ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΕΠΙΘΕΣΕΙΣ ΣΕ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΚΑΙ ETHICAL HACKING

Transcript

1 ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΕΠΙΘΕΣΕΙΣ ΣΕ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΚΑΙ ETHICAL HACKING Σάμος 2017

2 ΕΠΙΘΕΣΕΙΣ ΣΕ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΚΑΙ ETHICAL HACKING

3 ΤΙΤΛΟΣ ΔΙΠΛΩΜΑΤΙΚΗΣ: ΕΠΙΘΕΣΕΙΣ ΣΕ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΚΑΙ ETHICAL HACKING Φοιτητές(αλφαβητικά): 1) Καραμουζάς Αθανάσιος, 321/ ) Κάργας Μαριος, 321/ Επιβλέπουσα Καθηγήτρια: κα. Μήτρου Λ. Σάμος, Ιούνιος 2017

4 Ευχαριστίες Καταρχάς, θα θέλαμε να ευχαριστήσουμε την επιβλέπουσα καθηγήτρια της διπλωματικής μας εργασίας κα. Μήτρου Λίλιαν για την καθοδήγηση της. Επίσης θέλουμε να εκφράσουμε την ευγνωμοσύνη μας στους γονείς μας για την διαρκή τους υποστήριξη, κατά την διάρκεια ολοκλήρωσης των σπουδών μας. Τέλος, να ευχαριστήσουμε τους φίλους και συνάδελφους μας για τα όμορφα φοιτητικά χρόνια. Σάμος, 2017

5 ΕΠΙΘΕΣΕΙΣ ΣΕ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΚΑΙ ETHICAL HACKING ΕΙΣΑΓΩΓΗ 1. Σημασία του θέματος (γιατί επιλέχθηκε, γιατί είναι επίκαιρο) 2. Αποσαφήνιση όρων 3. Ιστορικά Στοιχεία ΜΕΡΟΣ 1 Ο 1. Νομοθετικό Πλαίσιο (Ελλάδα, Ευρωπαϊκή Ένωση), ποινικά αδικήματα που στοιχειοθετούνται και Νομολογία (Ελλάδα, Ευρωπαϊκή Ένωση) 2. Μελέτες Περίπτωσης ΜΕΡΟΣ 2 Ο 1. Ethical hacking Abstract 2. Τα πρώτα βήματα του ethical hacking 3. Πόσο στ αλήθεια χρειαζόμαστε τους ethical hackers ; 4. Μπορεί να υπάρχει πλήρη εμπιστοσύνη προς τους ethical hackers; 5. Οι διαδικασίες που ακολουθούνται στο ethical hacking 6. Πως μπορείς να φορέσεις το ασπρο καπελο; 7. Πιστοποίηση CEH 8. Ethical hacking στο πανεπιστήμιο 9. O ρόλος του Ethical hacking σε ένα web site και ένα πρότυπο Website Security Course ΕΠΙΛΟΓΟΣ ΣΥΜΠΕΡΑΣΜΑΤΑ ΠΙΝΑΚΑΣ ΒΙΒΛΙΟΓΡΑΦΙΑΣ

6 ΕΙΣΑΓΩΓΗ 1. Σημασία του θέματος Ο αιώνας που διανύουμε έχει ευρέως χαρακτηριστεί ως ο αιώνας των πληροφοριών (information age) και κατ επέκταση η εποχή μας ως εποχή της πληροφορίας ή εποχή των υπολογιστών. Με τον όρο αυτό εννοούμε πως η σημερινή εποχή χαρακτηρίζεται από την δυνατότητα των ανθρώπων να ανταλλάσσουν και να διαδίδουν πληροφορίες ελεύθερα και να έχουν άμεση πρόσβαση σε γνώσεις που θα ήταν δυσχερές έως αδύνατο να αποκτήσουν στο παρελθόν. Η έννοια αυτή συνδέεται με την έννοια της ψηφιακής εποχής ή της λεγόμενης ψηφιακής επανάστασης η οποία ακολούθησε τη βιομηχανική επανάσταση και σηματοδοτεί τη μετάβαση από την παραδοσιακή βιομηχανία σε μια οικονομία που βασίζεται στο χειρισμό και την αξιοποίηση της πληροφορίας. Η περίοδος αυτή θεωρείται ότι ξεκίνησε γύρω στα τέλη του δεύτερου μισού του 20ού αιώνα μ.χ., χωρίς να υπάρχει επίσημη ημερομηνία έναρξης, αν και ο όρος «εποχή της πληροφορίας» χρησιμοποιήθηκε ευρέως από τα τέλη του 1980 και κατά τη διάρκεια του 21 ο αιώνα. Με την εφεύρεση δε των κοινωνικών μέσων μαζικής ενημέρωσης στις αρχές του 21 ου αιώνα, μερικοί ισχυρίζονται ότι η εποχή της πληροφορίας έχει μετεξελιχθεί στην εποχή της προσοχής. Η Ψηφιακή Επανάσταση, λοιπόν, έδωσε το έναυσμα για τη μαζική παραγωγή των ψηφιακών ηλεκτρονικών υπολογιστών και επέφερε πλήθος θετικών επιπτώσεων σε κοινωνικό αλλά και σε οικονομικό επίπεδο. Κοινωνικά, διευκολύνθηκε η επικοινωνία και κατέστη δυνατή η δημόσια και ελεύθερη έκθεση πληροφοριών που κατά το παρελθόν θα μπορούσαν ευκολότερα να καταπιεστούν από ολοκληρωτικά καθεστώτα. Οικονομικά δε, η δημιουργία και η διάδοση του Παγκόσμιου Ιστού συνέβαλε καθοριστικά στην εξέλιξη της παγκοσμιοποίησης ενώ η γενικότερη εξέλιξη επηρέασε τον τρόπο συνεργασίας επιχειρήσεων και ιδιωτών, δίνοντας την ευκαιρία σε μικρές επιχειρήσεις να βγουν στο προσκήνιο. Ωστόσο, παρά τις θετικές εξελίξεις, πλήθος υπήρξαν και οι αρνητικές επιπτώσεις της Ψηφιακής Επανάστασης, τις οποίες δεν μπορούμε να παραβλέψουμε. Η ελεύθερη έκθεση και διάδοση της πληροφορίας οδήγησε στην υπερφόρτωση πληροφοριών η οποία με τη σειρά της προκάλεσε τον κορεσμό των μέσων ενημέρωσης. Εκτός αυτού, με τη διάδοση του Διαδικτύου έκανε την εμφάνισή της και η ψηφιακή εγκληματικότητα, η οποία αποτελεί πλέον την ταχύτερα αναπτυσσόμενη μορφή παραβατικής και εγκληματικής συμπεριφοράς. Η συχνότητα των ψηφιακών επιθέσεων και εισβολών που εξυπηρετούν προσωπικά συμφέροντα αυξάνεται σταθερά κατά τα τελευταία χρόνια και ο αριθμός των ανθρώπων που διαθέτουν τις απαραίτητες τεχνικές γνώσεις αλλά και υποκινούνται από αντίστοιχα

7 κίνητρα δε σταματά να μεγαλώνει 1. Εκτός από την ηλεκτρονική πειρατεία, την ψηφιακή κατασκοπία, τη δημιουργία ιών ικανών να καταστρέφουν υπολογιστικά συστήματα και τις ποικίλες οικονομικές απάτες ή κλοπές που συντελούνται καθημερινά, στα «αγαθά» του Διαδικτύου θα πρέπει να συνυπολογίζονται η παιδική πορνογραφία, η ψηφιακή πορνεία και η δημιουργία αντιδραστικών ιστοσελίδων που προπαγανδίζουν τυπικά αντισυνταγματικές ιδέες, όπως π.χ. το φυλετικό, το θρησκευτικό ή το εθνικιστικό μίσος. Όσο για την οικονομική ζημιά σε άτομα ή εταιρείες από την ψηφιακή πειρατεία και από την κλοπή ή καταστροφή δεδομένων, αυτή είναι ανυπολόγιστη 2. Την εξέλιξη αυτή είχε προβλέψει και ο συγγραφέας και καθηγητής του M.I.T. Nicholas Negroponte γράφοντας κατά λέξη «Είμαι εκ φύσεως αισιόδοξος. Εντούτοις, κάθε τεχνολογία ή δώρο της επιστήμης έχει και μια σκοτεινή πλευρά. Ο ψηφιακός κόσμος δεν αποτελεί εξαίρεση σ αυτό τον κανόνα. Η επόμενη δεκαετία θα γνωρίσει περιπτώσεις κατάχρησης πνευματικής ιδιοκτησίας και εισβολής στην προσωπική μας ζωή. Θα γνωρίσουμε ψηφιακούς βανδαλισμούς, πειρατείες λογισμικού και κλοπές δεδομένων.» 3. Γίνεται λοιπόν σαφές ότι δεδομένης της ως άνω κατάστασης το hacking, στο πλαίσιο του γενικότερου ηλεκτρονικού εγκλήματος, αποτελεί ένα θέμα ιδιαίτερα επίκαιρο και ιδιαζούσης σημασίας. Επιπλέον, κανένα κράτος δεν έχει θεσπίσει ακόμη τα απαραίτητα νομικά εργαλεία για την αντιμετώπιση του προβλήματος, καθώς οι ραγδαίοι ρυθμοί εξέλιξης του ψηφιακού εγκλήματος καθιστούν δυσχερές στις διάφορες έννομες τάξεις το να συμβαδίσουν, ενώ ακόμη και τα κράτη που έχουν κάνει βήματα στην αντιμετώπιση των ηλεκτρονικών επιθέσεων καθυστερούν τόσο, ώστε τα προβλήματα μερικές φορές να είναι μη αναστρέψιμα. Για τους λόγους αυτούς κρίθηκε ότι η ανάλυσή του παρουσιάζει ιδιαίτερο ενδιαφέρον, καθώς για την αντιμετώπιση κάθε φαινομένου απαιτείται κατ αρχάς η βαθύτερη, ενδελεχής κατανόησή του. 1 Kenneth EinarHimma, Internet Security: Hacking, Counterhacking and society, Jones and Bartlett Publishers, USA, Σπύρος Μανουσέλης, «Η σκοτεινή πλευρά του Διαδικτύου», Ελευθεροτυπία, Nicholas Negroponte, «Ψηφιακός Κόσμος», Εκδόσεις Καστανιώτη, Αθήνα, 2001.

