ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ ΝΟΜΙΚΗ ΣΧΟΛΗ ΤΟΜΕΑΣ ΠΟΙΝΙΚΩΝ ΚΑΙ ΕΓΚΛΗΜΑΤΟΛΟΓΙΚΩΝ ΕΠΙΣΤΗΜΩΝ

Transcript

1 ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ ΝΟΜΙΚΗ ΣΧΟΛΗ ΤΟΜΕΑΣ ΠΟΙΝΙΚΩΝ ΚΑΙ ΕΓΚΛΗΜΑΤΟΛΟΓΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΜΕΤΑΠΤΥΧΙΑΚΟ ΠΡΟΓΡΑΜΜΑ ΣΠΟΥΔΩΝ ΟΥΣΙΑΣΤΙΚΟ ΠΟΙΝΙΚΟ ΔΙΚΑΙΟ Επιβλέπουσα Καθηγήτρια : Ελισσάβετ Συμεωνίδου - Καστανίδου Επιμέλεια : Δήμητρα Δημητρίου (Α.Μ ) Διπλωματική Εργασία με Θέμα: «Οι Επιθέσεις κατά Συστημάτων Πληροφοριών: Το Διεθνές, Ενωσιακό και Ελληνικό Πλαίσιο Προστασίας» Θεσσαλονίκη

2 ΠΕΡΙΕΧΟΜΕΝΑ ΠΕΡΙΕΧΟΜΕΝΑ...1 Ι. ΕΙΣΑΓΩΓΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ...5 ΜΕΡΟΣ Α: Ηλεκτρονικό έγκλημα, έγκλημα στον κυβερνοχώρο και συστήματα πληροφοριών Ηλεκτρονικό έγκλημα (computer crime) και έγκλημα στον κυβερνοχώρο (cyber - crime) Οι βασικές μορφές του Ηλεκτρονικού Εγκλήματος (computer-crime) Οι βασικές μορφές του Εγκλήματος στο Κυβερνοχώρο (cyber-crime) Συστήματα πληροφοριών Ορισμός Επιθέσεις κατά των συστημάτων πληροφοριών Σκοποί και επιπτώσεις των επιθέσεων κατά συστημάτων πληροφοριών Περιπτωσιολογία...15 ΜΕΡΟΣ Β: Το Διεθνές νομικό πλαίσιο για την καταπολέμηση του κυβερνοεγκλήματος και την προστασία από τις επιθέσεις κατά των συστημάτων πληροφοριών Οι διεθνείς δράσεις για την καταπολέμηση του εγκλήματος στο Κυβερνοχώρο έως τη σύναψη της Σύμβασης για το Κυβερνοέγκλημα Η Σύμβαση του Συμβουλίου της Ευρώπης για το κυβερνoέγκλημα (Cybercrime Convention) Ιστορική Αναδρομή Η δομή της Σύμβασης Ορισμοί Τα Αδικήματα που προβλέπονται στη Σύμβαση για το Κυβερνοέγκλημα Τίτλος 1: Εγκλήματα κατά της Εμπιστευτικότητας, Ακεραιότητας και Διαθεσιμότητας των Δεδομένων και Συστημάτων Η/Υ (Offences against the 1

3 confidentiality, integrity and availability of computer data and systems) - Συγκριτική Θεώρηση με τις διατάξεις της ελληνικής έννομης τάξης Άρθρο 2 - Παράνομη πρόσβαση σε σύστημα πληροφοριών (Illegal Access) α. Τα μέτρα ασφάλειας και ως ρόλος τους στον περιορισμό της υπέρμετρης ποινικοποίησης της παράνομης πρόσβασης β. Ο σκοπός απόκτησης των ηλεκτρονικών δεδομένων ή άλλος παράνομος σκοπός ως περιοριστικοί του αξιοποίνου όροι Άρθρο 3 - Παράνομη υποκλοπή δεδομένων (illegal interception) Άρθρο 4 - Παρεμβολή σε δεδομένα (Data interference) Άρθρο 5 - Παρεμβολή σε σύστημα (System Interference) Άρθρο 6 - Κακή χρήση συσκευών (misuse of devises) Άρθρο 11 - Απόπειρα και συνδρομή ή υποκίνηση (Attempt and aiding or abetting) Άρθρο 13 - Ποινές και Μέτρα (Sanctions and measures) Άρθρο 22 - Δικαιοδοσία (Jurisdiction) Τίτλος 2: Εγκλήματα που σχετίζονται με Η/Υ (Computer-related offences) Άρθρο 7 - Πλαστογραφία με ηλεκτρονικό υπολογιστή (Computerrelated forgery) Άρθρο 8 - Άπατη με ηλεκτρονικό υπολογιστή (Computer-related fraud) Τίτλος 3: Εγκλήματα που σχετίζονται με το περιεχόμενο (που διακινείται στο Διαδίκτυο) (Content-related offences) Άρθρο 9 - Εγκλήματα που σχετίζονται με τη παιδική πορνογραφία (Offences related to child pornography) Τίτλος 4: Εγκλήματα σχετικά με παραβιάσεις της πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων (Offences related of infringements of copyright and related rights) Άρθρο 10 - Αδικήματα που σχετίζονται με παραβιάσεις της πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων Τελικά συμπεράσματα για τη Σύμβαση για το Κυβερνοέγκλημα

4 ΜΕΡΟΣ Γ: Το Ενωσιακό νομικό πλαίσιο για την προστασία από τις επιθέσεις κατά των συστημάτων πληροφοριών Η Απόφαση-πλαίσιο 2005/222/ΔΕΥ του Συμβουλίου της 24ης Φεβρουαρίου 2005 για τις επιθέσεις κατά των συστημάτων πληροφοριών Η αντικατάσταση της Απόφασης-πλαισίου 2005/222/ΔΕΥ από την Οδηγία 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου Η νέα Οδηγία 2013/40/ΕΕ - Συγκριτική θεώρηση με το ενωσιακό και διεθνές νομικό πλαίσιο για τις επιθέσεις κατά των συστημάτων πληροφοριών Γενικά Οι διατάξεις της Οδηγίας Ορισμοί (Άρθρο 2) Οι αξιόποινες συμπεριφορές (άρθρα 3 έως 7) Παράνομη πρόσβαση σε συστήματα πληροφοριών (άρθρο 3) Παράνομη παρεμβολή σε σύστημα (άρθρο 4) Παράνομη παρεμβολή σε δεδομένα (άρθρο 5) Παράνομη υποκλοπή (άρθρο 6) Εργαλεία που χρησιμοποιούνται για την διάπραξη των αδικημάτων (άρθρο 7) Ηθική αυτουργία, υποβοήθηση και συνέργεια και απόπειρα (άρθρο 8) Κυρώσεις (άρθρο 9) Δικαιοδοσία (άρθρο Τελικά συμπεράσματα για την Οδηγία της 2013/40/ΕΕ ΜΕΡΟΣ Δ: Το Ελληνικό νομικό πλαίσιο για την προστασία από τις επιθέσεις κατά των συστημάτων πληροφοριών Εισαγωγικά Το Διεθνές και Ευρωπαϊκό πλαίσιο προστασίας του απορρήτου των επικοινωνιών Το ελληνικό πλαίσιο προστασίας του απορρήτου των επικοινωνιών Η Συνταγματική προστασία του απορρήτου των επικοινωνιών Η νομοθετική προστασία του απορρήτου των επικοινωνιών Ο Ν. 1805/ Τα βασικά χαρακτηριστικά του

5 2.1. Η παράνομη πρόσβαση σε στοιχεία υπολογιστή ή συστήματα επικοινωνιών- Το άρθρο 370Γ παρ. 2 Π.Κ Γενικά Το προστατευόμενο έννομο αγαθό του άρθρου 370Γ παρ. 2 Π.Κ Η αντικειμενική υπόσταση του άρθρου 370Γ παρ. 2 Π.Κ Η υποκειμενική υπόσταση του άρθρου 370Γ παρ. 2 Π.Κ Το πλαίσιο ποινής του άρθρου 370Γ παρ. 2 Π.Κ Παραβίαση απορρήτου σχετιζόμενη με η/υ - Το άρθρο 370Β Π.Κ Γενικά Η έννοια του απορρήτου στο άρθρο 370Β Π.Κ Το προστατευόμενο έννομο αγαθό του άρθρου 370Β Π.Κ Η αντικειμενική υπόσταση του άρθρου 370Β Π.Κ Οι υπαλλακτικοί τρόποι τέλεσης του εγκλήματος Η έννοια του όρου «αθέμιτα» Η υποκειμενική υπόσταση του άρθρου 370Β Π.Κ Οι διακεκριμένες μορφές του άρθρου 370Β παρ. 2 Π.Κ ΖΗΤΗΜΑΤΑ ΣΥΡΡΟΗΣ: Η σχέση του άρθρου 370Γ 2 Π.Κ. με τα άρθρα 370, 370Α, 370Β, 292Α Π.Κ. και με τα άρθρα 22 4 ν. 2472/1997 και 15 ν. 3471/ Η ενσωμάτωση της Οδηγίας στο υφιστάμενο νομικό πλαίσιο - αναγκαίες τροποποιήσεις και προσθήκες Οι διατάξεις του σχεδίου νόμου του νέου Ποινικού Κώδικα, σχετικά με τις προσβολές κατά συστημάτων πληροφοριών Άρθρο Παράνομη πρόσβαση σε σύστημα πληροφοριών ή σε δεδομένα Άρθρο Παρακώλυση λειτουργίας συστήματος πληροφοριών Άρθρο Φθορά ηλεκτρονικών δεδομένων Άρθρο Υποκλοπή ηλεκτρονικών δεδομένων Άρθρο Προπαρασκευαστικές πράξεις II. ΤΕΛΙΚΕΣ ΔΙΑΠΙΣΤΩΣΕΙΣ III. ΒΙΒΛΙΟΓΡΑΦΙΑ - ΑΡΘΡΟΓΡΑΦΙΑ - ΝΟΜΟΛΟΓΙΑ - ΙΣΤΟΣΕΛΙΔΕΣ - ΑΛΛΕΣ ΠΗΓΕΣ

6 I. ΕΙΣΑΓΩΓΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ H Κοινωνία της πληροφορίας δεν είναι μόνο μια κοινωνία γνώσης και ανάπτυξης. Η διάδοση και η επικράτηση της τεχνολογίας των υπολογιστών σε όλο το φάσμα των καθημερινών δραστηριοτήτων του ατόμου, σε συνδυασμό με τη διασύνδεση των υπολογιστών σε διεθνή δίκτυα, οδήγησαν στην εμφάνιση νέων μορφών εγκληματικότητας που σχετίζονται με τα συστήματα πληροφοριών (η/υ) και το Διαδίκτυο. Η εγκληματικότητα αυτή λαμβάνει διάφορες μορφές: επιθέσεις κατά συστημάτων πληροφοριών, διάδοση παιδικής πορνογραφίας, απάτη, παραβιάσεις πνευματικής ιδιοκτησίας, προσβολές της ιδιωτικότητας, υποστήριξη της διάπραξης παραδοσιακών εγκλημάτων όπως η διακίνηση ναρκωτικών ή το δουλεμπόριο. Ο χαρακτήρας της σημερινής κοινωνίας της πληροφορίας είναι ιδιαίτερα ευάλωτος. Η οικονομία, η διοίκηση και η κοινωνία είναι σε πολύ μεγάλο βαθμό εξαρτημένες από την αποτελεσματικότητα και την ασφάλεια των πληροφοριακών συστημάτων. Είναι μία κοινωνία υψηλών ευκαιριών και ευχερειών αλλά ταυτόχρονα και μια κοινωνία κινδύνων. Η ανωνυμία ως βασικό χαρακτηριστικό του Κυβερνοχώρου έχει σοβαρές συνέπειες για το ποινικό δίκαιο. Δεν δυσχεραίνει απλώς τη διαλεύκανση των εγκλημάτων αλλά δημιουργεί σοβαρό πρόβλημα και ως προς τις αποδείξεις. Ένα άλλο σοβαρό κοινωνιολογικό-εγκληματολογικό στοιχείο είναι ότι η ανωνυμία ενθαρρύνει τους χρήστες του Διαδικτύου να επιχειρήσουν εγκληματικές πράξεις τις οποίες δεν θα επιχειρούσαν παρά μόνο στον Κυβερνοχώρο, καθώς στον χώρο αυτό δεν φαίνεται να έχει διαμορφωθεί μία ηθική τάξη με σαφείς κανόνες δεοντολογίας, επιταγές και απαγορεύσεις. Τα παραπάνω έχουν ως αποτέλεσμα η παραβατικότητα στο Κυβερνοχώρο να καθίσταται φαινόμενο ολοένα συχνότερο, πολυπλοκότερο και επικινδυνότερο. Οι εξελίξεις αυτές κινητοποίησαν τη διεθνή και ευρωπαϊκή κοινότητα καθώς έγινε αντιληπτό ότι οι εγκληματικές συμπεριφορές που στρέφονται κατά των συστημάτων πληροφοριών και των δεδομένων τους έχουν αποκτήσει μεγάλη κινητικότητα και διεθνή χαρακτήρα, ενώ είναι ιδιαίτερα ελκυστικές και για το χώρο του οργανωμένου εγκλήματος. Η διεθνής και ευρωπαϊκή εναρμόνιση των πράξεων που πρέπει να θεωρούνται αξιόποινες αποτελεί το πρώτο βήμα για να σχεδιαστούν παραπέρα εναρμονισμένες παρεμβάσεις στο πεδίο του δικονομικού δικαίου και να διευκολυνθεί η δικαστική συνεργασία. Στο επίπεδο της διεθνούς συνεργασίας, έχουν γίνει πολλές προσπάθειες για τη ρύθμιση της προστασίας της ασφάλειας των 5

7 συστημάτων πληροφοριών. Ένα από τα πληρέστερα διεθνή νομοθετικά κείμενα είναι η Σύμβαση του Συμβουλίου της Ευρώπης για το κυβερνοέγκλημα (Convention on Cyber-crime) η οποία υπογράφηκε στις 23 Νοεμβρίου του 2001 σε μια ειδική τελετή στην Βουδαπέστη της Ουγγαρίας. 1 Το Συμβούλιο έχοντας επίγνωση των ριζικών αλλαγών που επέφερε η ψηφιοποίηση, η σύγκλιση και η συνεχιζόμενη παγκοσμιοποίηση των δικτύων ηλεκτρονικών υπολογιστών και ανησυχώντας για τον κίνδυνο ότι τα δίκτυα αυτά μπορεί να χρησιμοποιηθούν για τη διάπραξη αξιόποινων πράξεων, αποσκοπούσε με τη Σύμβαση αυτή στην χάραξη κοινής αντεγκληματικής πολιτικής και στην προαγωγή της συνεργασίας μεταξύ των κρατών. Για το λόγο αυτό στο κείμενο της Σύμβασης προβλέπεται η εναρμόνιση των εσωτερικών ποινικών νομοθεσιών των κρατών-μελών στον τομέα της εγκληματικότητας στον κυβερνοχώρο, με τη θέσπιση εσωτερικών δικονομικών διατάξεων για την έρευνα, τη δίωξη και την εκδίκαση των εγκλημάτων αυτών και με τη θέσπιση κανόνων αναφορικά με τη διεθνή συνεργασία. Η Ε.Ε είχε και αυτή από πολύ νωρίς αντιληφθεί την ανάγκη θέσπισης κανόνων δικαίου που θα απέβλεπαν στην ενίσχυση της ασφάλειας των δικτύων και στην συντονισμένη και συνεκτική προσέγγιση των νομοθεσιών των κρατών μελών όσον αφορά στο ηλεκτρονικό έγκλημα. Στον τομέα του κοινοτικού δικαίου το πρώτο βήμα έγινε με την υπ' αριθμόν 2005/222/ΔΕΥ Απόφαση-πλαίσιο του Συμβουλίου της 24ης Φεβρουαρίου 2005, σχετικά με τις επιθέσεις κατά των συστημάτων πληροφοριών, με την οποία πραγματοποιήθηκε μια συντονισμένη προσπάθεια για τη προσέγγιση του ποινικού δικαίου των κρατών μέλη με σκοπό την εξασφάλιση της καλύτερης δυνατής αστυνομικής και δικαστικής συνεργασίας όσον αφορά τις αξιόποινες πράξεις κατά συστημάτων πληροφοριών. 2 Ωστόσο, ο χρόνος ζωής της ανωτέρω Απόφασηςπλαισίου ήταν, όπως αποδείχθηκε, ιδιαίτερα σύντομος. Ήδη τη τελευταία αντικατέστησε η νέα οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 12ης Αυγούστου 2013 για τις επιθέσεις κατά συστημάτων πληροφοριών. 3 Αντικείμενο της παρούσας εργασίας αποτελεί η εξέταση των διατάξεων και των νεωτερισμών που εισάγουν τα προαναφερόμενα κείμενα, ενώ θα αναφερθούμε και στο πολύ πρόσφατο σχέδιο νόμου νέου Ποινικού Κώδικα, στο οποίο περιλαμβάνεται 1 Βλ. CETS No. 185, Budapest, 23.XI Βλ. 2005/222/ΔΕΥ, , ΕΕ L 69 της , Για την οδηγία της Ε.Ε για τις επιθέσεις κατά των συστημάτων πληροφοριών βλ. την Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης, L 218/12,

8 αυτοτελές κεφάλαιο με τον τίτλο «Προσβολές Συστημάτων Πληροφοριών» καθώς στις αλλαγές που θα επιφέρει η ψήφισή του στην ελληνική έννομη τάξη. Προτού όμως μελετήσουμε τις κατ' ιδίαν ρυθμίσεις των ανωτέρων νομοθετικών κειμένων θα προηγηθεί μια σύντομη ανάλυση των εννοιών του ηλεκτρονικού εγκλήματος και του εγκλήματος που τελείται στο κυβερνοχώρο, καθώς και των συστημάτων πληροφοριών, προκειμένου να κατανοήσουμε ευκολότερα τη σημασία και τη λειτουργία των τελευταίων. ΜΕΡΟΣ Α: Ηλεκτρονικό έγκλημα, έγκλημα στον κυβερνοχώρο και συστήματα πληροφοριών 1. Ηλεκτρονικό έγκλημα (computer crime) και έγκλημα στον κυβερνοχώρο (cyber - crime). Κατά καιρούς, έχουν γίνει πολλές προσπάθειες ορισμού του ηλεκτρονικού εγκλήματος. Στην αγγλική γλώσσα χρησιμοποιούνται διάφοροι όροι για να περιγράψουν το ηλεκτρονικό έγκλημα, οι συνηθέστεροι είναι: computer-crime, e- crime, high tech-crime, ως γενικότεροι, και ακολουθούν οι όροι cyber-crime, internetrelated crime, ως ειδικότεροι, καθώς σε αυτή τη περίπτωση περιλαμβάνεται υποχρεωτικά και το στοιχείο του Διαδικτύου. Αντίστοιχα, στην ελληνική γλώσσα χρησιμοποιούνται αδιακρίτως διάφοροι όροι όπως: έγκλημα υψηλής τεχνολογίας, έγκλημα πληροφορικής, ηλεκτρονικό έγκλημα, έγκλημα που διαπράττεται μέσω η/υ, διαδικτυακό έγκλημα, έγκλημα του κυβερνοχώρου. Οι δύο τελευταίοι όροι περιλαμβάνουν το στοιχείο της δικτύωσης. Συστατικό στοιχείο του ηλεκτρονικού εγκλήματος, αποτελεί η ύπαρξη μιας συσκευής ηλεκτρονικής επεξεργασίας δεδομένων, όπως ηλεκτρονικός υπολογιστής, κινητό τηλέφωνο, φορητές συσκευές (notebooks) κ.λπ. Οι εν λόγω συσκευές μπορεί είτε να αποτελούν το στόχο κάποιας επίθεσης, είτε το μέσο διάπραξης κάποιας επίθεσης ή κάποιου εγκλήματος. Το βασικό ζήτημα για το οποίο έχει δημιουργεί διχογνωμία στην επιστήμη έγκειται στην ακριβή σημασία του όρου «ηλεκτρονικό έγκλημα» (computer crime) και κυρίως στη διάκριση του από το «κυβερνοέγκλημα». Καταρχήν, πρέπει να σημειωθεί ότι το «ηλεκτρονικό έγκλημα» αποτελεί ειδικότερη μορφή του κοινού εγκλήματος ενώ προηγείται χρονικά και λογικά του κυβερνοεγκλημάτος. Όπως 7

