Pledoarie pentru un drept la ripostă în mediul virtual
Susţineam în urmă cu doi ani într-un material intitulat Legitima apărare şi starea de necesitate în domeniul criminalităţii informatice şi publicat în două părţi în revista Dreptul (nr. 4-5/2015) faptul că este necesară o regândire a cauzelor justificative referitoare la legitima apărare şi starea de necesitate într-o asemenea manieră încât riposta în mediul virtual să fie legitimată. Poziţia mea, deşi singulară la nivelul României, se regăseşte de mulţi ani şi în literatura de specialitate din SUA (a se vedea cu titlu de exemplu J. P. Kesan, R. Majuca, Optimal Hackback, în „Chicago-Kent Law Review”, vol. 84, nr. 3, 2010; O. S. Kerr, Virtual Crime, Virtual Deterrence: A Skeptical View of Self-Help, Arhitecture, and Civil Liability, în „Journal of Law, Economics and Policy”, vol. 1, nr. 1/2005). Recent a apărut chiar o propunere (disponibilă aici) de modificare a Computer Fraud and Abuse Act (CFAA) prin care să se legitimize un anumit tip de ripostă. În ceea ce priveşte propunerea de modificare a CFAA, riposta ar deveni una legitimă atunci când împotriva persoanei care ripostează s-ar comite în mod repetat (terminologia folosită în limba engleză fiind persistent) acţiuni specifice accesului neautorizat la un sistem informatic. De asemenea, se menţionează expres faptul că riposta poate consta fie într-un acces neautorizat în vederea identificării agresorului – pentru a putea oferi aceste informaţii autorităţilor competente în materie – ori pentru a înceta / împiedica activitatea infracţională a acestuia. Cu alte cuvinte, în măsura în care propunerea în cauză va fi acceptată, acţiunile repetate constând într-un acces la un sistem informatic vor putea legitima [fapta neconstituind infracţiune] o ripostă constând de asemenea într-un acces neautorizat la un sistem informatic, atâta vreme cât scopul este acela de identificare a agresorului ori de încetare / împiedicare a activităţii infracţionale.
În prezent, cred că ceea ce susţineam în urmă cu doi ani reprezintă un subiect de discuţie care ar trebui să fie abordat cu maximă seriozitate atât de către legiuitor, cât şi de către specialiştii în securitate ori drept. Nu de alta, dar în actualul context al atacurilor cibernetice există riscul ca soluţia ce se va dori a fi implementată să nu ducă la un echilibru între ceea ce înţelegem noi prin “open Internet” şi securitatea datelor. Mai exact, nu cred că o limitare în ceea ce priveşte respectarea dreptului la viaţă privată printr-o legitimare a ingerinţei intensificate a statului reprezintă o soluţie reală la problema cu care se confruntă toţi utilizatorii serviciului de Internet, fie că aceştia sunt persoane fizice ori juridice.
Cred că soluţia reală este aceea de a legitima riposta privată în mediul virtual şi nu o mai mare ingerinţă a statului în dreptul la viaţă privată. Ar trebui să fim naivi să credem că, în raport cu această problemă, renunţarea la drepturi poate duce la o mai bună protecţie a acestora. În schimb, renunţarea la condiţia materialităţii atacului în ceea ce priveşte legitima apărare ar oferi oricăi persoane posibilitatea de a recurge la mecanisme automate de ripostă în mediul digital, câştigând astfel ceea ce statul – indiferent de controlul pe care acesta îl va exercita asupra fluxului de date – nu va putea oferi niciodată. Şi anume posibilitatea de a acţiona preventiv, nu doar post factum.
Problemele ripostei în mediul virtual
Dacă se discută însă despre necesitatea legitimării ripostei în mediul virtual şi regândirea cauzelor justificative într-o asemenea manieră încât legitima apărare ori starea de apărare să şi găsească aplicabilitatea trebuie identificate şi analizate nu doar aspectele pozitive ale ripostei ci şi riscurile ori insuficienţele acesteia.