8 2. Αποσαφήνιση όρων Πριν περάσουμε στην εκτενέστερη ανάλυση του φαινομένου του hacking είναι απαραίτητο να αποσαφηνιστούν κάποιοι βασικοί όροι, ώστε να μπορέσουμε να φτάσουμε στην καλύτερη κατανόησή του. Κατ αρχάς, ως ψηφιακό έγκλημα (digital crime) θα μπορούσε να θεωρηθεί κάθε παράνομη πράξη για τη διάπραξη, αλλά και για την αντιμετώπιση της οποίας θεωρείται απαραίτητη η γνώση της ψηφιακής τεχνολογίας. Τα ψηφιακά εγκλήματα διαφέρουν από τα παραδοσιακά εγκλήματα στα εξής χαρακτηριστικά σημεία: Διαπράττονται συνήθως από μακρινή απόσταση, Ο εντοπισμός του ψηφιακού εγκληματία είναι τεχνολογικά περίπλοκος, Αποδίδουν μεγάλα κέρδη με μικρό κίνδυνο ανακάλυψης του δράστη τους, Ο αριθμός των θυμάτων τους συγκρινόμενος με εκείνο των παραδοσιακών εγκλημάτων είναι κατά πολύ μεγαλύτερος Οι οικονομικές απώλειες που προξενούνται στα ψηφιακά θύματα είναι πολύ μεγαλύτερες από εκείνες των θυμάτων των παραδοσιακών εγκλημάτων και Στο μεγαλύτερο μέρος τους δεν καταγράφονται από καμία επίσημη αρχή δηλ. ο σκοτεινός αριθμός τους είναι ιδιαίτερα σημαντικός. Τα τέσσερα δε τελευταία από τα παραπάνω χαρακτηριστικά τους πιστεύουμε ότι τα κατατάσσουν στο χώρο των οικονομικών εγκλημάτων. Τόπος τέλεσής τους είναι ο αποκαλούμενος κυβερνοχώρος. Το σύνολο επομένως, των ψηφιακών εγκλημάτων που τελούνται στον κυβερνοχώρο (cyberspace) συνιστούν την ψηφιακή ή ηλεκτρονική εγκληματικότητα (digital criminality) 4. Ειδικότερα, όσον αφορά στις επιθέσεις σε πληροφοριακά συστήματα μπορούμε να διευκρινίσουμε τα εξής. Πληροφοριακά συστήματα (αγγλ. InformationSystems ή IS) ονομάζεται ένα σύνολο διαδικασιών, ανθρώπινου δυναμικού και αυτοματοποιημένων υπολογιστικών συστημάτων, που προορίζονται για τη συλλογή, εγγραφή, ανάκτηση, επεξεργασία, αποθήκευση και ανάλυση πληροφοριών. Τα συστήματα αυτά μπορούν να περιλαμβάνουν λογισμικό, υλικό και τηλεπικοινωνιακό 4 Χρ. Τσουραμάνης, Η Ψηφιακή (ηλεκτρονική) εγκληματικότητα στοπλαίσιοτης Θεωρίας τηςκαθημερινήςδραστηριότητας ( Routine Activity Theory ), Πηγές Σπουδαστηρίου Κοινωνικών Μελετών του τμήματος Σ.Σ.Ο.Ε. του Τ.Ε.Ι. Μεσολογγίου.

9 σκέλος. Τα πληροφοριακά συστήματα αποτελούν το μέσο για την αρμονική συνεργασία ανθρώπινου δυναμικού, δεδομένων, διαδικασιών και τεχνολογιών πληροφορίας και επικοινωνιών. Προέκυψαν ως γέφυρα μεταξύ των πρακτικών εφαρμογών της επιστήμης υπολογιστών και του επιχειρηματικού κόσμου. Σήμερα, σε επίπεδο ανώτατης εκπαίδευσης, σε τμήματα Πληροφορικής παρέχονται κατευθύνσεις εξειδίκευσης στα πληροφοριακά συστήματα, είτε σε προπτυχιακό είτε σε μεταπτυχιακό στάδιο. Τα τμήματα με τίτλο «Εφαρμοσμένης Πληροφορικής» είναι εξορισμού προσανατολισμένα στα πληροφοριακά συστήματα. Κάθε ειδικό πληροφοριακό σύστημα έχει ως στόχο την υποστήριξη των επιχειρήσεων, τη διαχείριση και λήψη αποφάσεων. Σε μια ευρεία έννοια, ο όρος χρησιμοποιείται για να αναφερθεί όχι μόνο στην τεχνολογία της πληροφορίας και της επικοινωνίας (ΤΠΕ), που ένας οργανισμός χρησιμοποιεί, αλλά στο τρόπο με τον οποίο οι άνθρωποι αλληλεπιδρούν με αυτή την τεχνολογία για την υποστήριξη των επιχειρηματικών διαδικασιών. Ως εκ τούτου, τα πληροφοριακά συστήματα σχετίζονται με τα συστήματα διαχείρισης βάσης δεδομένων από τη μία πλευρά και με τα συστήματα δραστηριότητας από την άλλη. Ένα πληροφοριακό σύστημα είναι μια μορφή επικοινωνίας του συστήματος στο οποίο τα δεδομένα αντιπροσωπεύουν και υποβάλλονται σε επεξεργασία ως μια μορφή κοινωνικής μνήμης. Ένα πληροφοριακό σύστημα μπορεί επίσης να θεωρηθεί ως ημι-επίσημη γλώσσα που υποστηρίζει τις ανθρώπινες λήψεις αποφάσεων και δράσης 5. [ορισμός επίθεσης] Ειδικότερα, όσον αφορά το hacking μπορούμε να αναφέρουμε τα εξής. Ακριβής ορισμός της έννοιας hacker (hacking) δεν υπάρχει. Οι hackers έχουν συνδεθεί με το ηλεκτρονικό έγκλημα, σε ορισμένες περιπτώσεις μάλιστα εύστοχα. Η κλασσική έννοια του hacker όμως δεν έχει σχέση με την παρανομία. Η λέξη προέρχεται από την αγγλική ρίζα hack που σημαίνει το κόψιμο και την επεξεργασία ξύλου. Ο hacker έχει τη δυνατότητα να «πελεκεί» εφαρμογές, προγράμματα και δίκτυα με πολύ περίτεχνο και έξυπνο τρόπο 6. Για τους περισσότερους ο hacker είναι κάποιος που περνάει το μεγαλύτερο μέρος της ζωής του μπροστά από έναν υπολογιστή προσπαθώντας να εισβάλλει χωρίς εξουσιοδότηση σε άλλους υπολογιστές ή δίκτυα υπολογιστών, να προκαλέσει καταστροφές, να "σπάσει" κωδικούς, να κλέψει πολύτιμα δεδομένα, κλπ. Ένας ορισμός που θα μπορούσε να φανεί αντιπροσωπευτικός είναι ο εξής: Ως hacker αναφέρεται το άτομο το οποίο διαθέτει τις κατάλληλες γνώσεις και δεξιότητες να εισβάλλει και να διαχειρίζεται σε μεγάλο βαθμό διάφορα πληροφοριακά και υπολογιστικά συστήματα, χωρίς απαραίτητα να τα καταστρέφει ή να δημιουργεί προβλήματα σε αυτά. Hacking δε ονομάζεται η πράξη εισβολής σε συστήματα υπολογιστών για την απόκτηση γνώσεων που αφορούν το σύστημα και τον τρόπο που λειτουργεί. Το hacking θεωρείται παράνομο γιατί απαιτεί ελεύθερη πρόσβαση σε όλες τις πληροφορίες τις οποίες οι hackers συνήθως καταφέρνουν να αποκτήσουν 7. 5 Kenneth E. Kendall, Julie E. Kendall, Systems Analysis and Design, Pearson Education,

10 Η ραγδαία εξέλιξη του διαδικτυακού εγκλήματος προκάλεσε επιπτώσεις σε ατομικό και συλλογικό επίπεδο. Πιο συγκεκριμένα, σε διεθνές επίπεδο: η ανάγκη αντιμετώπισης του διαδικτυακού εγκλήματος οδήγησε στην συνθήκη της Βουδαπέστης. Οι μορφές του Ηλεκτρονικού Εγκλήματος είναι ποικίλες και με τη συνεχή ανάπτυξη της τεχνολογίας και του Διαδικτύου πολλαπλασιάζονται. Για την αντιμετώπιση του κινδύνου αυτού ήταν απαραίτητη η διακρατική συνεννόηση και η εκπόνηση μιας αναλυτικής και αποτελεσματικής στρατηγικής. Ο στόχος αυτός επετεύχθη στο Συνέδριο για το Ηλεκτρονικό Έγκλημα (Convention on Cybercrime), που έγινε το 2001 στη Βουδαπέστη του οποίου όλα τα συμπεράσματα αποκρυσταλλώνονται στη Συνθήκη που υπεγράφη μετά το πέρας των εργασιών του Συνεδρίου στις Στη Συνθήκη της Βουδαπέστης, υπέγραψαν 26 υπουργοί ευρωπαϊκών κρατών, μεταξύ των οποίων και της Ελλάδας. Υπάρχουν επεξηγήσεις και ρυθμίσεις για όλα τα Ηλεκτρονικά Εγκλήματα. Παραθέτουμε λεπτομερώς τη συνθήκη της Βουδαπέστης: Ο δρόμος της ανάκαμψης: Οικονομική διακυβέρνηση, Στρατηγική για την Ευρώπη 2020 και το Ευρωπαϊκό Εξάμηνο. Η Conference of Parliamentary Committees for Union Affairs of Parliaments of the European Union(COSAC) 8 υποστηρίζει τις προσπάθειες των θεσμικών οργάνων της Ευρωπαϊκής Ένωσης για ενίσχυση του οικονομικού συντονισμού στο πλαίσιο της Ευρωπαϊκής Ένωσης και για την ταχύτερη ανάκαμψη και τη βιώσιμη ανάπτυξη και υπογραμμίζει την ανάγκη ενσωμάτωσης των προσπαθειών αυτών στο πλαίσιο της στρατηγικής για την Ευρώπη Η COSAC επιβεβαιώνει ότι η δέσμη των έξι νομοθετικών προτάσεων για την οικονομική διακυβέρνηση έχει ζωτική σημασία για τη διασφάλιση της δημοσιονομικής πειθαρχίας και την αποτροπή υπερβολικών μακρο-οικονομικών ανισορροπιών, όπως ανέφεραν τα συμπεράσματα του Ευρωπαϊκού Συμβουλίου στις Μαρτίου Κατά συνέπεια, η COSAC καλεί όλα τα ενδιαφερόμενα θεσμικά όργανα της ΕΕ να λάβουν όλα τα αναγκαία μέτρα για να εγκρίνουν τις ανωτέρω προτάσεις μέχρι τον Ιούνιο του Σε σχέση με αυτό, η COSAC εκτιμά ιδιαίτερα τις προσπάθειες του Ασκούντος την Προεδρία για την εξεύρεση συμβιβασμού μεταξύ των θεσμικών οργάνων της ΕΕ. Η COSAC καλεί τις κυβερνήσεις των κρατών μελών της ΕΕ να διευκολύνουν τη συμμετοχή των κοινοβουλίων στο Ευρωπαϊκό Εξάμηνο, προκειμένου να γίνουν σεβαστές οι δημοσιονομικές εξουσίες των κοινοβουλίων. Η COSAC επιβεβαιώνει ότι τα κοινοβούλια προτίθενται να συμμετάσχουν ενεργά στη νέα αυτή πρωτοβουλία χρησιμοποιώντας τα παραδοσιακά μέσα που διαθέτουν όσον αφορά την κοινοβουλευτική συμμετοχή, συμπεριλαμβανομένου και του ελέγχου των εθνικών μεταρρυθμιστικών προγραμμάτων. Η COSAC χαιρετίζει την πρωτοβουλία για πιθανή σύγκλησης ετήσιας Διακοινοβουλευτικής συνδιάσκεψης για τον προϋπολογισμό και καλεί τα θεσμικά όργανα της ΕΕ να συμβάλουν ενεργά στην ουσιαστική συζήτηση που θα πραγματοποιηθεί στο πλαίσιο αυτό. Η COSAC αναγνωρίζει τις προσπάθειες ορισμένων κρατών μελών που αποσκοπούν στη στενότερη συνεργασία στους τομείς της οικονομικής, δημοσιονομικής και νομισματικής πολιτικής και καλεί όλα τα κράτη μέλη να εκμεταλλευτούν τις δυνατότητες στενότερης συνεργασίας που παρέχουν οι Συνθήκες με ιδιαίτερο σεβασμό στην εσωτερική αγορά. Κοινοβουλευτικός Έλεγχος της κοινής εξωτερικής πολιτικής και πολιτικής ασφάλειας (ΚΕΠΠΑ) 9 και της κοινής πολιτικής ασφάλειας και άμυνας (ΚΠΑΑ). Η COSAC λαμβάνει υπό σημείωση τις συνεχιζόμενες συζητήσεις στο πλαίσιο της διάσκεψης των προέδρων των κοινοβουλίων της ΕΕ σχετικά με το μέλλον του κοινοβουλευτικού ελέγχου της ΚΕΠΠΑ