9 παρατηρεί ο Αγγελής 4 δεν υπάρχει ακόμα γενικά αποδεκτός ορισμός του εγκλήματος στον κυβερνοχώρο ούτε στη διεθνή νομοθεσία, ούτε στη διεθνή νομολογία. Σύμφωνα με τον Οργανισμό Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ) η εγκληματικότητα μέσω των υπολογιστών "αφορά κάθε παράνομη, ανήθικη ή μη εγκεκριμένη συμπεριφορά που έχει σχέση με την αυτόματη επεξεργασία και μεταφορά στοιχείων". Η άποψη ότι το έγκλημα στον κυβερνοχώρο (cyber crimes) αποτελεί τον ίδιο τύπο εγκλήματος με το «κοινό» ή «συμβατικό έγκλημα» και η μόνη διαφορά που το διακρίνει απ' αυτό είναι ότι διαπράττεται σε διαφορετικό περιβάλλον (δηλ. σε ηλεκτρονικό περιβάλλον και δη σε περιβάλλον διαδικτύου) δεν ανταποκρίνεται στην πραγματικότητα. Υπάρχουν εγκλήματα που διαπράττονται τόσο σε κοινό όσο και σε ηλεκτρονικό περιβάλλον, ενώ άλλα εγκλήματα διαπράττονται μόνο σε περιβάλλον ηλεκτρονικών υπολογιστών χωρίς δηλαδή να υπάρχει σύνδεση των υπολογιστών με το διαδίκτυο (ή ακόμα και εάν υπάρχει δεν χρησιμοποιείται). Μία άλλη τέλος κατηγορία ηλεκτρονικών εγκλημάτων διαπράττονται αποκλειστικά στο περιβάλλον του κυβερνοχώρου. Σύμφωνα λοιπόν με τα παραπάνω μπορούμε να διακρίνουμε τρεις βασικές κατηγορίες όσον αφορά στις μορφές του ηλεκτρονικού εγκλήματος Οι βασικές μορφές του Ηλεκτρονικού Εγκλήματος (computercrime). Μια πρώτη κατηγορία αποτελούν τα εγκλήματα που διαπράττονται τόσο σε «κοινό» περιβάλλον όσο και σε περιβάλλον η/υ. Για παράδειγμα, η συκοφαντική δυσφήμιση μπορεί να διαπραχθεί και με τη χρήση η/υ, μέσω της δημοσίευσης στο Internet μιας σελίδας με προσβλητικό περιεχόμενο για ένα πρόσωπο ή με την αποστολή (μέσω Internet) και ως εκ τούτου διάδοση ενός δυσφημιστικού ισχυρισμού (ά. 362, 363 Π.Κ.). Επίσης συχνά παρατηρούνται περιστατικά εκβίασης μέσω internet (ά. 385 Π.Κ.), η αντιγραφής πνευματικών έργων (άρθρο. 66 Ν. 2121/1993), ή προγραμμάτων ηλεκτρονικού υπολογιστή. Όταν το έγκλημα αυτό τελεστεί σε "περιβάλλον internet" τότε πρόκειται ειδικότερα για έγκλημα που διαπράττεται στο κυβερνοχώρο (cyber-crime), ή για έγκλημα που διαπράττεται με τη βοήθεια του κυβερνοχώρου (internet related crime). 4 Αγγελής Ι., "Διαδίκτυο και ποινικό δίκαιο", ΠοινΧρ 2000/676. 8

10 Σε μια δεύτερη κατηγορία εντάσσονται τα εγκλήματα που διαπράττονται μόνο σε περιβάλλον ηλεκτρονικών υπολογιστών (computer crimes) χωρίς τη χρήση του διαδικτύου. Χαρακτηριστικό έγκλημα της κατηγορίας αυτής αποτελεί η παράνομη αντιγραφή λογισμικού (π.χ. προγραμμάτων η/υ) η οποία στο ελληνικό ποινικό κώδικα προβλέπεται τυποποιείται στο άρθρο 370Γ παρ. 1 Π.Κ. Τέλος, υπάρχουν και τα γνήσια εγκλήματα του Κυβερνοχώρου με την έννοια της ποινικοποίησης της συμπεριφοράς που έχει σχέση αποκλειστικά με τη χρήση του Διαδικτύου (cyber - crimes). Τα πιο συχνά εγκλήματα του κυβερνοχώρου είναι η διασπορά κακόβουλου λογισμικού (Viruses, Worms, Trojan Horses), καθώς και η διάδοση παιδικού πορνογραφικού υλικού μέσω του Διαδικτύου. Σύμφωνα με αυτήν την προσέγγιση τα γνήσια εγκλήματα του κυβερνοχώρου διαπράττονται αποκλειστικά με τη χρήση του διαδικτύου. Δεν είναι αρκετή για τη στοιχειοθέτηση τους μόνο η χρήση του ηλεκτρονικού υπολογιστή. Σε περίπτωση που ο υπολογιστής δεν είναι συνδεδεμένος με το διαδίκτυο, αλλά ενεργεί αυτοτελώς, οποιοδήποτε έγκλημα και εάν διαπραχθεί θεωρείται έγκλημα που διαπράττεται με ηλεκτρονικό υπολογιστή (computer crime) Οι βασικές μορφές του Εγκλήματος στον Κυβερνοχώρο (cybercrime). Στα εγκλήματα τώρα του κυβερνοχώρου μπορούν να ενταχθούν και παραδοσιακές μορφές αδικημάτων όταν αυτά τελούνται με τη χρήση του Διαδικτύου. Μια τέτοια περίπτωση αποτελεί λ.χ. η ηλεκτρονική-διαδικτυακή άπατη η οποία περιλαμβάνει: απάτες πιστωτικών καρτών, απάτες σχετικά με τις ηλεκτρονικές μεταφορές χρημάτων, απάτες τηλεπικοινωνιών και απάτες σχετικά με το ηλεκτρονικό εμπόριο και την ηλεκτρονική ανταλλαγή δεδομένων. Μια άλλη κατηγορία είναι τα εγκλήματα που σχετίζονται με το περιεχόμενο που διακινείται στο Διαδίκτυο. Η δημοσίευση δηλ. παράνομου-αθέμιτου περιεχομένου με τη χρήση ηλεκτρονικών μέσων. Το ενδιαφέρον, σήμερα, εστιάζεται σε περιεχόμενο που αφορά στην παιδική πορνογραφία και στην προτροπή ρατσιστικών εκδηλώσεων και φυλετικού μίσους με τη διάδοση μισαλλόδοξου λόγου στα διεθνή δίκτυα. Η δίωξη των παραβατών καθίστανται δυσχερής, αφενός γιατί 5 Βλ. για τις διακρίσεις αυτές σε Αγγελής Ι., ό.π., 676 επ., Βλαχόπουλος Κ., "Ηλεκτρονικό Έγκλημα - Μορφές, Πρόληψη, Αντιμετώπιση", 2007, 9 επ. 9

