ΤΕΥΧΟΣ #1 ΔΕΚΕΜΒΡΙΟΣ 2016

Επιθέσεις άρνησης παροχής υπηρεσιών (Dos/Ddos) και ο νόμος 4411/2016

Χρυσή Χρυσοχού

Την τελευταία δεκαετία, οι επιθέσεις κατά συστημάτων πληροφοριών, είτε από μεμονωμένα άτομα είτε στα πλαίσια του οργανωμένου εγκλήματος, έχουν ενταθεί σε τέτοιο βαθμό που αποτελούν μια ασύμμετρη απειλή, τόσο για την Ευρωπαϊκή Ένωση και τα κράτη μέλη αυτοτελώς, όσο και για τη διατήρηση της παγκόσμιας ασφάλειας, αυξάνοντας την ανησυχία για το ενδεχόμενο εκδήλωσης τρομοκρατικών επιθέσεων -κυρίως με πολιτικά ή οικονομικά κίνητρα- σε συστήματα πληροφοριών, κρατικά ή μη, που αποτελούν αναπόσπαστο τμήμα των υποδομών ζωτικής σημασίας των κρατών μελών και της Ευρωπαϊκής Ένωσης εν γένει. Τέτοιες υποδομές ζωτικής σημασίας αποτελούν τα περιουσιακά στοιχεία-συστήματα εντός των κρατών μελών αλλά και διακρατικά-υπερεθνικά, τα οποία είναι απαραίτητα για τη διατήρηση των ζωτικών λειτουργιών της υγείας, της επικοινωνίας, της ασφάλειας, των συγκοινωνιών, της προστασίας των οικονομικών και κοινωνιών δομών, η διακοπή ή η καταστροφή των οποίων θα είχε σημαντικό αντίκτυπο στη λειτουργία των κρατών αυτών και στη ζωή των πολιτών.

Τα πιο πρόσφατα στοιχεία αναδεικνύουν μια ολοένα αυξανόμενη τάση διάπραξης επικίνδυνων εγκλημάτων και επαναλαμβανόμενων επιθέσεων ευρείας κλίμακας κατά πληροφοριακών συστημάτων με την ανάπτυξη εξελιγμένων και περίπλοκων μεθόδων, όπως για παράδειγμα η δημιουργία δικτύων υπολογιστών δια της μολύνσεως με κακόβουλο λογισμικό που ελέγχονται εξ αποστάσεως, τα επονομαζόμενα botnets, καθώς και η άρνηση Παροχής Υπηρεσίας ή Αποκεντρωμένη Άρνηση Παροχής Υπηρεσίας [Denial of Service (DoS) ή Distributed Denial of Service (DDoS)],  η τεχνική δηλαδή με την οποία υπηρεσίες και πόροι ενός υπολογιστή καθίστανται μη διαθέσιμοι σε αόριστο αριθμό χρηστών (άρθρο 2 της υπ’ αρ. 750/2/19-02-2015 Απόφασης της ΕΕΤΤ, ΦΕΚ 412/Β/24-03-2015).

Η αντιμετώπιση του κυβερνοεγκλήματος πριν και τώρα

Για τη νομική αντιμετώπιση του κυβερνοεγκλήματος, υποκατηγορία του οποίου αποτελούν τα εγκλήματα κατά των πληροφοριακών συστημάτων, δημοσιεύθηκε στις 03/08/2016 στο ΦΕΚ ο Ν. 4411/2016, που κυρώνει τη Σύμβαση του Συμβουλίου της Ευρώπης που υπογράφηκε στη Βουδαπέστη το 2001, για το Έγκλημα στον Κυβερνοχώρο και το Πρόσθετο Πρωτόκολλό αυτής, σχετικά με την ποινικοποίηση πράξεων ρατσιστικής και ξενοφοβικής φύσης, που διαπράττονται μέσω Συστημάτων Υπολογιστών, μεταφέροντας στο Ελληνικό Δίκαιο την Οδηγία 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τις επιθέσεις κατά συστημάτων πληροφοριών και αντικαθιστώντας την απόφαση – πλαίσιο 2005/222/ΔΕΥ του Συμβουλίου, ρυθμίσεις σωφρονιστικής και αντεγκληματικής πολιτικής και άλλες διατάξεις.

Μέχρι πρότινος το κυβερνοέγκλημα αντιμετωπιζόταν στην ελληνική έννομη τάξη με βάσει τις διατάξεις του Ν.1805/1988, ο οποίος (νόμος) είχε εισάγει τα άρθρα  370Β, 370Γ, 386Α του Ποινικού Κώδικα, τα οποία αφορούσαν εγκλήματα που διαπράττονταν με ηλεκτρονικούς υπολογιστές και σε κατάσταση online. Πλέον στο Ελληνικό δίκαιο τα εγκλήματα κατά πληροφορικών συστημάτων  θα ρυθμίζονται από τον Ν. 4411/2016 (ΦΕΚ 142/Α’/03-08-2016), με τον οποίο τροποποιούνται τα άρθρα 13, 292Β, 292Γ, 348Β, 370Γ ως Ε, 381Α, 381Β και 386 του Ποινικού Κώδικα.