11 και της ΚΠΑΑ και σημειώνει την πρόοδο που σημειώθηκε κατά τη Διάσκεψη των Προέδρων στις Βρυξέλλες. Η COSAC θεωρεί ότι τα συμπεράσματα που εγκρίθηκαν στη συνεδρίαση αυτή αποτελούν μια καλή αφετηρία για τις μελλοντικές συζητήσεις και τις τελικές αποφάσεις όσον αφορά τον κοινοβουλευτικό έλεγχο της ΚΕΠΠΑ και της ΚΠΑΑ. Αναμένει ότι το συντομότερο δυνατό θα πραγματοποιηθεί νέα συνεδρίαση προκειμένου να συνεχιστεί το εν λόγω έργο ελέγχου. Η COSAC σημειώνει ότι μετά τον τερματισμό της συνέλευσης της ΔΕΕ πρέπει να βρεθεί ένα πλαίσιο κοινοβουλευτικού ελέγχου της ΚΕΠΠΑ και της ΚΠΑΑ, σύμφωνα με τις διατάξεις της Συνθήκης της Λισαβόνας. Λόγω της ιδιαίτερης φύσης του εν λόγω τομέα πολιτικής, η COSAC υπογραμμίζει τον κομβικό ρόλο που έχουν τα εθνικά κοινοβούλια όσον αφορά τον κοινοβουλευτικό έλεγχο της κοινής εξωτερικής πολιτικής και πολιτικής ασφάλειας καθώς και της κοινής πολιτικής ασφάλειας και άμυνας. Έτσι λοιπόν, η COSAC ζητεί από όλα τα εμπλεκόμενα θεσμικά όργανα, με ιδιαίτερη μνεία στον Ύπατο Εκπρόσωπο της Ένωσης για θέματα εξωτερικών υποθέσεων και πολιτικής ασφάλειας, να συνεργαστεί στενά με τα κοινοβούλια και να τα ενημερώσει δεόντως σχετικά με τις εξελίξεις στους τομείς της ΚΕΠΠΑ και της ΚΠΑΑ για λόγους συμμόρφωσης προς τις διατάξεις της Συνθήκης της Λισσαβόνας. Η κατάσταση της Ένωσης σύμφωνα με το προοίμιο της Συνθήκης για την ΕΕ, η COSAC υπογραμμίζει ότι η Συνθήκη της Λισσαβόνας αποτελεί νέα φάση στη διαδικασία της ευρωπαϊκής ολοκλήρωσης. Επιβεβαιώνει την ανάγκη εφαρμογής των διατάξεων της Συνθήκης, όσον αφορά την αποτελεσματική συνεργασία μεταξύ των εθνικών κοινοβουλίων και του Ευρωπαϊκού Κοινοβουλίου. Η COSAC χαιρετίζει την πρώτη συζήτηση που πραγματοποιήθηκε στο πλαίσιό της σχετικά με την κατάσταση της Ένωσης. Καλεί την Ευρωπαϊκή Επιτροπή να λάβει υπόψη της τις απόψεις των κοινοβουλίων κατά την εκπόνηση της αξιολόγησης όσον αφορά το κατάσταση της Ένωσης, καθώς επίσης και στην εκπόνηση προγράμματος εργασιών της Επιτροπής. Όσον αφορά τις περαιτέρω εξελίξεις στο πλαίσιο της ΕΕ, η COSAC υπογραμμίζει ότι είναι σημαντικό να υπάρξει καλύτερη επικοινωνία με τους πολίτες της ΕΕ, όχι αποκλειστικά, αλλά και με την επικοινωνία της ΕΕ μέσω των κοινοβουλίων. Συνεργασία με τα θεσμικά όργανα της Ευρωπαϊκής Ένωσης. Η COSAC χαιρετίζει τη νέα ποιότητα συνεργασίας μεταξύ των εθνικών κοινοβουλίων και της Ευρωπαϊκής Επιτροπής και του Ευρωπαϊκού Κοινοβουλίου αντιστοίχως, όπως θεσπίστηκε στο πλαίσιο της Συνθήκης της Λισαβόνας. Η COSAC χαιρετίζει τον πολύ ενεργό ρόλο των εθνικών κοινοβουλίων στον έλεγχο της αρχής της επικουρικότητας, σύμφωνα με το πρωτόκολλο 2 της Συνθήκης της Λισσαβόνας. Τα εθνικά κοινοβούλια έχουν υιοθετήσει διαφορετικές διαδικασίες όσον αφορά την πρακτική εφαρμογή των ελέγχων επικουρικότητας. Η COSAC πιστεύει ότι οι υφιστάμενες πρακτικές και εμπειρίες όσον αφορά την εφαρμογή του δεύτερου πρωτοκόλλου πρέπει να είναι κοινές για τα κοινοβούλια και τα θεσμικά όργανα της ΕΕ και η εφαρμογή του δεύτερου πρωτοκόλλου πρέπει να αποσαφηνιστεί περαιτέρω μέσω συνεχούς διαλόγου μεταξύ όλων των εμπλεκομένων. Προκειμένου τα ευρωπαϊκά κοινοβούλια να είναι σε θέση να διενεργήσουν τους ελέγχους επικουρικότητας σύμφωνα με τον σκοπό της Συνθήκης της Λισαβόνας, προϋπόθεση είναι οι προτάσεις της Ευρωπαϊκής Επιτροπής να έχουν εξηγηθεί σε βάθος. Η COSAC αναγνωρίζει τις συνεχείς προσπάθειες της Ευρωπαϊκής Επιτροπής για κάλυψη της ανάγκης αυτής, αλλά υπογραμμίζει ότι είναι σημαντικό η Επιτροπή να συνεχίσει και να αναπτύξει ακόμη περισσότερο το έργο αυτό.

