ANALELE TIINIFICE ALE UNIVERSITII AL.I.

CUZA IAI Tomul LII, tiine Juridice, 2006

UNELE ASPECTE DE ORDIN CRIMINOLOGIC PRIVIND INFRACTORUL INFORMATIC DANIEL ATASIEI n studiile de specialitate se apreciaz c fenomenul criminalitii informatice poate fi explicat prin conjunctura a trei factori: motivaie, oportunitatea comiterii crimei i lipsa pazei" din partea victimei1. Motivaiile criminalului informatic vor face obiectul unei analize n prezentul studiu, n vreme ce oportunitatea i lipsa pazei" pot face obiectul unei alte discuii referitoare la tema mai larg a prevenirii criminalitii informatice, a mijloacelor de realizare a acestei prevenii. Motivaiile atacului informatic sunt dintre cele mai diverse, sunt diferite n raport cu natura infraciunii informatice comise i pot consta n: lcomie, dorina de putere, rzbunarea, ncercarea limitelor sau spiritul de aventur, dorina de a gusta din fructul "oprit"2. Posibilitatea pentru un singur individ de a controla, prin intermediul unui sistem informatic, o mare instituie sau organizaie reprezint un act de for, de putere i poate reprezenta, prin el nsui, o satisfacie personal a infractorului. Dorina de a provoca pagube altuia, de a distruge poate izvor din dorina de rzbunare, din invidie, ur .a. Alteori publicitatea n jurul actelor criminale svrite n spaiul cibernetic, condamnarea lor public, doza de mirare i admiraie cu care unele articole de pres prezint atacuri ndrznee" constituie pentru alii un alt motiv pentru continuarea activitilor infracionale. Aceste mobiluri nu sunt nici noi i nici asociate doar unui anumit tip de comportament criminal. Noutatea rezid doar n capacitatea impresionant a noilor tehnologii de a facilita comiterea unor acte infracionale. Atacurile de natur informatic asupra sistemelor computerizate sunt clasificate, n raport cu poziia atacatorului, n atacuri interne i atacuri din exterior.

1 Peter Grabosky, Computer Crime: A Criminological Overview, studiu pregtit n vederea prezentrii n cadrul workshopului asupra Infraciunilor comise cu ajutorul calculatorului n cadrul celui de-al X-lea Congres O.N.U. asupra prevenirii infraciunilor i tratamentului infractorilor, Viena, 15.04.2000, disponibil pe www.aic.gov.au/conferences/ other/grabosky_peter/2000-04vienna.html accesat la 01.03.2005. 2 Ibidem.

62

DANIEL ATASIEI

Pentru o bun perioad de timp s-a apreciat pe baza rapoartelor i supravegherilor efectuate de instituii specializate n prevenirea atacurilor informatice sau de companiile de securitate informatic c majoritatea atacurilor viznd sistemele informatice provin de la persoane din interiorul companiilor sau care au lucrat n interiorul acestora avnd acces la sistemele informatice i la sistemele de securitate. Rapoartele ntocmite pentru anul 2004 arat ns o uoar modificare, o scdere a atacurilor din interior i o echilibrare ca numr cu cele provenind din exterior (hackeri). Pentru prezenta lucrare am avut n vedere trei rapoarte publicate n anul 2005 ntocmite de instituii i companii recunoscute pentru profesionalism, rapoarte care acoper ns regiuni diferite ale globului: IC3 2004 - Internet Crime Fraud Report (1 ianuarie 2004 - 31 decembrie 2004)3, Information Security Breaches Survey 2004 (PriceWaterhouse Coopers)4 i Global Information Security Survey 2004 5. n studiul realizat de Ernst & Young n anul 2004, fiind ntrebai cu privire Ia sursa vulnerabilitii lor informatice, majoritatea repondenilor au pus pe prima poziie agresiunile venite din exteriorul companiei (hackeri), aceste atacuri ocupnd un loc central n preocuprile de securitate ale marilor companii timp de ani buni. Tendina ultimilor ani arat ns c numrul atacurilor interne este mult mai mare dect cel nregistrat de statistici i, pe departe, mult mai pguboase pentru companii dect atacurile venite din exterior. E vorba de utilizatorii legitimi ai sistemelor informatice, de cele mai multe ori fiind vorba de chiar angajai ai companiilor sau instituiilor vizate. Pe msur ce organizaiile permit un mai mare acces la informaiile deinute, riscurile de securitate informatic cresc exponenial cu numrul de persoane ce capt acest acces. n plus, atacatorii din interior acioneaz n condiiile unui risc minim de detecie a faptelor lor, prezena lor n sistem fiind una plauzibil, fr a crea suspiciuni. Exist de asemenea posibilitatea ca infractorul informatic din interior s svreasc faptele neintenionat, s produc pagube din ignoran sau neglijen6.

