RSU semināra “Noziedzīgie nodarījumi elektroniskajā vidē” konspekts

Kategorija: cert.lv + DVI + Incidenti + Juridiskie aspekti + Kibernoziegumi + Kritiskā Infrastruktūra + Lekcijas + NIC.LV + Operatīvā darbība + Personas dati + SM + VP ENAP Kibernoziegumu nodaļa

Māris Andžāns: “Informācijas tehnoloģiju drošības politika un normatīvie akti Latvijas Republikā: teorētiskie un praktiskie aspekti”
Atskats uz IT drošības likuma izstrādi, citiem normatīvajiem aktiem.
*) Sadarbībā ar Uldi Ķini un Tallinas NATO kiberekselences centru tiek strādāts pie tiesiskā regulējuma pilnveidošanas – Krimināllikumā un Administratīvo pārkāpumu kodeksā nepieciešams precizēt atbildību par noziedzīgiem nodarījumiem, kas pastrādāti pret IT. Būs informatīvais ziņojums.
*) Tuvāko nedēļu laikā varētu tikt pieņemts lēmums par CERT finansējuma palielināšanu.
*) Saskaņā ar valdības rīcības plāna projektu šogad jāsāk Latvijas IT drošības attīstības stratēģijas izstrāde, ilgtermiņā nosakot Latvijas attīstītības prioritātes.
*) Plānots izbūvēt valsts elektronisko sakaru tīklu būtiskāko valsts institūciju saslēgšanai ārkārtas situācijās, kad citi elektronisko sakaru tīkli nedarbojas. Uzturēšanu veiks LVRTC, būs atsevišķi aizsargāti kabeļi, nebūs starpnieku.
*) Tiks parakstīts CERT un NATO saprašanās memorands, kuru Lietuva un Igaunija jau parakstījušas.
*) Tiek strādāts pie brīvprātīgo iesaistīšanas, veidojot līdzīgu organizāciju kā Igaunijā “kiberzemessardze”. Šobrīd NATO centrs Tallinā aptaujā Latvijas iestādes par labāko risinājumu. Vai tam būt zemessardzes ietvaros, vai pie CERT, kā tam jāsaucas, kādam jābūt un vai vispār jābūt tiesiskajam ietvaram. Ir cilvēki, kas ir gatavi palīdzēt Latvijai incidentu gadījumos un ikdienā.

Katrīna Sataki: “Datoru drošības incidentu aktuālās problēmas”
IT drošības aktualitāšu pārskats – statistika, tendences. DNS sistēmas uzbūve.
*) Personas datu aizsardzības nolūkā Latvijas domēnu vārdu WHOIS informācijā netiek attēlots personas vārds. Lai noskaidrotu konkrētas personas, ir jāraksta oficiāls pieprasījums likumā noteiktā kārtībā.
*) Domēna vārdi tiek nodoti lietošanā uz konkrētu laika periodu. Problēmas, ja grib domēna vārdu ieķīlāt vai uzlikt arestu.
*) Domēna vārds un mājaslapa divas dažādas lietas. Ja grib padarīt nepieejamu mājaslapu, nevar prasīt aiztaisīt domēna vārdu, jo tas vairs nav samērīgi – nedarbosies e-pasti un apakšdomēni.
*) Domēna vārds nav saturs, domēna vārds nevar atbildēt par datiem, kas tiek pārraidīti.