12 Η ελεύθερη ροή πληροφοριών, οι ευκολίες που παρέχει το Internet καθώς και το ηλεκτρονικό εμπόριο έχουν ωθήσει μέχρι και τις μικρότερες επιχειρήσεις να επενδύσουν στην χρήση πληροφοριακών συστημάτων και διαδικτυακών εφαρμογών. Η λειτουργικότητα των οργανισμών αυτών στηρίζεται στην λειτουργία των πληροφοριακών συστημάτων και η ορθή και ασφαλή λειτουργία τους κρίνεται απολύτως απαραίτητη για την επίτευξη των στόχων τους. Η παραμικρή δυσλειτουργία, διακοπή ή παράνομη διείσδυση στα συστήματα αυτά μεταφράζεται σε κόστος. Σε συστήματα που περιέχουν ευαίσθητα δεδομένα οι επιπτώσεις δεν είναι μόνο οικονομικές αλλά ζωτικής σημασίας. Ενώ η χρήση πληροφοριακών συστημάτων είναι δεδομένη για κάθε οργανισμό η ασφάλεια τους αντίστοιχα μοιάζει να απειλείται ακόμα περισσότερο. Έρευνες Παραβίασης Δεδομένων (Data Breach Investigations Report, DBIR) που ξεκίνησαν από το 2004, έδειξαν ότι στην πραγματικότητα, το 2011 μπορεί να υπερηφανεύεται για τα υψηλά ποσοστά απώλειας δεδομένων. Το 2011 θα μείνει ως έτος της πολιτικής και πολιτισμικής εξέγερσης. Πολίτες επαναστάτησαν, κυβερνήσεις δοκιμάστηκαν και ανατράπηκαν. Τα γεγονότα του 2011 ωστόσο δεν περιορίστηκαν μόνο στον φυσικό κόσμο. Ο διαδικτυακός κόσμος ήταν γεμάτος με συγκρούσεις ιδεωδών που πήραν την μορφή διαμαρτυριών ακτιβισμού, αντίποινων, και φαρσών. Το μεγαλύτερο μέρος των δραστηριοτήτων αυτών ήταν παραβιάσεις δεδομένων των οποίων βασική τους τακτική ήταν η κλοπή εταιρικών και προσωπικών πληροφοριών. Σύμφωνα με έρευνα της Verizon, την παγκοσμίως γνωστή εταιρεία τηλεπικοινωνιών, που βασίστηκε σε δεδομένα από διάφορες νομικές υπηρεσίες και από διάφορες πρόσθετες πηγές όπως και από ομάδες CERT (Computer Emergency Response Team), πάνω από το 90% των παραβιάσεων σε πληροφοριακά συστήματα είναι αποτέλεσμα εξωτερικών επιθέσεων και σχεδόν το 60% των οργανισμών τις ανακαλύπτει μετά από μήνες ή χρόνια. Η μελέτη αυτή, που πραγματοποιήθηκε από την Ομάδα Ανάλυσης κινδύνου της Verizon σε συνεργασία με την Αυστραλιανή Ομοσπονδιακή Αστυνομία, την Ολλανδική Δίωξη Ηλεκτρονικού Εγκλήματος σε Εθνικό Επίπεδο, την Υπηρεσία Ασφαλείας Πληροφόρησης και Πληροφοριών της Ιρλανδίας, την διεθνή Μονάδα Δίωξης Ηλεκτρονικού Εγκλήματος και την Μυστική Υπηρεσία των ΗΠΑ, έδειξε ότι τα κρούσματα ηλεκτρονικού εγκλήματος εκτινάχτηκαν το 2011 στο 98% των συνολικών απωλειών πληροφορίας, ενώ οι παραβιάσεις που οφείλονταν σε εσωτερικούς παράγοντες, συγκριτικά με άλλες χρονιές, μειώθηκαν στο 4%. Αναλυτικότερα οι εξωτερικοί παράγοντας οφείλονται σε εξωτερικές απειλές που προέρχονται από πηγές εκτός του οργανισμού και του δικτύου των συνεργατών. Τα παραδείγματα περιλαμβάνουν πρώην εργαζόμενους, hackers, οργανωμένες εγκληματικές ομάδες και κυβερνητικοί φορείς. Σε αυτή την κατηγορία επίσης συγκαταλέγονται και οι περιβαλλοντικοί παράγοντες όπως πλημμύρες, σεισμοί, και διακοπές παροχής ρεύματος. Οι εσωτερικοί παράγοντες οφείλονται σε εσωτερικές απειλές προερχόμενες από τον οργανισμό. Αυτό περιλαμβάνει στελέχη της εταιρείας, εργαζόμενους κλπ., καθώς και από τις εσωτερικές υποδομές. Υπάρχει και μια τρίτη κατηγορία παραγόντων που αφορά τους συνεργάτες καθώς και οποιοδήποτε τρίτο μέρος που μοιράζονται μια επιχειρηματική σχέση με τον οργανισμό. Αυτό περιλαμβάνει τους προμηθευτές, πωλητές, παροχείς υπηρεσιών φιλοξενίας, η όποια ανατιθέμενη υπηρεσία υποστήριξης πληροφορικής, κλπ. Το ποσοστό των εξωτερικών παραγόντων ξεπερνά κατά πολύ όλους τους υπόλοιπους παράγοντες. Στους εξωτερικούς παράγοντες συγκαταλέγονται:

13 (α) οι παραβιάσεις από την χρήση κακόβουλου λογισμικό (malware), (β) oι επιθέσεις hacker και οι παραβιάσεις κοινωνικού περιεχομένου σκοπιμοτήτων(social), (γ) η κακής χρήσης των πληροφοριακών συστημάτων (misuse) (δ) οι φυσικές και περιβαλλοντικές απειλές (physical and environmental) και (ε) η εμφάνιση διάφορων σφαλμάτων στα πληροφοριακά συστήματα (errors). Στατιστικές μελέτες έδειξαν ότι την τελευταία δεκαετία το μεγαλύτερο μέρος παραβιάσεων εξωτερικών παραγόντων οφείλεται στις κακόβουλες επιθέσεις (hackers) και ένα μεγάλο ποσοστό στο κακόβουλο λογισμικό (malware). Βάσει της έρευνα της Verizon η πιο σημαντική αλλαγή που είδαμε το 2011 ήταν η άνοδος του hacktivism (όρος που αναλύεται σε παρακάτω κεφάλαιο) σε όλο τον κόσμο φθάνοντας το ποσοστό 87% - 99% των συνολικών παραβιάσεων. Αποτέλεσμα των παραβιάσεων και των επιθέσεων αυτών, κατά των πληροφοριακών συστημάτων ενός οργανισμού οδηγούν στην ρήξη χαρακτηριστικών όπως η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των πληροφοριών που διαχειρίζεται και συνεπώς στην ρήξη της συνολικής ασφάλειας των συστημάτων αυτών. Αυτό αποτελεί σοβαρότατα πρόβλημα καθώς μπορεί που απειληθούν άμεσα ανθρώπινες ζωές αλλά και η ασφάλεια σε τοπικό, εθνικό αλλά και παγκόσμιο επίπεδο. Σαφώς λοιπόν η ασφάλεια των πληροφοριακών συστημάτων αποτελεί ακρογωνιαίο λίθο για την σύγχρονη κοινωνία, για αυτό θα πρέπει να κατέχει πρωτεύοντα ρόλο κατά την σχεδίαση, συντήρηση και χρήση τους.

14 ΜΕΡΟΣ 1 Ο Νομοθετικό Πλαίσιο (Ελλάδα, Ευρωπαϊκή Ένωση), ποινικά αδικήματα που στοιχειοθετούνται Άρχικα, ας ορίσουμε τον όρο της ηλεκτρονικής επίθεσης. Μια επίθεση μπορει να χαρακτηριστεί ανάλογα με τον σκοπό της σε ενεργητική επίθεση (activε attack) ή σε παθητική επίθεση (passive attack), ή off-line επίθεση. Τα τρία αυτά επίπεδα είναι αναλυτικότερα: Ως ενεργητική επίθεση νοείται η απόπειρα να τροποποιηθούν οι πόροι ενός συστήματος ή να επηρεαστεί η λειτουργία τους. Ως παθητική επίθεση νοείται η απόπειρα που έχει ως στόχο τη συλλογή πληροφοριών για το συστημα ή την χρηση της πληροφορίας αυτής χωρίς να επηρεάζει τους πόρους του. Μια <<off-line επίθεση>> είναι εκέινη κατά την οποία ο επιτιθέμενος απόκτά δεδομένα σε διαφορετικό σύστημα της επιλογής του, ενδεχομένως ως προετοιμασία για ένα δεύτερο στάδιο επίθεσης επί του στόχου. Έχοντας λοιπόν αρχικά ορίσει και κατανοήσει την βαθύτερη αιτία του προβλήματος με βάση τα παράπάνω έπρεπε να θεσπιστεί μία Αντεγκληματική Πολιτική 10 (σύστημα βασικών αρχών που διέπουν την επιλογή από τη Πολιτεία κατιδίαν κατευθύνσεων και τη λήψη μέτρων, που υποδεικνύονται από την εγκληματολογική θεωρία, για την περιστολή του εγκλήματος στη μεγαλύτερη δυνατή έκταση) η οποία αρχικά θα διέπει την Ευρώπη αρχικά σαν Ένωση κρατών και στην συνέχεια θα προσαρμόζεται σε κάθε κράτος ξεχωριστά. Έτσι κάθε χώρα ξεχωριστά το Σύνταγμά της έτσι ώστε να υπακούει στις νέες οδηγίες της Ε.Ε. Τα δύο βασικά χαρακτηριστηκά στα οποιά βασίστηκε η δημιουργία και η εφαρμογή του Νομικού Πλαίσίου και των οδηγιών των οποίων επιβάλονται είναι αυτά της πρόληψης και της καταστολής των επιθέσεων στα πληροφοριακά συστήματα. Η πρόληψη του εγκλήματος η οποία χαρακτηρίζεται ως κοινωνική πρόληψη, δεδομένου ότι επιδιώκεται με εξαφάνιση των κοινωνικών παραγόντων και συνθηκών που το προκαλούν η οδηγούν στην εμφάνιση του η ενλόγω κοινωνικοποίηση του ατόμου ή ανάπτυξη σε κάθε άτομο αντικινήτρων, είτε αντικειμενικά με την μείωση των ευκαιριών διάπραξης του ή δυσχεραίνοντας του ίδιου στόχου του εγκλήματος. Η καταστολή του εγκλήματος, η οποία επιδιώκεται με παρέμβαση του ποινικού συστήματος μετά την διάπραξη του με απώτερο στόχο την πρόληψή του στο μέλλον. Έτσι, μας απασχολεί να μελετήσουμε την Ποινική προσέγγιση για την ασφάλεια των Πληροφοριακών συστημάτων. Κανένας δεν αρνείται ότι η κοινωνικλη πρόληψη, εκέινη δηλαδή που επιδιώκεται πριν από τη διάπραξη του εγκλήματος, είναι προτιμότερη από την καταστολή του. Ωστόσο οι νομοθέτες καταφεύγουν, αν όχι ευκολότερα, πάντως 10 Αλεξιάδης, Στέργιος. Εγκληματολογία. Αθήνα-Θεσσαλονίκη: Εκδόσεις Σάκκουλα, 2004

