Ioana VASIU

Lucian VASIU

CRIMINALITATEA N CYBERSPAIU

Universul Juridic Bucureti -2011-

Editat de S.C. Universul Juridic S.R.L. Copyright 2011, S.C. Universul Juridic S.R.L. Toate drepturile asupra prezentei ediii aparin S.C. Universul Juridic S.R.L. Nicio parte din acest volum nu poate fi copiat fr acordul scris al S.C. Universul Juridic S.R.L.

NICIUN EXEMPLAR DIN PREZENTUL TIRAJ NU VA FI COMERCIALIZAT DECT NSOIT DE SEMNTURA I TAMPILA EDITORULUI, APLICATE PE INTERIORUL ULTIMEI COPERTE.
Descrierea CIP a Bibliotecii Naionale a Romniei VASIU, IOANA Criminalitatea n cyberspaiu / Ioana Vasiu, Lucian Vasiu. - Bucureti : Universul Juridic, 2011 ISBN 978-973-127-674-8 I. Vasiu, Lucian 004.056.5 343.23:004

REDACIE:

tel./fax: 021.314.93.13 tel.: 0731.121.218 e-mail: redactie@universuljuridic.ro

DEPARTAMENTUL telefon: 021.314.93.15; 0726.990.184 DISTRIBUIE: tel./fax: 021.314.93.16 e-mail: distributie@universuljuridic.ro

www.universuljuridic.ro
COMENZI ON-LINE,
CU REDUCERI DE PN LA 15%


CRIMINALITATEA N CYBERSPAIU

CUVNT NAINTE
Studiul criminalitii informatice s-a mbogit cu o nou lucrare remarcabil a reputailor specialiti n materie Ioana Vasiu i Lucian Vasiu. Dei cei doi cunoscui specialiti nu sunt la prima lucrare n acest domeniu, de ast dat s-au ntrecut pe ei nii elabornd un adevrat tratat de drept penal special informatic, analiznd nu numai problemele generale pe care le ridic criminalitatea informatic (sistemele informatice, prevenirea criminalitii informatice, ameninri la adresa sistemelor informatice), dar i infraciunile care se comit n acest domeniu (infraciuni n cyberspaiu, definiie, clasificri, categoriile de infraciuni informatice). Deosebit de important este i ultimul capitol (partea a III-a), consacrat mijloacelor procedurale i tehnice de prevenire a criminalitii n cyberspaiu (politici i proceduri), analiza de risc, atenuarea riscurilor, controale tehnice. Lucrarea este deosebit de interesant prin ampla documentare de specialitate pe care o are la baz, ct i prin multiplele probleme noi pe care le abordeaz n legtur cu criminalitatea informatic. Autorii analizeaz pe larg dezbaterile i controversele care au loc n acest nou domeniu al cunoaterii tiinifice i al tehnicii informatice, exprimnd preri personale competente asupra evoluiei i perspectivelor pe care le ofer cunoaterea i prevenirea criminalitii informatice. Valoroase sunt i trimiterile la legislaia penal european, ct i a unor state nord-americane, precum i informaiile asupra programelor unor societi internaionale n materie de criminalitate informatic. Se citesc cu mare interes, de asemenea, exemplificrile cu care autorii i ntregesc demonstraiile i expunerile privitoare la ultimele congrese ale Naiunilor Unite privind problemele de prevenire a criminalitii.

Ioana Vasiu, Lucian Vasiu

Lucrarea este rodul unor eforturi creatoare notabile ale autorilor, care s-au strduit i au reuit s pun la dispoziia cititorului romn interesat de problematica criminalitii informatice o carte valoroas, plin de informaii i reflecii asupra unui fenomen care preocup ntreaga comunitate internaional. Prof. univ. dr. George Antoniu Bucureti, 20 octombrie 2011


CRIMINALITATEA N CYBERSPAIU

INTRODUCERE
nc din cele mai vechi timpuri, reelele au oferit oportuniti pentru dezvoltare i inovaie i au furnizat o structur pentru sistemele economice i sociale. De la drumurile i apeductele romane pn la sistemul de drumuri din secolul al XIX-lea i la reelele de satelii i telecomunicaii din zilele noastre, capacitile oferite de reele au fost folosite pentru a depi barierele de timp i spaiu i pentru a deschide noi frontiere pentru interaciunea i activitile umane1. Rspndirea larg a calculatoarelor nu este chestiune de mod sau hiperbol, cu toate c exist multe asemenea elemente n literatura de specialitate este un proces ireversibil, cu implicaii majore asupra vieii i activitii umane2, care, n mai puin de o generaie, a schimbat semnificativ societatea actual. Revoluia informatic a fost comparat cu revoluia industrial referitor la impactul asupra societii3: cu excepia electrificrii, nicio alt invenie tehnologic nu a afectat att de fundamental modul n care oamenii triesc, lucreaz, nva, comunic sau fac afaceri. Aplicaiile tehnologiilor informaiei i comunicaiilor n zilele noastre sunt

