Legislație - PC Magazine Romania, Septembrie 2004
Monitorizarea sistemelor IT
Răzvan Florin Stoicescu - Linklaters, Miculiți & Asociații SCPA
Calculatoarele au devenit în prezent unelte indispensabile pentru manipularea informației. Și, cu cât informația stocată sau circulată este mai importantă, cu atât tentația controlului acesteia este mai mare. Sub acest aspect, la nivel software au fost elaborare nenumărate tehnici de intruziune, tehnici menite toate să asigure accesul unor terțe părți la informații cu caracter personal sau comercial. În ambele cazuri, intruziunea este nu numai deranjantă, dar de multe ori poate fi chiar păguboasă.
Proceduri ca sniffer - modalitate tehnică de monitorizare și înregistrare a pachetelor de informații, care permite unui administrator de rețea, părinților ori altei persoane care controlează aplicația "sniffer" să aibă acces la parole sau alte informații care sunt circulate într-o anumită rețea - sau key logging - modalitate tehnică care se poate implementa atât la nivel software cât și la nivel hardware și care are ca finalitate pregătirea unui fișier în care sunt înregistrate toate caracterele introduse de utilizator de la tastatură -, fac parte din pleiada de soluții pe care un terț le poate folosi în vederea obținerii de informații care nu-i sunt adresate și la care în mod normal nu ar trebui să aibă acces. Deși fenomenul sniffer se prezintă astăzi extrem de amplu, tocmai datorită gradului ridicat de dificultate pe care îl presupune detectarea sa într-o anumită rețea, pentru claritate vom exemplifica în cele ce urmează pe cealaltă soluție tehnică menționată mai sus "key logging-ul". Key logging-ul ca modalitate de atac presupune, de cele mai multe ori, instalarea de către atacator a unei aplicații rezidente în memoria calculatorului vostru care înregistrează apăsările de taste. Programul înregistrează tot ceea ce se tastează, astfel încât nici parolele, mailurile sau codurile PIN ale cărților de credit nu pot fi protejate. Aceasta întrucât, chiar dacă se transmit criptat către alte calculatoare (de exemplu, prin SSL), ele nu se transmit criptat de la tastatură către aplicația care le interpretează la nivel local. Fișierul jurnal rezultat este ulterior transmis în exterior către o adresă anonimă de email.
Așadar, atacatorul trebuie mai întâi să capete acces la sistemul vostru. Aceasta se poate face în moduri diferite, dar cel mai frecvent prin viruși de tip troian care în spatele unei aparențe de normalitate (mesaje de
e-mail, de exemplu) profită de găurile de securitate din sistem și instalează aplicația de monitorizare.
Mai apoi, soluția tehnică trebuie să fie aptă pentru a colecta informațiile introduse de la tastatură, urmând ca, în final, să fie aptă de asemenea să comunice informațiile spre exterior. Dacă toate aceste condiții sunt îndeplinite suntem în prezența unui veritabil key-logger.
În scopul diminuării propagării unor astfel de soluții tehnice, legiuitorul român a intervenit prin Legea nr. 161/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției, publicată în Monitorul Oficial nr 279 din 21 Aprilie 2003 promovând o nouă categorie de infracțiuni, cuprinsă în Titlul III al Cărții I din lege, infracțiunile contra confidențialității și integrității datelor și sistemelor informatice.
Potrivit articolului 42 din această lege, accesul fără drept la un sistem informatic constituie infracțiune și se pedepsește cu închisoare de la trei luni la trei ani ori cu amendă. Se observă faptul că este considerată infracțiune simplul acces, fără drept, la un sistem informatic. Circumstanța că acesta se desfășoară în scopul obținerii de date informatice, constituie o agravantă a infracțiunii de mai sus și se pedepsește cu închisoare de la șase luni la cinci ani. Dacă aceste fapte sunt săvârșite prin încălcarea măsurilor de securitate pedeapsa este închisoarea de la trei la 12 ani.
Interceptarea fără drept a unei transmisii de date informatice care se efectuează în cadrul unui sistem informatic este și ea incriminată. Această faptă se pedepsește cu închisoare de la doi la șapte ani. Și întrucât, prin sistem informatic, în înțelesul legii, se include și un singur calculator este discutabil dacă însuși procedeul de interceptare a caracterelor nu intră în acest element material.
Poziția legiuitorului privind incriminarea acestor fapte este de altfel reconfirmată și de noul Cod Penal publicat în Monitorul Oficial nr. 575 din 29 iunie 2004, care va intra în vigoare la data de 29 iunie 2005. De asemenea, pentru cei interesați de key logging și alte aplicații similare, mai menționăm că, în funcție de natura informației colectate, dispozițiile Legii nr. 11/1991 privind combaterea concurenței neloiale publicată în Monitorul Oficial nr. 24 din 30 ianuarie 1991 pot fi incidente. Conform acestei legi, achiziționarea sau utilizarea secretului comercial de către terți, fără consimțământul deținătorului său legitim, ca rezultat al unei acțiuni de spionaj comercial sau industrial, constituie infracțiune și se pedepsește cu închisoare de la șase luni la doi ani sau cu amendă de la 25.000.000 lei la 50.000.000 lei.
Astfel, din legislația privind protecția datelor personale concluzionăm că, deși pot exista nenumărate motive care să justifice key loggingul, sniffer-ul sau alte modalități de monitorizare și captare a unor informații private, cadrul legal românesc este suficient de bine dezvoltat pentru a permite sancționarea ca infracțiune a unor astfel de fapte.
|