H ratio legis της ποινικής δίωξης των εγκλημάτων κατά των πληροφοριακών συστημάτων, σύμφωνα με την Οδηγία 2013/40/ΕΕ και την αιτιολογική έκθεση του Ν. 4411/2016, είναι η εξασφάλιση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των πληροφοριακών συστημάτων και των ψηφιακών δεδομένων, τόσο για την πολιτική, κοινωνική και οικονομική αλληλεπίδραση στην Ένωση όσο και για την ομαλή λειτουργία και η ασφάλεια αυτών των ζωτικής σημασίας -για την ανάπτυξη της εσωτερικής αγοράς και μιας ανταγωνιστικής και καινοτόμου οικονομίας- συστημάτων στην Ένωση.

Τι είναι πληροφοριακό σύστημα

Για να εξετάσουμε περαιτέρω τις μορφές των επιθέσεων κατά των πληροφοριακών συστημάτων πρέπει πρώτα να αναλύσουμε τι αποτελεί πληροφοριακό σύστημα. Πληροφοριακό σύστημα είναι η συσκευή ή η ομάδα διασυνδεδεμένων ή σχετικών μεταξύ τους συσκευών, εκ των οποίων μία ή περισσότερες εκτελούν, σύμφωνα με ένα πρόγραμμα, αυτόματη επεξεργασία ψηφιακών δεδομένων, καθώς και τα ψηφιακά δεδομένα που αποθηκεύονται, αποτελούν αντικείμενο επεξεργασίας, ανακτώνται ή διαβιβάζονται από την εν λόγω συσκευή ή την ομάδα συσκευών με σκοπό τη λειτουργία, τη χρήση, την προστασία και τη συντήρηση των συσκευών αυτών (άρθρα 13 § η’ ΠΚ και 2 § a της Οδηγίας).

Η πιο σοβαρή και μαζική μορφή επίθεσης κατά πληροφοριακών συστημάτων είναι η επίθεση (απλής ή κατανεμημένης/αποκεντρωμένης) άρνησης εξυπηρέτησης (dos or ddos), καθώς ενσωματώνει τον κίνδυνο διακοπής χρήσης, παύσης ή καταστροφής ενός πληροφοριακού συστήματος που εξυπηρετεί ταυτόχρονα έναν αόριστο αριθμό χρηστών. Η λογική της επίθεσης αυτής βασίζεται στο γεγονός ότι κάθε εξυπηρετητής (server) μπορεί να δέχεται και να διεκπεραιώνει συγκεκριμένο αριθμό αιτημάτων ανά χρονική στιγμή με βάσει τις δυνατότητες του. Όταν λοιπόν τα αιτήματα ξεπεράσουν σε αριθμό τις δυνατότητες του αυτός (ο server) καταρρέει και τίθεται εκτός λειτουργίας.

Η επίθεση αυτή μπορεί να εκδηλωθεί με ποικίλους τρόπους με την πιο διαδεδομένη μορφή της στις μέρες μας την κατανεμημένη άρνηση εξυπηρέτησης (ddos). Προκειμένου να πραγματοποιηθεί η επίθεση χρησιμοποιούνται πλείονες υπολογιστές-πηγές, οι οποίοι μολύνουν με κακόβουλο λογισμικό τους υπολογιστές τρίτων και ανυποψίαστων ατόμων, οι οποίοι αφού αποτελέσουν όλοι μαζί το δίκτυο “botnet” και τεθούν υπό τον έλεγχο των δραστών, τότε λαμβάνουν εντολή να πραγματοποιήσουν επίθεση κατά του υπολογιστή-στόχου. Άλλες μορφές dos αποτελούν ενδεικτικά οι Ping Flood, Ping of Death, SYN Flood, και Slow HTTP Dos. Εκτιμάται ότι η μεγαλύτερη επίθεση με botnets που έχει καταγραφεί ποτέ, περιελάμβανε 40.000 έως 100.000 συνδέσεις  (προσβεβλημένους υπολογιστές) εντός διαστήματος 24 ωρών.

Οι τροποποιήσεις του Ποινικού Κώδικα με βάσει τα εγκλήματα κατά των πληροφοριακών συστημάτων έχουν ως κάτωθι:
1) Στο άρθρο 13 του Ποινικού Κώδικα προστίθενται περιπτώσεις η' και θ' ως εξής:

  • "η) Πληροφοριακό σύστημα είναι συσκευή ή ομάδα διασυνδεδεμένων ή σχετικών μεταξύ τους συσκευών, εκ των οποίων μία ή περισσότερες εκτελούν, σύμφωνα με ένα πρόγραμμα, αυτόματη επεξεργασία ψηφιακών δεδομένων, καθώς και τα ψηφιακά δεδομένα που αποθηκεύονται, αποτελούν αντικείμενο επεξεργασίας, ανακτώνται ή διαβιβάζονται από την εν λόγω συσκευή ή την ομάδα συσκευών με σκοπό τη λειτουργία, τη χρήση, την προστασία και τη συντήρηση των συσκευών αυτών"
  • "θ) Ψηφιακά δεδομένα είναι η παρουσίαση γεγονότων, πληροφοριών ή εννοιών σε μορφή κατάλληλη προς επεξεργασία από πληροφοριακό σύστημα, συμπεριλαμβανομένου προγράμματος που παρέχει τη δυνατότητα στο πληροφοριακό σύστημα να εκτελέσει μια λειτουργία"