1 Vezi R. J. Gordon, Does the New Economy Measure up to the Great Inventions of the Past?, NBER Working Paper No. w7833 (2000); J. S. Landefeld i B. M. Fraumeni, Measuring the New Economy, Bureau of Economic Analysis (2000); Presidents Information Technology Advisory Committee, Information Technology Research: Investing in Our Future, Report to the President (1999); E. Brynjolfsson i S. Yang, The Intangible Costs and Benefits of Computer Investments: Evidence from the Financial Markets (1999). 2 Vezi H. C. Jr. Lucas, Information technology and physical space, COMMUNICATIONS OF THE ACM, November, 44 (11), 89-96 (2001); OECD, The new economy beyond the hype (2001). 3 Vezi, spre exemplu, D. S. Alberts i D. S. Papp (eds.), The Information Age: An Anthology on Its Impact and Consequences (1997); M. Castells, The Rise of the Network Society (1996); C. Freeman, L. Soete i U. Efendioglu, Diffusion and the Employment Effects of Information and Communication Technology, INTERNATIONAL LABOR REVIEW, 134, 4-5, 587-603 (1995).

Ioana Vasiu, Lucian Vasiu

extrem de diverse, practic n toate domeniile calculatorul este, dac nu absolut necesar, cel puin foarte util. Printre domeniile n care calculatorul este utilizat pe scar larg amintim: juridic1, guvernamental2, creaiei vestimentare3, financiar-bancar4, industrial, educaiei, militar, artistic, jurnalistic, cinematografic, televiziune, medical etc.5 Reelele de comunicaii electronice, n mod deosebit Internetul6, permit o inovaie crescut7, obinerea de avantaje competiionale8, stocarea, procesarea i transmiterea de cantiti imense de date i crearea de noi piee9, reducerea numrului de erori poteniale cauzate
Vezi S. Pallaras, New technology: opportunities and challenges for prosecutors, CRIME, LAW AND SOCIAL CHANGE, Aug, 71-89 (2011); I. Vasiu i L. Vasiu, Informatic juridic i Drept informatic 2009, Ed. Albastr, Cluj-Napoca (2009); O. Rabinovich-Einy, Beyond efficiency: The transformation of courts through technology, UCLA JOURNAL OF LAW & TECHNOLOGY, Vol. 12, Iss. 1, Spring (2008). 2 Vezi, spre exemplu, I. Vasiu i L. Vasiu, Top Management Skills in E-Government: A Conceptual Framework, JOURNAL OF E-GOVERNMENT, 2 (3), 5-17 (2006). 3 Vezi Intellectual property in the fashion industry, WIPO MAGAZINE, May-June (2005). 4 Vezi B. F. Kubiak i M. F. Kowalik, Marketing Information Systems As A Driver Of An Organizations Competitive Advantage, JOURNAL OF INTERNET BANKING AND COMMERCE, vol. 15, No. 3, December (2010); L. R. Klein, C. Saltzman i V. G. Duggal, Information Technology and Productivity: The Case of the Financial Sector (2003). 5 Vezi D. W. Jorgenson, Information Technology and the G7 Economies, n Hard-to-Measure Goods and Services: Essays in Honor of Zvi Griliches (E. R. Berndt i C. R. Hulten, ed.) (2007). 6 Vezi J. L. Zittrain, The Generative Internet, 119 HARVARD LAW REVIEW, 1974 (2006). 7 Vezi E. Brynjolfsson (interviu), The four ways IT is revolutionizing innovation, MIT SLOAN MANAGEMENT REVIEW, vol. 51, No. 3, Spring (2010). Vezi i OECD, Information Technology Outlook (2010). 8 Vezi, spre exemplu, B. F. Kubiak i M. F. Kowalik, Marketing Information Systems as a Driver of an Organizations Competitive Advantage, JOURNAL OF INTERNET BANKING AND COMMERCE, vol. 15, No.3, December (2010); A. McAfee i E. Brynjolfsson, Investing in the IT That Makes a Competitive Difference, HARVARD BUSINESS REVIEW, July (2008); D. W. Jorgenson, Information Technology and the G7 Economies, n Hard-to-Measure Goods and Services: Essays in Honor of Zvi Griliches (E. R. Berndt i C. R. Hulten, ed.) (2007); D.W. Jorgenson i K. Motohashi, Information Technology and the Japanese Economy, NBER Working Paper No. 11801 (2005). 9 Vezi, spre exemplu, J. D. Levin, The Economics of Internet Markets, NBER Working Paper No. 16852 (2011); J. Cha, Exploring the internet as a unique shopping channel to sell both real and virtual items: A comparison of factors affecting purchase
1

