Atsakomybės už informacijos grobimą problemos
Atsakomybė už kompiuterinės informacijos grobimą savaime yra problema. Taigi ar informacijos grobimą galima laikyti nusikaltimu ar tai yra administracinis pažeidimas o gal tai išvis teisės nesaugomas dalykas? Tai vienas iš daugelio klausimų iškylančių nagrinėjant šią temą. Lietuvos teisėje už su informacija susijusias veikas yra numatyta atsakomybė tik keliuose straipsniuose iš kurių dar mažiau yra susiję su informacijos grobimu. Taigi “norint įvertinti žmogaus elgesį kaip nusikalstamą ar nenusikalstamą, baudžiamojoje teisėje naudojamas nusikaltimo sudėties modelis”.
Toliau pabandysime panagrinėti informacijos grobimą pagal nusikaltimo sudėties elementus.
OBJEKTAS
Lietuvos baudžiamojoje teisėje nusikaltimo objektu yra laikomos baudžiamojo įstatymo saugomos vertybės. Toks apibrėžimas pilnai tinka formaliam požiūriui į nusikaltimą išreikšti. Tačiau technologijų vystymasis, o ypač kompiuterinių nestovi vietoje o priešingai labai sparčiai vystosi. Todėl atsiranda naujų vertybių ir visuomeninių santykių kurie dar nesureguliuoti įstatymais. Tada kėsinimasis yra pavojingas visuomenei ir jos vertybėms, tačiau kadangi šie santykiai nėra teisiškai sureguliuoti, gali atsirasti pavojingų, žalingų veikų su nepageidautinomis pasekmėmis kurios nėra laikomos nusikaltimais. Yra toks posakis ” Ko įstatymas nedraudžia, tai jis leidžia” tai sudaro nebaudžiamumo prielaidą už tam tikrus veiksmus kompiuteriu sukeliančius žalą.
Šio diplominio nagrinėjimo tema yra informacijos grobimas, tačiau ar informacija gali būti grobimo objektu? Į šį klausimą galima pasiūlyti tokią informacijos kaip grobimo objekto analizę. Lietuvos Baudžiamojoje teisėje grobimas yra suprantamas kaip Neteisėtas, neatlygintinas svetimo turto paėmimas iš teisėtos savininko nuosavybės ir pavertimas savo ar kitų asmenų nuosavybe. Pažiūrėjus į šią sampratą atrodo, kad viskas tuo yra paaiškinama tačiau ar informaciją galima laikyti turtu? Ši problema iškyla todėl, kad kompiuterinė informacija neturi materialios išraiškos t.y. jos negalima pasverti ir negalima įvertinti pagal standartinius materialaus turo vertinimo kriterijus. Tačiau kaip analogiją galima paimti tokį faktą minimą baudžiamojo kodekso komentaruose kaip elektros ir šiluminę energiją. Jos taip pat neturi materialios išraiškos bet gali būti grobimo objektu. Tai labai akivaizdžiai paaiškinama K. Jovaišos LR Baudžiamojo kodekso nusikaltimų nuosavybei komentare: “Atribojant grobimą nuo kitų veikų kuriomis siekiama turtinės naudos, reikia vadovautis ne tuo ar nusikalstamo kėsinimosi objektas turi fizinę substanciją ir užima tam tikrą vietą erdvėje, o tuo, ar jis turi vartojamą vertę ir prekinę – piniginę išraišką “. Informaciją priklausomai nuo turinio turi vertę ir kartais daug didesnę nei daugelis grobimo objektų. Tai labai akivaizdžiai matoma aukščiau apžvelgtame įvykyje, kai kompiuterinės įrangos vagystė iš Vilniaus regiono kadastro ir geodezijos centro, kurios vertė tesudarė vieną trečiąją prarastos informacijos vertės. Informacijos kaip vertybės pavyzdžiu galima laikyti Autorinės teisės saugomus objektus ir ” Know how ”
“Know- how” yra ypatingas intelektualinės nuosavybės objektas. Lietuviškai šis terminas reikštų “žinau kaip”.Įvairių šalių teisiniuose aktuose ši sąvoka apibūdinama įvairiais kriterijais. “Know-how” yra tam tikrų žinių sankaupa, dažniausiai konfidencialių, kuri įmonei rinkos sąlygomis leidžia efektyviai plėtoti savo komercinę, finansinę, gamybinę, administracinę bei kitą veiklą.