Raport anual ntocmit de Centrul Naional privind Criminalitatea gulerelor albe" i F.B.I. (S.U.A.) disponibil la adresa www.ifccfbi.gov/strategy/2004_IC3Report.pdf accesat la 0l.03.2005. 4 Raport anual ntocmit de compania PriceWaterhouseCoopers pentru Marea Britanie, disponibil la adresa de internet: www.security-survey.gov.uk accesat la 01.03.2005. 5 Raport anual ntocmit de compania Ernts & Young disponibil la adresa www.ev.com/globalsecuritysurvev accesat la data de 01.03.2005. 6 Global Information Security Survey E&Y, op.cit., f. 13.

UNELE ASPECTE DE ORDIN CRIMINOLOGIC PRIVIND INFRACTORUL

63

Periculozitatea crescut a atacurilor generate de proprii angajai este datorat mprejurrii c aceti angajai au, de regul, cunotine aprofundate despre arhitectura sistemului de securitate informatic i pot desfura cu mult mai mult uurin dect hackerii operaiuni interzise (fraude, furt de informaii, tergere sau degradare de date informatice, sabotaj). Mai mult, experiena Poliiei italiene arat c mult mai periculoase sunt i atacurile din exterior atunci cnd exist complicitatea unui angajat din interiorul companiei7. Atacurile din interior reprezint au problematic deosebit, dificil, urmare a trsturilor pe care le presupune un asemenea atac. Un studiu de specialitate8 arat c principalele caracteristici ale atacului din interior sunt: 1. o foarte mare inciden n rndul infraciunilor informatice (70-80% din numrul total al atacurilor informatice); 2. dificultatea obiectiv de identificare a autorului; 3. consecine importante pentru organizaia atacat, dar i pentru autor; 4. determinare insuficient pentru luarea de contramsuri; 5. factorul uman constituie principalul factor de risc. Principalul factor de risc intern l constituie persoanele a cror sarcin n interiorul organizaiei este tocmai acela de a se ocupa de designul, ntreinerea i operarea sistemelor informatice. Studiile efectuate pe tema criminalitii informatice, n special cele care s-au centrat pe problema criminalitii din interiorul organizaiilor au concluzionat c problema atacurilor interne exist, constituie o problem real ale crei dimensiuni sunt nc puin descoperite i analizate. Se vorbete chiar despre cunoaterea doar unei pri infirme din amploarea fenomenului, doar a vrfului icebergului. Acest lucru de datoreaz mai multor mprejurri, una dintre cele mai importante piedici n descoperirea tuturor acestor acte o constituie atitudinea managerilor sau a celorlali conductori ai instituiilor care prefer s rezolve asemenea probleme n mod rapid, fr a crea vlv, "n linite", pentru a evita impactul publicitii negative asupra organizaiei. n aceste condiii, cei descoperii ca i comind asemenea acte pleac "n linite" n alt parte fr a fi implicat poliia sau vreo alt instituie specializat, fr a exista un cazier sau alte referine negative odat cu angajarea la noul loc de munc. Se mai adaug i o oarecare superficialitate a angajatorului de a verifica trecutul profesional al unui nou angajat.
Marco Strano, Inside Attack: what prevention?, articol publicat n Telematic Journal of Clinical Criminology, 2004 www.criminologia.org accesat la 01.03.2005. 8 Fabio Batelli, Roberta Bruzzone, Prinicpali caratteristiche dell'attacco "inside" n Telematic Journal of Clinical Criminoogy, iunie 2004, www.criminologia.org accesat la 01.03.2005.
7