CRIMINALITATEA N CYBERSPAIU

de procesri manuale, o mai bun gestionare a stocurilor, o utilizare intuitiv, ceea ce reduce cheltuielile i timpul alocat pentru pregtirea utilizatorilor, adaptarea unor funcii conform nevoilor utilizatorilor, posibilitatea de a colabora, cerceta (virtual research communities1) i nva de la distan2, de a integra sisteme i aplicaii diverse i posibilitatea efecturii de tranzacii financiare i comerciale electronice sau mobile (e-banking3, m-banking4, m-payment5) prin folosirea de mesaje text (SMS) sau tehnologii precum Wireless Application Protocol (WAP), Universal Subscriber Identity Module6 (USIM) sau Near Field Communication (NFC). Ubicuitatea tehnologiilor informaiei i comunicaiilor este reflectat i de veniturile marilor firme din domeniu: HP peste 126 miliarde; AT&T peste 124 miliarde; IBM circa 100 miliarde; Microsoft circa 62,5 miliarde; Intel 43,6 miliarde; Cisco peste 40
intention and consumer characteristics, JOURNAL OF ELECTRONIC COMMERCE RESEARCH, vol. 12, No. 2 (2011); Information Technology Industry Council, The IT Industrys Cybersecurity Principles for Industry and Government (2011), care estimeaz beneficiile globale anuale ale folosirii comerciale a Internetului la circa 1,5 trilioane dolari. Vezi i A. Barua, P. Konana, A. B. Whinston i F. Yin, An Empirical Investigation of Net-Enabled Business Value, MIS QUARTERLY, 28, 4, 585-620 (2004); T. Dewett i G. R. Jones, The Role Of Information Technology In The Organization: A Review, Model, and Assessment, JOURNAL OF MANAGEMENT, 27, 3 (2001), p. 313 i urm.; M. E. Porter, Strategy and the Internet, HARVARD BUSINESS REVIEW, March (2001). 1 Vezi G. Andronico, V. Ardizzone, R. Barbera, B. Becker, R. Bruno, A. Calanducci, D. Carvalho, L. Neumann Ciuffo, M. Fargetta, E. Giorgio, G. La Rocca i A. Masoni, e-Infrastructures for e-Science: A Global View, JOURNAL OF GRID COMPUTING, Vol. 9, No. 2, 155-184 (2011). 2 Vezi, spre exemplu, C. Reimsbach-Kounatze, Virtual Worlds: Immersive Online Platforms for Collaboration, Creativity and Learning, OECD Digital Economy Papers, No. 184 (2011). 3 Vezi J-H. Wu, T.-Li Hsia i M. S. H. Heng, Core capabilities for exploiting electronic banking, JOURNAL OF ELECTRONIC COMMERCE RESEARCH, Vol. 7, No. 2 (2006). 4 Vezi, spre exemplu, folosirea telefonului mobil pentru a depozita cecuri (mobile remote deposit capture): fotografiere fa i verso a cecului i transmiterea imaginilor ctre instituia financiar. 5 Vezi n T. R. McTaggart i D. W. Freese, Regulation of Mobile Payments, THE BANKING LAW JOURNAL, Vol. 127, No. 6, June (2010). 6 Aplicaie care ruleaz pe un card cu cip (Universal Integrated Circuit Card) introdus ntr-un telefon mobil WCDMA 3G.

10

Ioana Vasiu, Lucian Vasiu

miliarde (vezi i Vision: The Network is the Platform to Change the Way the World Works, Lives, Plays, and Learns - conform Annual Report); Amazon.com, peste 34,2 miliarde; Google 29,3 miliarde; Apple peste 22,3 miliarde1. Piaa mondial a tehnologiilor informaiei i comunicaiilor a atins 2000 miliarde de euro i crete n prezent cu o rat de 4% n fiecare an (piaa european reprezint 34% din aceast valoare; acest sector reprezint 4,5% din PIB-ul european)2. Investiiile n cercetare i dezvoltare n domeniul tehnologiilor informaiei i comunicaiilor sunt, de asemenea, foarte importante n anul 2010, n cretere, de regul fa de 2009: Microsoft 8,7 miliarde; Intel 6,6 miliarde (5,7 miliarde n 2009); IBM peste 6 miliarde (peste 5,8 miliarde n 2009); Google 3,762 miliarde (2,843 miliarde n 2009); HP 3 miliarde (fa de 2,8 miliarde 2009); Apple 1,8 miliarde (n cretere cu 34% fa de anul precedent); Cisco peste 5,2 miliarde (n cretere cu 1,2% fa de anul precedent)3. Printre cele mai semnificative caracteristici ale societii contemporane se numr: Viteza, Voracitatea informaional i Vulnerabilitatea. Viteza Dup cum consider Adam4, modul de via occidental este asociat cu o abordare particular a timpului i a vitezei: timpul este perceput ca o resurs valoroas, iar viteza este asociat cu eficiena. Ecuaia timpul este bani este prezent n toate activitile i relaiile contemporane i un ntreg ir de consecine se nate din decontextualizarea i relaia care se formeaz ntre timp ca bani; atunci cnd timpul este bani, dou consecine prezint un interes particular: cu ct ceva se mic mai repede prin sistem, cu att mai bine este pentru eficiena i productivitatea respectivului sistem, respectiv timpul
Conform Raportului anual al firmelor respective, sumele fiind exprimate n dolari. Vezi Comunicare a Comisiei ctre Parlamentul European, Consiliu, Comitetul Economic i Social European i Comitetul regiunilor, COM (2009) 116 final, Bruxelles, 13.3.2009. 3 Conform Raportului anual al firmelor respective, sumele exprimate n dolari. 4 Vezi B. Adam, When Time is Money: Contested Rationalities of Time and Challenges to the Theory and Practice of Work, Working Paper Series, Cardiff University (2001).
2 1