3) Μετά το άρθρο 292Β του Ποινικού Κώδικα προστίθεται άρθρο 292Γ ως εξής: 

«Άρθρο 292Γ: Με φυλάκιση μέχρι δύο (2) ετών τιμωρείται όποιος χωρίς δικαίωμα και με σκοπό τη διάπραξη των εγκλημάτων του άρθρου 292Β παράγει, πωλεί, προμηθεύεται προς χρήση, εισάγει, κατέχει, διανέμει ή με άλλο τρόπο διακινεί: α) συσκευές ή προγράμματα υπολογιστή, σχεδιασμένα ή προσαρμοσμένα κυρίως για το σκοπό της διάπραξης των εγκλημάτων του άρθρου 292Β, β) συνθηματικά ή κωδικούς πρόσβασης ή άλλα παρεμφερή δεδομένα με τη χρήση των οποίων είναι δυνατόν να αποκτηθεί πρόσβαση στο σύνολο ή μέρος ενός πληροφοριακού συστήματος».

4) Οι παράγραφοι 2 και 5 του άρθρου 348Α του Ποινικού Κώδικα αντικαθίστανται ως εξής: 

«2. Όποιος με πρόθεση παράγει, προσφέρει, πωλεί ή με οποιονδήποτε τρόπο διαθέτει, διανέμει, διαβιβάζει, αγοράζει, προμηθεύεται ή κατέχει υλικό παιδικής πορνογραφίας ή διαδίδει πληροφορίες σχετικά με την τέλεση των παραπάνω πράξεων, μέσω πληροφοριακών συστημάτων, τιμωρείται με φυλάκιση τουλάχιστον δύο (2) ετών και χρηματική ποινή πενήντα χιλιάδων έως τριακοσίων χιλιάδων ευρώ.
5. Όποιος εν γνώσει αποκτά πρόσβαση σε υλικό παιδικής πορνογραφίας μέσω πληροφοριακών συστημάτων, τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους».

5) Το άρθρο 348Β του Ποινικού Κώδικα αντικαθίσταται ως εξής:

«Άρθρο 348Β Προσέλκυση παιδιών για γενετήσιους λόγους: Όποιος με πρόθεση, μέσω πληροφοριακών συστημάτων, προτείνει σε ανήλικο που δεν συμπλήρωσε τα δεκαπέντε έτη, να συναντήσει τον ίδιο ή τρίτο, με σκοπό τη διάπραξη σε βάρος του ανηλίκου των αδικημάτων των άρθρων 339 παράγραφοι 1 και 2 ή 348Α, όταν η πρόταση αυτή ακολουθείται από περαιτέρω πράξεις που οδηγούν σε μία τέτοια συνάντηση, τιμωρείται με φυλάκιση τουλάχιστον δύο (2) ετών και χρηματική ποινή πενήντα χιλιάδων έως διακοσίων χιλιάδων ευρώ».

6) Το άρθρο 370Γ του Ποινικού Κώδικα αντικαθίσταται ως εξής:

«Άρθρο 370Γ Παράνομη πρόσβαση σε πληροφοριακό σύστημα:
1. Όποιος χωρίς δικαίωμα αντιγράφει ή χρησιμοποιεί προγράμματα υπολογιστών, τιμωρείται με φυλάκιση μέχρι έξι (6) μήνες και με χρηματική ποινή διακοσίων ενενήντα (290) ευρώ έως πέντε χιλιάδων εννιακοσίων (5.900) ευρώ. Όποιος χωρίς δικαίωμα αποκτά πρόσβαση στο σύνολο ή τμήμα πληροφοριακού συστήματος ή σε στοιχεία που μεταδίδονται με συστήματα τηλεπικοινωνιών, παραβιάζοντας απαγορεύσεις ή μέτρα ασφαλείας που έχει λάβει ο νόμιμος κάτοχός του, τιμωρείται με φυλάκιση. Αν η πράξη αναφέρεται στις διεθνείς σχέσεις ή την ασφάλεια του κράτους, τιμωρείται κατά το άρθρο 148. Αν ο δράστης είναι στην υπηρεσία του νόμιμου κατόχου του πληροφοριακού συστήματος ή των στοιχείων, η πράξη της προηγούμενης παραγράφου τιμωρείται μόνο αν απαγορεύεται ρητά από εσωτερικό κανονισμό ή από έγγραφη απόφαση του κατόχου ή αρμόδιου υπαλλήλου του. Οι πράξεις των παραγράφων 1 έως 3 διώκονται ύστερα από έγκληση».

