International magazine for security engineering

Security Revue

June 7th, 2007 at 10:11

Represívna ochrana informácií

in: Information Security

napísal Ing. František KALUŽA

Aby bolo možno hovoriť o informačnej kriminalite, musí páchateľ k svojmu jednaniu použiť nielen výpočtovú techniku (príp. iný prostriedok spracovania informácií), ale jeho konanie musí tiež napĺňať skutkovú podstatu trestného činu uvedeného v trestnom zákone. Nebezpečnosť takéhoto jednania potom musí dosahovať požadovaný stupeň nebezpečenstva pre spoločnosť, prípadne firmy. Zároveň pri danej činnosti vzniká škoda definovaná v občianskom zákonníku. A práve na dané smery sa autor článku zameriava.

Poznámka: Pri každej oblasti je uvedená zodpovednosť za implementáciu, hrozby v daných oblastiach (tie sú len uvedené len informatívne a silne závisia od konkrétnych situácií) a príslušný hlavný rámcový zákon.

1. ZÁKONNÁ TRESTNOPRÁVNA OCHRANA INFORMÁCIÍ

  • Zamestnanci zodpovední za implementáciu: firemný právnik + bezpečnostný manažér.
  • Všeobecná ochrana informácií: výberom z trestného zákona (Zákon NR SR č. 300/2005 Z.z.) získame veľmi presný prehľad o možných postihoch v rámci elektronickej komunikácie (EK) a informačnej bezpečnosti (IB).

§196- 198 Porušovanie tajomstva prepravovaných správ

  • Hrozby: široké spektrum hrozieb, napr. odposluch komunikácie a zneužitie informácií v konkurenčnom boji, analýza sieťovej komunikácie, IT útoky (Man in the midle útoky, session hijacking…), bankové útoky, …

V rámci elektronickej komunikačnej služby (EKS) sa jedná hlavne o tieto druhy trestov:

  • odňatie slobody (OS) podľa závažnosti až na 3 roky (max. 10 rokov):
    porušenie tajomstva informácie prenášanej pomocou elektronickej komunikačnej služby (EKS),
  • porušenie tajomstva pri zneužití elm. vyžarovania na zachytenie dát pri ich prenose v neverejnej sieti,
  • zadováženie alebo prechovávanie zariadenia spôsobilého na odposluch informácií prenášaných prostredníctvom EKS,
  • OS podľa závažnosti na 1-5 rokov (max. 10 rokov): ak úkon v1 odstavci vykoná zamestnanec poskytovateľa EK, príp. úmyselne umožní spáchať trestný čin, alebo pozmení, potlačí správu podanú EKS.

§ 219 Neoprávnené vyrobenie a používanie elektronického platobného prostriedku (EPP) a inej platobnej karty

  • Hrozby: Carding, Phreaking, útoky na heslo, odcudzenie zabezpečovacích HW prostriedkov a ich zneužitie, …

Všeobecne tu ide o:

  • OS podľa závažnosti na 1 až 5 rokov (max. 12 rokov): falšovanie, prechovávanie, prepravu a použitie ID prístupových prvkov (platobné, tel. karty, GRID karty a iné prostriedky) k rôznym elektronickým službám.
  • OS podľa závažnosti až na 3 roky (max. 12 rokov): Výroba, prechovávanie, obstaranie, poskytnutie nástroja na spáchanie (PC, aplikácia, …) činu v1 odseku.

§ 226 Neoprávnené obohatenie

  • Hrozby: Krádež z bankomatov, infiltrácie do platobných systémov rôznymi metódami hackingu, …
  • OS podľa závažnosti až na 3 roky (max. 12 rokov): obohatenie seba (iného) na škodu cudzieho majetku neoprávneným zásahom do technického alebo programového vybavenia PC, automatu alebo iného podobného prístroja alebo technického zariadenia slúžiaceho na automatizované uskutočňovanie predaja tovaru, zmenu alebo výber peňazí alebo na poskytovanie platených výkonov služieb, informácií, či iných plnení dosiahne, že tovar, služby, alebo informácie získa bez požadovanej úhrady alebo peniaze získa neoprávnene a spôsobí tým na cudzom majetku škodu.