CRIMINALITATEA N CYBERSPAIU

11

nefolosit este o risip de bani, de aici dezvoltarea societii care funcioneaz non-stop cu siguran, tehnologiile informaiei i comunicaiilor susin i impulsioneaz o asemenea abordare. Dezvoltarea tehnologiilor informaiei i comunicaiilor a fost influenat de realizrile remarcabile din domeniul electronicii, de la valve termionice i tranzistori pn la circuitele puternic integrate, care au generat un progres tehnologic remarcabil. Din anii 60 ai secolului trecut, numrul de tranzistori pe microprocesor s-a dublat la fiecare 18-24 luni, rezultnd o cretere deosebit a capacitii de procesare a calculatoarelor (aceast dublare este aproximativ echivalent cu mrirea de 10 ori la fiecare 5 ani i de 100 de ori la fiecare 10 ani, fenomen cunoscut sub denumirea de Legea lui Moore1), unele iniiative viznd dezvoltarea de calculatoare exaflop (1018 operaii floating point pe secund) pn n anul 20202. La fel de remarcabile au fost avansurile n ceea ce privete tehnologiile de stocare (discuri care pot stoca teraoctei, memorii flash de mare capacitate etc.) sau realizarea ecranelor (spre exemplu, Capacitive touchscreen, Haptic technology, Retina Display etc.). Voracitatea informaional Informaia este o component central, constitutiv a vieii umane, inerent relaiilor interpersonale, economice sau de alt natur. Informaia, produsele informaiei, precum i costurile i beneficiile rezultate din informaie joac un rol din ce n ce mai mare n societatea contemporan. Adoptarea pe scar larg a tehnologiilor informaiei i comunicaiei a dus la o nou form de capitalism, numit hipercapitalism3 sau capitalism informaional4, care depinde esenial de informaie i de sistemele informatice.
Fenomen prezis de Gordon Moore, co-fondator al corporaiei Intel, n anul 1965 vezi K. Grifantini, Moore's Law, TECHNOLOGY REVIEW, Jan/Feb (2009), p. 30; W. R. Bottoms, Beyond Moore's Law, CIRCUITS ASSEMBLY, Apr (2008), p. 44; U.S. Department of Commerce, Digital Economy 2000 (2000). Vezi i J. G. Koomey, Outperforming Moore's Law, IEEE SPECTRUM, vol. 47, Iss. 3 (2010), p. 68. 2 Vezi IBM Project Proposes Using Light to Make Chips Faster, COMPUTER, Feb, 14-15 (2011). 3 Vezi P. Graham, Hypercapitalism: Political economy, electric identity, and authorial alienation, EXPLORING CYBERSOCIETY CONFERENCE (1999). 4 Vezi T. Morris-Suzuki, Capitalism in the Computer Age, n J. Davis, T. Hirschl i M. Stack (Eds.), Cutting Edge: Technology, Information, Capitalism and Social Revolution (1997).
1

12

Ioana Vasiu, Lucian Vasiu

La nivel individual, consumul informaiei este din ce n ce mai mare. Astfel, n anul 2008, americanii au consumat informaie de circa 1,3 trilioane ore (n medie circa 12 ore pe zi), un total de 3,6 zettaoctei (un milion de milioane gigaoctei) i peste 10 trilioane cuvinte (peste 100.000 cuvinte n medie pe persoan)1. YouTube servete peste 2 miliarde nregistrri video pe zi, circa 10% fiind vizionate pe telefonul mobil (conform Google, Annual Report 2010); Facebook are peste 900 milioane obiecte cu care indivizii interacioneaz (pagini, grupuri, evenimente), peste 2 miliarde de postri sunt Like i comentate zilnic, peste 250 milioane fotografii sunt ncrcate pe zi; peste 7 milioane aplicaii i site-uri web sunt integrate2. Traficul IP global anual se estimeaz c va ajunge la circa 1 zettaoctet pn la sfritul anului 2015, numrul de dispozitive conectate la reele IP va fi dublu fa de populaia global n 2015, iar traficul IP per capita va atinge 11 gigaoctei n 2015 (fa de 3 gigaoctei per capita n anul 2010)3. Vulnerabilitatea Sofisticata lume a sistemelor informatice este deosebit de ispititoare: o lume digital unde sunt posibile afaceri de la distan, documentare eficient, comunicaii instantanee .a.; cu toate acestea, lumea tehnologiilor informaiei i comunicaiilor nu este deloc lipsit de vulnerabiliti, unele dintre acestea asociate cu criminalitatea n cyberspaiu4. Dezvoltrile tehnologiilor informaiei i comunicaiei au
Vezi n R. E. Bohn i J. E. Short, How Much Information? 2009 Report on American Consumers (2010); vezi i IDG, The Expanding Digital Universe (2007). 2 Vezi statistici Facebook.com (2011). 3 Vezi Cisco, Visual Networking Index: Forecast and Methodology, 20102015 (2010). 4 Dovedind o preocupare deosebit pentru prevenirea criminalitii informatice, Consiliul Europei a adoptat n 2001 Convention on Cybercrime, iar n anul 2002 a lansat Proposal for a Council Framework Decision on attacks against information systems (COM(2002) 173 final Official Journal C 203 E of 27.08.2002. De asemenea, la nivel european a fost creat European Network and Information Security Agency (ENISA), prin Regulation (EC) No 460/2004 of the European Parliament and of the Council of 10 March 2004). Vezi i Decizia-Cadru 2005/222/JAI a Consiliului din 24 februarie 2005 privind atacurile mpotriva sistemelor informatice i Report from the Commission to the Council based on Article 12 of the Council Framework Decision of 24 February 2005 on attacks against information systems COM(2008) 448. Vezi i U. S. Government Accountability Office, Cybercrime: Impact and Responses to Cyber Threats (2008).
1