“Know-how” priskirtinos ir žinios apie sukurtą išradimą, kol nepaduota paraiška patentui gauti. Šiandien teisės į “know- how” nėra patvirtinamos jokiais dokumentais. Pats tokių žinių savininkas turi rūpintis, kad jos būtų saugomos ir viešai neprieinamos. Ir be to, jos turi turėti potencialią ekonominę vertę, susijusią su jų slaptumu.
OBJEKTYVIOJI PUSĖ
Teisėje yra nemažai grobimo būdų iš kurių vieną šiame diplominiame darbe nagrinėsime.
Taigi priėjome išvadą, kad galima informaciją laikyti turtu pagal aukščiau išdėstytus požymius tačiau taip pat yra akivaizdu kad informacija labai išsiskiria iš kitų turto rūšių savo specifika. Pati informacijos grobimo veika išsiskiria savo specifika. Veiką galėtume apibudinti kaip grupę veiksmų dirbant su kompiuteriu tiesiogiai siekiant gauti iš jo informaciją arba pasinaudojant kompiuteriu kaip priemone gauti tinkle cirkuliuojančią informaciją ar išgauti ją iš kompiuterinės laikmenos.
Nagrinėjant atsakomybę teisėje iškyla veikos ir pasekmių problema. T.y. ar tam tikrais veiksmais kompiuterio ar kitos specialios įrangos pagalba asmuo galėjo sukelti tam tikras pasekmes. Nustatyti priežastinį ryšį tarp asmens veikos ir pasekmių yra labai sunku tačiau dar sunkiau jį įrodyti.
Kaip pavyzdį galime pateikti tokią situaciją:
Asmuo dirbdamas tinkle paspaudęs pelės žymekliu tam tikrą piktogramą atsitiktinai patenka į autorizuotą duomenų banką kuriame saugoma tam tikra viešai neskelbtina informacija. Asmuo šią informaciją peržiūri ir nusikopijavęs keletą bylų išeina. Kad patektų prie minėtos informacijos asmuo neatliko jokių specialių veiksmų ir jo patekimas buvo tiesiog kompiuterinės programos klaida ar atsitiktinumas.
Šioje situacijoje iškyla daug problemų. Pirma ar galima asmens veiksmus ir dėl jų kilusias pasekmes susieti tiesioginiu priežastiniu ryšiu? Ar reikalingos pasekmės, o gal informacijos grobimą reikėtų laikyti formalia nusikaltimo sudėtimi? Manyčiau, kad žala yra reikalinga kvalifikavimui kai informacija kuri yra grobiama nėra priskirtina valstybės paslaptims arba nėra renkama užsienio valstybės pavedimu. Žalos pagalba galima diferencijuoti atsakomybės laipsnį ir dydį. Pavyzdžiui LR Baudžiamojo kodekso 274 straipsnyje, antroje dalyje minimas sukčiavimas kompiuterio pagalba, o trečioje minimas stambus mastas t.y. ir žala. Todėl kvalifikuojant jai bus trečioje dalyje minima aplinkybė (stambus mastas) pagal ją ir bus kvalifikuojama.
Kalbant apie pasekmes tai jos ne visada yra būtinos. Jai yra pagrobiama slapta valstybinė informacija (atsakomybė numatyta LR Baudžiamajame kodekse 63 str.) tai žala yra nebūtina, o pakanka tik veiksmų. Šiuo atveju nusikaltimo objektas yra Lietuvos Respublikos valstybės saugumas. Taigi priklausomai nuo informacijos pobūdžio gali skirtis ir asmens veikos kvalifikavimas.