15 εξίσου συχνά στο μέτρο της ποινικής καταστολης, δηλαδή της απειλής και επιβολής ποινικών μέτρων μετά την τέλεση του εγκλήματος στην περιπτωσή μας μετά από μια επίθεση στα πληροφορικά συστήματα. Αυτή λοιπόν ήταν και η πρώτη προσεγγιση του προβλήματος της ασφάλειας από την Ελλάδα το 1988 όπως και άλλων χωρών εκείνη την χρονική περίοδο, καθώς και διεθνώς το 2001 με την πρώτη Σύμβαση για το έγκλημα στον κυβερνοχώρο. Η Ποινική αντιμετώπιση παραμένει ως και σήμερα βασικό πυλώνας της αντιμετώπισης του προβλήματος. Το Ποινικό Δίκαιο έχει φύση ανθρωποκεντρική γιατί είναι ο κλάδος του δικαίου ο οποίος ασχολείται με τον ίδιο τον άνθρωπο. Αφού λοιπόν κατανοήσαμε σε βάθος και εξετάσαμε το πρόβλημα καταλήξαμε στο ότι το έγκλημα 11 εκτός από τη λεγόμενη αντικειμενική υπόσταση (δηλαδή την περιγραφή των πράξεων που συνιστούν κολάσιμη συμπεριφορά) προσδιορίζεται από: α) τον χρόνο τέλεσης, β) τον τόπο τέλεσης και γ) τα εμπλεκόμενα πρόσωπα (θύμα, παραβάτης κλπ.). Ο προσδιορισμός του τόπου τέλεσης του (διαδικτυακού) εγκλήματος έχει κρίσιμη σημασία καθώς από αυτόν εξαρτάται καταρχήν ο προσδιορισμός του εφαρμοστέου δικαίου και τα αρμόδια δικαστήρια. Εν γένει ο προσδιορισμός του τόπου εξαρτάται κατά περίπτωση από τον τόπο εκδήλωσης της αξιόποινης συμπεριφοράς και τον τόπο επέλευσης των αποτελεσμάτων της. Ως τόπος τελέσεως ενός εγκλήματος θεωρείται από τις περισσότερες έννομες τάξεις (στις οποίες συμπεριλαμβάνεται και η ελληνική) τόσο ο τόπος, στον οποίο ο υπαίτιος προέβη, ολικά ή εν μέρει, στην αξιόποινη ενέργεια/παράλειψη όσο και ο τόπος, στον οποίο επήλθε το λεγόμενο αξιόποινο αποτέλεσμα. Η χρήση των υπολογιστών και το Διαδύκτιο δημιουργούν εντελώς νέα δεδομένα σχετικά με τον προσδιορισμό του τόπυ καθώς είτε δν είναι ευχερής ο προσδιορισμός του τόπου εκδήλωσης μιας συμπεριφοράς/επέλευσης ενός αποτελέσματος είτε συντρέχουν περισσότεροι τόποι όπου τελείται ένα έγκλημα. Στην περίπτωση εγκλημάτων που τελούνται/εκδηλώνονται στο διαδίκτυο ο τόπος επέλευσης είναι ο κυβερνοχώρος, ο οποίος θα μπορούσε να ερμηνευτεί ως <<κάθε σώρος στον οποίο αποκτάται πρόσβαση στα δεδομένα, δηλαδή παντού>> (Κιούπης). Ως τόπος επελεύσεως του αποτελέσματος στην πραγματικότητα μπορεί να θεωρηθεί το διαδίκτυο, κάθε χώρος δηλαδή στον οποίο αποκτάται πρόσβαση στα δεδομένα. Ο τόπος του κυβερνοεγκλήματος στον <<φυσικό>> κόσμο δεδομένου ότι ο τόπος του κυβερνοεγκλήματος είναι δυναμικός, αυξάνεται και μπορεί να μεταμορφωθεί. 11 Μήτρου, Λίλιαν. Πανεπιστημιακές σημειώσεις: ΗΛΕΚΤΡΟΝΙΚΟ ΚΑΙ ΔΙΑΔΙΚΤΥΑΚΟ ΕΓΚΛΗΜΑ ΤΟ ΠΟΙΝΙΚΟ ΔΙΚΑΙΟ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ.

16 Ως ψηφιακός τόπος τελέσεως του εγκλήματος μπορεί να θεωρηθεί το εικονικό περιβάλλον που δημιουργείται από το λογισμικό και το υλικό στα οποία υπάρχουν τα ψηφιακά στοιχεία ενός εγκλήματος και τα οποία παρέχουν μια σύνδεση μεταξύ ενός εγκλήματος και του θύματος του ή μπορούν να παρέχουν μία σύνδεση μεταξύ ενός εγκλήματος και του δράστη του. Λόγω της φύσης του Διαδυκτίου είναι πολύ δύσκολο να εντοπιστεί τόσο ο τόπος στον οποίο εκδηλώθηκε η συμπεριφορά του εγκληματία όσο και ο τόπος στον οποίο επήλθε το αξιόποινο αποτέλεσμα. Ενδέχεται μάλιστα να υπάρχουν περιπτώσεις με περισσότερους τόπους τέλεσης της εγκληματικής πράξης[irc (Internet Relay Channel), τα news groups(ομάδες συζητήσεως), το πρωτόκλλο μεταφοράς αρχείων(file Transfer Protocol) κλπ.]. Συμπερασματικά, αν κάποιο έγκλημα συμβαίνει στον ιστοχώρο τότε θα πρέπει να παρέμβουν και εφαρμόσουν την οδηγία όλες οι χώρες οι οποίες εμπλέκονται οι δράστες και τα θύματα τους.

17 Η επίτευξη του στόχου της Ευρωπαϊκής Ένωσης για την μείωση των διαδικτιακών εγκλημάτων απαιτεί την μελέτη και συνεργασία πολλών παραμέτρων. Ο αριθμός των τόπων τελέσεως εξαρτάται από τη συγκεκριμένη λειτουργία του διαδικτύου. Η εξωτερίκευσή του εγκληματος μπορεί να εντοπιστεί σε μια χώρα πλην όμως τα αποδεικτικά στοιχεία μπορεί να βρίσκονται σε άλλη ή περισσότερες χώρες. Γι αυτόν ακριβώς τον λόγο, για τη διερεύνησή του απαιτείται η συνεργασία δύο τουλάχιστον κρατών, του κράτους όπου βρίσκονται αποθηκευμένα τα αποδεικτικά στοιχεία και του κράτους στο οποίο γίνεται αντιληπτή η εξωτερίκευση του εγκλήματος. Σε κάθε περίπτωση όμως δημιουργείται πρόβλημα όχι μόνο σε θέματα Δικαστικής και Αστυνομικής συνεργασίας, αλλά και σε θέματα κατά τόπον αρμοδιότητος ως προς την εκδίκαση της πράξεως. Ένα σχετικό ζήτημα αφορά την ανεπάρκεια των πρισσότερων Διεθνών Συμβάσεων περί αμοιβαίας Δικαστικής Συνδρομής και συνεργασίας, λόγω της φύσεως του αποδεικτικού υλικού, δηλαδή της ηλεκτρονικής απόδειξης (electronic evidence) που πρέπει να εντοπιστεί και να κατασχεθεί σε συνδιασμό με την ταχύτητα ενέργιας των Διωκτικών Αρχων. Η εμπιστοσύνη και το πνεύμα αλληλεγγύης μεταξύ των εμπλεκόμενων κρατών πρέπει να είναι σε υψηλό βαθμό. Αρχικά, το Συβούλιο της Ευρωπαϊκής Ένωσης εξέδωσε την απόφαση-πλαίσιο 2005/222/ΔΕΥ στις 24 Φεβρουαρίου του 2005 για τις επιθέσεις κατά των Πληροφοριακών Συστημάτων. Στην συνέχεια, όμως και μετά από κάποια χρόνια έρευνας πάνω στα ηλεκτρονικά εγκλήματα έκρινε πως έπρεπε να αναθεωρήσει την οδηγία και να την εκσυγχρονίσει. Έτσι, στις 12 αυγούστου του 2013 εξέδωσε τη νέα οδηγία 2013/40/ΕΕ του Ευρωπαϊ κου Κοινοβουλιού και του Συμβουλίου 12. Αναλυτικότερα, παραθέτουμε τη νέα οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου που αφορά τις επιθέσεις κατά των συστημάτων πληροφοριών και την κατάργηση της απόφασηςπλαίσιο 2005/222/ΔΕΥ του Συμβουλίου και το γιατί κατέληξε σε αυτή την αναθεώρηση το Ευρωπαϊκό Κοινοβούλιο. Οι επιθέσεις σε η/υ και συστήματα η/υ αποτελούν πλέον καθημερινή πραγματικότητα για τις μεγάλες επιχειρήσεις που δραστηριοποιούνται στο Διαδίκτυο (π.χ. Microsoft, Apple, Facebook κ.ά.), όπως και για τις μικρομεσαίες επιχειρήσεις (ΜΜΕ) του τομέα της πληροφορικής, καθώς και γενικά για τις επιχειρήσεις που στηρίζονται στις τεχνολογίες πληροφορικής και επικοινωνιών (ΤΠΕ), όπως είναι, λ.χ., οι χρηματοπιστωτικοί οργανισμοί, ενώ, σημαντικό μέρος των επιθέσεων στρέφονται και κατά των κυβερνήσεων διαφόρων κρατών ανά την υφήλιο. Έτσι, λ.χ., σε έρευνα που διενήργησε η εταιρία Kaspersky Lab s τον Οκτώβριο του 2012 μετά από μια σειρά επιθέσεις που είχαν ως στόχο διεθνείς διπλωματικές αποστολές, κυβερνητικούς φορείς και επιστημονικούς οργανισμούς, διαπίστωσε την ύπαρξη ενός εκτεταμένου δικτύου κυβερνοκατασκοπείας που πήρε το όνομα «Κόκκινος Οκτώβρης» (Red October). Το εν λόγω δίκτυο λειτουργούσε από το 2007 και στόχευε την περιοχή της Ανατολικής Ευρώπης, τις χώρες της πρώην Σοβιετικής Ένωσης και της Κεντρικής Ασίας. Ιδιαίτερα προβεβλημένο είναι, επίσης, το παράδειγμα της Εσθονίας που δέχθηκε μια σειρά κυβερνοεπιθέσεων επί τρεις εβδομάδες, μετά από την ένταση που προκλήθηκε με τη Ρωσία σχετικά με την απομάκρυνση ενός μνημείου της σοβιετικής εποχής από την πρωτεύουσα Ταλίν. Οι επιθέσεις αυτές ήταν κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS attacks) και είχαν ως στόχο πολλούς κρατικούς φορείς, όπως το Κοινοβούλιο, τράπεζες, υπουργεία, ΜΜΕ κ.ά. Εδώ θα πρέπει να σημειωθεί ότι οι επιθέσεις άρνησης 12 Επίσημη Εφημερίδα της Ευρωπαϊκης Ένωσης. ΟΔΗΓΙΑ 2013/40/ΕΕ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 12 ης Αυγούστου 2013 για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης-πλαισίου 2005/222/Δευ του Συμβουλίου.