CRIMINALITATEA N CYBERSPAIU

13

dus la un tip de criminalitate ce nu a fost posibil anterior (spre exemplu, diseminarea contaminanilor informatici1); pe de alt parte, ofer oportuniti crescute de comitere a unor infraciuni tradiionale (spre exemplu, falsul)2. Tendine recente, cum ar fi cloud computing (soluii informatice distribuite deinute de o ter parte, n care utilizatorii nu au posesia fizic a datelor lor), mobilitatea (folosirea de calculatoare portabile sau telefoane mobile3 inteligente), adoptarea de programe de tip open source (care, cel puin teoretic, prezint o vulnerabilitate sporit), convergena serviciilor i reelelor4, folosirea Web 2.0 (site-uri de socializare, blog-uri sau wiki-uri) i numrul mare de erori poteniale (spre exemplu, erori de design, instalare sau ntreinere a programelor informatice5) cresc semnificativ vectorii poteniali pentru atacuri informatice. Adiional, numrul foarte mare de utilizatori6 i calculatoare pe Internet (hosts)7, posibilitatea de a
Google a anunat c a descoperit peste 11000 domenii pe Internet implicate n distribuirea de contaminani informatici (malware distribution) vezi n F. Paget, Running Scared: Fake Security Software Rakes in Money Around the World (2010); vezi i numrul de peste 3400 de site-uri web maliioase blocate zilnic, conform Symantec, State of Security Survey (2011). 2 A se vedea S. W. Brenner, Cybercrime: criminal threats from cyberspace, Praeger (2010); S. Fafinski, W. H. Dutton i H. Margetts, Mapping and Measuring Cybercrime (2010); F. Calderoni, The European legal framework on cybercrime: striving for an effective implementation, CRIME, LAW AND SOCIAL CHANGE, 339357 (2010); J. R. E. Bell, The prosecution of computer crime, JOURNAL OF FINANCIAL CRIME, 9 (4), 308-325 (2002). 3 Conform International Telecommunication Union, The world in 2010, numrul global al abonamentelor la telefonia mobil este de circa 5,3 miliarde, incluznd 940 milioane abonamente la servicii 3G. 4 Vezi Rajendra Singh and Siddhartha Raja, Convergence in information and communication technology: Strategic and regulatory considerations (2010). 5 Vezi B. Schneier, The Problem Is Information Insecurity, SECURITY WATCH, August 10 (2008); Web Application Security Consortium, Web Application Security Statistics Project (2008). 6 Conform Internet World Stats, n 31 martie 2011 erau 2,095 miliarde utilizatori (44% n Asia, 22,7% n Europa, 13% n America de Nord); potrivit International Telecommunication Union, The world in 2010, numrul utilizatorilor Internet a depit 2 miliarde; conform International Bank for Reconstruction and Development/The World Bank, The Little Data Book on Information and Communication Technology (2011), exist peste 1,8 miliarde utilizatori Internet. 7 n iulie 2011 erau 849869781 hosts pe Internet (818374269 n ianuarie 2011), conform Internet Systems Consortium (2011).
1

14

Ioana Vasiu, Lucian Vasiu

aciona de la distan, comercializarea atacurilor informatice (oferirea ca produs comercial de contaminani informatici, acces la botnet1-uri sau informaii pentru realizarea atacurilor2) i asimetriile informaionale i, adesea, motivaionale mresc considerabil riscul atacurilor informatice i efectele lor poteniale. Atacurile informatice pot viza beneficii financiare, intimidare, supraveghere sau manipulare a informaiilor. Dup cum remarc n mod corect Comisia European3, atacurile pe scar larg mpotriva sistemelor informatice au devenit din ce n ce mai frecvente, prezint o dimensiune transfrontalier considerabil4i au dus la ameninri noi, sofisticate din punct de vedere tehnologic i la o tendin de utilizare a tehnologiilor informaiei i comunicaiilor n scopul supremaiei politice, economice i militare, inclusiv prin capaciti ofensive. Ameninrile pot viza: Exploatare (cazul ameninrilor persistente avansate5 sau exfiltrarea de informaii n scopul spionajului economic sau politic6, nclcarea drepturilor de proprietate intelectual etc.);
Un numr de calculatoare controlate de un calculator central (command-andcontrol) pentru executarea de comenzi. 2 Vezi, spre exemplu, R. Anderson, R. Bohme, R. Clayton i Tyler Moore, Security Economics and European Policy (2008). 3 Vezi Comunicare a Comisiei ctre Parlamentul European, Consiliu, Comitetul Economic i Social European i Comitetul regiunilor privind protecia infrastructurilor critice de informaie, COM(2011) 163 final, Bruxelles, 31.3.2011. 4 Vezi i UNODC, Draft collection of topics for consideration within a comprehensive study on impact and response to cybercrime, 17-21 January (2011). 5 Acestea sunt definite n US National Institute for Standards and Technology (NIST), Managing Information Security Risk: Organization, Mission, and Information System View (2011) ca fiind un adversar care posed un nivel de expertiz sofisticat i resurse importante care i pot permite crearea de oportuniti pentru realizarea obiectivelor prin utilizarea de vectori de atac multipli. 6 Vezi, spre exemplu, cazurile GhostNet i Shadow Network: investigarea primului caz a relevat infectarea a 1295 de calculatoare n 103 ri, circa 30% dintre acestea fiind considerate high value deoarece aparineau unor instituii guvernamentale (ambasade, ministere, comisii). Investigarea digital a evideniat comunicaii ntre calculatoarele infectate i adrese IP ale unor servere situate n China care au relevat extracia de documente senzitive vezi ENISA, Botnets: Detection, Measurement, Disinfection & Defence (2011).
1

