφωνα με ένα πρόγραμμα, αυτόματη επεξεργασία ψηφιακών δεδομένων, καθώς και τα ψηφιακά δεδομένα που αποθηκεύονται, αποτελούν αντικείμενο επεξεργασίας, ανακτώνται ή διαβιβάζονται από την εν λόγω συσκευή ή την ομάδα συσκευών με σκοπό τη λειτουργία, τη χρήση, την προστασία και τη συντήρησή τους. Η διασύνδεση των συσκευών μπορεί να γίνεται μέσω διαδικτύου ή χωρίς αυτό (άρθρα 13 § η’ ΠΚ και 2 § a της Οδηγίας).

Ψηφιακά δεδομένα είναι η παρουσίαση γεγονότων, πληροφοριών ή εννοιών σε μορφή κατάλληλη προς επεξεργασία από πληροφοριακό σύστημα, καθώς και το πρόγραμμα που παρέχει την δυνατότητα στο πληροφοριακό σύστημα να εκτελέσει μια λειτουργία (άρθρα 13 § θ’ ΠΚ και 2 § b της Οδηγίας).

Ως άρνηση Παροχής Υπηρεσίας ή Αποκεντρωμένη Άρνηση Παροχής Υπηρεσίας [Denial of Service (DoS) ή Distributed Denial of Service (DDoS)]  ορίζεται η τεχνική με την οποία υπηρεσίες και πόροι ενός υπολογιστή καθίστανται μη διαθέσιμοι στους προοριζόμενους χρήστες (άρθρο 2 της υπ’ αρ. 750/2/19-02-2015 Απόφασης της ΕΕΤΤ, ΦΕΚ 412/Β/24-03-2015). Η διαφορά απλής και αποκεντρωμένης επίθεσης έγκειται στο ότι η τελευταία λαμβάνει χώρα από περισσότερα σημεία εκκίνησης. Η συντριπτική πλειονότητα των επιθέσεων DdoS ανήκει στην κατηγορία των αποκεντρωμένων επιθέσεων. Μια επίθεση DDoS απαιτεί έναν αριθμό από ηλεκτρονικούς υπολογιστές [hardware], καθώς και, ειδικό λογισμικό [software] με το οποίο το hardware της επίθεσης προγραμματίζεται να αποστέλλει αλλεπάλληλες εντολές καταφόρτωσης [downloading] στον στόχο της επίθεσης. Τέλος, προϋποθέτει τον χειρισμό των όρων και των χαρακτηριστικών της επίθεσης από τον δράστη/ες αυτής.

Δίκτυα “botnets” είναι δίκτυα σημαντικού αριθμού ηλεκτρονικών υπολογιστών, που έχουν μολυνθεί με κακόβουλο λογισμικό και καθίστανται αντικείμενο εξ αποστάσεως ελέγχου από χειριστές άλλων ηλεκτρονικών υπολογιστών χωρίς τη γνώση ή την συνέργεια του ιδιοκτήτη τους (σκέψη 5 της Οδηγίας). Κατά την τέλεση αποκεντρωμένων επιθέσεων κατά συστημάτων πληροφοριών τέτοια δίκτυα χρησιμοποιούνται κατά κόρον, προκειμένου με τον κατάλληλο προγραμματισμό τους να εκτελούν επιθέσεις μεγάλης κλίμακας και μαζικότητας κατά των εκάστοτε στοχευόμενων πληροφοριακών συστημάτων.

Σκοπός και Προστατευόμενο Έννομο Αγαθό
Σκοπός [ratio legis] της ποινικής δίωξης των επιθέσεων κατά συστημάτων πληροφοριών μέσω της Οδηγίας είναι (α) η προσέγγιση του ποινικού δικαίου των κρατών μελών στον τομέα των επιθέσεων κατά συστημάτων πληροφοριών, καθιερώνοντας ελάχιστους κανόνες σχετικά με τον ορισμό των ποινικών αδικημάτων και των σχετικών κυρώσεων, και (β) η βελτίωση της συνεργασίας μεταξύ των αρμόδιων αρχών (σκέψη 1 της Οδηγίας).