§ 247 Poškodenie a zneužitie záznamu na nosiči informácií

  • Hrozby: široké spektrum hrozieb, napr. cracking, elektronické výpalné, útoky na heslá, všetky sieťové útoky hackerov, zámerná likvidácia údajov s nasledovnou finančnou škodou, škodlivý kód, …

V rámci el. elektronickej komunikačnej služby (EKS) sa jedná hlavne o 3 druhy trestov:

OS podľa závažnosti na 6 mesiacov až 3 roky (max. 8 rokov):

  • neoprávnený prístup do počítača, počítačového systému, k nosiču informácií v úmysle
    spôsobiť škodu (ujmu, osobný prospech) a:

    • zničenie, neoprávnené použitie, poškodenie, vymazanie, zníženie kvality, zmena informácií,
    • zásah do technického alebo programového vybavenia počítača,
    • akákoľvek činnosť smerujúca k poškodeniu funkčnosti PC systému, príp. tvorba neautentických údajov (s účelom klamlivej autentickosti),
  • neoprávnené sledovanie neverejného prenosu PC dát do/zo/v rámci systému,
  • zaobstaranie alebo sprístupnenie PC programu, zariadenia, hesiel a kódov pre prístup do PC systému, alebo jeho časti.

§ 264 Ohrozenie obchodného, bankového, poštového, telekomunikačného a daňového tajomstva

  • Hrozby: široké spektrum hrozieb,
  • OS podľa závažnosti od 6 mesiacov do 3 rokov (max. 12 rokov): Údaje vo všetkých oblastiach uvedených sú dôverné a páchateľa možno potrestať pokiaľ príde k ich ohrozeniu stratou dôvernosti, dostupnosti, integrity a autenticity.

§ 282 Porušovanie priemyselných práv

  • Hrozby: priemyselná špionáž, nekalá súťaž, …
  • OS podľa závažnosti až na 3 roky (max. 8 rokov): neoprávnený zásah do práv k patentu, úžitkovému vzoru, designu, topografii polovodičového výrobku, uznaným odrodám rastlín, plemenám zvierat.

§ 283 Porušovanie autorského práva

  • Hrozby: Warez, nelicencovaný SW, filmy, hudba, hry, …
  • OS podľa závažnosti až na 2 roky (max. 8 rokov): neoprávnený zásah do práv k dielu, umeleckému výkonu, zvukovému, alebo zvukovo-obrazovému záznamu, rozhlasovému, televíznemu vysielaniu, príp. databáze.

§ 361 Šírenie poplašnej správy

  • Hrozby: hoax, …
  • OS podľa závažnosti až na 2 roky: spôsobenie vážneho znepokojenia aspoň časti obyvateľstva šírením poplašnej (nepravdivej) správy, príp. obdobné konanie (OS 1 rok – 8 rokov: ak je dané oznámené PO, PZ SR, štátnemu orgánu)

§ 369 Rozširovanie detskej pornografie

  • Hrozby: prostriedok všeobecnej realizácie hrozieb (sú to kritické oblasti, kde sa mimo základnej hrozby často kumulujú aj iné nástrahy, ako červy, keyloggery, infiltrujúce utility napr. na PC zombies, …)
  • OS podľa závažnosti na 1 rok až 5 rokov (max. 12 rokov): rozmnožovanie, preprava (aj elektronická internetom), sprístupňovanie, iné rozširovanie detskej pornografie

§ 371-372 Ohrozovanie mravnosti

  • Hrozby: prostriedok všeobecnej realizácie hrozieb
  • OS podľa závažnosti až na 2 roky (max. 8 rokov): výroba, kúpa, dovoz (iné zadováženie), následný predaj, požičiavanie (iné uvádzanie do obehu), rozširovanie, verejné sprístupňovanie, zverejňovanie predmetov, nosičov, zobrazení pornografie, v ktorých sa prejavuje neúcta k človeku, násilie, sexuálny styk so zvieraťom, sexuálne patologické praktiky,
  • OS podľa závažnosti až na 2 roky (max. 8 rokov): ponuka, prenechanie, predaj, vystavovanie, sprístupňovanie osobe mladšej ako 18 rokov, príp. na mieste prístupnom takýmto osobám (max. sadzba sa týka, ak je osoba mladšia ako 18 rokov vystavená druhom pornografie z 1 odstavca).