11 πολλοί παραβάτες δρουν από το εξωτερικό και τίθεται το σοβαρότατο πρόβλημα της έλλειψης δικαιοδοσίας και αφετέρου γιατί οι παραβάτες καλύπτονται πίσω από την ανωνυμία και την τεχνική κάλυψη που εξασφαλίζουν συστήματα όπως οι "anonymous r ers". 6 Η χρήση των ανώνυμων r ers δυσχεραίνει το έργο των διωκτικών αρχών, καθώς η εύρεση των ηλεκτρονικών ιχνών των δραστών και η αποκάλυψη της ταυτότητάς τους είναι εξαιρετικά δύσκολη. Συνήθη είναι τα αδικήματα που αφορούν προσβολές της ιδιωτικότητας καθώς και παραβιάσεις του απορρήτου μέσω Διαδικτύου. Η πρώτη περίπτωση αφορά την παράνομη επεξεργασία προσωπικών δεδομένων κυρίως στο πλαίσιο της παροχής διαθέσιμων στο κοινό υπηρεσιών σε δημόσια δίκτυα ηλεκτρονικών επικοινωνιών. Ο πιο σημαντικότερος κίνδυνος προσβολής των προσωπικών δεδομένων προέρχεται από τη χρήση των «cookies». 7 Mε τη βοήθεια των «cookies» αποσπώνται πληροφορίες για τις on line συνήθειες των διαφόρων χρηστών, κάτι που συνιστά παραβίαση της ιδιωτικής τους ζωής. Η δεύτερη περίπτωση έχει να κάνει με τη λεγόμενη ηλεκτρονική κατασκοπεία με την έννοια της παράνομης ή μη εξουσιοδοτημένης κτήσης απόρρητων πληροφοριών. Εκτός από τα ιδιωτικά απόρρητα (άρθρο 370Γ 2 Π.Κ.) οι παραβιάσεις μπορούν να αφορούν και κρατικά, επιστημονικά ή επαγγελματικά απόρρητα ή ακόμη και απόρρητα επιχειρήσεων, η λεγόμενη βιομηχανική ή επιχειρησιακή κατασκοπεία (άρθρο 370Β Π.Κ.). Την παράνομη αυτή δραστηριότητα διευκολύνει ιδιαίτερα η σύγκλιση των τεχνολογιών πληροφορικής και των τηλεπικοινωνιών. Συχνή στη πράξη είναι και η πειρατεία λογισμικού μέσω του Κυβερνοχώρου. Ο όρος αναφέρεται στην αναπαραγωγή και/ή διάθεση προγραμμάτων η/υ, τα οποία προστατεύονται από τους νόμους περί πνευματικών δικαιωμάτων, χωρίς τη γραπτή συναίνεση του δημιουργού τους. Πριν την έλευση του Διαδικτύου οι εφαρμογές λογισμικού διακινούνταν με φυσικό τρόπο (π.χ. με δισκέτες ή CD). Η εξάπλωση όμως του Διαδικτύου και ιδιαίτερα των ευρυζωνικών συνδέσεων άνοιξε νέους ορίζοντες στην πειρατεία λογισμικού. Πλέον το λογισμικό μπορεί να διακινηθεί με 6 βλ. σχετικά Βλαχόπουλος Κ., ό.π., Ως "cookies" νοούνται οι κρυπτογραφημένες αριθμοσειρές δεδομένων οι οποίες περιλαμβάνουν όλες τις πληροφορίες που αφορούν την επίσκεψη κάποιου σε μια ιστοσελίδα: στοιχεία ταυτότητας του επισκέπτη (π.χ. όνομα, ηλεκτρονικό ταχυδρομείο), το είδος της σελίδας έως και όλα τα δεδομένα ανταλλαγής πληροφοριών από ένα διαδικτυακό τόπο (π.χ. αριθμούς πιστωτικών καρτών στοιχεία συναλλαγών, συχνότητα επισκέψεων κ.λπ.). 10

12 διάφορες υπηρεσίες που προσφέρει το Διαδίκτυο, όπως ηλεκτρονικό ταχυδρομείο ( ), chat, usenet, κ.λπ. 8 Τα σημαντικότερα ωστόσο εγκλήματα που διαπράττονται μέσω του Κυβερνοχώρου, και αποτελούν το κύριο αντικείμενο της παρούσας εργασίας, αφορούν σε αξιόποινες πράξεις που μπορούν να διαπραχθούν μόνο μέσω ή σε βάρος ηλεκτρονικών δικτύων όπως: επιθέσεις κατά συστημάτων πληροφοριών και των διακινούμενων δεδομένων, (παράνομη πρόσβαση σε σύστημα, παράνομη επέμβαση σε σύστημα και δεδομένα, υποκλοπές δεδομένων κ.λπ.). Στην αμέσως επόμενη ενότητα θα αναφερθούμε στα συστήματα πληροφοριών και στις επιθέσεις που διαπράττονται εναντίον τους. 2. Συστήματα πληροφοριών Ορισμός. Σύμφωνα με το άρθρο 2 της νέας οδηγίας 2013/40 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, ως «σύστημα πληροφοριών» νοείται: οποιαδήποτε συσκευή ή ομάδα διασυνδεδεμένων ή σχετικών μεταξύ τους συσκευών, εκ των οποίων μια ή περισσότερες εκτελούν, σύμφωνα με ένα πρόγραμμα, αυτόματη επεξεργασία ηλεκτρονικών δεδομένων, καθώς και τα ηλεκτρονικά δεδομένα που αποθηκεύονται, αποτελούν αντικείμενο επεξεργασίας, ανακτώνται ή διαβιβάζονται από την εν λόγω συσκευή ή την ομάδα συσκευών με σκοπό τη λειτουργία, τη χρήση, την προστασία και τη συντήρησή τους Επιθέσεις κατά των συστημάτων πληροφοριών. Με τον όρο αυτό καλύπτονται οι αξιόποινες πράξεις που στρέφονται άμεσα κατά των ίδιων των συστημάτων πληροφοριών, ως αυτοτελών εννόμων αγαθών, θίγοντας κάποια από τις βασικές τους ιδιότητες, δηλαδή την εμπιστευτικότητα, την ακεραιότητα ή τη διαθεσιμότητά τους. Οι πράξεις αυτές διακρίνονται με τη σειρά τους σειρά τους σε τρεις βασικές κατηγορίες: Στην πρώτη κατηγόρια ανήκουν ενέργειες μέσω των οποίων επιχειρείται παρέμβαση στο ίδιο το σύστημα πληροφοριών, όπως η παράνομη πρόσβαση σε αυτό, 8 Βλ. σχετικά Βλαχοπούλος Κ., ό.π.,

13 με την οποία προσβάλλεται η εμπιστευτικότητα του, η καταστροφή ή αδρανοποίηση της λειτουργίας ενός συστήματος πληροφοριών, μέσω της οποίας θίγεται η ακεραιότητα και η διαθεσιμότητα του συστήματος και ο παράνομος αποκλεισμός από το σύστημα πληροφοριών, οπού θίγεται και εδώ το έννομο αγαθό της διαθεσιμότητας. Στη δεύτερη κατηγορία ανήκουν πράξεις μέσω των οποίων προκαλείται παρέμβαση επάνω στις πληροφορίες ή διαφορετικά στα ηλεκτρονικά δεδομένα. Εδώ εντάσσονται ενέργειες όπως η καταστροφή ή αλλοίωση των δεδομένων που διακινούνται καθώς και η παράνομη αφαίρεση των δεδομένων. Σε μια τρίτη κατηγορία ανήκουν τέλος πράξεις προπαρασκευαστικές των επιθέσεων όπως η παραγωγή, η πώληση και η διανομή εργαλείων, ή προγραμμάτων η/υ μέσω των οποίων μπορούν να τελεστούν τα προαναφερόμενα αδικήματα. Οι επιθέσεις κατά συστημάτων πληροφοριών, πραγματοποιούνται κυρίως: α) με τη χρήση κακόβουλων λογισμικών (malware) - ιών - ειδικών προγραμμάτων, β) με τη χρήση παράνομου δικτύου προγραμμάτων ρομπότ (botnet). Το «Malware» αποτελεί σύντμηση των λέξεων malicious software και πρόκειται για κακόβουλο λογισμικό το οποίο είναι σχεδιασμένο να αποκτά κρυφή πρόσβαση σε σύστημα πληροφοριών (η/υ), χωρίς την προηγούμενη ενημέρωση και συγκατάθεση του ιδιοκτήτη του. Η πιο διαδομένη μορφή κακόβουλου λογισμικού είναι οι «ιοί» (Virus). Συγκεκριμένα ως «ιός» ορίζεται το πρόγραμμα που μπορεί να «μολύνει» άλλα προγράμματα προσδιορίζοντας τα να αναπτύσσουν ένα πιστό αντίγραφο του. Με αυτή τη μολυντική ιδιότητα του, ο «ιός» έχει τη δυνατότητα να διαδίδεται μέσα σε ένα σύστημα ηλεκτρονικών υπολογιστών ή σε ένα ανοικτό σύστημα χρησιμοποιώντας την έγκριση κάθε χρήστη που το χρησιμοποιεί για να μολύνει τα προγράμματα του. Κάθε πρόγραμμα που μολύνεται μπορεί επίσης να δρα σαν «ιός» και με τον τρόπο αυτό η μόλυνση να εξαπλώνεται. 9 Ο όρος «botnet» υποδηλώνει ένα δίκτυο υπολογιστών που έχει προσβληθεί από κακόβουλο λογισμικό (ιούς). Ένα τέτοιο δίκτυο υπονομευμένων υπολογιστών, τον έλεγχο των οποίων έχουν απολέσει οι νόμιμοι χρήστες, καθίσταται «zombie» και χρησιμοποιείται εν αγνοία των νόμιμων χρηστών προκειμένου να επιτεθεί σε συστήματα πληροφοριών (κυβερνοεπιθέσεις). Αυτά τα «ζόμπι» συνήθως ελέγχονται 9 Βλ. σχετικά Φαραντούρης Ν., "Σύγχρονες εγκληματικές δράσεις στο διαδίκτυο - Εννοιολογική προσέγγιση και ποινική αντιμετώπιση του Hacking και του φαινομένου της μόλυνσης με ιούς", ΠοινΔικ/2003, 191 επ. 12