Η Οδηγία ανάγει σε έννομο αγαθό, άξιο προστασίας από το ποινικό δίκαιο, την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των πληροφοριακών συστημάτων και των ψηφιακών δεδομένων. Συγκεκριμένα, σύμφωνα με το σκεπτικό της Οδηγίας τα συστήματα πληροφοριών είναι βασικό στοιχείο για την πολιτική, κοινωνική και οικονομική αλληλεπίδραση στην Ένωση. Η κοινωνία εξαρτάται σε υψηλό και αυξανόμενο βαθμό από τέτοια συστήματα. Η ομαλή λειτουργία και η ασφάλεια αυτών των συστημάτων στην Ένωση είναι ζωτικής σημασίας για την ανάπτυξη της εσωτερικής αγοράς και μιας ανταγωνιστικής και καινοτόμου οικονομίας. Η εξασφάλιση κατάλληλων επιπέδων προστασίας των συστημάτων πληροφοριών θα πρέπει να αποτελεί μέρος ενός αποτελεσματικού ολοκληρωμένου πλαισίου από μέτρα πρόληψης τα οποία συνοδεύουν τις απαντήσεις του ποινικού δικαίου στον κυβερνοχώρο (σκέψη 2 της Οδηγίας).

Επιπλέον, σύμφωνα με την Οδηγία η προσβολή ορισμένων υποδομών ζωτικής σημασίας, δηλαδή όσων η διακοπή ή η καταστροφή θα μπορούσε να έχει σημαντικό διασυνοριακό αντίκτυπο, κρίνεται ότι έχει αυξημένη απαξία και, συνεπώς, ότι πρέπει να αντιμετωπίζεται με αυστηρές ποινικές κυρώσεις που να αντανακλούν τη σοβαρότητα των επιθέσεων αυτών. Ως υποδομές ζωτικής σημασίας μπορούν να νοούνται τα περιουσιακά στοιχεία, συστήματα ή μέρη αυτών που ευρίσκονται εντός των κρατών μελών και τα οποία είναι ουσιώδη για τη διατήρηση των ζωτικών κοινωνιακών λειτουργιών, της υγείας, της ασφάλειας, της προστασίας της οικονομικής ή κοινωνικής ευημερίας, όπως εγκαταστάσεις παραγωγής ενεργείας, μεταφορικά δίκτυα ή κυβερνητικά δίκτυα, και η διακοπή ή η καταστροφή των οποίων θα είχε σημαντικό αντίκτυπο για ένα κράτος μέλος, ως αποτέλεσμα της αδυναμίας διατήρησης των λειτουργιών αυτών (σκέψη 3 της Οδηγίας).

Υπάρχει, τέλος, ρητή αναφορά στην Οδηγία ότι η απόδοση ποινικής ευθύνης για επιθέσεις κατά συστημάτων πληροφοριών συντρέχει αποκλειστικά και μόνο όταν τέτοια αδικήματα τελούνται με πρόθεση του δράστη. Αν δεν υφίσταται πρόθεση τέλεσης του σχετικού αδικήματος ως προς όλες τις διαστάσεις της αντικειμενικής του υπόστασης, τότε οι σχετικές πράξεις παραμένουν ατιμώρητες, όπως παραδείγματος χάριν όταν το πρόσωπο δεν γνωρίζει ότι απαγορεύεται η πρόσβαση ή στην περίπτωση εξουσιοδοτημένης δοκιμής ή προστασίας συστημάτων πληροφοριών, ενδεικτικά όταν μια εταιρεία ή ένας πωλητής αναθέτει σε ένα πρόσωπο να ελέγξει την ισχύ του συστήματος ασφαλείας του. Περαιτέρω, τα προβλεπόμενα στην Οδηγία ποινικά αδικήματα δεν περιλαμβάνουν την απόδοση ποινικής ευθύνης για πράξεις παραβίασης συμβατικών υποχρεώσεων ή συμφωνιών να περιορισθεί η πρόσβαση σε συστήματα πληροφοριών με τη μέθοδο της πολιτικής χρηστών ή όρων παροχής υπηρεσίας, καθώς και εργατικές διαφορές (σκέψη 17 της Οδηγίας).

Παράνομη Πρόσβαση σε Πληροφοριακό Σύστημα
Όποιος χωρίς δικαίωμα αποκτά πρόσβαση στο σύνολο ή τμήμα πληροφοριακού συστήματος, παραβιάζοντας απαγορεύσεις ή μέτρα ασφαλείας που έχει λάβει ο νόμιμος κάτοχός του, τιμωρείται με φυλάκιση (άρθρα 370Γ § 1 ΠΚ και 3 της Οδηγίας).