64

DANIEL ATASIEI

La fel ca i n situaia atacurilor externe, i la cele interne motivaiile criminale sunt cele mai diverse. Astfel, unele acte de sabotaj sau de antaj au fost comise de foti angajai nemulumii de concedierea lor, de transferul acestora sau de diminuri salariale. n alte cazuri, motivaiile angajailor in de lcomie, de urmrirea unor ctiguri financiare n mod ilegal profitnd de poziia pe care o ocup n snul organizaiei i de accesul pe care aceast poziie l confer la sistemele informatice. Ali fptuitori comit faptele n scop de spionaj, de furt de informaii - fiind denumii "crtie". Un raport al Institutului de Securitate Informatic al S.U.A.9 realizat n anul 1998 arta c n urma unui atac extern costurile se ridic n medie la 56.000 $, n vreme ce atacul intern cost companiile n medie 2.700.000 $10. n mod paradoxal dei atacurile interne sunt numeroase i creeaz prejudicii nsemnate, studiile de specialitate referitoare la aceste atacuri sunt puine la numr iar conducerile companiilor s-au orientat n efectuarea de investiii privind sisteme de securitate informatic care s protejeze fa de atacurile din exterior. Dintre cei din interior, care n mod obinuit au acces la sistemele informatice ale unei organizaii, prezint interes criminologie n special acei specialiti care au drept sarcin s proiecteze, s menin sau s opereze sistemele de securitate informatic. Acest interes criminologie ca potenial grup de comitere a infraciunilor informatice din interior este justificat de mprejurarea c aceste persoane au cunotinele necesare pentru a putea conduce un asemenea atac i, de asemenea, prin natura poziiei lor, au acces (legitim) la date informatice importante. Nu doar angajaii sunt inclui n categoria de mai sus (angajaii pe baza unui contract de munc), dar i alte categorii de persoane care pe o perioad mai scurt sau mai mare de timp au acces la sistemele informatice ale organizaiei din interiorul acestora: subcontracori, consultani, angajai temporari, foti angajai. Angajaii companiei (cu norm ntreag sau cu jumtate de norm) prezint de regul cel mai mare risc din punct de vedere al atacurilor din interior. Ca parte stabil a personalului unei organizaii, angajatul se bucur de ncrederea celor din jur, se consider c are interesul ca firma la care este angajat s prospere, s aib o bun productivitate. De aceea, n situaia proastei funcionri a sistemelor informatice proprii angajai ai organizaiei sunt pui n afara vreunei suspiciuni.
The Computer Security Institute http://www.gocsi.com/. Studiul a fost citat n articolul The Insider Threat to Information Systems The Psychology of Dangerous Insider, Eric Saw, Keven Ruby, Jerrold Post www.pol-psych.com/sab.pdf publicat iniial n Security Awareness Bulletin 2/1998.
10 9