14 από κάποιο άλλο υπολογιστή ο οποίος αποτελεί το «κέντρο εντολών και ελέγχου». Τα άτομα που ελέγχουν αυτό το κέντρο είναι μεταξύ των δραστών και χρησιμοποιούν τους υπονομευμένους υπολογιστές για να εξαπολύουν επιθέσεις κατά συστημάτων πληροφοριών. Είναι πολύ δύσκολο να εντοπιστούν οι δράστες αυτών των εγκλημάτων, αφού οι υπολογιστές που συνιστούν το δίκτυο προγραμμάτων ρομπότ και πραγματοποιούν την επίθεση μπορεί να βρίσκονται σε διαφορετικό γεωγραφικό σημείο από τον ίδιο τον δράστη. Οι επιθέσεις από δίκτυα προγραμμάτων ρομπότ συχνά εξαπολύονται σε μεγάλη κλίμακα. Οι μεγάλης κλίμακας επιθέσεις είναι αυτές που πραγματοποιούνται είτε με τη χρήση εργαλείων που πλήττουν σημαντικό αριθμό συστημάτων πληροφοριών, είτε είναι επιθέσεις που προκαλούν σημαντικές ζημίες, π.χ. διαταραχή των υπηρεσιών συστημάτων, οικονομικό κόστος ή απώλεια δεδομένων προσωπικού χαρακτήρα κ.λπ.. Οι ζημίες που προκαλούνται από επιθέσεις μεγάλης κλίμακας έχουν σοβαρές επιπτώσεις στη λειτουργία του ίδιου του στόχου, και/ή θίγουν το εργασιακό του περιβάλλον. Σε αυτό το πλαίσιο, ένα μεγάλο «botnet» μπορεί να έχει την ικανότητα να προκαλέσει πολύ σοβαρές ζημίες. Τα «botnets» που χρησιμοποιούνται για επιθέσεις μεγάλης κλίμακας υπολογίζεται ότι αποτελούνται από έως συνδέσεις (δηλ. προσβεβλημένους υπολογιστές) ανά περίοδο 24 ωρών. Τα «botnets» αποτέλεσαν το βασικότερο λόγο επείγουσας ενεργοποίησης των δράσεων της Ευρωπαϊκής Επιτροπής. Τα «botnets» χρησιμοποιούνται επίσης για να προκαλέσουν «DoS Attacks» (Denial of Service Attacks) αλλά και για την αποστολή spam mails. Ως «DoS Attacks» νοείται η επίθεση άρνησης παροχής υπηρεσίας. Πρόκειται για επίθεση η οποία αποσκοπεί να καταστήσει ένα εργαλείο πληροφορικής (π.χ. ένα δικτυακό τόπο ή κάποια υπηρεσία Διαδικτύου) μη διαθέσιμο στους χρήστες του. Ο χρησιμοποιούμενος εξυπηρετητής ή δικτυακός τόπος δείχνει σαν να μην είναι "διαθέσιμος" για τους χρήστες του. Οι επιθέσεις αυτές διαφέρουν από τους ιούς κατά το στοιχείο ότι οι δράστες χρησιμοποιούν εργαλεία αθέμιτης πρόσβασης (hacking tools) και επιτυγχάνουν να σωρεύσουν τέτοιο όγκο δεδομένων στο σύστημα, ώστε αυτό να μη μπορεί να ανταποκριθεί και να τίθεται εκτός λειτουργίας. Μια τέτοια επίθεση θα μπορούσε, παραδείγματος χάριν, να έχει ως αποτέλεσμα την απενεργοποίηση των συστημάτων επιγραμμικών πληρωμών ζημιώνοντας τους χρήστες τους. 13

15 Σκοποί και επιπτώσεις των επιθέσεων κατά συστημάτων πληροφοριών. Στις σύγχρονες κοινωνίες παρατηρείται υψηλός βαθμός εξάρτησης της οικονομίας, της διοίκησης και της κοινωνίας από την αποτελεσματικότητα, την αξιοπιστία και την ασφάλεια των πληροφοριακών συστημάτων και των δικτύων. Οι "κοινωνίες της πληροφορίας" διαχειρίζονται σήμερα με τη βοήθεια των τεχνολογιών της πληροφορικής, τη διακυβέρνηση, τη στρατιωτική άμυνα κρατών, την επικοινωνία, τις μεταφορές, το σύστημα υγείας, την εκπαίδευση, την ψυχαγωγία και μια πλειάδα από τομείς κρατικών και κοινωνικών δραστηριοτήτων. Η εξέλιξη αυτή έχει οδηγήσει σε σημαντικές οικονομικές και κοινωνικές αλλαγές με αποτέλεσμα τα συστήματα πληροφοριών και τα δεδομένα που αυτά διακινούν να ανάγονται σε αγαθά άξια προστασίας. 10 Οι κυβερνοεπιθέσεις συχνά στρέφονται κατά των θεμελιωδών υποδομών ζωτικής σημασίας (ΥΖΣ). Οι (ΥΖΣ) περιλαμβάνουν τις τεχνολογίες πληροφοριών και επικοινωνιών (ΤΠΕ), που παρέχουν την πλατφόρμα (πληροφοριών και επικοινωνιών), η οποία αποτελεί τη βάση για την προσφορά σημαντικών αγαθών και υπηρεσιών, συμπεριλαμβανομένων ζωτικών κοινωνικών λειτουργιών όπως η ηλεκτροδότηση, η υδροδότηση, οι μεταφορές, ο τραπεζικός τομέας, οι υγειονομικές υπηρεσίες έκτακτης ανάγκης, τα σώματα ασφαλείας, το σύστημα διαχείρισης κυκλοφορίας, το χρηματιστήριο κ.α. 11 Τα αποτελέσματα των επιθέσεων μπορεί να είναι εξαιρετικά επιζήμια τόσο για το κοινωνικό σύνολο όσο και για τους πολίτες ατομικά. Οι κυβερνοεπιθέσεις μπορεί να αποσκοπούν, στην αφαίρεση δεδομένων, απόρρητων πληροφοριών και δικαιωμάτων σε χρήματα (e-banking), στην εκβίαση για την πληρωμή λύτρων με την απειλή αχρήστευσης των συστημάτων πληροφοριών ή του περιεχομένου των δεδομένων τους, καθώς και στην καταστροφή συστημάτων και δεδομένων 10 Έτσι Καϊάφα - Γκπάντι Μ., σε "Criminalizing Attacks against Information System in the EU: The Anticipated Impact of the European Legal Instruments on the Greek Legal order, σε European Journal of Crime, Criminal Law and Criminal Justice 20 (2012) Με βάση την Οδηγία 2008/114 ΕΚ της 08/12/08 «σχετικά με τον προσδιορισμό και τον χαρακτηρισμό των ευρωπαϊκών υποδομών ζωτικής σημασίας και σχετικά με την αξιολόγηση της ανάγκης βελτίωσης προστασίας τους» ως ΥΖΣ νοούνται «τα περιουσιακά στοιχεία, συστήματα ή μέρη αυτών που βρίσκονται εντός των κρατών μελών και τα οποία είναι ουσιώδη για τη διατήρηση των λειτουργιών ζωτικής σημασίας της κοινωνίας, της υγείας, της ασφάλειας, της οικονομικής και κοινωνικής ευημερίας των μελών της, και των οποίων η διακοπή λειτουργίας ή η καταστροφή θα είχε σημαντικό αντίκτυπο για ένα κράτος μέλος, ως αποτέλεσμα της αδυναμίας διατήρησης των λειτουργιών αυτών». 14

16 υπολογιστών, είτε για να διευκολυνθεί κάποιο έγκλημα (ή η απόκρυψη του) ή για λόγους τρομοκρατίας. Συνήθεις είναι οι πολιτικοί, εθνικοί ακόμη και θρησκευτικοί λόγοι με επιθέσεις που σκοπούν στην αλλοίωση ή καταστροφή περιεχομένου ιστοσελίδων. Τέλος, στόχοι των επιθέσεων μπορεί να αποτελούν επιχειρήσεις ή βιομηχανίες με σκοπό την καταστροφή των συστημάτων τους και τη δυσφήμισή τους για λόγους ανταγωνισμού Περιπτωσιολογία. Στο σημείο αυτό θα αναφέρουμε ενδεικτικά μερικές από τις πιο γνωστές επιθέσεις κατά συστημάτων πληροφοριών που ήρθαν στο φως της δημοσιότητας από τις αρχές του 21ου αιώνα έως και σήμερα. Μόλις έγινε λόγος για τις επιθέσεις "άρνησης παροχής υπηρεσίας" (DoS Attacks). Η μέθοδος αυτή, της υπερφόρτωσης των διακομιστών των ιστοσελίδωνγνωστής και ως Denial of service - χρησιμοποιήθηκε το Φεβρουάριο του 2000 στην εκτεταμένη επίθεση που έπληξε τις ιστοσελίδες μεγάλων ψηφιακών τόπων (όπως yahoo.com, Αmazon.com, e-bay.com, buy.com, CNN.com κ.α.). Με τη βοήθεια ειδικών προγραμμάτων ο δράστης 12 κατέγραψε τα κενά ασφαλείας των ανωτέρω ψηφιακών τόπων και κατόπιν εμφύτευσε σε αυτά ειδικά προγράμματα (τα λεγόμενα zombies), που του επέτρεψαν να ελέγχει τους υπολογιστές - στόχους. Με τη συνεχή επανάληψη της παραπάνω διαδικασίας αλλά και με τον βομβαρδισμό των ψηφιακών τόπων με αλλεπάλληλες αιτήσεις σύνδεσης κατόρθωσε να τους θέσει εκτός λειτουργίας. Οι επιθέσεις αυτές απασχόλησαν επί σειρά ημερών τις διωκτικές αρχές, το F.B.I. και τα μέσα μαζικής ενημέρωσης, αφού για πρώτη φορά θύματα επιθέσεων αποτέλεσαν τόσο μεγάλοι δικτυακοί τόποι. Μια ακόμη επίθεση DoS πραγματοποιήθηκε εναντίον κυβερνητικών ιστοσελίδων των Η.Π.Α. Συγκεκριμένα, τον Απρίλιο του 2001, Κινέζοι hackers παραβίασαν τους δικτυακούς τόπους των Υπουργείων Εργασίας και Υγείας των Η.Π.Α., θέτοντας τους για μικρό χρονικό διάστημα εκτός λειτουργίας Κατά τη διερεύνηση της υπόθεσης αποκαλύφθηκε ότι δράστης της επίθεσης ήταν ένας 15χρονος μαθητής από το Μόντρεαλ του Καναδά, ο οποίος εμφανιζόταν στο Διαδίκτυο με το ψευδώνυμο "MafiaBoy". 13 Βλ. σχετικά σε Βλαχόπουλος Κ., ό.π.,, 2007, 46, 57, Κιούπης Δ., "Αλλοίωση ηλεκτρονικών δεδομένων και αθέμιτη πρόσβαση σε ηλεκτρονικά δεδομένα - Κενά και αδυναμίες της ποινικής νομοθεσίας",υπερ/2000,