Αν η πράξη τελέσθηκε κατά πληροφοριακού συστήματος, το οποίο αποτελεί μέρος υποδομής για την προμήθεια του πληθυσμού με ζωτικής σημασίας αγαθά ή υπηρεσίες, προβλέπεται διακεκριμένο ποινικό αδίκημα, με βάση το οποίο ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον δύο ετών. Ως ζωτικής σημασίας αγαθά ή υπηρεσίες νοούνται ιδίως η εθνική άμυνα, η υγεία, οι συγκοινωνίες, οι μεταφορές και η ενέργεια (άρθρα 370Γ § 2 ΠΚ και 3 της Οδηγίας).

Ο παραπάνω πράξεις διώκονται ύστερα από έγκληση (άρθρα 370Γ § 3 ΠΚ και 3 της Οδηγίας).

Οι παραπάνω διατάξεις του Ποινικού Κώδικα καθιστούν ποινικό αδίκημα το hacking / cracking και κάθε είδους πρόσβαση σε συστήματα πληροφοριών χωρίς άδεια ανεξάρτητα από το είδος του σκοπού του δράστη και ανεξάρτητα από την επέλευση ή μη ζημίας. Έτσι, το Ελληνικό κράτος ποινικοποίησε και τις επιθέσεις ήσσονος σημασίας κατά συστημάτων πληροφοριών, μολονότι κάτι τέτοιο δεν συνιστούσε υποχρέωση κατά την Οδηγία. Εντούτοις, η απόφαση αυτή του νομοθέτη διακινδυνεύει την πρόοδο της επιστημονικής έρευνας για θέματα ασφάλειας πληροφοριών, επιδεινώνει την εγχώρια ασφάλεια των συστημάτων πληροφοριών και ποινικοποιεί ανεπίτρεπτα πράξεις κυβερνοακτιβισμού [hacktivism], που τελούνται για πολιτικούς / συμβολικούς λόγους δίχως να διακινδυνεύουν τη λειτουργία των συστημάτων πληροφοριών.

Σχετικά ποινικά αδικήματα ήδη προβλέπονται στο άρθρο 292Α ΠΚ, με το οποίο τιμωρείται η χωρίς δικαίωμα πρόσβαση σε σύνδεση ή σε δίκτυο παροχής υπηρεσιών τηλεφωνίας ή σε σύστημα υλικού ή λογισμικού, καθώς και στο άρθρο 370Α ΠΚ με το οποίο τιμωρείται η χωρίς δικαίωμα παρέμβαση σε δίκτυο ή σύστημα υλικού ή λογισμικού παρόχου ηλεκτρονικών επικοινωνιών.

Εγκλήματα κατά της Λειτουργίας των Πληροφοριακών Συστημάτων
Όποιος χωρίς δικαίωμα διακόπτει ή παρακωλύει ουσιωδώς τη λειτουργία πληροφοριακών συστημάτων εισάγοντας, διαβιβάζοντας, παραβλάπτοντας, διαγράφοντας, φθείροντας, αλλοιώνοντας ψηφιακά δεδομένα ή καθιστώντας ανέφικτη τη χρήση τους, τιμωρείται με φυλάκιση (άρθρα 292Β § 1 ΠΚ και 4 της Οδηγίας).

Αν από τις παραπάνω πράξεις προκλήθηκε ζημία σε σημαντικό αριθμό πληροφοριακών συστημάτων, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον ενός έτους (άρθρα 292Β § 2 ΠΚ και 4 της Οδηγίας).

Αν η τέλεση της παραπάνω πράξης έλαβε χώρα στο πλαίσιο λειτουργίας δομημένης και με διαρκή δράση ομάδας αποτελούμενης από τρία ή περισσότερα πρόσωπα, που επιδιώκει οικονομικό ή άλλο υλικό όφελος, ή αν η βλάβη που προκλήθηκε ήταν σημαντική, συντρέχει επιβαρυντική περίσταση, λόγω της οποίας το σχετικό αδίκημα τιμωρείται με φυλάκιση τουλάχιστον δύο ετών (άρθρα 292Β § 3 ΠΚ και 4 της Οδηγίας).