Pasekmės tai galima pasakyti kokią žalą padaro informacijos grobimas. Pateiksime literatūroje minimą faktą dėl kompiuterinių nusikaltimų pavojingumo ir žalingumo: “Vienu nusikaltimu elektroninio sukčiavimo būdu vidutiniškai pagrobiama apie 500.000 JAV dolerių, kai tuo tarpu paprastas sukčius vidutiniškai apsuka 23.000 JAV dolerių.” Ne labai menkesnę žalą turėtų sukelti ir informacijos grobimas, be to įmonė paskelbdama, kad iš jos buvo pagrobta vertinga informacija taip pat rizikuoja įgyti nesaugios, nepatikimos reputaciją. Ypač tai aktualu pramoniniame šnipinėjime. LR BK 317 str. numato Pramoninį šnipinėjimą toliau jį ir pacituosime:
Pramonine paslaptimi įmonėje esančios informacijos apie joje vykdomus tyrimus, ruošiamus gamybai ar gaminamus pavyzdžius, naudojamą technologiją, ruošiamus susitarimus su kitais partneriais rinkimas neteisėtai patenkant prie informacijos šaltinių ar naudojant specialius prietaisus informacijai rinkti, jei minėti veiksmai daromi norint gautą informaciją perduoti kitiems asmenims ar įmonėms arba pasinaudoti ja pačiam savo ūkinėje veikloje.
Šiame straipsnyje išvardina informaciją į kurią pasikėsinus veiksmai bus laikomi atitinkantys šio nusikaltimo dispoziciją. Šiuo atveju įstatymų leidėjas numatydamas specialius įtaisus informacijai rinkti jų nedetalizuoja, todėl manyčiau, kad kompiuterį taip pat galima laikyti specialiu įtaisu kompiuterinei informacijai gauti.
Siekiant nustatyti žalą padarytą kompiuteriniu nusikaltimu, tame tarpe ir kompiuterinės informacijos grobimu siūlytina pasinaudoti ekspertų pagalba, tačiau žalos sukeltos kompiuterinės informacijos grobimu atlyginimas bus sprendžiamas LR BPK numatyta tvarka nagrinėjant baudžiamąją bylą.
Kaip fakultatyvų tačiau labai reikšmingą požymį būtina paminėti nusikaltimo vietą. Nuo šio požymio gali priklausyti visas bylos tyrimas. Kaip pavyzdį galime pateikti vieną su šiuo nusikaltimo sudėties elementu susijusią problematišką bylą:
1994 metais V. Levin`as būdamas Rusijoje tinklo pagalba įsilaužė į užsienyje (JAV) esantį Citibank`ą ir elektroniniu būdu pervedė 2,78 milijonus dolerių. Knygoje neminima kokiu būdu pavyko įsilaužti į banką ir kaip FTB (Federalinio tyrimų biuro) agentams pavyko nustatyti tai įvykdžiusį asmenį, tačiau tuo metu Rusijos Federacijos Baudžiamajame kodekse nebuvo tokio nusikaltimo ir minėtą asmenį buvo atsisakyta išduoti JAV. Kiek vėliau V. Levin’ui kertant Didžiosios Britanijos sieną jis buvo sulaikytas ir išduotas JAV.
Kaip matome nusikaltimo vieta gali būti toli nuo pasekmių kilimo vietos, net ir užsienyje, ir asmens veiksmus mūsų šalyje ir užsienio valstybėje gali traktuoti skirtingai kas gali būti didele kliūtimi patraukti asmenį atsakomybėn už padarytą nusikaltimą.
Vietos problema iškyla ir tiriant nusikaltimą bei nustatant asmenį padariusį nusikaltimą. Informacijos grobimo tyrimo metu jai pavyksta, yra nustatomas kompiuteris iš kurio yra įvykdytas informacijos grobimas, tačiau tai ne visada nurodo asmenį padariusį nusikaltimą. Gerai jai asmenys dirbantys kompiuteriu yra registruojami nurodant laiką nuo kada iki kada asmuo dirbo, tačiau jai tai neregistruojama o su kompiuteriu gali dirbti daugelis žmonių? Tada kaltininko nustatymas pasidaro dar sunkesnis. Bet tai jau yra operatyvinės veiklos problema iš asmenų galėjusių dirbti su kompiuteriu rato išskirti asmenį padariusį nusikaltimą ir įrodinėjimo problema nes asmens kaltumą reikia įrodyti remiantis Baudžiamojo proceso kodekso normomis.