17 Συχνό φαινόμενο αποτέλεσαν και οι επιθέσεις με διασπορά κακόβουλου κώδικα (malicious code) 14 εκ των οποίων οι πιο σημαντικές πραγματοποιήθηκαν με τη βοήθεια ιών. Το Μάρτιο του 1999 έκανε την εμφάνιση του ο ιός "Melissa Macro Virus", που αποτελεί την κλασικότερη μορφή μακρό - ιού. Ο δημιουργός του, αφού εξασφάλισε πρόσβαση στο λογαριασμό διαδικτυακής πρόσβασης (internet account) ενός τρίτου προσώπου (με σκοπό να συγκαλύψει τα ίχνη του), έστειλε μηνύματα, μέσω , σε μια ομάδα συζητήσεως στα οποία είχε επισυνάψει ένα συνημμένο αρχείου τύπου Word, το οποίο περιείχε ένα κατάλογο με κωδικούς ελεύθερης πρόσβασης σε ψηφιακούς πορνογραφικούς τόπους (sites). Στη πραγματικότητα όσοι άνοιγαν το αρχείο ενεργοποιούσαν ταυτόχρονα και τον ιό "Melissa". Με τον ιό αυτό το σύστημα καθίστατο πιο ευάλωτο σε προσβολές από άλλους ιούς, μολύνονταν όλα τα αρχεία ορισμένων προγραμμάτων επεξεργασίας κειμένου και τέλος προκαλούνταν αυτόματη αποστολή «μολυσμένων» ηλεκτρονικών μηνυμάτων σε πενήντα ηλεκτρονικές διευθύνσεις, που ο ιός εντόπιζε στον υπολογιστή του θύματος. Ο ιός διαδόθηκε τόσο γρήγορα, ώστε μέσα σε 48 ώρες ανάγκασε την Microsoft και την Intel να κλείσουν τους διακομιστές τους. Ο ιός "Melissa" μόλυνε πάνω από ένα εκατομμύριο υπολογιστές 15 προκαλώντας συνολική ζημία άνω των 80 εκατομ. δολαρίων. Λίγους μήνες μετά, στις αρχές Μαΐου του έτους 2000, ένας Φιλιππινέζος φέρεται ως κατασκευαστής του ιού "ILOVEYOU" ο οποίος διαδόθηκε ταχύτατα μέσω του Διαδικτύου. Ο ιός αυτός έφτανε στο η/υ του θύματος μέσω ενός το οποίο περιείχε ένα συνημμένο αρχείο με όνομα "LOVE-LETTER-FOR-YOU.TXT.VPS". Το από μόνο του ήταν αθώο, όμως οι χρήστες που άνοιγαν το συνημμένο αρχείο ενεργοποιούσαν το συγκεκριμένο ιό, ο οποίος με τη σειρά του διέγραφε πολλά αρχεία από τον η/υ του χρήστη. Επιπλέον, ο ιός όριζε ως αρχική σελίδα στον Internet Explorer, μια σελίδα σ' ένα διακομιστή στις Φιλιππίνες και αυτόματα γινόταν λήψη (download) ενός δούρειου ίππου, ο οποίος είχε τη δυνατότητα να υποκλέπτει τους κωδικούς πρόσβασης του χρήστη και να τους αποστέλλει στο του δημιουργού του ιού. Ο ιός πολλαπλασιαζόταν χρησιμοποιώντας τη μεθοδολογία του "Melissa Virus", με τη διαφορά ότι έστελνε αντίστοιχα μηνύματα σ' όλες τις διευθύνσεις που υπήρχαν στο βιβλίο διευθύνσεων και όχι μόνο στις 50 πρώτες. Ο ιός "ILOVEYOU" 14 Ο κακόβουλος κώδικας διακρίνεται σε τρεις βασικές κατηγορίες: τους ιούς, (viruses), τα σκουλήκια (worms) και τους δούρειους ίππους (Trojan Horses). 15 Μια εταιρία υπαλλήλων ανέφερε ότι μέσα σε 45 λεπτά, έλαβε πάνω από s. 16

18 Το 2010 σημαδεύτηκε από πολλές και σημαντικές κυβερνοεπιθέσεις. Στις αρχές επηρέασε περισσότερους από τους μισούς η/υ εταιριών στην Αμερική και πάνω από διακομιστές στην Ευρώπη, ενώ εκτιμάται ότι προκάλεσε τη μεγαλύτερη οικονομική καταστροφή στην ιστορία των η/υ με συνολικές ζημιές που ξεπέρασαν τα 9 δις δολάρια. 16 Το έτος 2007 υπήρξε για πολλούς αναλυτές η χρονιά που αναδείχθηκε όσο ποτέ άλλοτε το ηλεκτρονικό έγκλημα εξαιτίας της μεγάλης κλίμακας των επιθέσεων που πραγματοποιήθηκαν κατά της Εσθονίας. Εκείνη τη χρονιά είδε το φως της δημοσιότητας το μεγαλύτερο δίκτυο «botnet» που κατασκευάστηκε μέχρι σήμερα. Επρόκειτο για ένα δίκτυο ενός εκατομμυρίου. υπολογιστών "zombie", οι χρήστες των οποίων είχαν άθελα τους εγκαταστήσει στον η/υ τους ένα επιβλαβή κώδικα μέσω ενός το οποίο μιλούσε για τρομακτικές καταιγίδες που έπλητταν εκείνες τις ημέρες την Ευρώπη. Το «botnet» αυτό έθεσε εκτός λειτουργίας επί πολλές μέρες σημαντικά τμήματα των ΥΖΣ τόσο της κυβέρνησης όσο και του ιδιωτικού τομέα λόγω της ευρείας κλίμακας των επιθέσεων που υπέστησαν, με τεράστιο οικονομικό κόστος, άνω των 20 εκατομμυρίων ευρώ, καθώς και με τεράστιο πολιτικό κόστος. Παρεμφερείς καταστροφικές επιθέσεις εξαπολύθηκαν και κατά της Λιθουανίας και της Γεωργίας. Εξακολουθεί να αποτελεί τη μεγαλύτερη επίθεση καθώς οδήγησε σε προσωρινό κλείσιμο των τραπεζών, των υπουργείων και των ραδιοτηλεοπτικών φορέων των πληττόμενων χωρών. 17 Το 2008 εμφανίστηκε ένας από τους πιο γνωστούς ιούς που έπληξαν το Facebook, ο ιός "Koobface". O ιός αυτός υπέκλεπτε προσωπικά δεδομένα από λογαριασμούς των χρηστών, ενώ έστελνε και μηνύματα με ψεύτικα links στο δίκτυο φίλων του χρήστη. Επηρέασε περισσότερους από 3 εκατ. υπολογιστές από το 2008 που εμφανίστηκε για πρώτη φορά. 18 Το 2009 πραγματοποιήθηκε επίθεση σε συστήματα της Γαλλικής Πολεμικής Αεροπορίας με το «botnet» "CONFICKER". To downadup CONFICKER εκτιμήθηκε (σύμφωνα με μελέτη της Symantec Corp) ότι ήταν εγκατεστημένο σε περισσότερα από 6,5 εκατ. PCs παγκοσμίως κατά τα τέλη του του έτους πραγματοποιήθηκε επίθεση με τον ιό "Hydraq" ο οποίος στόχευε κυρίως 16 Βλ. περισσότερα σε Βλαχόπουλος Κ., ό.π., 50, Κιούπης Δ., ό.π., Πηγή: 18 Πηγή: 19 Πηγή: 17

19 στο να πλήξει επιχειρήσεις. Η δυνατότητα οικονομικού κέρδους από εκτεθειμένα δεδομένα πνευματικής ιδιοκτησίας (IP), είχε στρέψει τον ενδιαφέρον των εγκληματιών του κυβερνοχώρου προς τις επιχειρήσεις. Σύμφωνα με στοιχεία οι επιτιθέμενοι αξιοποιούσαν την αφθονία των προσωπικών δεδομένων που είναι εύκολα προσβάσιμα σε διάφορα sites κοινωνικής δικτύωσης για να οργανώσουν επιθέσεις σε άτομα που εργάζονται στις στοχευόμενες επιχειρήσεις. Το 2010 ήταν και η χρονιά που το κακόβουλο λογισμικό "Zitmon" ή "Zeus Trojan" κατάφερε να υποκλέψει sms που αναφέρονταν σε κωδικούς τραπεζικών συναλλαγών των χρηστών. Από τη στιγμή που το "Zeus" εγκαθίσταντο στο η/υ ενός χρήστη είχε τη δυνατότητα να κλέβει ευαίσθητα προσωπικά δεδομένα και κωδικούς. Μάλιστα ο ιός για να μην γίνει αντιληπτός κατά την ανάληψη των χρηματικών ποσών εκ μέρους των δραστών, άλλαζε την εικόνα που εμφανίζονταν στους browsers των χρηστών, εξαπατώντας τους, όταν έβλεπαν τους ισολογισμούς των τραπεζικών συναλλαγών τους στον υπολογιστή τους, ώστε να μην εμφανίζονται τα χρηματικά ποσά που αφαιρούσαν οι επιτήδειοι. Χρησιμοποιώντας οι δράστες «toolkits», όπως ο Zeus, δημιουργούσαν κυριολεκτικά εκατομμύρια νέων παραλλαγών κακόβουλων κωδικών σε μια προσπάθεια να αποφύγουν τον εντοπισμό τους από τα προγράμματα λογισμικού ασφαλείας. Ο "Zeus" πωλείται σήμερα από διάφορα παράνομα δίκτυα με τιμή περίπου 700 δολάρια, ενώ μπορεί να αποφέρει κέρδος από μέχρι 1,5 εκατ. δολάρια. Κατά τα έτη 2010 και 2011 πραγματοποιήθηκαν επιθέσεις με κακόβουλο λογισμικό "Stuxnet" σε συστήματα η/υ βιομηχανικών εγκαταστάσεων. Μια τέτοια επίθεση, με προηγμένους ιούς υπολογιστών, πραγματοποιήθηκε κατά του πυρηνικού συγκροτήματος του Ιράν. Μάλιστα έχει πιστοποιηθεί ότι η επίθεση προήλθε από τις μυστικές υπηρεσίες των ΗΠΑ και του Ισραήλ, με στόχο την διακοπή του εμπλουτισμού ουρανίου στις ιρανικές εγκαταστάσεις. Το Φεβρουάριο του 2011 οι υπολογιστές του γαλλικού υπουργείου οικονομικών δέχθηκαν επίθεση από hackers σε αρχεία που αφορούσαν τη συνάντηση των G20 η οποία επρόκειτο να πραγματοποιηθεί εκείνο το έτος στη Γαλλία. Επίσης, το ίδιο έτος καταγράφηκαν επιθέσεις με το κωδικό όνομα "Nitro" οι οποίες στόχευαν κατά κύριο λόγο σε οργανισμούς που δραστηριοποιούνταν στην έρευνα, την ανάπτυξη και παραγωγή χημικών και προηγμένων υλικών. Επιβεβαιώθηκε ότι συνολικά 29 εταιρίες κυρίως στο τομέα των χημικών και 19 κυρίως στο τομέα της άμυνας είχαν γίνει στόχος των επιθέσεων. Ο σκοπός των επιθέσεων ήταν πρωτίστως η συλλογή εμπιστευτικών 18