1. Problema ripostei la ripostă. Discutabilă ar fi următoarea ipoteză: A (agresorul) lansează un atac informatic împotriva lui B (victima) prin intermediul sistemului informatic a lui C (un terţ în necunoştinţă de cauză). B identifică atât atacul, cât şi cele două sisteme informatice participante la infracţiune (sistemul informatic al agresorului şi al terţului) şi decide să riposteze. În momentul acestei riposte, atât A cât şi C (de data aceasta în mod personal şi în cunoştinţă de cauză) răspund cu un nou atac. În final, B acţionează iar asupra sistemelor informatice în vederea distrugerii acestora. Întrebarea care se pune în acest context este de câte ori va fi incidentă legitima apărare şi pentru cine? Privitor la agresorul iniţial (A) lucrurile sunt clare. Atacul iniţial este antijuridic, motiv pentru care riposta lui B (victima iniţială) este legitimă. Or, datorită ripostei legitime, cel de al doilea atac al lui A împotriva lui B nu se află sub incidenţa legitimei apărări. În acest caz ne aflăm în situaţia în care legitima apărare nu poate da naştere unei alte legitime apărări.
În schimb, raportul dintre atacul lui C (terţul iniţial) şi riposta lui B (victima iniţială) este relativ problematic. În prima instanţă, riposta lui B împotriva lui C este legitimă chiar dacă cel din urmă nu se face vinovat de săvârşirea infracţiunii informatice (aceasta fiind comisă de A prin intermediul sistemului informatic deţinut de C fără consimţământul şi ştiinţa acestuia). Riposta lui C în schimb, ar putea avea la bază o eroare privind caracterul injust al ripostei lui B. Astfel, terţul (C), necunoscând contextul în care această ripostă are loc, va reacţiona crezând că se află într-o stare de legitimă apărare. În măsura în care acceptăm însă că legitima apărare putativă este aplicabilă în acest caz, ar trebui să acceptăm inclusiv faptul că ultima ripostă a lui B împotriva lui C este la rândul ei legitimă. Procedând astfel, ajungem practic la un cerc vicios în care o legitimă apărare putativă dă naştere unei alte legitime apărări (problemă analizată în G. Zlati, Legitima apărare şi starea de necesitate în domeniul criminalităţii informatice (I), în Dreptul, nr. 4/2015). S-ar putea invoca aşadar riscul ca mediul digital să devină un “Vest sălbatic” în care o ripostă generează o reacţie în lanţ, fiind afectate persoane nevinovate care au fost folosite ca intermedieri într-un atac cibernetic fără a avea cunoştinţă de acest lucru.
Consider totuşi că ar trebui să fim realişti. Accesul la Internet a devenit o necesitate. Tocmai de aceea se discută despre un “drept la Internet” ca drept al omului. Dar în acelaşi timp, Internetul este o armă. Ceea ce face ca pe lângă acest drept la Internet să se alăture şi o serie de obligaţii şi cel mai important probabil, asumarea faptului că o dată conectat la Internet s-a creat o stare de autopunere în pericol. În acest context, cred că riposta legitimă ar putea avea ca efect şi o responsabilizare a utilizatorului, atât în ceea ce priveşte mecanisme pasive de protecţie (aspecte ce ţin de securitatea datelor şi sistemelor folosite) cât şi mecanisme active de protecţie (ce oferă posibilitatea de a riposta manual ori automat, în caz de nevoie). Pe de altă parte, nu văd de ce sistemul informatic folosit de agresor fără permisiunea titularului acestuia ar trebui să ridice semne de întrebare în ceea ce priveşte posibilitatea de a riposta în mediul virtual. În cele din urmă, dacă în mediul fizic folosirea bunurilor unei alte persoane la atac permite victimei să riposteze inclusiv împotriva acestor bunuri, nu văd de ce situaţia ar trebui să se prezinte în mod diferit în mediul virtual.
