Cyberlaw

 

Raspunderea furnizorilor de servicii internet

S-a vorbit in ultima perioada destul de mult de raspunderea furnizorilor de servicii in privinta continutului stocat sau al comunicatiilor transmise de acestia (gasiti cate ceva relevant AICI si AICI). Cu toate astea, cred ca exista multe situatii care permit o interpretare diferita a raspunderii furnizorilor sau mai curand a identificarii persoanelor ce pot fi intr-adevar trase la raspundere.

Un exemplu ar fi flood-ul – atacul tip DOS de natura a perturba functionarea unui sistem informatic prin lansarea coordonata a mai multor solicitari false care conduc la o suprasolicitare a sistemului prin imposibilitatea acestuia de administrare. Astfel, in confruntarea cu multiplele pachete UDP, sistemul atacat (serverul) va fi fortat sa trimita la fel de multe pachete ICMP (acele comenzi ping), fiind in final imposibil de localizat de alti clienti.

Este de la sine inteles ca atacul nu este intamplator, in spatele acestuia fiind de cele mai multe ori persoane care se joaca intr-un mod mai putin sanatos de-a Internetul. In cautarea celor mai bune solutii pentru lansarea unui atac anonim, acestia pot falsifica inclusiv adresele IP corespunzatoare pachetelor transmise, asigurandu-se ca nici unul dintre numeroasele pachetele ICMP nu va putea identifica locatia acestuia in retea.
Pare destul de interesant, nu? 🙂

Mai putin interesante sunt, evident, consecintele unui astfel de atac, suportate de cele mai multe ori de hosting provider (gazduitorul site-urilor ce sunt tinta atacturilor).

Flood vs. Hosting provider

Tinand cont de natura atacului, cu provenienta in anumite IP asupra carora hosting providerul nu isi poate exercita controlul, blocarea permanenta a flood-ului poate fi realizata doar prin intermediul ISP-istilor. Acestia, spre diferenta de hosting provideri, care pot fi trasi la raspundere in cazul in care au cunostinta de o activitate ilegala si nu actioneaza rapid in vederea eliminarii sau blocarii accesului la aceasta (art.14 Legea comertului electronic) pot actiona in vederea intreruperii transmiterii intr-o retea de comunicatii prin blocarea accesului la aceasta numai in cazul in care aceste masuri au fost dispuse de ANC.

Art.16 alin.(3) „Furnizorii de servicii sunt obligati sa intrerupa, temporar sau permanent, transmiterea intr-o retea de comunicatii (…), in special prin eliminarea informatiei sau blocarea accesului la aceasta, accesul la o retea de comunicatii ori prestarea oricarui alt serviciu al societatii informationale, daca aceste masuri au fost dispuse de autoritatea publica definita la art. 17 alin. (2);

In concluzie, un atac de tip flood care poate „subjuga” la propriu resursele unui hosting provider, va putea fi blocat prin ISP numai daca furnizorul de hosting notifica ANC-ul si aceasta la randul sau impune ISP-istilor detinatori ai IP-urilor in cauza obligatia de intrerupere a accesului IP-urilor la retea.

Evident ca nimeni nu s-a gandit ca situatiile reale, concrete ar fi avut nevoie de o rezolvare mai rapida, una care, cel putin, sa nu implice o perioada de 30 de zile in care ANC-ul este obligat sa emita o decizie cu privire la o astfel de sesizare (art.16 alin.(5) „Decizia autoritatii trebuie motivata si se comunica partilor interesate in termen de 30 de zile de la data primirii plangerii sau a sesizarii (…)”).

Daca cineva ar fi facut corelatia intre informatia transmisa si furnizorul acesteia (ISP), pe de o parte, si intre continutul informatiei stocate si furnizorul de hosting, pe de alta parte, poate si-ar fi dat seama de utilitatea impunerii unui nivel de raspundere ISP similar celui instituit hosting providerilor.

Adica, in masura in care este prevazuta raspunderea hosting providerilor pentru informatia ilegala stocata in privinta careia nu a intervenit in sensul eliminarii acesteia, tot astfel trebuie sa existe o modalitate prin care orice furnizor de servicii sa poata fi tras la raspundere in cazul in care NU actioneaza in privinta transmiterii prin retea a unei informatii ilegale.