20 πληροφοριών όπως σχέδια, τύποι και διαδικασίες παραγωγής. Όμως, το 2011 θα μείνει στη μνήμη μας ως το έτος που έθεσε τις βάσεις για το διάδοχο του περιβόητου "Stuxnet", 20 για τη σοβαρή απειλή κατά των φορητών συσκευών, 21 αλλά και για τις στοχευμένες επιθέσεις που σχετίζονταν με ένα μεγάλο αριθμό ψευδών πιστοποιητικών (παραβιάσεις πιστοποιητικών SSL). 22 Τέλος, το έτος 2013 σηματοδοτήθηκε από τις επιθέσεις των Ιρανών σε πολλές αμερικανικές τράπεζες των ΗΠΑ. Οι επιθέσεις είχαν ένα νέο ανησυχητικό γνώρισμα, οι δράστες δεν εκμεταλλεύτηκαν κάθε ένα η/υ ξεχωριστά, αλλά δημιούργησαν ένα ευρύ δίκτυο με μεγάλη υπολογιστική ισχύ. Ειδικότερα, αξιοποίησαν τους "μολυσμένους" διακομιστές για να βομβαρδίσουν τις ιστοσελίδες των τραπεζών με τεράστιο όγκο δεδομένων, έως ότου αυτοί καταρρεύσουν. Σύμφωνα με υπουργούς των ΗΠΑ, ο όγκος δεδομένων που εξαπέλυσαν οι δράστες ήταν πολλαπλάσιος εκείνου που χρησιμοποίησε η Ρωσία στις επιθέσεις κατά της Εσθονίας για ένα ολόκληρο μήνα το 2007! Ομάδα hackers ανέλαβε πρόσφατα την ευθύνη των επιθέσεων υποστηρίζοντας ότι αυτές έγιναν ως αντίποινα της περιβόητης ταινίας για το Προφήτη Μωάμεθ. Η αντιμετώπιση των επιθέσεων χαρακτηρίζεται ιδιαίτερα δύσκολη χάρη στον ευάλωτο χαρακτήρα των συστημάτων που καθιστούν την πρόσβαση σε αυτά πολύ εύκολη ακόμη και από μη ειδικούς. Η ανωνυμία και η εξ' αποστάσεως τέλεση των επιθέσεων καθιστούν τη δίωξη των δραστών ιδιαίτερα δυσχερή ενώ πολύ συχνά τα θύματα δεν προχωρούν σε αποκάλυψη των επιθέσεων εξαιτίας του φόβου μείωσης της φήμης (π.χ. των εταιριών), ή ακόμη και για την αποφυγή πρόκλησης πανικού (π.χ. από την επίθεση σε ένα πυρηνικό εργοστάσιο. 20 Κατά το έτος αυτό έκανε την εμφάνιση του το κακόβουλο λογισμικό "Duqu" που κατά πολλούς θεωρήθηκε πρόδρομος ενός μελλοντικού "Stuxnet". Σκοπός του "Duqu" ήταν να συλλέξει εμπιστευτικές πληροφορίες από εταιρίες, όπως κατασκευαστές εξαρτημάτων που συναντώνται σε περιβάλλοντα βιομηχανικού ελέγχου. Οι επιτιθέμενοι πίσω από τον "Duqu" αναζητούσαν πληροφορίες που θα τους βοηθούσαν να σχεδιάσουν μια μελλοντική επίθεση σε εγκαταστάσεις βιομηχανικού ελέγχου. 21 Κακόβουλο λογισμικό εμφανίστηκε ως εφαρμογή για android και μόλυνε χιλιάδες κινητά τηλέφωνα και φορητές συσκευές π.χ. tablets. 22 Πηγή: 19

21 ΜΕΡΟΣ Β: Tο Διεθνές νομικό πλαίσιο για την καταπολέμηση του κυβερνοεγκλήματος και την προστασία από τις επιθέσεις κατά των συστημάτων πληροφοριών. 1. Οι διεθνείς δράσεις για την καταπολέμηση του εγκλήματος στο Κυβερνοχώρο έως τη σύναψη της Σύμβασης για το Κυβερνοέγκλημα. Πολλοί διεθνείς και υπερεθνικοί οργανισμοί αναγνώρισαν, από πολύ νωρίς, τον διασυνοριακό χαρακτήρα του ηλεκτρονικού εγκλήματος και των επιθέσεων κατά συστημάτων πληροφοριών, λαμβάνοντας μέτρα για την καταπολέμηση τους με την εναρμόνιση των νομοθεσιών των κρατών στον τομέα της εγκληματικότητας στο κυβερνοχώρο, με σκοπό την διεθνή συνεργασία. Καθοριστικό ρόλο για την προώθηση της διεθνούς συνεργασίας, στον τομέα του ηλεκτρονικού εγκλήματος γενικότερα, διαδραμάτισαν ο Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης (Ο.Ο.Σ.Α.), τα Ηνωμένα Έθνη, οι G-8, η Interpol, η Ευρωπαϊκή Ένωση και το Συμβούλιο της Ευρώπης. Mια πρώτη προσπάθεια πραγματοποιήθηκε τη δεκαετία του 1980 από τον Ο.Ο.Σ.Α. ο οποίος συγκάλεσε μία ομάδα εμπειρογνωμόνων που εργάστηκε για την προώθηση της εναρμόνισης των σχετικών νομοθεσιών μεταξύ των κρατών. Οι εργασίες της ομάδας αυτής κατέληξαν στην έκδοση μιας έκθεσης με τίτλο "Πληροφορικό έγκλημα: Ανάλυση της νομικής πρακτικής" το 1986, με την οποία, μετά από συγκριτική έρευνα του ουσιαστικού ποινικού δικαίου διαφόρων εθνικών νομοθεσιών, προτάθηκε ένας κατάλογος ελάχιστων καταχρηστικών συμπεριφορών που θα μπορούσαν να ποινικοποιηθούν από τα κράτη (λ.χ. απάτη ή πλαστογραφία που διαπράττεται με η/υ, φθορά σε δεδομένα και προγράμματα υπολογιστή, μη εξουσιοδοτημένη πρόσβαση σε πρόγραμμα υπολογιστή, υποκλοπή δεδομένων ενός συστήματος η/υ). Ο κατάλογος αυτός είχε ως σκοπό τη χάραξη μιας κοινής βάσης για τη σύγκλιση των διαφορετικών νομοθεσιών των κρατών μελών σχετικά με την αντιμετώπιση του ηλεκτρονικού εγκλήματος. Το 1990, το όγδοο συνέδριο των Η.Ε. για την "Πρόληψη του εγκλήματος και την αντιμετώπιση των δραστών" επεσήμανε τα νομικά προβλήματα που σχετίζονταν με το ηλεκτρονικό έγκλημα. Αφού έληξαν οι εργασίες του Συνεδρίου εκδόθηκε ένα Ψήφισμα το οποίο καλούσε τα κράτη μέλη να ενισχύσουν τις προσπάθειές τους για την αντιμετώπιση του ηλεκτρονικού εγκλήματος, με τον εκσυγχρονισμό και την 20