18 υπηρεσίας 13 (denial-of-service attacks) μπορούν να θέσουν σε κίνδυνο τη λειτουργία κρίσιμων υποδομών, όπως συνέβη, λ.χ. στην περίπτωση ενός εργοστασίου παραγωγής ηλεκτρικής ενέργειας στη Γερμανία που δέχθηκε μια τέτοια επίθεση που είχε την υποστήριξη ενός botnet και η οποία (επίθεση) είχε ως αποτέλεσμα να τεθεί εκτός λειτουργίας η επικοινωνία του εργοστάσιου με το Διαδίκτυο. Γενικότερα, οι κακόβουλες επιθέσεις αυξάνονται εκθετικά, όπως τεκμηριώνεται στην έρευνα της εταιρίας Symantec για το έτος 2012, στην οποία σημειώνεται αύξηση 42% σε αυτές, με τον αριθμό των μολυσμένων η/υ (bot zombies) να ανέρχεται σε 3,4 εκατομμύρια και ένα μεγάλο μέρος των επιθέσεων (50%) να στρέφονται κατά ΜΜΕ, αλλά και κατά των ιδιωτών που υφίστανται κλοπή ταυτότητας, σε μεγάλη κλίμακα. Το περιβάλλον στο οποίο διεξάγονται οι εν λόγω επιθέσεις είναι, ασφαλώς, ιδιαίτερα περίπλοκο, καθ ότι η υποδομή του Διαδικτύου ανήκει στην ιδιοκτησία ιδιωτικών επιχειρήσεων που βρίσκονται σε πολλές χώρες του κόσμου και το ίδιο το δίκτυο διαθέτει ανοικτή αρχιτεκτονική. Το γεγονός δε ότι το Διαδίκτυο είναι ένα παγκοσμιοποιημένο δίκτυο δικτύων η/υ σημαίνει ότι μια επίθεση σε έναν τομέα έχει επίδραση και σε άλλους τομείς, διεθνώς και όχι μόνο σε μία χώρα. Η ποινική αντιμετώπιση του φαινομένου αυτού στο πλαίσιο ενός υπερεθνικού οργανισμού, όπως είναι η ΕΕ, αποκτά, συνεπώς, εξαιρετική σημασία. Από τα παραπάνω καταλαβαίνουμε πως οι απειλές καθώς επίσης και τα συμφέροντα χωρών και οργανισμών στα οποία αναφερόμαστε είναι τεραστίων διαστάσεων. Έτσι λόγω της όξυνσης του φαινομένου των επιθέσεων και των αποτελεσμάτων που αυτές είχαν στα θύματα έπρεπε να ληφθούν κάποια μέτρα για την καταπολέμηση αυτών των φαινομένων. Αρχίκα τα κράτη-μέλη εξέδωσαν μια απόφαση-πλαίσιο σα μέτρο το οποίο είναι κάτι πολύ σημαντικό. Συγκεκριμένα, αναλύουμε την απόφαση-πλαίσιο 2005/222/ΔΕΥ του Συμβουλίου της 24 ης Φεβρουαρίου 2005 σχετικά με τις επιθέσεις κατά των συστημάτων πληροφοριών 14. Στο πλαίσιο της ΕΕ εκδόθηκε η απόφαση-πλαίσιο 2005/222/ΔΕΥ, η οποία είχε ως στόχο την καταπολέμηση της εγκληματικότητας στον κυβερνοχώρο και την προώθηση της ασφάλειας πληροφοριών σε ό,τι αφορά τη νέα μορφή διεθνικής εγκληματικότητας που συνιστούν οι επιθέσεις κατά συστημάτων πληροφοριών. Όπως αναφέρεται στο προοίμιο της απόφασης πλαίσιο, οι επιθέσεις κατά των συστημάτων πληροφοριών οφείλονται ιδίως στην απειλή που αντιπροσωπεύει το οργανωμένο έγκλημα, ενώ υπάρχει και αυξημένη ανησυχία για το ενδεχόμενο τρομοκρατικών επιθέσεων κατά των συστημάτων πληροφοριών που αποτελούν μέρος της ζωτικής σημασίας υποδομής των κρατών μελών. Η απόφαση πλαίσιο προβλέπει την ποινικοποίηση των εξής πράξεων: α) παράνομη πρόσβαση σε σύστημα πληροφοριών β) παράνομη παρεμβολή σε σύστημα και γ) παράνομη παρεμβολή σε δεδομένα. 13 S. Furnell, Κυβερνοέγκλημα. Καταστρέφοντας την κοινωνία της πληροφορίας, Επίσημη Εφημερίδα της Ευρωπαϊκης Ένωσης. ΝΟΜΟΣ- ΠΛΑΙΣΙΟ 2005/222/ΔΕΥ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 24 ης Φεβρουαρίου 2005 για τις επιθέσεις κατά συστημάτων πληροφοριών.

19 Όσον αφορά τις επιθέσεις η οδηγία περιείχε πολύπλοκα ζητήματα τα οποία έπρεπε να καλύψει. Ένα από αυτά ήταν το ότι προβλέπει ρυθμίσεις για την ηθική αυτουργία, υποβοήθηση, συνέργεια και απόπειρα, σε σχέση με τα παραπάνω αδικήματα, καθώς και επιβαρυντικές περιστάσεις, όπως είναι ιδίως η διάπραξη των εν λόγω πράξεων στα πλαίσια εγκληματικής οργάνωσης. Επιπλέον, ρυθμίζεται η ευθύνη νομικών πρόσωπων, όταν τα αδικήματα αυτά τελούνται από εκπροσώπους τους, τέλος δε, ρυθμίζονται ζητήματα δικαιοδοσίας, ενώ προβλέπεται και η υποχρέωση των κρατών μελών της Ένωσης για την ανταλλαγή πληροφοριών. Η άνω πράξη δεν μεταφέρθηκε πλήρως στα κράτη μέλη, σύμφωνα με την από Έκθεση της Επιτροπής, στην οποία διαπιστώθηκε ότι σημειώθηκε αξιοσημείωτη πρόοδος στην πλειοψηφία των κρατών μελών, με εξαίρεση επτά κράτη μέλη, μεταξύ των οποίων και η Ελλάδα, τα οποία δεν κοινοποίησαν στην Επιτροπή τα μέτρα εφαρμογής της απόφασης πλαίσιο. Στην Έκθεση γίνεται αναφορά στις μελλοντικές εξελίξεις και συγκεκριμένα, στην ανάδειξη νέων απειλών, όπως είναι η εμφάνιση μαζικών ταυτόχρονων επιθέσεων κατά συστημάτων πληροφοριών και η αυξημένη εγκληματική χρήση του δικτύου προγραμμάτων ρομπότ (botnet), η οποία δεν δύναται να αντιμετωπισθεί από την απόφαση πλαίσιο. Eπίσης, συστήνεται η ανάληψη δράσης για την ανταλλαγή πληροφοριών μεταξύ των κρατών μελών και τον καλύτερο συντονισμό τους και σε συνεργασία με ιδιωτικούς φορείς, σε διεθνές επίπεδο, για την αντιμετώπιση μαζικών επιθέσεων κατά των συστημάτων πληροφοριών. Αξίζει να σημειωθεί ότι η Χώρα μας υπέγραψε, αλλά δεν κύρωσε τη Σύμβαση του Συμβουλίου της Ευρώπης για το Κυβερνοέγκλημα της , η οποία αποτελεί σημείο αναφοράς όσον αφορά τη ρύθμιση του κυβερνοεγκλήματος, διεθνώς. Η εν λόγω Σύμβαση περιέχει αντίστοιχες διατάξεις με αυτές της απόφασης πλαισίου. Η ανάγκη για περαιτέρω δράση στην αντιμετώπιση της ηλεκτρονικής εγκληματικότητας, στο πλαίσιο της ΕΕ, διαπιστώθηκε και στο πρόγραμμα της Χάγης για την ενίσχυση της ελευθερίας, της ασφάλειας και της δικαιοσύνης στην ΕΕ, το πρόγραμμα της Στοκχόλμης 15, αλλά και το ψηφιακό θεματολόγιο για την Ευρώπη. Για το λόγο αυτό, κατατέθηκε από την Επιτροπή το 2010 πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου που αφορά τις επιθέσεις κατά των συστημάτων πληροφοριών και την κατάργηση της απόφασης πλαίσιο 2005/222/ΔΕΥ του Συμβουλίου, η οποία εγκρίθηκε σε πρώτη ανάγνωση από το Ευρωπαϊκό Κοινοβούλιο στις Στη συνέχεια αναλύουμε την οδηγία για τις επιθέσεις κατά συστημάτων πληροφορίας. Η νομική θεμελίωση της οδηγίας αφορά την αναγκαιότητα θέσπισης μέτρων για την αντιμετώπιση του φαινομένου των επιθέσεων κατά συστημάτων πληροφοριών στο επίπεδο της ΕΕ προκύπτει από το προοίμιο της οδηγίας. Καταρχάς, σημειώνεται ότι ενώ η ομαλή λειτουργία και ασφάλεια των συστημάτων πληροφοριών στην Ένωση είναι ζωτικής σημασίας για την ανάπτυξη της εσωτερικής αγοράς και μιας ανταγωνιστικής και καινοτόμου οικονομίας, οι επιθέσεις κατά των συστημάτων πληροφοριών και ιδίως εκείνες που συνδέονται με το οργανωμένο έγκλημα αποτελούν αυξανόμενη απειλή τόσο στην ΕΕ όσο και παγκόσμια, αλλά και για την επίτευξη ασφαλέστερης κοινωνίας της πληροφορίας. Ειδική αναφορά γίνεται στο γεγονός ότι στην Ένωση υπάρχουν υποδομές ζωτικής 15 Ανακοίνωση της Επιτροπής, Για ένα χώρο ελευθερίας, ασφάλειας και δικαιοσύνης στην υπηρεσία των πολιτών της Ευρώπης. Σχέδιο δράσης για την εφαρμογή του προγράμματος της Στοκχόλμης, COM (2010) 171,