V rámci EK a IB nemajú niektoré § bližšie špecifikované konkrétne hrozby, pretože sa problematiky týkajú buď okrajovo, alebo všeobecne. Možno ich však využiť ako represívne opatrenie pokiaľ trestný zákon nestanovuje konkrétny trestný čin.

  • § 212 Krádež (samotných informácií, prostredníctvom zneužitia informácií, prostriedkov spracovania informácií),
  • § 213 Sprenevera (prostriedkov spracovania, príp. ukladania informácií a tým aj informácií na nich),
  • § 221 Podvod (použitie hlavne v kombinácii s iným trestným činom),
  • § 245 Poškodzovanie cudzej veci (prostriedkov spracovania, príp. ukladania informácií a tým aj informácií na nich),
  • § 265 Zneužívanie informácií v obchodnom styku (zneužitie obchodných informácií pre osobný prospech, zvýhodnenie v obchodnom styku),
  • § 281 Porušovanie práv k ochrannej známke, označeniu pôvodu výrobku a obchodnému menu (Poškodenie dobrého mena, prestíže firmy) – napr. ukradnutie loga, značky,
  • § 286 Poškodzovanie a ohrozovanie prevádzky verejne prospešného zariadenia (napr. telekomunikačného zariadenia, internet. stránky ministerstiev, orgánov št. správy, …),
  • § 296-297 Založenie, zosnovanie a podporovanie zločineckej skupiny, teroristickej skupiny,
  • § 419 Terorizmus,
  • §421-422 Podpora a propagácia skupín smerujúcich k potlačeniu základných práva a slobôd,
  • § 423 Hanobenie národa, rasy a presvedčenia (internetová implementácia),
  • § 424 Podnecovanie k národnostnej, rasovej a etnickej nenávisti. (internetová implementácia)

2. OBČIANSKY ZÁKONNÍK

  • Zamestnanci zodpovední za implementáciu: bezpečnostný manažér + manažér ľudských zdrojov.
  • Hrozby: majetkové, duševné, osobnostné škody vznikajúce ako následok informačnej kriminality rôzneho zamerania, …
  • Zákon FZ ČSFR č. 40/1964 Zb. Občiansky zákonník v znení neskorších predpisov v 6. časti (§ 415 – § 459) definuje ustanovenie o škode dotýkajúce sa taktiež problematiky informačnej kriminality:

Všeobecná zodpovednosť: § 420:

  • Každý zodpovedá za škodu, ktorú spôsobil porušením právnej povinnosti.
  • Škoda je spôsobená právnickou osobou alebo fyzickou osobou, keď bola spôsobená pri ich činnosti tými, ktorých na túto činnosť použili. Tieto osoby samy za škodu takto spôsobenú podľa tohto zákona nezodpovedajú; ich zodpovednosť podľa pracovnoprávnych predpisov nie je tým dotknutá. (zamestnávateľ musí preto samostatne zmluvne zaviazať zamestnancov)
  • Zodpovednosti sa zbaví ten, kto preukáže, že škodu nezavinil.

§ 420a:

  • Každý zodpovedá za škodu, ktorú spôsobí inému prevádzkovou činnosťou.
  • Zodpovednosti za škodu sa ten, kto ju spôsobil zbaví, len ak preukáže, že škoda bola spôsobená neodvrátiteľnou udalosťou nemajúcou pôvod v prevádzke alebo vlastným konaním poškodeného.

Prípady osobitnej zodpovednosti: § 421:

  • Každý, kto od iného prevzal vec, ktorá má byť predmetom jeho záväzku, zodpovedá za jej poškodenie, stratu alebo zničenie, ibaže by ku škode došlo aj inak.

§ 421a:

  • Každý zodpovedá aj za škodu spôsobenú okolnosťami, ktoré majú pôvod v povahe prístroja alebo inej veci, ktoré sa pri plnení záväzku použili. Tejto zodpovednosti sa nemôže zbaviť.