Αν ο υπαίτιος τέλεσε την παραπάνω πράξη κατά πληροφοριακού συστήματος, το οποίο αποτελεί μέρος υποδομής για την προμήθεια του πληθυσμού με ζωτικής σημασίας αγαθά ή υπηρεσίες, συντρέχει επιβαρυντική περίσταση, λόγω της οποίας το σχετικό αδίκημα τιμωρείται με κάθειρξη. Ως ζωτικής σημασίας αγαθά ή υπηρεσίες νοούνται ιδίως η εθνική άμυνα, η υγεία, οι συγκοινωνίες, οι μεταφορές και η ενέργεια (άρθρα 292Β § 4 ΠΚ και 4 της Οδηγίας).

Οι παραπάνω διατάξεις του Ποινικού Κώδικα καθιστούν ποινικό αδίκημα τις επιθέσεις κατά συστημάτων πληροφοριών, αποκεντρωμένες ή μη [DoS & DDoS], και επομένως και σχετικές πράξεις κυβερνοακτιβισμού [hacktivism], που τελούνται για πολιτικούς / συμβολικούς λόγους, εφόσον προσβάλλουν ουσιωδώς τη λειτουργία συστημάτων πληροφοριών.

Μολονότι κάτι τέτοιο προβλέπεται στην Οδηγία (άρθρο 9 § 5 της Οδηγίας), ο σχετικός νόμος, που ενσωματώνει την Οδηγία, δεν ανάγει σε αυτό το άρθρο την κλοπή ταυτότητας [identity theft] σε ποινικό αδίκημα κατά της λειτουργίας συστημάτων πληροφοριών, δηλαδή την υφαρπαγή δεδομένων προσωπικού χαρακτήρα άλλου προσώπου, προκειμένου να αποκτηθεί η εμπιστοσύνη τρίτων, και, ως εκ τούτου, προκαλούν ζημία στον νόμιμο δικαιούχο της ταυτότητας.

Παράνομη Παρεμβολή σε Ψηφιακά Δεδομένα
Όποιος με πρόθεση καταστρέφει, εξαλείφει, διαγράφει, αλλοιώνει ψηφιακά δεδομένα, καθιστά ανέφικτη τη χρήση τους ή με οποιονδήποτε τρόπο αποκλείει την πρόσβαση σε αυτά, τιμωρείται με φυλάκιση μέχρι τριών ετών (άρθρα 381Α § 1 ΠΚ και 5 της Οδηγίας).

Αν η ζημία που προκλήθηκε από τις πράξεις της παραγράφου 1 είναι ελαφρά, ο υπαίτιος τιμωρείται με χρηματική ποινή ή με φυλάκιση μέχρι έξι μηνών (άρθρα 381Α § 2 ΠΚ και 5 της Οδηγίας).

Αν από τις πράξεις της παραγράφου 1 προκλήθηκε ζημία σε σημαντικό αριθμό πληροφοριακών συστημάτων, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον ενός έτους (άρθρα 381Α § 3 ΠΚ και 5 της Οδηγίας).

Οι πράξεις των παραγράφων 1 και 3 τιμωρούνται με φυλάκιση τουλάχιστον δύο ετών, αν τελέστηκαν στο πλαίσιο λειτουργίας δομημένης και με διαρκή δράση ομάδας αποτελούμενης από τρία ή περισσότερα πρόσωπα που επιδιώκει οικονομικό ή άλλο υλικό όφελος ή αν η περιουσιακή ζημία που προκλήθηκε είναι ιδιαίτερα μεγάλη (άρθρα 381Α § 4 ΠΚ και 5 της Οδηγίας).

Αν η πράξη τελέσθηκε κατά πληροφοριακού συστήματος, το οποίο αποτελεί μέρος υποδομής για την προμήθεια του πληθυσμού με ζωτικής σημασίας αγαθά ή υπηρεσίες τότε τελείται διακεκριμένο αδίκημα για το οποίο επιβάλλεται κάθειρξη. Ως ζωτικής σημασίας αγαθά ή υπηρεσίες νοούνται ιδίως η εθνική άμυνα, η υγεία, οι συγκοινωνίες, οι μεταφορές και η ενέργεια (άρθρα 381Α § 5 ΠΚ και 5 της Οδηγίας).

Οι παραπάνω πράξεις διώκονται ύστερα από έγκληση (άρθρα 381Α § 6 ΠΚ και 5 της Οδηγίας).