Raspunderea furnizorilor tip ISP

Desi exista numeroase acte normative care reglementeaza modalitatea de furnizare a acestor servicii (OG 34/2002, OUG 79/2002, OG 31/2002, Legea 304/2003 si Legea 239/2005), problematica raspunderii furnizorilor este dezbatuta in Legea comertului electronic, mai precis la art.12, care trateaza „Intermedierea prin simpla transmitere” si raspunderea furnizorilor de servicii care constau in „asigurarea accesului la o retea de comunicatii” sau in „transmiterea într-o retea de comunicatii a informatiei furnizate de un destinatar al serviciului respectiv”.

Este cel putin ciudat, din punctul meu de vedere, ca asfel de servicii de comunicatii electronice isi gasesc locul intr-un act normativ care are ca scop „stabilirea conditiilor de furnizare a serviciilor societatii informationale”, servicii care printre altele nu sunt supuse niciunei autorizari. Dar cred ca unele lucruri trebuie luate asa cum sunt, dintre acestea facand parte si paleta de acte normative, care evidentiaza la modul cel mai haotic cu putinta ca un serviciu de furnizare internet este in acelasi timp si serviciu al societatii informationale precum si serviciu de comunicatii electronice.

Trecand peste acest aspect si revenind la cazul flood-ului, art.12 evidentiaza doar trei situatii in care furnizorul ISP poate fi tras la raspundere:
– transmiterea a fost initiata de acesta;
– alegerea persoanei care receptioneaza informatia transmisa a apartinut furnizorului de servicii;
– continutul informatiei transmise a fost influentat de catre furnizorul de servicii in sensul ca i se poate atribui selectia si orice eventuala modificare a acestei informatii.

Evident ca acesta este un simplu intermediar, nu trebuie sa raspunda pentru informatiile pe care le transmite, la fel cum nici hosting providerul nu trebuie tinut sa raspunda pentru informatiile stocate. Dar, pentru ca vorbeam mai devreme de necesitatea crearii unui nivel de raspundere similar, furnizorul de internet ar trebui totusi sa raspunda in cazul in care are cunostinta de transmiterea unei informatii ilegale dar nu actioneaza in vederea eliminarii acesteia (cu atat mai mult cu cat din punct de vedere tehnic intervenitia sa ar fi cea mai eficienta).

Concluzia mea, pentru ca am inteles ca orice articol trebuie concluzionat, este ca in lupta serverului cu atacul de tip flood, nici macar legea nu te ajuta!

si, nu in ultimul rand – look what happens when flood attacks!

ARVE Error: id and provider shortcodes attributes are mandatory for old shortcodes. It is recommended to switch to new shortcodes that need only url

Articolul următor Cultura “Remix”
Monica Lupașcu Romanian Lawyer since 2005 with LL.M. in Intellectual Property Law. She currently activates as European Trademark Attorney and internet and technology legal practitioner.   monica.lupascu@nullcyberlaw.ro

2 răspunsuri

  1. Bogdan 22 Jan, 2009 @ 12:16

    Poate ar fi bine de adaugat ca legea 161/2003 faca o infractiune un astfel de atac – art 44 legea 161/2003
    ” Art. 44. – (1) Fapta de a modifica, sterge sau deteriora date informatice ori de a restrictiona accesul la aceste date” (ultima parte)

    In mod teoretic ar putea functiona bine un astfel de sistem pe linga un CERT (Compter Emergency Response Team) romanesc, in colaborare cu asociatiile ISP. Pentru ca este si o problema de securitate informatica.

  2. Monica Lupascu 22 Jan, 2009 @ 13:38

    Da, este si infractiune, eu am interpretat fapta (atacul) mai mult incadrandu-se la art.45 din Legea nr.161/2003 “fapta de a perturba grav, fara drept, functionarea unui sistem informatic, prin introducerea, transmiterea, modificarea, stergerea sau deteriorarea datelor informatice sau prin restrictionarea accesului la date informatice”

    Cu siguranta si un sistem de informare si training in probleme de securitate si-ar gasi utilitatea, dar pe lg aspectele strict tehnice ar trebui instituita si o obligatie in sarcina ISP – de a actiona in sensul blocarii si eliminarii efectelor unui astfel de atac.

Răspunde și tu