Uldis Ķinis: “Noziedzīgi nodarījumi pret informācijas sistēmu drošību”
*) Uzbrukumus pret Valsts informācijas sistēmām nedrīkst mērīt ar vienu mērauklu. Ir dažādas nozīmes sistēmas. Nepieciešams Valsts informācijas sistēmas iekļaut vienā tiesiskā rāmī pēc vienotiem standartiem, lai katra iestāde zinātu, kur viņas sistēma var atrasties, un ja iestāde uzskata, ka nepieciešams atrasties augstāk, tad iestādei jāiesniedz attiecīgie pierādījumi. Tad arī varētu izstādāt pielikumu, kur norādīt būtiskā kaitējuma aprēķinu.
*) Pastāv tiesību normu konkurence, jo KL 245.pants paredz atbildību par ISD noteikumu pārkāpšanu, kaut gan KL 319.pants paredz daudz lielāku atbildību par nolaidību.
*) Tiek strādāts pie grāmatas, kur kibernoziegumi un jurisdikcijas jautājumi tiks iztirzāti plašāk. Plānots, ka šogad tiks pabeigta.
*) Krimināltiesiskā aizsardzība ir piemērojama tikai tām automatizētajām datu apstrādes sistēmām, kuru sistēmas īpašnieks ir izstrādājis ISD politiku, nosakot lietotāju piekļuves kārtību, informācijas klasifikāciju, aprīkojis sistēmu ar attiecīgiem aizsardzības līdzekļiem. Ja nav piekļuves kārtības, tad nevar runāt par piekļuvi.
*) Gadījumi, kad darbību pret ISD nevar atzīt par prettiesisku: ja darbības mērķis pārbaudīt drošības stāvokli; šifrēšanas izmantošana, lai aizsargātu savu komunikāciju un datus; reversās inženierijas izmantošana cik atļauj Autortiesību likums; leģitīma zinātniskā pētniecība.
*) Piekļuve tehniski aptver jebkādu darbību, kas veic ieeju sistēmā.
*) Valsts informācijas sistēmu likumā ir runa tikai par likumīgo lietotāju piekļūšanu, kas paredz personas identifikāciju. Tātad, ja persona veic kādas darbības VIS bez identifikācijas, tas automātiski uzskatāms par noziedzīgu nodarījumu. Tādai jābūt praksei.
*) Aizsardzības sistēmas pārvarēšana ir diskutabls jautājums. Aizsardzības sistēmas nosaka sistēmas drošības politika, ja nav speciāls akts, kas to nosaka.
*) Par būtisku kaitējumu ir “uzpūsta” diskusija, jo likumā skaidri pateikta divu kritēriju kopsumma. Tur ir runa par 5 minimālām mēnešalgām un par citām vairākām ar Krimināllikumu apdraudētām interesēm – tā var būt integritāte un konfidencialitāte. Interese var būt mantiskā, var būt aizskarta biznesa reputācija un daudz kas cits. Nav pamata atteikt kriminālprocesa ierosināšanu tikai tāpēc vien, ka persona nevar pierādīt, ka viņai nav zaudējums 5 minimālo mēnešalgu apmērā. Būtu lietderīgi izstrādāt pielikumu KL 23.pantam, kurā noteiktu pazīmes, pēc kurām būtu aprēķināms būtisks kaitējums. Ja ņemam Satversmē nostiprināto pamattiesību pārkāpumu, tad pietiks ar vienu šo tiesību pārkāpumu, lai būtu būtisks kaitējums. Mantas neaizskaramība, brīvība – tas viss ir pamattiesības.
*) Zaudējumi – jebkuras saprātīgas izmaksas, kas rodas reaģējot uz KL paredzēto noziedzīgo nodarījumu, vai saistītas ar izmeklēšanas rezultātā nodarīto kaitējumu novērtēšanu un analīzi. Piemēram, izmeklēšanas laikā izņemts serveris rada īpašniekam zaudējumus. Tiek ietvertas arī izmaksas, kas rodas, atjaunojot sistēmas resursus atbilstoši sistēmas stāvoklim pirms incidenta.
*) Par KL 243.pantu laikam nav ierosinātu lietu, kaut gan tas ir ārkārtīgi bīstams noziegums. Patiesībā vienā pantā ir iekļauti noziegumi ar dažādiem noziegumu sastāviem. Viens ir saistīts ar kaitīgas informācijas iepludināšanu, kā rezultātā apdraudēts sistēmā esošās informācijas veselums, un otrs – ar sistēmas bombardēšanu (DDoS).
*) Par KL 244.pantu resursu ietekmēšanas ierīcēm. Ir jāpierāda, ka ierīce, kas ir izgatavota, pielāgota un glabāta, ir paredzēta speciāli sistēmas resursu kaitīgai ietekmēšanai un vainotā persona to ir apzinājusies. Katrai datorprogrammai ir funkcija sistēmas resursu ietekmēšanai, taču ja tā tiek veikta ar mērķi nodarīt kaitējumu un persona to skaidri apzinās, tad ir šī nozieguma sastāvs. Arī tad, kad kaitīgā ierīce tiek izmantota kā nozieguma rīks citu KL ietverto nodarījumu, kur apdraudēta ir sistēmas resursu integritāte. Apdraudētās sistēmu resursu integritātes nosacījums ierobežo saukt pie atbildības personas, kuras ar kaut kādām ierīcēm neitralizē automašīnas signalizāciju utt., kuras arī ir faktiski elektroniskas ierīces.
*) Identitātes zādzība nevar pastāvēt tādā izpratnē, kā to uztver ASV un citās valstīs, tāpēc ka mums ir paredzēta atbildība par pasu, dokumentu viltošanu. Identitāti var nozagt, ja nozog paroli, bet tad tas ir nodarījuma sastāvā, bet, ja nozog kredītkarti, tad ir cits pants. Mums nav tādu iespēju, ievadot SSN, noslēgt līgumu internetā, ASV tāda iespēja ir. Līdz ar to identitātes zādzība mums nav aktuāla problēma.
*) Konkrēts gadījums, kad sieva, izmantojot vīra paroles, piekļuva vīra iepazīšanās portāla kontam, un laulības šķiršanās civilprocesā pievienoja iegūto informāciju. Lieta izskatīta divās tiesu instancēs. Senātam rodas šaubas par nodarījuma kvalifikāciju. Persona notiesāta pēc Kl 144.panta par korespondences noslēpuma pārkāpšanu, taču faktiski tas varētu būt klasificēts arī pēc KL 241.panta.