CRIMINALITATEA N CYBERSPAIU

15

Sabotaj (spre exemplu, atacurile de tip blocarea distribuit a serviciului (Distributed Denial of Service) sau spam-urile generate prin botnet-uri (spre exemplu, reeaua Conficker de 7 milioane de calculatoare sau spam botnet-ul Rustock, care putea trimite 30 miliarde de mesaje de pot electronic pe zi1) i ntreruperea mijloacelor de comunicare; Distrugere fizic2. Atacurile informatice ridic probleme noi i multiple i pot afecta toate nivelele societii. Atacurile informatice vizeaz i afecteaz persoane fizice din toate grupurile demografice (brbaii i femeile raportnd crime ntr-o proporie aproape egal3), firme mici i mijlocii (IMM-uri4), instane de judecat5, operatori bursieri6, corporaii globale7, organisme guvernamentale, ntregi industrii8 sau chiar ri
Vezi Microsoft, Battling the Rustock Threat (2011). Vezi cazul Stuxnet, care a distrus fizic o int militar, descris n R. Langner, Stuxnet: Dissecting a Cyberwarfare Weapon, IEEE SECURITY & PRIVACY, May/June, 4951 (2011); vezi i Cisco, 2010 Annual Security Report (2011). 3 Vezi Internet Crime Complaint Center, 2010 Internet Crime Report (2011). 4 Vezi, spre exemplu, cazul raportat n anul 2010 de WALL STREET JOURNAL, n care o reea internaional de criminali a furat circa 70 milioane dolari de la mici firme, municipaliti i biserici, raportat n Verisign, The domain name industry brief, vol. 8, Iss. 3, August (2011). 5 Contaminantul informatic Downadup a afectat reeaua de calculatoare a Penitenciarului Rahova, reeaua intern a IGPR i reeaua Tribunalului Bucureti, rezultnd n nefuncionarea sistemului ECRIS (sistemul informatic de management al dosarelor de judecat) vezi detalii la http://www.mondonews.ro/Virusul-Downadupa-atacat-mai-multe-institutii+id-7424.html. Sistemul municipal de justiie din Houston, Texas, a fost infectat de contaminani informatici, rezultnd n afectarea capacitii de aciune a poliiei vezi detalii la http://www.chron.com/disp/story.mpl/front/ 6250411.html. 6 Vezi D. Barrett, Hackers Penetrate Nasdaq Computers, WALL STREET JOURNAL, February 5 (2011). 7 Cazul Aurora, spre exemplu: n ianuarie 2010, un atac informatic asupra mai multor corporaii globale, printre care Google, IBM, Microsoft i Adobe, declanat din China vezi detalii n A. Boulanger i S. Ghosh, Malicious Code, n S. Ghosh i E. Turrini (eds.), Cybercrimes: A Multidisciplinary Analysis (2010); Symantec, Global Internet Security Threat Report Trends for 2009, Vol. XV, April (2010). Vezi i cazurile Sony, Honda, Fox News, Epsilon i Citibank, menionate n Kaspersky Lab, IT Threat Evolution: Q2 2011. 8 Vezi McAfee, Global Energy Cyberattacks: Night Dragon (2011).
2 1