7) Μετά το άρθρο 370Γ του Ποινικού Κώδικα προστίθεται άρθρο 370Δ ως εξής:

«Άρθρο 370Δ : Όποιος, αθέμιτα, με τη χρήση τεχνικών μέσων, παρακολουθεί ή αποτυπώνει σε υλικό φορέα μη δημόσιες διαβιβάσεις δεδομένων ή ηλεκτρομαγνητικές εκπομπές από, προς ή εντός πληροφοριακού συστήματος ή παρεμβαίνει σε αυτές με σκοπό ο ίδιος ή άλλος να πληροφορηθεί το περιεχόμενο τους, τιμωρείται με κάθειρξη μέχρι δέκα (10) ετών.
2. Με την ποινή της παραγράφου 1 τιμωρείται όποιος κάνει χρήση της πληροφορίας ή του υλικού φορέα επί του οποίου αυτή έχει αποτυπωθεί με τους τρόπους που προβλέπεται στην παράγραφο 1.
Αν οι πράξεις των παραγράφων 1 και 2 συνεπάγονται παραβίαση στρατιωτικού ή διπλωματικού απορρήτου ή αφορούν απόρρητο που αναφέρεται στην ασφάλεια του Κράτους σε καιρό πολέμου τιμωρούνται κατά το άρθρο 146».

8) Μετά το άρθρο 370Δ του Ποινικού Κώδικα προστίθεται άρθρο 370Ε ως εξής:

«Άρθρο 370Ε : Με φυλάκιση μέχρι δύο (2) ετών τιμωρείται όποιος χωρίς δικαίωμα και με σκοπό τη διάπραξη κάποιου από τα εγκλήματα των άρθρων 370Β, 370Γ παράγραφοι 2 και 3 και 370Δ παράγει, πωλεί, προμηθεύεται προς χρήση, εισάγει, κατέχει, διανέμει ή με άλλο τρόπο διακινεί: α) συσκευές ή προγράμματα υπολογιστή, σχεδιασμένα ή προσαρμοσμένα κυρίως για το σκοπό της διάπραξης κάποιου από τα εγκλήματα των άρθρων 370Β, 370Γ και 370Δ, β) συνθηματικά ή κωδικούς πρόσβασης ή άλλα παρεμφερή δεδομένα με τη χρήση των οποίων είναι δυνατόν να αποκτηθεί πρόσβαση στο σύνολο ή μέρος ενός πληροφοριακού συστήματος».

9) Μετά το άρθρο 381 του Ποινικού Κώδικα προστίθεται άρθρο 381Α ως εξής:

«Άρθρο 381Α Φθορά ηλεκτρονικών δεδομένων: Όποιος χωρίς δικαίωμα διαγράφει, καταστρέφει, αλλοιώνει ή αποκρύπτει ψηφιακά δεδομένα ενός συστήματος πληροφοριών, καθιστά ανέφικτη τη χρήση τους ή με οποιονδήποτε τρόπο αποκλείει την πρόσβαση στα δεδομένα αυτά, τιμωρείται με φυλάκιση έως τρία (3) έτη. Σε ιδιαίτερα ελαφρές περιπτώσεις, το δικαστήριο μπορεί, εκτιμώντας τις περιστάσεις τέλεσης, να κρίνει την πράξη ατιμώρητη.

Η πράξη της πρώτης παραγράφου τιμωρείται: α) με φυλάκιση από ένα (1) έως τρία (3) έτη, αν τελέστηκε με τη χρήση εργαλείου που έχει σχεδιαστεί κατά κύριο λόγο για πραγματοποίηση επιθέσεων που επηρεάζουν μεγάλο αριθμό συστημάτων πληροφοριών ή επιθέσεων που προκαλούν σοβαρές ζημίες και ιδίως επιθέσεων που προκαλούν μεγάλης έκτασης ή για μεγάλο χρονικό διάστημα διατάραξη των υπηρεσιών των συστημάτων πληροφοριών, οικονομική ζημία ιδιαίτερα μεγάλης αξίας ή σημαντική απώλεια δεδομένων, β) με φυλάκιση τουλάχιστον ενός (1) έτους, αν προκάλεσε σοβαρές ζημίες και ιδίως μεγάλης έκτασης ή για μεγάλο χρονικό διάστημα διατάραξη των υπηρεσιών των συστημάτων πληροφοριών, οικονομική ζημία ιδιαίτερα μεγάλης αξίας ή σημαντική απώλεια δεδομένων και γ) με φυλάκιση τουλάχιστον ενός (1) έτους, αν τελέστηκε κατά συστημάτων πληροφοριών που αποτελούν μέρος υποδομής για την προμήθεια του πληθυσμού με ζωτικής σημασίας αγαθά ή υπηρεσίες. Ως ζωτικής σημασίας αγαθά ή υπηρεσίες νοούνται ιδίως η εθνική άμυνα, η υγεία, οι συγκοινωνίες, οι μεταφορές και η ενέργεια. Αν οι πράξεις των προηγούμενων παραγράφων τελέστηκαν στο πλαίσιο δομημένης και με διαρκή δράση ομάδας τριών ή περισσότερων προσώπων, που επιδιώκει την τέλεση περισσότερων εγκλημάτων του παρόντος άρθρου, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον δύο (2) ετών.