22 εναρμόνιση των εθνικών ποινικών νόμων και διαδικασιών, τη λήψη προληπτικών μέτρων και μέτρων ασφάλειας των υπολογιστικών συστημάτων και την προώθηση της ανάπτυξης ενός ολοκληρωμένου διεθνούς πλαισίου κατευθυντηρίων οδηγιών και προτύπων για την πρόληψη, αντιμετώπιση και δίωξη των πληροφοριακών εγκλημάτων στο μέλλον. Πιο πρόσφατα και μετά την εμφάνιση και ραγδαία εξέλιξη του Διαδικτύου, η Γενική Συνέλευση των Η.Ε. εξέδωσε πολυάριθμα Ψηφίσματα σχετικά με το έγκλημα στον κυβερνοχώρο, με θέματα όπως οι "Εξελίξεις στο χώρο των πληροφοριών και των τηλεπικοινωνιών στο πλαίσιο της διεθνούς ασφάλειας" 23 και "Η δημιουργία ενός παγκόσμιου θεσμικού πλαισίου ασφάλειας στο κυβερνοχώρο". 24 Το 1996 σε συνάντηση Κορυφής στο Παρίσι τα οχτώ ισχυρότερα κράτη του κόσμου (G-8) υιοθέτησαν 40 Συστάσεις για την καταπολέμηση του εγκλήματος συμπεριλαμβανομένου και του ηλεκτρονικού εγκλήματος. Για την εφαρμογή τους, τον Ιανουάριο του 1997 συστάθηκε υπό τη αιγίδα των G-8, ομάδα δράσης σχετικά με το "Έγκλημα υψηλής τεχνολογίας" (G-8 Subgroup on high-tech crime), η οποία θέσπισε ένα δίκτυο που λειτουργεί 24 ώρες την ημέρα, 7 ημέρες την εβδομάδα (24/7), τόσο μεταξύ των κρατών μελών των G-8 όσο και άλλων κρατών που δεν ήταν μέλη. Το δίκτυο αυτό αποτελούνταν από καθορισμένα σημεία επαφής των αρμόδιων αρχών με σκοπό την ενίσχυση της συνεργασίας μεταξύ των κρατών στο τομέα της ηλεκτρονικής εγκληματικότητας. Μετά από ένα χρόνο, το 1997, οι Υπουργοί Δικαιοσύνης και Εσωτερικών της Ομάδας των οκτώ, σε συνάντησή τους στην Ουάσιγκτον, υιοθέτησαν "Δέκα αρχές" (Ten Principles) και "Δέκα Τομείς Δράσης" (Ten Action Items), για την καταπολέμηση του ηλεκτρονικού εγκλήματος. Με τις αρχές αυτές προωθήθηκε ο συντονισμός της δράσης μεταξύ των κρατών κατά την ποινική έρευνα των διεθνών ηλεκτρονικών εγκλημάτων, η εκπαίδευση και εξειδίκευση του προσωπικού των αρμόδιων φορέων για την αντιμετώπιση των εγκλημάτων, η προστασία της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των ηλεκτρονικών δεδομένων και συστημάτων, η διασφάλιση της γρήγορης πρόσβασης σε ηλεκτρονικά δεδομένα για τις ανάγκες των ποινικών ερευνών, καθώς και η αμοιβαία συνδρομή για τη συλλογή και ανταλλαγή των αποδεικτικών στοιχείων 23 Σχετικά είναι τα Ψηφίσματα 53/70 της 4ης Δεκεμβρίου 1998, 54/79 της 1ης Δεκεμβρίου 1999, 52/28 της 20ης Νοεμβρίου 2000, 56/19 της 29ης Νοεμβρίου 2001, 57/53 της 22ης Νοεμβρίου 2002 και 58/32 της 18ης Δεκεμβρίου Ψήφισμα 57/239 της 20ης Δεκεμβρίου

23 για την καταπολέμηση του διεθνούς ηλεκτρονικού εγκλήματος. Το Μάιο του 2000, έλαβε χώρα στο Παρίσι, Συνέδριο υπό την αιγίδα των G-8, σχετικά με την αντιμετώπιση του κυβερνοεγκλήματος, στο οποίο συμμετείχαν περίπου 300 δικαστικοί λειτουργοί, αστυνομικοί, διπλωματικοί εκπρόσωποι της βιομηχανίας από το χώρο των νέων τεχνολογιών, καθώς και εκπρόσωποι ομάδων προστασίας των δικαιωμάτων των πολιτών. Στα πλαίσια του Συνεδρίου τονίστηκε ιδιαίτερα η ανάγκη συνεργασίας του επιχειρηματικού κόσμου και των κυβερνήσεων για την καταπολέμηση του κυβερνοεγκλήματος. Προς αυτή την κατεύθυνση, η Ομάδα των 8 ζήτησε, αφενός από τους εκπροσώπους της βιομηχανίας να εξεύρουν λύσεις για την αντιμετώπιση του κυβερνοεγκλήματος και, αφετέρου από τις κυβερνήσεις να επιταχύνουν την εναρμόνιση των εθνικών νομοθεσιών προς τον σκοπό αυτό. Στον αντίποδα οι εκπρόσωποι της βιομηχανίας επεσήμαναν ότι η επιβολή υπερβολικών κανόνων για τον έλεγχο του Διαδικτύου, θα μπορούσε να αποτελέσει τροχοπέδη στην ανάπτυξη του ηλεκτρονικού εμπορίου. Τόνισαν ότι έπρεπε να δοθεί έμφαση στην ορθή εφαρμογή του υφιστάμενου νομοθετικού πλαισίου και να αποφευχθεί η θέσπιση νέων πιο αυστηρών κανόνων για τον έλεγχο του κυβερνοεγκλήματος που πιθανώς θα οδηγούσε σε καθεστώς αστυνόμευσης στη χρήση του Διαδικτύου. Σε Διεθνές επίπεδο, η Interpol προσέγγισε πρώτη το ζήτημα του ηλεκτρονικού εγκλήματος, στο Τρίτο Διεθνές Συμπόσιο για την Απάτη (3rd Interpol Symposium on International Fraud), στο Παρίσι το Το 1995, το πρώτο Διεθνές Συνέδριο της Interpol για το ηλεκτρονικό έγκλημα έδωσε ιδιαίτερη έμφαση στην έλλειψη ενός μηχανισμού παγκόσμιας εμβέλειας για την αποτελεσματικότερη αντιμετώπιση του ηλεκτρονικού εγκλήματος. Σε επόμενα Συνέδρια που πραγματοποιήθηκαν τα έτη 1996, 1998, 2000, η Interpol πρόκρινε την κατάλληλη και εξειδικευμένη εκπαίδευση των μελών της στο χώρο του εγκλήματος της τεχνολογίας των πληροφοριών, με τη συνδρομή μιας ομάδας εργασίας ή εμπειρογνωμόνων. Αρχικά λειτούργησε η Ευρωπαϊκή Ομάδα Εργασίας σχετικά με το έγκλημα της τεχνολογίας των πληροφοριών και ακολούθησαν άλλες τρεις στην Ασία, την Αμερική και τη Αφρική, οι οποίες αποτελούνταν από τους επικεφαλής ή από εξειδικευμένα μέλη των εθνικών μονάδων καταπολέμησης του ηλεκτρονικού εγκλήματος. Παράλληλα ιδρύθηκε μία Διαρκής Επιτροπή για το έγκλημα της τεχνολογίας των πληροφοριών, ρόλος της οποίας ήταν ο συντονισμός και η εναρμόνιση των πρωτοβουλιών των ως άνω ομάδων εργασίας. 22

24 Σε επίπεδο Ε.Ε. το 1996 και το 1997 η Ευρωπαϊκή Επιτροπή με έγγραφα τα οποία εξέδωσε, τόνισε την ανάγκη για την αντιμετώπιση του παράνομου και επιβλαβούς περιεχομένου στο διαδίκτυο και την ασφαλή χρήση και λειτουργία αυτού. Τέτοια έγγραφα ήταν η Ανακοίνωση σχετικά με το παράνομο και επιβλαβές περιεχόμενο στο Internet, η Πράσινη Βίβλος για την προστασία των ανηλίκων και της ανθρώπινης αξιοπρέπειας και το Σχέδιο Δράσης για την προώθηση της ασφαλέστερης χρήσης του διαδικτύου μέσω της καταπολέμησης των παράνομων και επιζήμιων μορφών περιεχομένου. Τον Απρίλιο του 1998, η Επιτροπή παρουσίασε στο Συμβούλιο τα αποτελέσματα σχετικής μελέτης που διεξήχθη για το ηλεκτρονικό έγκλημα (COMCRIME). Τον Οκτώβριο του 1999, στα πλαίσια του Ευρωπαϊκού Συμβουλίου του Ταμπερέ, επαναδιατυπώθηκε η ανάγκη καταπολέμησης του ηλεκτρονικού εγκλήματος, με έμφαση στη διαμόρφωση κοινών νομικών ορισμών και διατάξεων. Τέλος, τον Ιανουάριο του 2001 εκδόθηκε η Ανακοίνωση της Επιτροπής σχετικά με τη δημιουργία μιας ασφαλέστερης κοινωνίας της πληροφορίας με τη βελτίωση της ασφάλειας των υποδομών πληροφόρησης και την καταπολέμηση του ηλεκτρονικού εγκλήματος. Μια από τις πρώτες προσπάθειες για τη νομική προσέγγιση του ηλεκτρονικού εγκλήματος στον Ευρωπαϊκό χώρο, πραγματοποιήθηκε από το Συμβούλιο της Ευρώπης, το 1976 στο Στρασβούργο, κατά τη διάρκεια των εργασιών του Συνεδρίου για τις "Εγκληματολογικές Πλευρές του Οικονομικού Εγκλήματος". Για πρώτη φορά παρουσιάστηκαν οι μορφές του ηλεκτρονικού εγκλήματος και κυρίως της απάτης. Το Συμβούλιο της Ευρώπης έχει ασχοληθεί τόσο με το ηλεκτρονικό έγκλημα όσο και με το έγκλημα στον Κυβερνοχώρο. Κατά το παρελθόν εξέδωσε τρείς - μη νομικά δεσμευτικές - Συστάσεις. Ειδικότερα, το 1986 συστάθηκε από το Συμβούλιο της Ευρώπης μια εξειδικευμένη Επιτροπή Εμπειρογνωμόνων η οποία μετά από διαβουλεύσεις κατέληξε σε αξιόλογα συμπεράσματα τα οποία συμπεριλήφθηκαν στη Σύσταση No R (89) 9, η οποία σχετίζεται με το έγκλημα που διαπράττεται με ηλεκτρονικό υπολογιστή (Recommendation No R (89) 9 on Computer - related crime). Στη Σύσταση αυτή, δίνεται έμφαση στη σημασία ενός επαρκούς και γρήγορου μηχανισμού αντιμετώπισης του ηλεκτρονικού εγκλήματος, στη διασυνοριακή φύση τους και στην επιτακτική ανάγκη εναρμόνισης των εθνικών νομοθεσιών στο τομέα αυτό, καθώς και στη βελτίωση της διεθνούς νομικής συνεργασίας. Επιπλέον, επισημαίνεται η ανάγκη επίτευξης ενός διεθνούς consesus για τη ποινικοποίηση συγκεκριμένων συμπεριφορών που διαπράττονται μέσω των ηλεκτρονικών 23