16

Ioana Vasiu, Lucian Vasiu

(vezi, spre exemplu, cazul atacului informatic asupra Estoniei)1. Impactul atacurilor informatice depinde de victim i poate consta n pagube financiare mari2, nclcarea drepturilor de proprietate intelectual, contaminarea sau copierea datelor informatice, blocarea accesului la date informatice, repudierea tranzaciilor sau comunicaiilor electronice, ncetinirea vitezei de procesare a datelor .a. Pentru aceste motive, securitatea cyberspaiului (cybersecurity), armonizarea legislaiei i cooperarea internaional n acest domeniu sunt foarte importante, fapt reflectat, printre altele, de numeroase iniiative legislative3, Rezoluii ale Naiunilor Unite4 sau ale Uniunii Internaionale a Telecomunicaiilor (ITU, agenie a Naiunilor Unite)5 sau conferine internaionale pe aceast tem6. Promovnd o cultur a securitii n societatea contemporan, Organizaia pentru Cooperare i Dezvoltare Economic (OECD)7
Descris n M. Donner, Cyberassault on Estonia, IEEE SECURITY & PRIVACY, vol. 5, Iss. 4 (2007), p. 4; vezi i G. Evron, Battling botnets and online mobs: Estonias defense efforts during the internet war, GEORGETOWN JOURNAL OF INTERNATIONAL AFFAIRS, 9(1), 121126 (2008). 2 Vezi numeroase studii pe aceast tem: JP Morgan Chase, Cybercrime: The Growing Global Threat (2011); Uniunea European, http://ec.europa.eu/homeaffairs/policies/crime/crime_cybercrime_en.htm (circa 750 miliarde euro anual); PricewaterhouseCoopers, Global State of Information Security Survey (2011); Ernts & Young, Insights on IT risk, April (2011); Interpol, Financial and High-tech Crimes (2009); United Nations Conference on Trade and Development, Information Economy Report (2005). 3 Vezi, spre exemplu, The White House, Office of the Press Secretary, Cybersecurity Legislative Proposal, May 12 (2011). 4 Vezi Rezoluiile 56/121 - Combating the criminal misuse of information technologies (2002) i 55/63 - Combating the criminal misuse of information technologies (2001). 5 Vezi, spre exemplu, Rezoluia 181 (Guadalajara, 2010) - Definitions and terminology relating to building confidence and security in the use of information and communication technologies i Rezoluia 130 - Strengthening the role of ITU in building confidence and security in the use of information and communication technologies. 6 Vezi, spre exemplu, J. Vogel, Towards a Global Convention against Cybercrime, FIRST WORLD CONFERENCE OF PENAL LAW. Penal law in the XXIst century, Guadalajara, Mexic, 18-23 November (2007). 7 Vezi OECD, Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security (2002). Vezi i United Nations General Assembly,
1

CRIMINALITATEA N CYBERSPAIU

17

propune urmtoarele aspecte importante legate de securitatea sistemelor informatice: I. Contientizare: Participanii trebuie s fie contieni de nevoia de securitate a sistemelor informatice i de ce pot face pentru a mbunti securitatea acestora. II. Responsabilitate: Toi participanii sunt responsabili de securitatea sistemelor informatice. III. Rspuns: Participanii trebuie s acioneze ntr-o manier co-operativ i rapid pentru a preveni, detecta i rspunde la incidentele de securitate. IV. Etic: Participanii trebuie s respecte interesele legitime ale celorlali. V. Democraie: Securitatea sistemelor informatice trebuie s fie compatibil cu valorile eseniale ale unei societi democratice. VI. Evaluarea riscurilor: Participanii trebuie s evalueze riscurile de securitate. VII. Design i implementare a securitii: Participanii trebuie s ncorporeze securitatea ca un element esenial al sistemelor informatice. VIII. Managementul securitii1: Participanii trebuie s adopte o abordare comprehensiv a managementului securitii sistemelor informatice; managementul trebuie s se bazeze pe evaluarea riscurilor i trebuie s fie dinamic, acoperind toate nivelurile de activitate a participanilor i toate aspectele operaiilor lor. Managementul trebuie s includ rspunsuri anticipative la ameninri emergente i s adreseze prevenirea, detectarea i rspunsul la incidente, recuperarea dup disfuncionaliti, ntreinere i audit. Politicile, practicile,
Creation of a global culture of cybersecurity and taking stock of national efforts to protect critical information infrastructures (2010); United Nations, Resolution 58/199 - Creation of a global culture of cybersecurity and the protection of critical information infrastructures (2004); United Nations, Resolution 57/239 - Creation of a global culture of cybersecurity (2003). 1 Cele mai importante provocri pentru managementul securitii sistemelor informatice n secolul al XXI-lea sunt considerate a fi: creterea mobilitii i complexitii, creterea dimensiunii i concentrrii riscului, modificarea contextului i incertitudinii majore, deplasarea responsabilitilor i importana percepiei riscului vezi n OECD, Emerging risks in the 21st century. An agenda for action (2003).

18

Ioana Vasiu, Lucian Vasiu msurile i procedurile de securitate trebuie coordonate i integrate ntr-un sistem coerent. Cerinele de securitate depind de nivelul de implicare a participanilor, rolul acestora, riscul implicat i cerinele sistemului. IX. Reevaluare: Deoarece noi ameninri sau vulnerabiliti pot s apar, participanii trebuie s revad i s reevalueze securitatea sistemelor informatice i s fac modificrile necesare la nivel de politici, practici, msuri i proceduri.

Cartea de fa abordeaz n mod holistic criminalitatea n cyberspaiu i contribuie la dezvoltarea unei nelegeri complete i efective a acesteia i a principalelor mijloace de prevenire a ei. Cartea este structurat n trei pri: Partea I prezint componentele i caracteristicile sistemelor informatice i ale Internetului, urmate de cerinele operaionale i legale de securitate i ameninrile prezente la adresa sistemelor informatice; Partea a II-a prezint mijloace legale de prevenire a criminalitii n cyberspaiu; Partea a III-a prezint mijloace procedurale i tehnice de prevenire a criminalitii n cyberspaiu. Abordarea cercetrii pentru aceast carte a fost interdisciplinar, o tendin modern n domeniul dreptului1 i al sistemelor informatice2. Pentru elaborarea acestei cri a fost realizat un studiu exhaustiv al literaturii relevante. Formalizarea politicilor i procedurilor de securitate ale sistemelor informatice se bazeaz pe cercetare empiric. Considerm c aceast carte se va dovedi foarte util juritilor, managerilor sistemelor informatice, organelor judiciare, cadrelor didactice universitare, studenilor de la faculti de drept, afaceri sau informatic, cercettorilor, tuturor celor interesai de domeniul sistemelor informatice n general i fiecrui utilizator de calculatoare pentru a nelege ameninrile informatice, impactul lor potenial i msurile necesare pentru protejarea personal.
1 Vezi J. Palfrey, The Challenge of Developing Effective Public Policy on the Use of Social Media by Youth, FEDERAL COMMUNICATIONS LAW JOURNAL, vol. 63 (2010); D. W. Vic, Interdisciplinarity and the Discipline of Law, JOURNAL OF LAW AND SOCIETY, Vol. 31, No. 2, June, 163-193 (2004). 2 Vezi, spre exemplu, I. Benbasat i R. W. Zmud, The identity crisis within the IS discipline: Defining and communicating the disciplines core properties, MIS QUARTERLY, 27 (2), 183194 (2003); R. D. Galliers, Trans-disciplinary research in information systems, INTERNATIONAL JOURNAL OF INFORMATION MANAGEMENT, 24, 99-106 (2004).