Για την ποινική δίωξη της πράξης της παραγράφου 1 απαιτείται έγκληση».
Το άρθρο 292Β παρ. 2 (όπως και το άρθρο 381Α παρ.2), καθιστά ποινικό αδίκημα τις επιθέσεις κατά πληροφοριακών συστημάτων, απλές ή αποκεντρωμένες (dos ή ddos), καθώς και τις πράξεις του κυβερνοακτιβισμού (hacktivism) που τελούνται ιδίως για πολιτικούς/συμβολικούς λόγους χωρίς τις περισσότερες φορές να πλήττουν τη λειτουργία των συστημάτων αυτών, εφόσον προσβάλουν τη λειτουργία των συστημάτων πληροφοριών.
Οι επιθέσεις dos και ddos είναι μείζονος σημασίας τόσο για την ομαλή λειτουργία του διαδικτύου όσο και για τη διασφάλιση των συστημάτων πληροφοριών που αποτελούν μέρος της υποδομής για την προμήθεια των πολιτών με ζωτικής σημασίας αγαθών ή υπηρεσιών (λ.χ. εθνική άμυνα και ασφάλεια, τηλεπικοινωνίες, μεταφορές κ.α.). Καθότι οι επιθέσεις αυτές εξαιτίας της πολυπλοκότητας, της δυσχέρειας ανίχνευσης τους, της αυξανόμενης συχνότητας και δυναμικής τους είναι εξαιρετικά δύσκολο και σπάνιο να αντιμετωπιστούν και να προβλεφθούν πριν την εκδήλωση τους, η Ευρωπαϊκή Ένωση αρκετά χρόνια πριν, θεώρησε αναγκαίο να εισάγει νομοθετικές διατάξεις που τιμωρούν τις επιθέσεις αυτές, δίνοντας τη δυνατότητα στα κράτη-μέλη να θεσπίσουν τα ίδια ποινές ανάλογες των πράξεων αυτών, με σκοπό τον περιορισμό και την καταστολή των εγκλημάτων αυτών. Παρακάτω θα εξετάσουμε το κατά πόσο η ενσωμάτωση της Οδηγίας  2013/40/ΕΕ και η κύρωση της Σύμβασης του Συμβουλίου της Ευρώπης στην ελληνική έννομη τάξη ανταποκρίνεται στο σκοπό θέσπισης της και κατά πόσο μπορεί να ακολουθήσει ερμηνευτικά την εξέλιξη της τεχνολογίας και τους νέους τρόπους τέλεσης των ηλεκτρονικών εγκλημάτων.

Αμφισημίες και σύγχυση στην πρακτική του Ν.4411/2016

Οι ορισμοί των πληροφοριακών συστημάτων και των ψηφιακών δεδομένων του Ν.4411/2016, όπως ορίζονται στο άρθρο 13 περ. η, θ, δημιουργούν σύγχυση και αμφισημίες κατά την ερμηνεία τους στην σύγχρονη πρακτική για τους κάτωθι λόγους:

Α) Η συμπερίληψη των ψηφιακών δεδομένων στην έννοια του πληροφοριακού συστήματος προκαλεί σύγχυση και αυτό γίνεται αντιληπτό στη περίπτωση της παράνομης παρεμβολής σε σύστημα με σκοπό τη σοβαρή παρεμπόδιση ή τη διακοπή της λειτουργίας του συστήματος πληροφοριών με την εισαγωγή, αλλοίωση, διαβίβαση, διαγραφή ηλεκτρονικών δεδομένων ή με τον αποκλεισμό της πρόσβασης στα δεδομένα αυτά. Δηλαδή, η παρεμβολή στο σύστημα μπορεί να ταυτίζεται με την παρεμβολή στα δεδομένα αυτά, μόνο τη στιγμή που η παρεμπόδιση ή η διακοπή της λειτουργίας του συστήματος αφορά και τα δεδομένα αυτά. Απο την άλλη πλευρά, η ταύτιση αυτή των πληροφοριακών συστημάτων με τα δεδομένα που επεξεργάζονται έχει σημασία στις περιπτώσεις επιθέσεων με ιούς ή "σκουλήκια" (worms) που έχουν προγραμματιστεί να υποκλέπτουν προσωπικά δεδομένα ενός συστήματος αφού πρώτα εισέλθουν σε αυτό.