SUBJEKTAI
Teisėje subjektu laikomas fizinis asmuo sulaukęs įstatymo nustatyto amžiaus ir atitinkantis kitus įstatymų numatytus kriterijus. Informacijos grobimo subjektas yra specifiškas todėl jį toliau ir panagrinėsime.
Asmenis kurie daro tokio tipo nusikaltimus galima vadinti “hakeriais ” (angl. hacker). Jie yra kompiuterinio tinklo vartotojai užsiimantys priėjimo prie kompiuterių, duomenų bazių ar saugomos informacijos neteisėtų kelių paieška. Pateiksime vieną tezę iš “hakerių” etikos kodekso “Informacija priklauso visiems. Pagrindinė užduotis – sukurti ir paskleisti žinias, o ne jas slėpti “. Iš tezės matome kad informacijos grobimas hakerių tarpe ne tik nelaikomas neetišku bet yra net gi skatinamas. Todėl kiekvienas hakeris norėdamas įrodyti sau ir aplinkiniams savo meistriškumą tikrai pabando įsilaužti į kokią nors saugomą duomenų bazę ir pagrobti neviešą informaciją. O kad apie tai sužinotų kiti, kartais tą informaciją paskelbia Internete kokiame nors hakerių lankomame puslapyje.
Literatūroje pateikiami tokie skaičiai apie nusikaltėlių amžių: Amžius svyruoja nuo 15 iki 45 metų iš jų 33% nusikaltimą padarė iki 20 metų amžius 54% nusikaltimą padarė būdami nuo 20 iki 40 metų amžiaus ir 13% amžius viršijo 40 metų.
Kitoje literatūroje yra netgi minimas jauniausias kompiuterinio nusikaltėlio amžius yra 12 metų.
Apie iš jų tarpo padariusių nusikaltimą ir išaiškintų asmenų išsilavinimą ir intelektą literatūroje pateikiami tokie skaičiai:
“Daugumos nusikaltėlių, net 77% padariusių nusikaltimus turėjo vidutinį intelekto lygį, 21% aukštesnį nei vidutinį intelekto lygį ir tik 2% žemesnį negu vidutinį intelekto lygį. Be to 40% turėjo specialų susijusį su informatika vidurinį išsilavinimą ir aukštesnįjį išsilavinimą, bei 20% aukštąjį”.
Kad susidarytų aiškesnis pateiktų statistinių duomenų suvokimas pateiksime jų grafinį atvaizdavimą:
Taip pat yra literatūroje išskiriamos kelios nusikaltėlių grupės pagal asmeninių savybių požymius:
Asmenys kurie yra kompiuterinės technikos, programavimo profesionalai – fanatikai laikantys bet kokias apriboto patekimo kompiuterines sistemas iššūkiu sau ir dedantys pastangas jas įveikti. Jie savo neteisėtų veiksmų dažniausiai nemaskuoja ir net palieka pėdsakus kuriuos kiti aptiktų ir suprastų, kad ši apsaugos sistema buvo įveikta. Tuo jie siekia parodyti savo profesionalumą, sugebėjimus. Pateiksime keletą panašių veiksmų pavyzdžių: 1996 m balandį nuo hakerių nukentėjo Niujorko (New York) Policijos departamento balso paštas kuris visiems skambinusiems atsakinėjo jog policija perdaug užsiėmusi pietumis, kad atsakinėtų į skambučius pagalbos reikia kreiptis telefonu 911 arba Malaizijoje valstybinės telekomunikacijų kompanijos puslapyje stambiomis raidėmis buvo parašyta “This site has been hacked!!!”, o jį ištrynus kitą dieną dar vienas užrašas “This site has been hacked again” . Tai žinoma pajuokavimai, bet nuo jų pereinama ir prie rimtesnių ir pavojingesnių nusikaltimų. Dažnai šios kategorijos asmenis privilioja įvairios nusikalstamo pasaulio grupuotės kurioms dirbdamas (darydamas nusikaltimus) toks žmogus padaro labai daug žalos.
Asmenys psichiškai sergantys taip vadinamomis kompiuterinėmis fobijomis. Šių fobijų pasekmės dažniausiai pasireiškia duomenų sunaikinimu ar sugadinimu.