UNELE ASPECTE DE ORDIN CRIMINOLOGIC PRIVIND INFRACTORUL

65

Cercetarea cazurilor n care proprii angajai au produs pagube companiei prin utilizarea din interior a sistemelor informatice a dus la concluzia c motivaiile ce au stat la baza actelor lor au fost diverse incluznd lcomia, dorina de rzbunare pentru pretinse nedrepti, dorina de rezolvare a unor probleme personale, dorina de a iei in eviden, de a-i proteja poziia sau de a avansa, dorina de a-i testa priceperea, de a-i manifesta mnia, de a-i impresiona pe alii11. Subcontractorii partenerii, consultanii i angajaii temporar dei au acces la sistemele interne de securitate ale organizaiei, nu sunt supui aceluiai sistem de filtrare, de verificare ca n cazul angajailor permaneni. De regul, anterior angajrii unei persoane ntr-o companie marile firme realizeaz o verificare a situaiei anterioare a candidatului, a referinelor de la locurile de munc anterioare, a situaiei cazierului judiciar. n cazul subcontractorilor, a partenerilor, consultanilor sau a angajailor temporari asemenea verificri nu se realizeaz sau sunt superficiale. n cazul subcontractorilor, a companiilor partenere, verificarea personalului propriu cade n sarcina acestora, nefiind la ndemna companiei beneficiare. n plus, n raport de caracterul temporar al activitii acestor categorii de specialiti nu se poate vorbi, spre deosebire de situaia angajailor, nici mcar de acel minim sentiment de loialitate fa de companie. Practica unor companii de securitate americane (dar nu numai) de a angaja foti hackeri prin prisma capacitilor lor intelectuale nu face uneori dect s creasc pericolul atacurilor interne12 ct vreme o persoan condamnat anterior pentru svrirea de infraciuni informatice poate oricnd recidiva. Din categoria fotilor angajai fac parte persoane care au fost anterior angajate ale unei organizaii i care mai nc un acces la sistemele informatice ale acesteia, la informaiile deinute - fie direct, prin intermediul unor portie" create din timp n sistemul de securitate13, fie indirect, prin intermediu! altor

The Insider Threat to Information Systems The Psychology of Dangerous Insider, Eric Saw, Keven Ruby, Jerrold Post www.pol-psych.com/sab.pdf, publicat iniial n Security Awareness Bulletin 2/1998. 12 E o modalitate de a "pune lupul paznic la oi" ncredinnd securitatea informatic unei persoane care anterior a fost condamnat/anchetat tocmai pentru penetrarea barierelor de securitate. 13 Mici programe informatice denumite "backdoors" "portie din spate" care, odat implantate n sistemul informatic respectiv permit celui care deine "cheia" acestor portie s acceseze din exterior sistemul informatic sau chiar s preia controlul total al acestuia. De regul aceste "backdoor" sunt plantate de fostul angajat din timp, din perioada n care lucra la respectiva companie, ca msur de siguran personal.

11

66

DANIEL ATASIEI

persoane care n continuare lucreaz n cadrul acelei companii (prietenei, foti colegi de munc .a.)14. Studiile de specialitate au artat c exist o serie de trsturi comune specialitilor n informatic, persoane care sunt de regul foarte vulnerabile tulburrilor emoionale, dezamgirii, nemulumirilor personale, toate acestea afectnd capacitatea de raiune i control a individului, sporind riscul comiterii de infraciuni informatice15. Aceste cercetri efectuate pe plan internaional au mai artat c introducerea pe scar larg a tehnologiilor informaiei a influenat sistemul cognitiv al individului care a suferit adevrate alterri ale percepiei, alterri ce pot interfera, n diferite modaliti i la diferite nivele cu nivelul de cunoatere i cu sistemul cognitiv complex care dirijeaz conduita persoanei16. Caracteristicile comune care sporesc riscul activitilor infracionale din interior includ dependena de computer, o anteceden de frustrri personale i sociale, o "flexibilitate" etic, un amalgam de lips loialitate, sentiment de ndreptire i lips de compasiune. Dependena de calculator include dou categorii distincte de persoane: dependena manifestat prin ataamentul de sistemul informatic n sine i dependena manifestat de activitatea on-line permis de reelele de calculatoare (de exemplu, internetul). Cei din prima categorie dependeni de calculator - manifest un interese deosebit n explorarea sistemelor informatice i a reelelor i percep spargerea parolelor sau codurilor ca o modalitate onorabil de stimulare intelectual punndu-i la ncercare pe specialitii n securitate informatic care au creat acele sisteme de securitate. Cei din a doua categorie dependenii de activitatea on-line sunt descrii de studiile de specialitate ca persoane care petrec multe ore n faa calculatoarelor, de multe ori pierznd noiune timpului, aceste activiti on-line interfernd semnificativ cu vieile lor personale. E vorba de cei implicai n