Kατά τη λογική αυτή του ως άνω ορισμού, υποστηρίζεται η άποψη ότι ο Νόμος αυτός δεν προσφέρει καμία αυτοτελή προστασία στα ψηφιακά δεδομένα, αφήνοντας κενό προστασίας, στην περίπτωση δε μάλιστα που υπάρχει πρόσβαση στα δεδομένα αλλά όχι στο πληροφοριακό σύστημα. Αυτό κατά την άποψη της συγγραφέως θα είχε αποφευχθεί εάν ο ορισμός του άρθρου 13 περ. η για το πληροφοριακό σύστημα είχε διαμορφωθεί ως εξής:

- "Πληροφοριακό σύστημα είναι συσκευή ή ομάδα διασυνδεδεμένων ή σχετικών μεταξύ τους συσκευών, εκ των οποίων μία ή περισσότερες εκτελούν, σύμφωνα με ένα πρόγραμμα, αυτόματη επεξεργασία ψηφιακών δεδομένων."

Σκόπιμο είναι να τονιστεί ότι για την τέλεση των εγκλημάτων αυτών δεν χρησιμοποιούνται μόνο απλοί «συμβατικοί» ηλεκτρονικοί υπολογιστές αλλά στην κατηγορία αυτή εμπίπτουν και άλλες συσκευές, όπως εν παραδείγματι οι γνωστές σε όλους μας παιχνιδομηχανές playstation και xbox, οι οποίες συνδέονται με το διαδίκτυο καθώς είναι εξοπλισμένες με την τεχνολογία Wi-Fi, οι οποίες μπορούν να χρησιμοποιηθούν όχι μόνο για hacking αλλά και για την τέλεση και άλλων μορφών ηλεκτρονικών εγκλημάτων.

Β) Στην έννοια των ψηφιακών δεδομένων δεν περιλαμβάνονται μόνο οι απλές ή σύνθετες μεμονωμένες πληροφορίες αλλά και περίπλοκα συμπλέγματα πληροφοριών, όπως είναι τα προγράμματα ηλεκτρονικών υπολογιστών. Πρέπει να τονιστεί ότι τα ψηφιακά δεδομένα δεν πρέπει να προστατεύονται μόνο όταν βρίσκονται σε κάποιο πληροφοριακό σύστημα αλλά και όταν βρίσκονται αποθηκευμένα σε ένα απλό USB stick. Από τη διατύπωση του νόμου, προκύπτει συνεπώς λανθασμένα το συμπέρασμα ότι τα ψηφιακά δεδομένα προστατεύονται μόνο όταν εννοιολογικά εντάσσονται στην έννοια του πληροφοριακού συστήματος και μόνο όταν «αποθηκεύονται, αποτελούν αντικείμενο επεξεργασίας, ανακτώνται ή διαβιβάζονται από την εν λόγω συσκευή ή την ομάδα συσκευών με σκοπό τη λειτουργία, τη χρήση, την προστασία και τη συντήρηση των συσκευών αυτών». Όταν δηλαδή, τα ψηφιακά δεδομένα βρίσκονται σε (εξωτερικούς) φορείς αποθήκευσης που δεν έχουν τα γνωρίσματα του πληροφοριακού συστήματος, όπως για παράδειγμα σε ένα USB stick, μένουν εκτός πεδίου προστασίας, αφήνοντας ακάλυπτες περιπτώσεις μη προσφέροντας την προσήκουσα νομική κάλυψη και προστασία.

Το κενό αυτό προστασίας γίνεται καλύτερα αντιληπτό στην περίπτωση που ο δικαιούχος πρόσβασης στα ψηφιακά δεδομένα είναι άλλος από τον δικαιούχο πρόσβασης στο πληροφοριακό σύστημα, παρότι τα ψηφιακά δεδομένα εντάσσονται στην έννοια του πληροφοριακού συστήματος. Σε αυτή την περίπτωση, ο πρώτος δεν προστατεύεται απ’ την πρόσβαση στα ψηφιακά δεδομένα από τον δεύτερο (καθότι είναι ο δικαιούχος των δεδομένων αυτών) αλλά ούτε προστατεύεται επίσης απ’ την πρόσβαση στα δεδομένα αυτά από τρίτα μη εξουσιοδοτημένα πρόσωπα, στην περίπτωση που αυτά είχαν λάβει τη συναίνεση του δεύτερου για την πράξη αυτή.

Γ) Στο άρθρο 292Β, με τον όρο -χωρίς δικαίωμα- παρεμπόδιση εννοείται η ενέργεια που εμποδίζει την ομαλή και φυσιολογική λειτουργία ενός πληροφοριακού συστήματος, ενώ ο όρος διακοπή αφορά τον ολικό τερματισμό της λειτουργίας του. Οι περιπτώσεις παρεμπόδισης ενός πληροφοριακού συστήματος μπορεί να πραγματοποιούνται μέσω της προσβολής της ακεραιότητας των ψηφιακών δεδομένων (φθορά, αλλοίωση ή διαγραφή) που περιλαμβάνει ένας τέτοιο σύστημα, μέσω της προσβολής της διαθεσιμότητας τους στο σύστημα (απόκρυψη ή εξαγωγή τους) ή και μέσω της εισαγωγής ή μετάδοσης των δεδομένων αυτών ειδικά όταν τα δεδομένα αυτά προέρχονται απο ένα τρίτο πληροφοριακό σύστημα. Η εισαγωγή δεδομένων καλύπτει εδώ και την περίπτωση που αυτά εισάγονται στο πληροφοριακό σύστημα απο ένα εξωτερικό περιβάλλον, για παράδειγμα απο ένα USB Stick, ή εξ αποστάσεως με τη χρήση του διαδικτύου. Στις επιθέσεις άρνησης εξυπηρέτησης (dos ή  ddos), στέλλονται τόσα αιτήματα σε ένα πληροφοριακό σύστημα που αυτό λόγω υπερφόρτωσης και υπέρβασης των δυνατοτήτων του καθίσταται μη διαθέσιμο.