§ 424: Za škodu zodpovedá aj ten, kto ju spôsobil úmyselným konaním proti dobrým mravom.

Spoločná zodpovednosť: § 438:

  • Ak škodu spôsobí viac škodcov, zodpovedajú za ňu spoločne a nerozdielne.
  • V odôvodnených prípadoch môže súd rozhodnúť, že tí, ktorí škodu spôsobili, zodpovedajú za ňu podľa svojej účasti na spôsobení škody.

§ 439: Kto zodpovedá za škodu spoločne a nerozdielne s inými, vyporiada sa s nimi podľa účasti na spôsobení vzniknutej škody.

§ 440: Kto zodpovedá za škodu spôsobenú zavinením iného, má proti nemu postih.

Zavinenie poškodeného: § 441: Ak bola škoda spôsobená aj zavinením poškodeného, znáša škodu pomerne; ak bola škoda spôsobená výlučne jeho zavinením, znáša ju sám.

Spôsob a rozsah náhrady: § 442:

  • Uhrádza sa skutočná škoda a to, čo poškodenému ušlo (ušlý zisk).
  • Pri škode spôsobenej niektorým trestným činom korupcie sa uhrádza aj nemajetková ujma v peniazoch.
  • Škoda sa uhrádza v peniazoch; ak však o to poškodený požiada a ak je to možné a účelné, uhrádza sa škoda uvedením do predošlého stavu.
  • Ak bola škoda spôsobená úmyselným trestným činom, z ktorého mal páchateľ majetkový prospech, môže súd rozhodnúť, že právo na náhradu škody možno uspokojiť z vecí, ktoré z majetkového prospechu nadobudol, a to i vtedy, ak inak podľa ustanovení Občianskeho súdneho poriadku nepodliehajú výkonu rozhodnutia. Dokiaľ právo na náhradu škody nie je uspokojené, nesmie dlžník s takýmito v rozhodnutí uvedenými vecami nakladať.

§ 443: Pri určení výšky škody na veci sa vychádza z ceny v čase poškodenia.

§ 456: Predmet bezdôvodného obohatenia sa musí vydať tomu, na úkor koho sa získal. Ak toho, na úkor koho sa získal, nemožno zistiť, musí sa vydať štátu.

§ 458:

  • Musí sa vydať všetko, čo sa nadobudlo bezdôvodným obohatením. Ak to nie dobre možné, najmä preto, že obohatenie spočívalo vo výkonoch, musí sa poskytnúť peňažná náhrada.
  • S predmetom bezdôvodného obohatenia sa musia vydať aj úžitky z neho, pokiaľ ten, kto obohatenie získal, nekonal dobromyseľne.
  • Ten, kto predmet bezdôvodného obohatenia vydáva, má právo na náhradu potrebných nákladov, ktoré na vec vynaložil.

§ 459: Ak je predmet bezdôvodného obohatenia povinný vydať ten, kto nebol dobromyseľný, môže súd rozhodnúť, že možno právo uspokojiť aj z vecí, ktoré z bezdôvodného obohatenia nadobudol, a to aj vtedy, ak inak podľa ustanovení Občianskeho súdneho poriadku výkonu rozhodnutia nepodliehajú. Dokiaľ nie je právo na vydanie predmetu bezdôvodného obohatenia uspokojené, nesmie dlžník s takými vecami uvedenými v rozhodnutí nakladať.

LITERATÚRA

[1] http://jaspi.justice.gov.sk/jaspiw1/htm_zak/jaspiw_maxi_zak_fr0.htm – stránky aktuálneho úplného znenia zákonných legislatívnych noriem SR.
[2] http://www.zbierka.sk/ – zákonné legislatívne normy SR v *.pdf forme pod spravou IURA EDITION, s.r.o.
[3] http://www.bsa.org/slovakia/ – bussiness software aliance


pošli na vybrali.sme.sk   share on facebook add to google bookmarks

 

RSS feed for comments on this post

Comment spam protected by SpamBam

  • SK :: TBM dictionary


    Terminológia bezpečnostného manažmentu

  • Guarantors


     
     

  • Partners


     
     

Rexter

Securitaci

XG - IT services