2. Identificarea agresorului. Problema de mai sus oferă contur unei alte probleme şi anume aceea că o ripostă este cu adevărat eficientă atunci când este îndreptată împotriva agresorului. Iar identificarea agresorului se poate dovedi o problemă extrem de dificil de soluţionat din punct de vedere tehnic în contextul în care un atac cibernetic lansat în mod profesionist este pus în executare prin sisteme informatice intermediare, aparţinând unor persoane care nu au cunoştinţă despre acest lucru. Această problemă ţine însă de tehnologie. Cade până la urmă în sarcina celui care rispostează să aleagă acele mijloace care se dovedesc ca fiind eficiente. Iar în ceea ce priveşte identificarea agresorului în contextul atacurilor cibernetice prin intermediari există şi se vor dezvolta în continuare mecanisme care să se plieze exact pe acestă problemă (a se vedea în acest sens S. C. Lee, C. Shields, Technical, Legal, and Societal Challenges to Automated Attack Traceback, în “IT Professional”, vol. 4, nr. 3, 2002; J. Ryu, J. Na, Security Requirement for Cyber Attack Traceback, în „Fourth International Conference on Networked Computing and Advanced Information Management”, vol. 2, 2008; C. V. Zhou, C. Leckie, S. Karunasekera, A survey of coordinated attacks and collaborative intrusion detection, în „Computers & Security”, vol. 29, 2010; T. Y. Wong, K. T. Law, ş.a., An Efficient Distributed Algorithm to Identify and Traceback DDoS Traffic, în “The Computer Journal”, vol. 49, nr. 4, 2006; R. Varanasi, V. V. Phoha, S. Joshi, IP-Traceback Based Attacker Tracking: A Probabilistic Technique for Detecting Internet Attacks Using the Concept of Hidden Markov Models, Proceedings of the 2004 IEEE Workshop on Information Assurance, 2004, p. 438 şi urm.; A. Belenky, N. Ansari, Tracing Multiple Attackers with Deterministic Packet Marking (DPM), IEEE Pacific Rim Conference on Communications, Computers and signal Processing, 2003).
3. Proporţionalitatea ripostei cu atacul. Să presupunem că A utilizează trei sisteme de operare aparţinând lui B (un elev de liceu), C (un spital) şi D (o bibliotecă publică) în vederea exercitării unui atac informatic cumulat (în speţă un atac de tip denial-of-service). Dacă victima nu reuseşte să-l identifice pe A ca fiind adevaratul agresor, riposta va fi îndreptată împotriva agresorilor aparenţi şi anume elevul de liceu, spitalul şi biblioteca publică. O asemenea ripostă însă, ridică unele probleme faţă de condiţia proporţionalităţii apărării. Se justifică o ripostă împotriva unui spital ori a unei biblioteci? Răspunsul pare a fi mai degrabă unul negativ, din moment ce consecinţele unei astfel de riposte ar putea depăşi cu mult consecinţele produse de atacul iniţial (problemă analizată în G. Zlati, Legitima apărare şi starea de necesitate în domeniul criminalităţii informatice (II), în Dreptul, nr. 5/2015). Această problemă se poate dovedi principalul argument împotriva ripostei în mediul virtual deoarece o ripostă îndreptată împotriva unui sistem informatic de o importanţă deosebită ar putea genera mai multe consecinţe decât cele generate de atacul iniţial. Cu toate acestea, cred că discutăm mai degrabă despre o falsă problemă. Aceasta deoarece un astfel de sistem informatic este deja viciat din moment ce este folosit de agresor în vederea propagării unor atacuri cibernetice. În cele din urmă, cred că aşa cum utilizatorii Internetului trebuie să îşi asume faptul că s-au autopus în pericol prin conectarea la această reţea globală, la fel şi cei care apelează la mecanisme de ripostă ar trebui să îşi asume riscul de a răspunde atunci când riposta nu este proporţională cu atacul. Pe de altă parte, pentru a se evita ripostele împotriva unor sisteme informatice de importanţă majoră s-ar putea identifica soluţii tehnice precum baze de date cu identificatori a acelor sisteme informatice împotriva cărora nu se poate riposta.
În concluzie, sunt departe de a susţine că riposta în mediul digital este lipsită de orice fel de probleme în plan juridic ori tehnic. Cu toate acestea, sunt ferm convins că dezbaterea cu privire la acest subiect trebuie să aibă loc.
Latest posts by Avocat dr. George Zlati (see all)
- (Video) De la studenţie la profesiile juridice - 02/03/2022
- Portal Penalmente Relevant. Indexarea materialelor de drept penal - 01/17/2022
- (Video) Infracţiunile de evaziune fiscală - 01/04/2022
- (Video) Metode speciale de supraveghere şi cercetare - 06/29/2021
- (Video) Dezbatere în domeniul criminalităţii informatice: Zlati vs. Dobrinoiu - 05/21/2021
Cuvinte cheie: atacuri cibernetice, avocat specializat criminalitate informatica, avocat specializat infractiuni informatice, criminalitate informatica, George Zlati, legitimă apărare, riposta