Δ) Ο όρος "χωρίς δικαίωμα' περαιτέρω, έχει προστεθεί για να τονίσει τη μη εξουσιοδοτημένη παρεμβολή, πρόσβαση και επέμβαση στο πληροφοριακό σύστημα και τα δεδομένα αυτού. Ωστόσο, πρέπει να τονίσουμε ότι ο δικαιούχος πρόσβασης των πληροφοριακών συστημάτων και των ψηφιακών δεδομένων δε καθορίζεται με βάση το ιδιοκτησιακό καθεστώς ή την έννοια της κατοχής του Αστικού Δικαίου, αλλά με βάση τη δυνατότητα του χρήστη να τα χρησιμοποιεί ως δικά του και να ορίζει ποιος θα έχει πρόσβαση σε αυτά και ποιος όχι, υπό ποια μορφή και ποιες ιδιότητες και πότε θα ναι διαθέσιμα σε αυτόν. Σημαντικό ρόλο για τον καθορισμό του δικαιούχου πρόσβασης στα πληροφοριακά συστήματα και τα δεδομένα αυτών διαδραματίζουν και τα μέτρα ασφαλείας που έχει λάβει για την παρεμπόδιση της πρόσβασης τρίτων, μη εξουσιοδοτημένων προσώπων.

Ε) Παρότι στο άρθρο 9 παρ. 5 της Οδηγίας προβλέπεται η δυνατότητα στα κράτη μέλη κατά την ενσωμάτωση της Οδηγίας να αναγάγουν σε ποινικό αδίκημα την κλοπή ταυτότητας κατά πληροφοριακών συστημάτων, το επονομαζόμενο identity theft, δηλαδή την υφαρπαγή στοιχείων ταυτότητας ή προσωπικών δεδομένων άλλου προσώπου, με σκοπό συνήθως τον πορισμό οικονομικού οφέλους, κάτι τέτοιο φαίνεται πως δεν θεωρήθηκε σκόπιμο απο τον Έλληνα νομοθέτη κατά τη θέσπιση του  Ν. 4411/2016. Η πρόβλεψη ενός τέτοιου εγκλήματος στον Νόμο αυτό είχε δημιουργήσει ίσως ένα δίχτυ προστασίας για τις περιπτώσεις πλαστογραφίας με τη χρήση ηλεκτρονικών υπολογιστών, ιστοσελίδων διάσημων -και όχι μόνο- εταιριών και τη χρησιμοποίηση πλαστής ταυτότητας στη διεύθυνση ηλεκτρονικού ταχυδρομείου, τις περιπτώσεις δημιουργίας πλαστών προφίλ (fake profiles) στα δίκτυα κοινωνικής δικτύωσης κ.α., με σκοπό τη διάπραξη περαιτέρω ηλεκτρονικών εγκλημάτων.

ΣΤ) Όσον αφορά τις επιβαρυντικές περιπτώσεις του άρθρου 292Β παρ. 2 και 3 και του άρθρου 381Α παρ 2, εγκλημάτων κατά της ακεραιότητας και διαθεσιμότητας των πληροφοριακών συστημάτων και των δεδομένων αυτών, πρέπει να τονισθεί ότι αυτή ακριβώς η επίταση της ποινής σχετίζεται με το αυξημένο άδικο των ενεργειών αυτών.
Για την "σημαντική απώλεια δεδομένων" σκόπιμο είναι να σημειωθεί ότι είναι πιθανόν να προκύψει στο σκέλος αυτό του άρθρου 292Β παρ 2α και β και του άρθρου 381Α παρ.2β, ζήτημα συρροής με το άρθρο 22 του Ν. 2472/1997, το οποίο δεν είναι επιτακτικό να λυθεί νομοθετικά, αφού η επιβαρυντική αυτή περίπτωση θα απορροφά και την προσβολή αυτήν, για αυτό θα έπρεπε ο Έλληνας νομοθέτης να είχε θέσει μια ρήτρα σχετικής επικουρικότητας στη διάταξη αυτή.