Οι παραπάνω διατάξεις του Ποινικού Κώδικα καθιστούν ποινικό αδίκημα τις επιθέσεις με ιούς και κακόβουλο λογισμικό. Μέχρι πρότινος, τέτοιες πράξεις τιμωρούνταν από την Ελληνική νομοθεσία με τη διάταξη του άρθρου 381 ΠΚ περί φθοράς ξένης ιδιοκτησίας. Σχετικά ποινικά αδικήματα προβλέπονται στο άρθρο 15 του Ν. 3471/2006 για πράξεις αφαίρεσης, αλλοίωσης, καταστροφή δεδομένων συνδρομητών ή χρηστών υπηρεσιών ηλεκτρονικών επικοινωνιών καθώς και στο άρθρο 22 § 4 Ν 2472/1997 αναφορικά με δεδομένα προσωπικού χαρακτήρα.

Μολονότι κάτι τέτοιο προβλέπεται στην Οδηγία (άρθρο 9 § 5 της Οδηγίας), ο σχετικός νόμος, που ενσωματώνει την Οδηγία, δεν ανάγει ούτε σε αυτό το άρθρο την κλοπή ταυτότητας [identity theft] σε ποινικό αδίκημα κατά της λειτουργίας συστημάτων πληροφοριών, δηλαδή την υφαρπαγή δεδομένων προσωπικού χαρακτήρα άλλου προσώπου, προκειμένου να αποκτηθεί η εμπιστοσύνη τρίτων, και, ως εκ τούτου, προκαλούν ζημία στον νόμιμο δικαιούχο της ταυτότητας.

Παράνομη Υποκλοπή Ψηφιακών Δεδομένων
Όποιος αθέμιτα παρακολουθεί ή αποτυπώνει σε υλικό φορέα μη δημόσιες διαβιβάσεις δεδομένων ή ηλεκτρομαγνητικές εκπομπές από, προς ή εντός πληροφοριακού συστήματος ή παρεμβαίνει με τεχνικά μέσα σε αυτές, με σκοπό ο ίδιος ή άλλος να πληροφορηθεί το περιεχόμενό τους, τιμωρείται με κάθειρξη μέχρι δέκα ετών (άρθρα 370Δ § 1 ΠΚ και 6 της Οδηγίας).

Με κάθειρξη μέχρι δέκα ετών τιμωρείται όποιος κάνει χρήση της πληροφορίας ή του υλικού φορέα επί του οποίου αυτή έχει αποτυπωθεί με τους τρόπους που προβλέπεται στην παράγραφο 1 (άρθρα 370Δ § 2 ΠΚ και 6 της Οδηγίας).

Αν οι πράξεις των παραγράφων 1 και 2 συνεπάγονται παραβίαση στρατιωτικού ή διπλωματικού απορρήτου ή αφορούν απόρρητο που αναφέρεται στην ασφάλεια του Κράτους σε καιρό πολέμου τιμωρούνται για παραβίαση μυστικών της πολιτείας, που επισύρει ποινή κάθειρξης μέχρι δέκα ετών (άρθρα 370Δ § 3 ΠΚ και 6 της Οδηγίας).

Η υποκλοπή περιλαμβάνει, ενδεικτικά, την ακρόαση, έλεγχο ή επιτήρηση του περιεχομένου των επικοινωνιών και παροχή του περιεχομένου των δεδομένων είτε άμεσα, με πρόσβαση και χρήση των συστημάτων πληροφοριών, είτε έμμεσα με τη χρήση ηλεκτρονικής συνακρόασης ή συσκευών παγίδευσης με τεχνικά μέσα (σκέψη 9 της Οδηγίας).

Σχετικά ποινικά αδικήματα προβλέπονται στα άρθρα 292Α, 370Α, 370Β και 370Γ ΠΚ, στο άρθρο 15 του Ν. 3471/2006 για πράξεις αφαίρεσης, αλλοίωσης, καταστροφή δεδομένων συνδρομητών ή χρηστών υπηρεσιών ηλεκτρονικών επικοινωνιών, στα άρθρα 22 § 4 Ν 2472/1997 και 4 και 15 Ν 3471/2006 αναφορικά με δεδομένα προσωπικού χαρακτήρα, στο άρθρο 10 του Ν. 3115/2003 για την παραβίαση του απορρήτου των επικοινωνιών.