Uldis Miķelsons: “Kriminālprocesa piemērošanas problēmjautājumi, izmeklējot noziedzīgus nodarījumus elektroniskā vidē”
*) Vai apdraudējums jāuztver kā kibernoziegums vai militārs uzbrukums? Neo4ata sākotnēji sevi pozicionēja kā armija.
*) Ir gadījumi, kad valstij, lai ievēroto samērību, nepieciešams rīkoties, negaidot tiesneša sankciju, piemēram, pedofilu aktivitātes atklāšanai internetā. Šeit var lietot “honeypot” metodi.
*) Konvencija par kibernoziegumiem – Latvijas nacionālā tiesiskajā regulējumā iekļauts Operatīvās darbības likuma 15.pants un Kriminālprocesa likuma 227.pants.
*) Kas vienam Trojas zirgs, tas otram “network forensics tool”. Būtiski ir attālinātas piekļuves programmatūrā neiekļaut vairāk funkciju nekā tiesnesis atļāvis, pretējā gadījumā policijas darbinieks var būt veicis krimināli sodāmu rīcību.
*) Par prasību atklāt šifra atslēgu. Princips neliecināt pret sevi nav absolūts, jo ir pienākums sniegt objektu salīdzinošai izpētei. Var būt atšķirīgas pieejas, var būt prasība atklāt šifra atslēgu vai sniegt procesa virzītājam atšifrētu informāciju. Konvencija par kibernoziegumiem nepieprasa, taču pieļauj, ka dalībvalstīs var būt nacionālais tiesiskais regulējums, kas ļauj pieprasīt sniegt informāciju nešifrētā formā. Latvijā nav šāda prasība.
*) Ir svarīgi optimizēt datu ieguvi, lai pēc tam nebūtu jādiskutē par to, kāpēc bija vajadzīgs aiznest visus datorus.
*) Nepieciešams sakārtot jautājumu par terminiem – kas ir datortehniskā, kibertehniskā, infotehniskā, digitālā ekspertīze.

Aleksandrs Buko: “Kibernoziegumu izmeklēšanas aktualitātes, kriminālprocesa aspekti”
Kāpēc Latvijā tiek izmantots internets – statistika, riski, tendences.
*) Elektronisko pierādījumu definīcija ir tikai divām ES valstīm – Latvijai (Kriminālprocesa likuma 136.pants) un Grieķijai.
*) Neviena procesuāla darbība nedrīkst mainīt datus, kas uzglabāti kādā datu apstrādes sistēmā. Ir izņēmumi, ja ir īpaši apstākļi, kas liek rīkoties lai mainītu šos datus, bet šādā gadījumā personai, kas veic izmaiņas, ir jābūt spējīgai aprakstīt cēloņsakarību.
*) Tiek izmantoti atvērtā koda rīki, jo tie ir bezmaksas un ļauj vieglāk izpētīt likumsakarību rezultātu. Pielietojums datu pārtveršanā un analīzē.
*) “Wireshark Blueye” papildinājums ir sekmējis izmeklēšanu bērnu pornogrāfijas lietā. Izmeklētāji bija noskaidrojuši vietu, no kurienes bija izplatīti kaitīgie materiāli, bet nebija zināms konkrēts lietotājs, jo aiz sistēmas slēpās vairāk nekā desmit lietotāji. Saskaņojot to ar tiesu instances attiecīgu lēmumu pieņēmēju, tika veikta datu pārtveršana, izmantojot šo programmatūru, kas ļāva pārtvert tiki paketes ar konkrētiem atslēgvārdiem, kas šajā gadījumā tika saistīti ar bērnu pornogrāfiju. Tādā veidā procesa virzītāji noskaidroja konkrētu lietotāju un tad visus pasākumus veica pret šo lietotāju. Pretējā gadījumā, ja tiktu pārtverts visu lietotāju saturs, tad šāda rīcība nebūtu samērīga, un tiesas amatpersona atteiktu šādu pasākumu.
*) “SleuthKit” tiek izmantots, lai noskaidrotu, vai lielā datu masīvā ir kredītkaršu dati.
*) Ārvalstu speciālistu vidū ir populāra “live forensics” izmeklēšanas metode, kurā tiek veikta operatīvās atmiņas saglabāšana, bet parasti tiek izrauts elektrības vads un visas problēmas atrisinātas. Notiek pētījumi starptautiskās darba grupās, kuras izstrādā metodikas.
*) Šifrētu datu gadījumā, ja sistēma jau ir izslēgta, var necerēt nolasīt datus.
*) Tikai procesa virzītājs var zināt, vai ir vajadzīgs dators vai pietiek ar datu kopiju. Varbūt datoram ir lietiskā pierādījuma nozīme vai tas ir noziedzīga nodarījuma izdarīšanas rīks, kas saskaņā ar Kriminālprocesa likumu ir pakļauts konfiskācijai. Visi jautājumi tiek risināti individuāli. Aizskartā persona var griezties pie procesa virzītāja un norādīt savus argumentus. Ja cilvēks uzskata, ka viņa īpašums tiek atņemts prettiesiski, tad ir procedūra, kā visas darbības var pārsūdzēt un apstrīdēt.