Trečiajai grupei priklauso asmenys kuriuos galima laikyti profesionaliais kompiuteriniais nusikaltėliais. “Jiems charakteringas pastovus kompiuterinių nusikaltimų darymas su savo atliktų veiksmų maskavimu, pėdsakų slėpimu ir kitais profesionaliam nusikaltėliui budingais bruožais”.
Labiausiai tikėtina yra, kad informaciją grobs asmenys priskirti pirmąją ir trečiajai trečiosios grupėms.
Kalbant apie kompiuterinės informacijos grobimo subjektus būtina paminėti dar vieną subjektų klasifikaciją. Joje subjektai skirstomi pagal santykį su organizacija iš kurios grobiama informacija:
1. Asmenys dirbantys ar priklausantys organizacijai.
2. Asmenys esantys organizacijos klientais ar besinaudojantys organizacijos paslaugomis.
3. Asmenys nesusiję su organizacija.
SUBJEKTYVIOJI PUSĖ
Subjektyvioji aptartų asmenų nusikaltimų darymo pusė susideda iš kaltės, motyvų ir tikslų.
Subjektyviojoje pusėje taip pat iškyla tokių problemų kaip ar galimas kompiuterinės informacijos grobimas neatsargiai ar tik tyčia? Kaip nustatyti ar asmens veiksmai buvo tyčiniai? Jeigu teigtume, kad tai tik tyčinis nusikaltimas tai kaip turėtume vertinti asmens veiksmus kai jis informaciją gauna dėl programinės įrangos klaidų ar kito asmens įsilaužimo pasėkoje kai yra paliekamas laisvas kelias visiems norintiems informaciją peržiūrėti?
Ar veiksmai tyčiniai galime nustatyti iš nusikaltimo rengimosi stadijos kurios pėdsakai visada pasilieka nusikaltimo įvykdymo būde. Pavyzdžiui anksčiau šiame diplominiame darbe aprašytas slaptažodžio parinkimas pasinaudojant specialia programa. Dažniausiai tokios programos gavimas ar sukūrimas jau rodo rengimąsi įsilaužti. Rengimosi ir kėsinimosi stadijos įmanomos tik tyčiniuose nusikaltimuose.
Įsilaužimas į apriboto priėjimo tinklą atliekamas dėl įvairių paskatų, motyvų, siekiant pačių įvairiausių tikslų, rezultatų, tokių kaip:
Savanaudiškumo (kai iš grobiamos informacijos tikimasi pasipelnyti)
Politinių motyvų (kai siekiama sėkmingu informacijos grobimu ir paskui jos turėjimu pasiekti tam tikrų politinių sprendimų)
Noras ištirti kas paslėpta (siekiama patenkinti savo smalsumą)
Noras parodyti savo sugebėjimus
Kerštas
Kiti autoriai pateikia klasifikaciją pagal motyvą ir objektą skirsto taip:
Karinės ir žvalgybos atakos
Biznio atakos
Finansinės atakos
Teroristinės atakos
Neapykantos atakos
Pasilinksminimo atakos
Išnagrinėjus kompiuterinės informacijos grobimą pagal nusikaltimo sudėties elementus reikia pridurti, kad be paminėtų LR Baudžiamojo kodekso straipsnių yra dar keletas straipsnių, kuriuos nagrinėjant informacijos grobimą būtina paminėti. Vienas iš jų tai LR Baudžiamojo kodekso 2242 straipsnis kurį toliau ir pacituosime:
Neteisėtas specialiosios technikos įrengimas ar panaudojimas.
Įstatymo nustatyta tvarka nesankcionuotas ir slaptas specialiosios technikos įrengimas ar panaudojimas informacijai rinkti.
Šio straipsnio dispozicija pilnai atitinka šio baigiamojo darbo 3.5 skyriuje nagrinėta informacijos grobimo būdų grupę pasinaudojant specialia technine įranga. Šio straipsnio buvimas LR Baudžiamajame kodekse leidžia traukti asmenis atsakomybėn už aprašytus veiksmus kai yra grobiama informacija už kurios grobimą atsakomybė nėra numatyta aukščiau išnagrinėtuose BK straipsniuose.