Εγκλήματα σε Σχέση με Εργαλεία για την Τέλεση Κυβερνοεγκλημάτων
Με φυλάκιση μέχρι δύο ετών τιμωρείται όποιος χωρίς δικαίωμα παράγει, πωλεί, προμηθεύεται προς χρήση, εισάγει, διανέμει ή με άλλο τρόπο διακινεί : (α) συσκευές ή προγράμματα υπολογιστή, σχεδιασμένα ή προσαρμοσμένα κυρίως για τον σκοπό της διάπραξης των εγκλημάτων του άρθρου 292Β, (β) συνθηματικά ή κωδικούς πρόσβασης ή άλλα παρεμφερή δεδομένα με την χρήση των οποίων είναι δυνατόν να αποκτηθεί πρόσβαση στο σύνολο ή μέρος ενός πληροφοριακού συστήματος, για τον σκοπό της διάπραξης των εγκλημάτων του άρθρου 292Β (άρθρα 292Γ § 1 ΠΚ και 7 της Οδηγίας).

Με φυλάκιση μέχρι δύο ετών ή με χρηματική ποινή, τιμωρείται όποιος κατέχει αντικείμενα ή δεδομένα από τα αναφερόμενα στις περιπτώσεις α) και β) της παραγράφου 1, με σκοπό να διαπράξει τα εγκλήματα του άρθρου 292Β (άρθρα 292Γ § 2 ΠΚ και 7 της Οδηγίας).

Με φυλάκιση μέχρι δύο ετών τιμωρείται όποιος χωρίς δικαίωμα παράγει, πωλεί, προμηθεύεται προς χρήση, εισάγει, διανέμει ή με άλλο τρόπο διακινεί: α) συσκευές ή προγράμματα υπολογιστή, σχεδιασμένα ή προσαρμοσμένα κυρίως για τον σκοπό της διάπραξης κάποιου από τα εγκλήματα των άρθρων 370Β, 370Γ και 370Δ, β) συνθηματικά ή κωδικούς πρόσβασης, ή άλλα παρεμφερή δεδομένα με την χρήση των οποίων είναι δυνατόν να αποκτηθεί πρόσβαση στο σύνολο ή μέρος ενός πληροφοριακού συστήματος, για τον σκοπό της διάπραξης κάποιου από τα εγκλήματα των άρθρων 370Β, 370Γ και 370Δ (άρθρα 370Ε § 1 ΠΚ και 7 της Οδηγίας).

Με φυλάκιση μέχρι δύο ετών ή με χρηματική ποινή, τιμωρείται όποιος κατέχει αντικείμενα ή δεδομένα από τα αναφερόμενα στις περιπτώσεις α) και β) της παραγράφου 1, με σκοπό να διαπράξει κάποιο από τα εγκλήματα των άρθρων 370Β, 370Γ και 370Δ (άρθρα 370Ε § 2 ΠΚ και 7 της Οδηγίας).

Με φυλάκιση μέχρι δύο ετών, τιμωρείται όποιος χωρίς δικαίωμα παράγει, πωλεί, προμηθεύεται προς χρήση, εισάγει, διανέμει ή με άλλο τρόπο διακινεί: α) συσκευές ή προγράμματα υπολογιστή, σχεδιασμένα ή προσαρμοσμένα κυρίως για τον σκοπό της διάπραξης κάποιου από τα εγκλήματα του άρθρου 381Α, β) συνθηματικά ή κωδικούς πρόσβασης, ή άλλα παρεμφερή δεδομένα με την χρήση των οποίων είναι δυνατόν να αποκτηθεί πρόσβαση στο σύνολο ή μέρος ενός πληροφοριακού συστήματος, για τον σκοπό της διάπραξης κάποιου από τα εγκλήματα του άρθρου 381Α § 1, 3, 4 και 5 (άρθρα 381Β § 1 ΠΚ και 7 της Οδηγίας).

Με φυλάκιση μέχρι δύο ετών ή με χρηματική ποινή, τιμωρείται όποιος κατέχει αντικείμενα ή δεδομένα από τα αναφερόμενα στις περιπτώσεις α΄ και β΄ της παραγράφου 1, με σκοπό να διαπράξει κάποιο από τα εγκλήματα των άρθρων 381Α (άρθρα 381Β § 2 ΠΚ και 7 της Οδηγίας).