Olga Šeršņova: “Informācijas tehnoloģiskās ekspertīzes, tehniskās problēmas un risinājumi”
*) Valsts policijas Kriminālistikas pārvaldes Infotehnisko ekspertīžu nodaļas vadītāja.
*) Nodaļā darbojas 8 sertificētie IT ekspertīžu veicēji un 6 skaņu ierakstu ekspertīžu veicēji, kas atrodami http://www.ta.gov.lv.
*) No 2003.gada informācijas tehnoloģiju ekspertīzes ietvaros tiek veikta kibertehniskā izpēte, no 2006.gada – skimeru izpēte, no 2007.gada – mobilo telefonu un SIM karšu izpēte.
*) Klienti – Valsts policija, Valsts ieņēmumu dienests, Drošības policija, KNAB, Militārā policija, prokuratūras un tiesas, Konkurences padome u.c.
*) Klienti norāda, ko nepieciešams meklēt konkrētajā lietā. Bieži tiek norādītas nevajadzīgas lietas, kas nevajadzīgi noslogo ekspertus.
*) Ekspertīzes ir ļoti pieprasītas. 2008.gadā ekspertīžu “bums”, bija reģistrēta 321 ekspertīze. Rezultātā izveidojas ekspertīžu rinda, kas krājas līdz šim brīdim. Risinājums – IT apskates veikšana.
*) Disku ietilpība palielinās, līdz ar to nepieciešams ilgāks laiks informācijas pārmeklēšanai.
*) No oriģinālā datu nesēja tiek veidots attēls, kurš saglabāts nodaļas eksperta cietajā diskā. Pēc ekspertīzes izpildes tiek sniegts eksperta atzinums, procesa virzītājam atdots oriģinālais datu nesējs, bet pats attēls tiek dzēsts, jo trūkst glabāšanas resursu. Tā ir problēma, jo nav iespējams atkārtot vai papildināt ekspertīzi.
*) Kriminālistikas pārvaldē prasības ekspertam tādas pašas kā policistam – jāmācās koledžā un jābūt fiziskai sagatavotībai, bet alga – tāda kāda ir.
*) PUK kodus bloķētām SIM kartēm iespējams iegūt no operatoriem caur procesa virzītāju.

Pasākums kopumā bija interesants. To apmeklēja vairākas augstas valsts amatpersonas. Piemēram, auditorijā atradās un jautājumus komentēja arī Ģenerālprokurors Ēriks Kalnmeiers un DVI direktore Signe Plūmiņa. Tomēr auditorijā puse sēdvietu bija brīvas un varēja tikt uzņemts daudz lielāks semināra dalībnieku skaits.

Kāds varētu papildināt, ko stāstīja Aldis Lieljuksis un Aigars Ēvardsons.

Avoti:
Defense.lv: https://defense.lv/2011/12/20/rsu-organize-seminaru-noziedzigie-nodarijumi-elektroniskaja-vide/

Follow defenselv

2012-02-01  »  edgars