Donald Burleson, un programator la compania USPA& IRA Co., o companie de securitate informatic, dup ce a fost concediat pe motiv c folosea calculatoarele companiei n interes personal, a creat un virus care avea drept efect tergerea unei pri semnificative din platforma companiei, urmnd ca operaiunea s se repete de la sine, cu alt parte a platformei informatice dac o anumit valoare predeterminat nu ar fi fost introdus n sistem pn la o dat limit. Folosind un duplicat al cheilor de acces, fptuitorul a intrat n cldirea companiei i, cu ajutorul unui program de tip "backdoor" a depit sistemele de securitate informatic, a accesat calculatoarele i a instalat i rulat virusul n cauz. 15 The Insider Threat to Information Systems - The Psychology of Dangerous Insider, Eric Saw, Keven Ruby, Jerrold Post www.pol-psych.com/sab.pdf, publicat iniial n Security Awareness Bulletin 2/1998. 16 Fabio Batelli, Roberta Bruzzone, op. cit.

14

UNELE ASPECTE DE ORDIN CRIMINOLOGIC PRIVIND INFRACTORUL

67

relaii mediate de prezena calculatorului n special prin intermediul grupurilor de chat (discuii) sau a jocurilor on-line. Majoritatea persoanelor n cauz sunt introvertite, cu puine aptitudini de interaciune social, care gsesc n calculator o modalitate de a interaciona cu alte persoane mbrind aceleai interese, totul petrecndu-se nu n mod direct, ci indirect, la adpostul anonimatului i siguranei oferite de sistemul informatic. Asemenea persoane ajung s triasc o via virtual, s mprteasc emoii i sentimente n mediul virtual ntr-o manier pe care nu ar reui-o n lumea real, material. Antecedena frustrrilor sociale i personale este o alt trstur des ntlnit n rndul infractorilor informatici ce acioneaz din interior. E vorba de frustrri determinate de conflicte n familie, n grupul de prieteni sau chiar la locul de munc. De regul aceste persoane prefer o via bine organizat, predictibil, prefer mai mult compania calculatorului dect acea a semenilor, au mai dificulti n a interaciona social, tind s fie izolai. Aceste trsturi accentueaz vulnerabilitatea lor emoional, sentimentul de nsingurare, nemulumirea i dezamgirea n legtur cu activitatea desfurat la locul de munc. Aceste persoane sunt mai puin predispuse a discuta nemulumirile sau orice alt problem cu superiorii, manifestnd i dezvoltnd o nencredere fa de acetia i n general, fa de autoritate. n egal msur aceleai trsturi accentueaz i vulnerabilitate fa de recrutarea sau manipularea din partea unor atacatori externi. Tehnologia informaiilor a adus cu sine i un impact asupra limitelor etice ale persoanei. Dei reprobabile i condamnabile din punct de vedere moral atunci cnd se petrec n lumea real, unele activiti (sustragere de bunuri, date i informaii, violarea corespondenei, spargerea i ptrunderea ntr-un sistem .a.) devin mai "acceptabile" cnd se petrec n spaiul virtual. La aceast "flexibilitate" etic contribuie, potrivit studiilor realizate de specialiti, lipsa unei pregtiri speciale privind lucrul cu calculatorul, a unor reguli clare privind limitele acestei utilizri, lipsa unei educaii corespunztoare din familie sau din coal. De asemenea lipsa unor limite vizibile, stabilite a spaiului virtual, lipsa unui contact fa n fa cu poteniala victim influeneaz atitudinea infractorului informatic i diminueaz percepia rezultatelor duntoare pe care acesta le genereaz. Aceiai autori17 apreciaz c la erodarea standardelor etice a contribuit chiar industria calculatoarelor fie prin introducerea unor bariere ultraprotective n materia achiziionrii de programe software, fie chiar prin angajarea hackerilor i ncercarea de transformare a acestora din agresori ai sistemelor informatice n specialiti n securitate informatic.
17

Ibidem.