Ζ) Τέλος, οι διατάξεις των άρθρων 292Γ, 370Ε  και 381Β τιμωρούν τις προπαρασκευαστικές πράξεις που αφορούν εγκλήματα κατά των πληροφοριακών συστημάτων, όπως για παράδειγμα η χρήση botnet, όπως αναφέρθηκε και παραπάνω. Στο ελληνικό δίκαιο για τις πράξεις αυτές θα μπορούσε να εφαρμοσθεί το άρθρο 9 παρ. 6 του Ν. 3674/2008  το οποίο ορίζει ότι: «Όποιος αθέμιτα διαθέτει στο εμπόριο ή με άλλον τρόπο προσφέρει προς εγκατάσταση ειδικά τεχνικά μέσα για την τέλεση των πράξεων της παραγράφου 1 [άρ. 292Α – χωρίς δικαίωμα πρόσβαση σε δίκτυο ή σύστημα παρόχου] ή δημόσια διαφημίζει ή προσφέρει τις υπηρεσίες του για την τέλεση τους, τιμωρείται με φυλάκιση τουλάχιστον ενός έτους και χρηματική ποινή από 10.000 μέχρι 50.000 ευρώ», αλλά και η διάταξη του άρθρου 394 ΠΚ περί αποδοχής προϊόντων εγκλήματος, υπό την προϋπόθεση ότι  για παράδειγμα το συνθηματικό ή ο κωδικός πρόσβασης, έχει αφαιρεθεί παρανόμως από αρχείο προσωπικών δεδομένων. Επομένως, διαφαίνεται ότι κατά την εφαρμογή των διατάξεων αυτών του νέου νόμου πρέπει να διαπιστωθεί στην πράξη ποια διάταξη θα τύχει εφαρμογής ως η πλέον κατάλληλη για τη στοιχειοθέτηση ενός εγκλήματος κατά πληροφοριακών συστημάτων.

Aδήριτη η ανάγκη minimum προστασίας της ασφάλειας πληροφοριακών συστημάτων

Για να αποφύγει ο Έλληνας νομοθέτης την περίπτωση της ποινικοποίησης της έρευνας, της εξέλιξης και της καινοτομίας στους τομείς της ασφάλειας -και όχι μόνο- των πληροφοριακών συστημάτων, όπως για παράδειγμα στην περίπτωση των white hackers, οι οποίοι με δοκιμές διείσδυσης (penetration testing) ελέγχουν την ισχύ και την ασφάλεια ενός συστήματος ασφαλείας πληροφοριών, κατόπιν αδείας είτε για την προαγωγή της επιστήμης, προβλέφθηκε η τιμώρηση των προπαρασκευαστικών πράξεων (παραγωγή και διάθεση των εν λόγω εργαλείων) να λαμβάνει χώρα μόνο στην περίπτωση που υφίσταται πρόθεση να χρησιμοποιηθούν τέτοια προγράμματα λογισμικού για τη διάπραξη κάποιου από τα εγκλήματα που αναφέρθηκαν παραπάνω.

Στη σημερινή εποχή τα πληροφοριακά συστήματα είναι κομβικής σημασίας όχι μόνο για τις ατομικές και επιχειρηματικές δραστηριότητες των πολιτών αλλά και για ένα μεγάλο μέρος των κρατικών, κοινωνικών και βιοτικών αναγκών κάθε κράτους τόσο σε Ευρωπαϊκό όσο και σε παγκόσμιο επίπεδο. Στο πλαίσιο αυτό είναι αδήριτη ανάγκη να θεσπιστεί έστω το minimum προστασίας της ασφάλειας των πληροφοριακών συστημάτων αλλά και των ψηφιακών τους δεδομένων, ώστε κάθε πολίτης να γίνεται κοινωνός αυτού αλλά και να διασφαλίζεται η εξέλιξη του διαδικτύου και των υπηρεσιών αυτού. Ο Ν. 4411/2016 ανταποκρίνεται στην ανάγκη εκσυγχρονισμού της ελληνικής έννομης τάξης σχετικά με τα πληροφοριακά συστήματα κυρώνοντας 15 χρόνια μετά την υπογραφή της τη Σύμβαση του Συμβουλίου της Ευρώπης, για το Έγκλημα στον Κυβερνοχώρο και το Πρόσθετο Πρωτόκολλό αυτής, μεταφέροντας την ίδια στιγμή στο Ελληνικό Δίκαιο την Οδηγία 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τις επιθέσεις κατά συστημάτων πληροφοριών και αντικαθιστώντας την απόφαση – πλαίσιο 2005/222/ΔΕΥ του Συμβουλίου. Ο Νόμος αυτός μεταφέρει σχεδόν αυτούσιο τα κείμενα της Σύμβασης του Συμβουλίου και της Ευρωπαϊκής Οδηγίας, αγνοώντας τυχόν ελλείψεις, αμφισημίες και ερμηνευτικά κενά που δύναται να προκύψουν σύμφωνα με τους ως άνω ορισμούς και παρατηρήσεις. Απομένει μόνο να δούμε στην πράξη πως θα εφαρμοστούν οι διατάξεις περί των εγκλημάτων κατά των πληροφοριακών συστημάτων και πως θα προσεγγίσουν ερμηνευτικά τα Δικαστήρια τη νομική και τεχνική φύση των εγκλημάτων αυτών.

*Η Χρυσή Χρυσοχού είναι Δικηγόρος, LLM.