20 σημασίας των οποία η βλάβη ή καταστροφή θα μπορούσε να έχει σημαντικό διασυνοριακό αντίκτυπο. Παραπέρα, σημειώνεται ότι επιθέσεις μεγάλης κλίμακας μπορούν να προξενήσουν σημαντικές οικονομικές ζημίες τόσο λόγω της διακοπής λειτουργίας των συστημάτων ΤΠΕ όσο και λόγω της απώλειας ή αλλοίωσης σημαντικών εμπορικών εμπιστευτικών πληροφοριών ή άλλων δεδομένων, σημαντικό αντίκτυπο μπορεί δε να έχουν οι επιθέσεις αυτές στις καινοτόμες ΜΜΕ. Σύμφωνα με τον κοινοτικό νομοθέτη, υπάρχουν στοιχεία που δείχνουν μια τάση διάπραξης όλο και πιο επικίνδυνων και επαναλαμβανόμενων επιθέσεων μεγάλης κλίμακας κατά συστημάτων πληροφοριών που συχνά μπορεί να έχουν ζωτική σημασία για τα κράτη ή για ειδικές δραστηριότητες του δημόσιου ή ιδιωτικού τομέα, η οποία (τάση) συνοδεύεται από την ανάπτυξη όλο και πιο εξελιγμένων μεθόδων, όπως η δημιουργία και χρήση δικτύων προγραμμάτων ρομπότ (botnet). Με βάση αυτές τις παρατηρήσεις, καθίσταται σαφής η αρμοδιότητα του κοινοτικού νομοθέτη, βάσει του άρθρου 83 ΣΛΕΕ, να θεσπίσει ελάχιστους κανόνες για την προσέγγιση της ποινικής νομοθεσίας των κρατών μελών στον τομέα των επιθέσεων κατά συστημάτων πληροφοριών. Η οδηγία, σύμφωνα με το άρθρο 1 αυτής, καθιερώνει κανόνες σχετικά με τον ορισμό των ποινικών αδικημάτων και των κυρώσεων στον τομέα αυτό, στοχεύει δε και στη διευκόλυνση της πρόληψης των αδικημάτων αυτών και τη βελτίωση της συνεργασίας μεταξύ δικαστικών και άλλων αρμόδιων αρχών. Μια ειδοποιός διαφορά της οδηγίας σε σχέση με την απόφαση πλαίσιο 2005/222/ΔΕΥ είναι ότι λαμβάνει υπόψη και ποινικοποιεί τη χρήση νέων μεθόδων για τη διάπραξη κυβερνοεγκλημάτων, όπως είναι η χρήση δικτύων προγραμμάτων ρομπότ (botnets), στα οποία πρέπει να γίνει ακολούθως αναφορά. Ειδικότερα, με τον όρο αυτό δηλώνεται ένα δίκτυο η/υ που έχουν μολυνθεί με κακόβουλο λογισμικό και ελέγχονται από έναν άλλο η/υ, συχνά δίχως να το γνωρίζει ο κάτοχός τους (υπολογιστές «ζόμπι»). Τα δίκτυα αυτά μπορεί να ενεργοποιηθούν προκειμένου να εκτελέσουν συγκεκριμένες ενέργειες, όπως π.χ. να επιτεθούν σε συστήματα πληροφοριών. Ενίοτε, τα δίκτυα botnets εκτελούν επιθέσεις μεγάλης κλίμακας, δηλ. επιθέσεις σε μεγάλο αριθμό συστημάτων η/υ ή επιθέσεις που προκαλούν μεγάλες ζημίες, επιφέροντας άρνηση υπηρεσίας και διακοπή λειτουργίας των συστημάτων, οικονομική ζημία, κλοπή ή καταστροφή προσωπικών δεδομένων κλπ. Ένα μεγάλο τέτοιο δίκτυο μπορεί να έχει μεταξύ και συνδέσεων. Ένα δίκτυο προγραμμάτων ρομπότ μπορεί να χρησιμοποιηθεί για την αποστολή ανεπιθύμητης ηλεκτρονικής αλληλογραφίας, για την αλίευση προσωπικών δεδομένων (phishing) ή την κλοπή τέτοιων στοιχείων από τους η/υ των χρηστών, την αποστολή και καταφόρτωση κακόβουλου λογισμικού κ.λπ. Βεβαίως, η χρησιμότητά της έγκειται κυρίως στην εκτέλεση επιθέσεων άρνησης υπηρεσίας (Distributed Denial-of-Service (DDoSP Attacks). Οι επιθέσεις αυτές συνίστανται στην υπερφόρτωση ενός συστήματος με την αποστολή υπερβολικά μεγάλου αριθμού πακέτων δεδομένων, ώστε να καταναλώνεται μνήμη, υπολογιστή ισχύ και εύρος ζώνης (bandwidth) του συστήματος, με αποτέλεσμα να μη μπορεί πλέον αυτό να εξυπηρετήσει τους κανονικούς χρήστες του και να διακόπτει τη λειτουργία του.

21 Ας εξετάσουμε αναλυτικά τις διατάξεις της οδηγίας 16 και τους όρους της. Αρχικά, η οδηγία περιέχει στο άρθρο 2 ορισμούς των όρων που χρησιμοποιούνται στο κείμενο της, από τους οποίους ενδιαφέρον παρουσιάζει ο ορισμός του «συστήματος πληροφοριών». Ειδικότερα, ως ένα τέτοιο σύστημα νοείται «η συσκευή ή ομάδα διασυνδεδεμένων ή σχετικών μεταξύ τους συσκευών, εκ των οποίων μια ή περισσότερες εκτελούν, σύμφωνα με ένα πρόγραμμα, αυτόματη επεξεργασία ηλεκτρονικών δεδομένων, καθώς και τα ηλεκτρονικά δεδομένα που αποθηκεύονται, αποτελούν αντικείμενο επεξεργασίας, ανακτώνται ή διαβιβάζονται από την εν λόγω συσκευή ή την ομάδα συσκευών με σκοπό τη λειτουργία, τη χρήση, την προστασία και τη συντήρησή τους» (άρθρο 2 περ. α). Περαιτέρω, η οδηγία περιέχει διατάξεις για αδικήματα που θίγουν την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των δεδομένων συστημάτων η/υ. Όπως και η απόφαση πλαίσιο 2005/222/ΔΕΥ, κυρώνει την παράνομη πρόσβαση σε συστήματα πληροφοριών (άρθρο 3), την παράνομη παρεμβολή σε σύστημα (άρθρο 4) και την παράνομη παρεμβολή σε δεδομένα (άρθρο 5). Ειδικότερα, για τις πράξεις αυτές προβλέπονται τα εξής: Σύμφωνα με το άρθρο 3 της οδηγίας, τα κράτη μέλη πρέπει να λάβουν τα αναγκαία μέτρα για να εξασφαλίσουν ότι η απόκτηση πρόσβασης εκ προθέσεως και χωρίς δικαίωμα, στο σύνολο ή σε μέρος του συστήματος πληροφοριών, τιμωρείται ως ποινικό αδίκημα, οσάκις διαπράτεται παραβιάζοντας μέτρο ασφαλείας, τουλάχιστον όταν δεν πρόκειται για ήσσονος σημασίας περιπτώσεις. Σύμφωνα με το άρθρο 4, τα κράτη μέλη πρέπει να εξασφαλίσουν ότι η σοβαρή παρεμπόδιση ή διακοπή της λειτουργίας συστήματος πληροφοριών με την εισαγωγή ηλεκτρονικών δεδομένων, διαβίβαση, διαγραφή, φθορά, αλλοίωση ή εξάλειψη αυτών των δεδομένων ή με τον αποκλεισμό της πρόσβασης στα δεδομένα αυτά, εκ προθέσεως και χωρίς δικαίωμα, τιμωρείται ως ποινικό αδίκημα, τουλάχιστον όταν δεν πρόκειται για ήσσονος σημασίας περιπτώσεις. Και ακόμα, σύμφωνα με το άρθρο 5, τα κράτη μέλη πρέπει να εξασφαλίσουν η διαγραφή, ζημία, φθορά, αλλοίωση ή εξάλειψη ηλεκτρονικών δεδομένων ενός συστήματος πληροφοριών ή ο αποκλεισμός της πρόσβασης στα δεδομένα αυτά εκ προθέσεως και χωρίς δικαίωμα, τιμωρείται ως ποινικό αδίκημα, τουλάχιστον όταν δεν πρόκειται για ήσσονος σημασίας περιπτώσεις. Οι παραπάνω διατάξεις εφαρμόζονται στα δίκτυα προγραμμάτων ρομπότ και συγκεκριμένα, κατά το στάδιο της δημιουργίας τους, όπου αποκτάται ο από απόσταση έλεγχος η/υ με τη μόλυνση τους με κακόβουλο λογισμικό, βρίσκει εφαρμογή το άρθρο 3, ενώ το άρθρο 4 βρίσκει εφαρμογή κατά το στάδιο της εξαπόλυσης κυβερνοεπιθέσεων και το άρθρο 5 όταν προκαλούνται ζημίες από αυτές. Προσπαθεί δηλαδή να καλύψει δηλαδη όσες περισσότερες παραμέτρους μπορεί για να επιφέρει την ομαλή λειτουργία στα κράτη-μέλη. Περαιτέρω, στο άρθρο 6 προβλέπεται ότι πρέπει να τιμωρείται η παράνομη υποκλοπή. Συγκεκριμένα, ορίζεται ότι η υποκλοπή με τεχνικά μέσα μη δημόσιων διαβιβάσεων ηλεκτρονικών δεδομένων από, προς ή μέσα σε ένα σύστημα πληροφοριών, περιλαμβανομένων των ηλεκτρονικών εκπομπών από ένα σύστημα πληροφοριών που περιέχει τέτοια ηλεκτρονικά δεδομένα, εκ προθέσεως και χωρίς δικαίωμα, τιμωρείται ως ποινικό αδίκημα, τουλάχιστον όταν δεν πρόκειται για ήσσονος σημασίας περιπτώσεις. Η υποκλοπή περιλαμβάνει, ενδεικτικά, την ακρόαση, έλεγχο ή επιτήρηση του περιεχομένου των επικοινωνιών και παροχή του περιεχομένου των δεδομένων είτε άμεσα, με πρόσβαση και χρήση των συστημάτων πληροφοριών, είτε έμμεσα με τη χρήση ηλεκτρονικής συνακρόασης ή συσκευών παγίδευσης με τεχνικά μέσα. Πιο πέρα, ποινικοποιείται η χρήση εργαλείων 16 Ιωάννης. Ιγγλεζάκης. ΕΠΙΘΕΣΕΙΣ ΚΑΤΑ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ

22 λογισμικού για τη διάπραξη των ως άνω αδικημάτων, η οποία είχε προκαλέσει μεγάλη συζήτηση στη θεωρία. Συγκεκριμένα, στο άρθρο 7, προβλέπεται ότι η εκ προθέσεως παραγωγή, πώληση, προμήθεια προς χρήση, εισαγωγή, διανομή ή με άλλο τρόπο διάθεση ενός από τα ακόλουθα εργαλεία χωρίς δικαίωμα και με την πρόθεση να χρησιμοποιηθούν προς διάπραξη οποιουδήποτε από τα αδικήματα που αναφέρονται στα άρθρα 3 έως 6, τιμωρείται ως ποινικό αδίκημα, τουλάχιστον όταν δεν πρόκειται για ήσσονος σημασίας περιπτώσεις: α) πρόγραμμα υπολογιστή που έχει σχεδιασθεί ή προσαρμοσθεί κατά κύριο λόγο με σκοπό τη διάπραξη οιουδήποτε από τα αδικήματα που αναφέρονται στα άρθρα 3 έως 6 β) συνθηματικό κωδικού η/υ, κωδικού πρόσβασης ή παρόμοιων στοιχείων μέσω των οποίων μπορεί να αποκτηθεί πρόσβαση στο σύνολο ή σε μέρος συστήματος πληροφοριών. Τα εργαλεία στα οποία αναφέρεται η οδηγία είναι το κακόβουλο λογισμικό που χρησιμοποιείται, μεταξύ άλλων, για τη διάπραξη κυβερνοεπιθέσεων με τη δημιουργία botnet. Προς αποφυγή, ωστόσο, της ποινικοποίησης της έρευνας στον τομέα της ασφάλειας πληροφοριών και της ανάπτυξης λογισμικού, προβλέπεται ότι τιμωρείται η παραγωγή και διάθεση των εν λόγω εργαλείων, αλλά εκτός από τη γενική υποχρέωση της πρόθεσης θα πρέπει να υφίσταται και άμεση πρόθεση να χρησιμοποιηθούν τα εργαλεία αυτά για τη διάπραξη κάποιου από τα αδικήματα των άρθρων 3 έως 6. Συνακόλουθα, δεν θα πληρούται η υποκειμενική υπόσταση του αδικήματος όταν οι παραπάνω πράξεις διαπράττονται χωρίς πρόθεση, όπως όταν το πρόσωπο που τις διενεργεί δεν γνώριζε ότι απαγορεύεται η πρόσβαση ή στην περίπτωση εξουσιοδοτημένης δοκιμής ή προστασίας συστημάτων πληροφοριών, π.χ. όταν ένας ειδικός ελέγχει την ισχύ του συστήματος ασφάλειας πληροφοριών μιας επιχείρησης. Όπως στην απόφαση πλαίσιο 2005/222/ΔΕΥ, έτσι και η οδηγία προβλέπει στο άρθρο 8 ότι πρέπει να τιμωρείται η ηθική αυτουργία, η υποβοήθηση και η συνέργεια προς διάπραξη αδικήματος που αναφέρεται στα άρθρα 3 έως 7, αλλά και η απόπειρα διάπραξης αδικήματος που αναφέρεται στα άρθρα 4 έως 5. Στο άρθρο 9 της οδηγίας προβλέπεται το πλαίσιο ποινών για τα αδικήματα που τυποποιούνται στα άρθρα 3 έως 8. Ως γενικός κανόνας προβλέπεται στην παρ. 1 ότι οι κυρώσεις θα πρέπει να είναι αποτελεσματικές, αναλογικές και αποτρεπτικές και να περιλαμβάνουν φυλάκιση και/ή χρηματικές ποινές. Επίσης, τα κράτη μέλη πρέπει να προβλέψουν ποιες περιπτώσεις θεωρούνται ως ήσσονος σημασίας και μένουν ατιμώρητες. Αυτό μπορεί να συμβαίνει, π.χ., όταν οι ζημίες που προκαλεί το αδίκημα και/ή ο κίνδυνος που συνεπάγεται για το δημόσιο ή το ιδιωτικό συμφέρον (όπως η ακεραιότητα ενός συστήματος η/υ ή ηλεκτρονικών δεδομένων, η σωματική ακεραιότητα, τα δικαιώματα και άλλα συμφέροντα ενός πρόσωπου) είναι αμελητέα ή τέτοιας φύσεως ώστε δεν είναι απαραίτητη η επιβολή ποινικής κύρωσης εντός του νομικού ορίου ή η απόδοση ποινικής ευθύνης. Στην παρ. 2 του ίδιου προβλέπεται το πλαίσιο της ποινής για τα ανωτέρω αδικήματα. Συγκεκριμένα, ορίζεται ότι αυτά τιμωρούνται με μέγιστη ποινή φυλάκισης τουλάχιστον δύο ετών, τουλάχιστον για τις περιπτώσεις που δεν είναι ήσσονος σημασίας. Περαιτέρω, ρυθμίζονται ορισμένες επιβαρυντικές περιπτώσεις. Η πρώτη αφορά τις επιθέσεις μεγάλης κλίμακας που πλήττουν σημαντικό αριθμό συστημάτων πληροφοριών ή προκαλούν σοβαρές ζημίες και η δεύτερη, τη διάπραξη μιας επίθεσης από εγκληματική οργάνωση. Συγκεκριμένα, προβλέπεται ότι τα αδικήματα που αναφέρονται στα άρθρα 4 έως 5 τιμωρούνται με μέγιστη ποινή φυλάκισης τουλάχιστον τριών ετών όταν τα αδικήματα

23 διαπράττονται εκ προθέσεως και εφόσον έχει πληγεί σημαντικός αριθμός συστημάτων πληροφοριών μέσω της χρήσης εργαλείου αναφερόμενου στο άρθρο 7 (άρθρο 9 3). Ακόμα, προβλέπεται ότι τα αδικήματα που αναφέρονται στα άρθρα 4 έως 5 τιμωρούνται με μέγιστη ποινή φυλάκισης τουλάχιστον πέντε ετών, εφόσον: α) διαπράττονται στο πλαίσιο εγκληματικής οργάνωσης, κατά την έννοια της απόφασης πλαισίου 2008/814/ΔΕΥ, ανεξαρτήτως της κύρωσης που ορίζεται σε αυτή, β) προκαλούν σημαντικές ζημίες, ή γ) διαπράττονται κατά συστημάτων πληροφοριών που αποτελεί μέρος ζωτικής σημασίας υποδομής (άρθρο 9 4). Μια τρίτη επιβαρυντική περίπτωση είναι αυτή που αφορά τη διάπραξη αδικημάτων με απόκτηση εμπιστοσύνης τρίτων (social engineering). Συγκεκριμένα, ορίζεται ότι τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα για να διασφαλίσουν ότι όταν τα αδικήματα που αναφέρονται στα άρθρα 4 και 5 διαπράττονται με υφαρπαγή προσωπικών δεδομένων άλλου ατόμου, προκείμενου να αποκτηθεί η εμπιστοσύνη τρίτων, και προκαλούν ζημία στον νόμιμο δικαιούχο της ταυτότητας, αυτό μπορεί, σύμφωνα με τις σχετικές διατάξεις της εσωτερικής νομοθεσίας, να θεωρείται ως επιβαρυντική περίσταση, εκτός εάν οι περιστάσεις αυτές καλύπτονται ήδη από άλλο αδίκημα που τιμωρείται σύμφωνα με την εθνική νομοθεσία (άρθρο 9 5). Ακολούθως, η οδηγία περιλαμβάνει διατάξεις σχετικά με την ευθύνη και τις ποινές κατά νομικών πρόσωπων. Τα νομικά πρόσωπα μπορούν να θεωρούνται υπεύθυνα για τα αδικήματα των άρθρων 3 έως 8 όταν διαπράττονται προς όφελός τους από πρόσωπο που κατέχει την εξουσία εκπροσώπησης του νομικού προσώπου, την εξουσία λήψης αποφάσεων για λογαριασμό του ή την εξουσία άσκησης ελέγχου εντός αυτού (άρθρο 10). Οι ποινές που τους επιβάλλονται πρέπει να είναι αποτελεσματικές, αναλογικές και αποτρεπτικές και σε αυτές περιλαμβάνονται χρηματικές ποινές ή πρόστιμα και ενδεχομένως και άλλες κυρώσεις, όπως: α) αποκλεισμός από δημόσιες παροχές ή ενισχύσεις, β) προσωρινή ή οριστική απαγόρευση της άσκησης εμπορικών δραστηριοτήτων, γ) θέση υπό δικαστική εποπτεία, δ) δικαστική εκκαθάριση, ε) προσωρινό ή οριστικό κλείσιμο των εγκαταστάσεων που χρησιμοποιήθηκαν για τη διάπραξη του αδικήματος (άρθρο 11). Η οδηγία περιέχει, ακόμα, κανόνες δικαιοδοσίας για τα αδικήματα των άρθρων 3 έως 8, στο άρθρο 12. Συγκεκριμένα, προβλέπει ότι θεμελιώνεται η δικαιοδοσία ενός κράτους μέλους εφόσον το αδίκημα έχει διαπραχθεί: εν όλω ή εν μέρει στο έδαφος του οικείου κράτους μέλους ή από υπηκόους τους, τουλάχιστον σε περιπτώσεις κατά τις οποίες η πράξη θεωρείται ποινικό αδίκημα στον τόπο όπου έχει διαπραχθεί. Διευκρινιστικά αναφέρεται στην ίδια διάταξη ότι δικαιοδοσία θεμελιώνεται και στις περιπτώσεις όπου ο δράστης διέπραξε το αδίκημα ενώ βρισκόταν στο έδαφος του οικείου κράτους μέλους, ασχέτως εάν το αδίκημα στρεφόταν κατά συστήματος πληροφοριών στο έδαφός του ή όταν το αδίκημα στρέφεται κατά συστήματος πληροφοριών στο έδαφος του οικείου κράτους μέλους, ανεξάρτητα αν ο δράστης διαπράττει το αδίκημα ευρισκόμενος στο έδαφός του. Ωστόσο, ένα κράτος μέλος που αποφασίζει να θεμελιώσει δικαιοδοσία για αδίκημα που αναφέρεται στα άρθρα 3 έως 8 που διαπράττεται εκτός του εδάφους του, όταν ο δράστης του αδικήματος έχει τη συνήθη κατοικία του στο έδαφός του, ή το αδίκημα διαπράττεται προς όφελος νομικού προσώπου εγκατεστημένου στο έδαφός του, πρέπει να ενημερώνει σχετικά την Επιτροπή. Κεντρική σημασία αποδίδεται από τον κοινοτικό νομοθέτη στην ανταλλαγή πληροφοριών μέσω εθνικών δικτύων επαφής, τα οποία θα πρέπει να είναι σε θέση να προσφέρουν αποτελεσματική βοήθεια διευκολύνοντας, λ.χ., την ανταλλαγή διαθέσιμων σχετικών πληροφοριών ή την παροχή τεχνικών συμβουλών ή νομικών πληροφοριών για έρευνας ή διαδικασίες σχετικές με ποινικά αδικήματα που συνδέονται με συστήματα πληροφοριών και συναφή δεδομένα που αφορούν το κράτος μέλος το οποίο υποβάλλει την αίτηση. Έτσι, το άρθρο 13 ορίζει ότι για τους σκοπούς της ανταλλαγής πληροφοριών σχετικά με τα αδικήματα των άρθρων 3 έως 8, τα κράτη μέλη διασφαλίζουν ότι διαθέτουν ένα λειτουργικό σημείο επαφής και κάνουν χρήση του υφιστάμενου δικτύου επιχειρησιακών σημείων επαφής που είναι διαθέσιμο σε 24ωρη βάση και επτά ημέρες την εβδομάδα.