Antrasis tai LR Baudžiamojo kodekso 137 straipsnis. Toliau jį ir pacituosime:
Neteisėtas asmens susirašinėjimo, pranešimų arba pokalbių telefonu slaptumo pažeidimas
Neteisėtas asmens susirašinėjimo ar pranešimų, siunčiamų paštu ar techninėmis priemonėmis, slaptumo pažeidimas.
Šis straipsnis numato atsakomybę už informacijos grobimą kai informacija priklauso privačiam asmeniui ir ji neturi neliečiama. Šią teisę garantuoja LR konstitucija.
Informacijos grobimas pasireiškia veiksmais atitinkančiais šio nusikaltimo dispoziciją kai asmuo kompiuterio pagalba naudojasi tinklo suteikiamomis galimybėmis viena iš kurių yra elektroninis paštas ir jo siunčiama informacija yra pagrobiama. Šioje situacijoje iškyla problema kas yra atsakingas už siunčiamos korespondencijos slaptumo užtikrinimą? Be to jai elektroninio pašto paslaugų teikėjas ir jo pašto serveris yra užsienio valstybėje ir jo veiklą reglamentuoja kitos valstybės įstatymai?
Manyčiau problemą iš dalies galėtų išspręsti pats paslaugų teikėjas nurodydamas paslaugų gavėjui (vartotojui) prieš susikuriant pašto dėžutę savo atsakomybės už korespondencijos slaptumo išsaugojimą ribas ir tvarką.
Be šių straipsnių yra kol kas dar neįsigaliojusiame Lietuvos Respublikos Baudžiamojo kodekso projekte minimi straipsniai vienas iš kurių tiesiogiai susijęs informacijos grobimu. Tai Informacijos vagystė:
337 straipsnis. Informacijos vagystė
Tas, kas pasisavina informaciją apie žmogų, jo sveikatą, teistumą, finansinę padėtį ar kitokią informaciją, apie juridinį ar fizinį asmenį, jeigu informacija yra duomenų banke ar kitaip saugoma ir jei asmuo neteisėtai priėjo prie informacijos šaltinio.
Šis straipsnis numato atsakomybę už asmens duomenų grobimą ir yra atsakomybės pagrindas už veiksmus kurie yra detaliau išdėstomi Asmens duomenų teisinės apsaugos įstatyme. Tačiau kadangi ši LR Baudžiamojo kodekso projekto norma nėra blanketinė ji galės būti taikoma ir kai straipsnyje išvardinta informacija bus grobiama iš kitų duomenų bankų kuriuose bus saugoma tokio pobūdžio informacija.
Kalbant apie šią normą reikia pasakyti kad ji nėra išbaigta kadangi joje yra minimi tik fiziniai ir juridiniai asmenys tačiau pagal Lietuvos Respublikos Įmonių įstatymo 6 – tą straipsnį jų yra ir tokių kurios neturi Juridinio asmens statuso. Tada galime prieiti išvadą, kad už informacijos kurią turi ne fizinis ir ne juridinis asmuo grobimą atsakomybė numatyta nėra. Tačiau ar galime juridiniu asmeniu laikyti pačią Lietuvos respubliką? Tai nėra niekur apibrėžta taigi jai informacija apie Lietuvą nėra priskiriama slaptai ar kitokiai už kurios grobimą yra numatyta atsakomybė LR Įstatymuose už jos grobimą remiantis šiuo straipsniu atsakomybėn patraukti negalėsime.
Baigdamas norėčiau pasakyti kad šiame darbe yra išnagrinėta tik dalis kylančių dėl kompiuterinės informacijos grobimo ir atsakomybės už jį problemų, tačiau ir jos parodo kaip svarbu yra neatsilikti nuo užsienio valstybių ne tik technologijų diegimu, bet ir su jomis susijusių veikų reglamentavimu. Įstatymų spragos jau spėjo sukelti nemažai didelių problemų, tokių kaip bankų žlugimas, Lietuvos valstybei tad reikėtų pasistengti prognozuoti kompiuterinių nusikaltimų padidėjimą ir priėmus atitinkamus įstatymus pasistengti išvengti žalos kurią kompiuteriniai nusikaltimai padarė kitose užsienio valstybėse.
***
Informacijos apsaugos teisinės problemos
(Lietuvos Teisės Akademijos magistro Leandro Pociaus baigiamasis darbas)