68

DANIEL ATASIEI

Loialitatea redus poate favoriza comiterea de infraciuni informatice din interiorul companiilor. n privina specialitilor IT s-au conturat dou grupuri: cei care se identific cu organizaia care i-a angajat (existnd o loialitate fa de interesele acesteia) i cei care se identific cu nsi profesia de programatori informatici, loialitatea fa de organizaie fiind mult redus. Aceast ultim categorie de persoane este cea mai expus comiterii de infraciuni informatice, trecerea la comiterea actelor ilicite putnd avea loc i pe fundalul ambiguitilor legate de drepturile de proprietate intelectual asupra codurilor-surs sau a programelor informatice dezvoltate. Lipsa de loialitate este adesea nsoit i de manifestarea unei atitudini de persoan ndreptit la un tratament special, preferenial n raport cu alte categorii de angajai. Aceast atitudine deriv din credina specialistului IT, asociat deseori unei personaliti narcisiste, c ea este o persoan special i c i se datoreaz recunoaterea acestei caliti, recunoaterea unor privilegii i a unui tratament privilegiat. Uneori chiar staff-ul companiilor accept un tratament diferit al unor specialiti IT, accept c sunt puin diferii fa de angajatul obinuit i fac excepii de la regulile ce sunt impuse i ar trebui respectate de toi angajaii. Nerecunoaterea unui asemenea statut "special" din partea conducerii companiei poate genera o atitudine de furie fa de conducere i fa de ideea de autoritate, crearea unui sentiment de nedreptate i ncurajarea ideii de "rzbunare" tradus n comiterea de acte infracionale. Lipsa de compasiune i nelegere este o alta trstur ce caracterizeaz atacatorul intern. Studiile de specialitate au artat c aceast lips de nelegere i compasiune este mult mai mare n cazul infraciunilor comise n ciberspaiu fa de cele comise n lumea real, infractorul informatic fiind incapabil a percepe impactul negativ al faptei sale, este incapabil a se pune n locul victimei sale. Aceast atitudine este susinut i de caracterul impersonal al lumii virtuale, de anonimitatea oferit de reelele informatice. Aceast "anonimitate" nate sentimentul invincibilitii: dac ptrunderea ntr-o banc n scopul jefuirii de bani presupune o asidu pregtire a planurilor, procurarea de arme, de coduri de acces, riscul de a fi mpucat, timp material pentru comiterea faptei, spargerea bazei de date i transferarea acelorai sume de bani poate dura minute sau secunde i absena tuturor riscurilor fizice pentru persoana atacatorului18.

18 Studying the psychology of virus writers and hackers. An interview with researcher Sarah Gordon interviu realizat n cadrul emisiunii "Frontline" ("Linia nti") la televiziunea american PBS, disponibil pe internet la adresa http://www.pbs.org/wgbh/pages/frontline/shows/hackers /whoare/psycho.html accesat la 01.03.2005.

UNELE ASPECTE DE ORDIN CRIMINOLOGIC PRIVIND INFRACTORUL - Abstract -

69

Cybercrime is the result of the conjunction of tree factors: motivation, opportunity and lack of guardianship. This article analyzes the motivation of computer criminals. There are two types of attacks against computers from the point of view of the position of the cybercriminal the outsiders and the insiders. For a long period, it was considered that, the inside attacks were the majority of crimes, but recent studies have shown a relatively balanced position between inside and outside attacks. The inside attack is more likely to be left unreported by the companies, who prefer to solve any problem inside, without the implication of police and justice authorities. This policy strongly relates with the image that a company has in the eyes of partners and clients, any major breach of security affecting this image. However, it looks like the companies prefer to adopt more drastic measures against exterior attacks, than to recognize and to take measures to prevent the inside attacks. The inside attacker is more dangerous by the power he has, by the possibility of remaining undetected. His motivation is diverse: vengeance, sabotage, blackmail, greed, espionage, theft of information (moles). The inside attacker is not always an employee of that company. There are cases where disgruntled ex-employees commit cybercrimes. The subcontractors are also on the list of the potential computer criminals. There are some characteristics of the insider that make him an potential cybercriminal against his company: computer dependency, prior personal and/or social frustrations, an ethical flexibility, reduced loyalty, lack of compassion and understanding, all that in the context of the anonymity of internet activities.