Οι παραπάνω διατάξεις του Ποινικού Κώδικα καθιστούν ποινικό αδίκημα τις προπαρασκευαστικές των προηγούμενων εγκλημάτων πράξεις, όπως η χρήση δικτύων botnets. Σε επίπεδο ισχύοντος εθνικού δικαίου, θα μπορούσε να εφαρμοσθεί η διάταξη του άρθρου 9 § 6 Ν 3674/2008, σύμφωνα με την οποία: «Όποιος αθέμιτα διαθέτει στο εμπόριο ή με άλλον τρόπο προσφέρει προς εγκατάσταση ειδικά τεχνικά μέσα για την τέλεση των πράξεων της παραγράφου 1 [άρ. 292Α – χωρίς δικαίωμα πρόσβαση σε δίκτυο ή σύστημα παρόχου] ή δημόσια διαφημίζει ή προσφέρει τις υπηρεσίες του για την τέλεση τους, τιμωρείται με φυλάκιση τουλάχιστον ενός έτους και χρηματική ποινή από 10.000 μέχρι 50.000 ευρώ» καθώς και η διάταξη του άρθρου 394 ΠΚ περί αποδο- χής προϊόντων εγκλήματος, υπό την προϋπόθεση ότι ο π.χ. κωδικός, έχει αφαιρε- θεί παρανόμως από αρχείο προσωπικών δεδομένων.

Προς αποφυγή της ποινικοποίησης της έρευνας στον τομέα της ασφάλειας πληροφοριών προβλέπεται ότι τιμωρείται η παραγωγή και διάθεση των εν λόγω εργαλείων, εφόσον όμως υφίσταται πρόθεση να χρησιμοποιηθούν τέτοια προγράμματα λογισμικού για τη διάπραξη κάποιου από τα εγκλήματα που αναφέρθηκαν παραπάνω (σκέψη 16 της Οδηγίας). Έτσι, δεν θα τελείται σχετικό ποινικό αδίκημα όταν τέτοια πρόθεση δεν συντρέχει, όπως στην περίπτωση επιστήμονα ή white hacker που ελέγχει την ισχύ ενός συστήματος ασφάλειας πληροφοριών είτε κατόπιν άδειας είτε για τον σκοπό προόδου της επιστήμης (σκέψη 17 της Οδηγίας).

Δικαιοδοσία
Η δικαιοδοσία ενός κράτους-μέλους της ΕΕ αναφορικά με την δίωξη εγκλημάτων κατά συστημάτων πληροφοριών θεμελιώνεται, εφόσον το αδίκημα έχει διαπραχθεί εν όλω ή εν μέρει στο έδαφος του οικείου κράτους μέλους ή από υπηκόους τους, τουλάχιστον σε περιπτώσεις κατά τις οποίες η πράξη θεωρείται ποινικό αδίκημα στον τόπο όπου έχει διαπραχθεί (άρθρα 22 Σ/Ν και 12 της Οδηγίας).

Κατόπιν ενημέρωσης της Ευρωπαϊκής Επιτροπής, κράτος-μέλος έχει το δικαίωμα να θεσπίσει τη δικαιοδοσία του αναφορικά με την δίωξη εγκλημάτων κατά συστημάτων πληροφοριών, εφόσον ο δράστης διαπράττει το αδίκημα, ενώ βρίσκεται στο έδαφος του οικείου κράτους μέλους, ανεξάρτητα από το εάν το αδίκημα στρέφεται κατά συστήματος πληροφοριών στο έδαφός του, ή εφόσον το αδίκημα στρέφεται κατά συστήματος πληροφοριών στο έδαφος του οικείου κράτους μέλους, ανεξάρτητα αν ο δράστης διαπράττει το αδίκημα ευρισκόμενος στο έδαφός του.

Περισσότερα
Σύμβαση του Συμβουλίου της Ευρώπης για το Κυβερνοέγκλημα [CoE Cybercrime Convention].
Ευρωπαϊκή Επιτροπή, Ανακοίνωση προς μία Γενική Πολιτική σχετικά με την Καταπολέμηση του Εγκλήματος στον Κυβερνοχώρο, COM(2007) 267.
Οδηγία 2013/40/ΕΕ για τις επιθέσεις κατά συστημάτων πληροφοριών.
Υπό διαβούλευση Σ/Ν για την κύρωση της Σύμβασης του Συμβουλίου της Ευρώπης για το Κυβερνοέγκλημα και της Οδηγίας 2013/40/ΕΕ για τις επιθέσεις κατά συστημάτων πληροφοριών.

Antonios Broumas
E-mail info@lawandtech.eu

Leave a Reply

Your email address will not be published. Required fields are marked *