CRIMINALITATEA N CYBERSPAIU

19

Partea I CYBERSPAIU

20

Ioana Vasiu, Lucian Vasiu

CRIMINALITATEA N CYBERSPAIU

21

1. SISTEME INFORMATICE
1.1. Definiie Cyberspaiul este domeniul global n mediul informaional constnd din reeaua interdependent de infrastructuri informatice incluznd Internet, reelele de comunicaii electronice, sistemele informatice i procesoarele i controlerele ncorporate1. Reea de comunicaii electronice nseamn sisteme de transmisie i, dup caz, echipamente de comutare sau de rutare i alte resurse, inclusiv elemente de reea care nu sunt active, care permit transmiterea semnalelor prin cablu, unde radio, prin mijloace optice sau prin alte mijloace electromagnetice, inclusiv reele de satelit, reele terestre fixe (cu comutare de circuite sau de pachete, inclusiv Internet) i mobile, sisteme care utilizeaz reeaua electric, att timp ct servesc la transmiterea semnalelor, reelele utilizate pentru difuzarea programelor de radio i televiziune i reelele de televiziune prin cablu, indiferent de tipul de informaie transmis2. Reea public de comunicaii nseamn o reea de comunicaii electronice utilizat n ntregime sau n principal pentru furnizarea de servicii de comunicaii electronice puse la dispoziia publicului, care asigur transferul de informaii ntre punctele de terminale ale reelei3. n general, sistemele pot fi identificate ca fiind: Simple: constnd din puine variabile, cu relaii lineare ntre ele, care pot fi descrise, explicate i prezise cu precizie;

1 Vezi NIST, Managing Information Security Risk: Organization, Mission, and Information System View (2011). 2 Vezi Directiva 2009/140/CE a Parlamentului European i a Consiliului din 25 noiembrie 2009, de modificare a Directivelor 2002/21/CE privind un cadru de reglementare comun pentru reelele i serviciile de comunicaii electronice, 2002/19/CE privind accesul la reelele de comunicaii electronice i la infrastructura asociat, precum i interconectarea acestora i 2002/20/CE privind autorizarea reelelor i serviciilor de comunicaii electronice; vezi i Legea nr. 527 din 17 iulie 2002. 3 Id.

22

Ioana Vasiu, Lucian Vasiu Complicate: constnd din multe variabile, ntr-un sistem nchis cu relaii lineare i non-lineare, care pot fi descrise, explicate i prezise cu precizie; sau Complexe: constnd din multe variabile, ntr-un sistem deschis cu relaii non-lineare, care nu pot fi descrise, explicate i prezise cu precizie.

Dup cum argumenteaz unii cercettori1, caracteristicile sistemelor complexe includ: Numrul mare de elemente, care fac dificil nelegerea lor complet; Existena unor interaciuni dinamice ntre elemente i transferul de informaii; Natura bogat i multidimensional a interaciunilor ntre elemente; Caracterul nonlinear al interaciunilor, care poate cauza reacii extinse; Existena feedback-ului pozitiv i negativ recurent n sistem; Deschiderea ctre alte sisteme, influenate de mediul lor i de observatori; Elementele componente sunt simple, complexitatea sistemului rezultnd din natura interaciunilor ntre elemente. O clasificare a sistemelor deschise poate fi gsit n Falkenberg i colab.2, unde se disting urmtoarele tipuri de sisteme: Sistem reactiv: fiecare expresie este o reacie, iar fiecare impresie cauzeaz o reacie. Sistem responsiv: pentru fiecare expresie o anumit impresie sau pattern temporal este o condiie necesar, dar nu suficient pentru a determina apariia expresiei. Sistem autonom: cel puin o expresie este o aciune.

1 Vezi, spre exemplu, P. Cilliers, Complexity and Postmodernism, Routledge (1998); K. Richardson i P. Cilliers, What Is Complexity Science?: A View from Different Directions, EMERGENCE, 3 (1) 5-23 (2001). 2 Vezi E. D. Falkenberg, W. Hesse, P. Lindgreen, B. E. Nilsson, J. L. H. Oei, C. Rolland, R. K. Stamper, F. J. M. Van Assche, A. A. Verrijn-Stuart i K. Voss, A framework of information system concepts, The FRISCO Report (1998).