07. Legislació de seguretat i protecció de dades (IOC)

Download 07. Legislació de seguretat i protecció de dades (IOC)

Post on 20-Feb-2015

42 views

Category:

Documents

3 download

Embed Size (px)

TRANSCRIPT

1. Legislaci i normes sobre seguretat i protecci de dades

Duna manera intutiva, tots coneixem lexistncia dun conjunt de normes jurdiques que regulen les conductes constitutives de delicte, i tamb les sancions previstes en aquestes situacions (algunes poden ser fins i tot privatives de llibertat). El recull legislatiu aplicable en aquest tipus de matria sanomena Codi penal. Cada pas disposa de les seves prpies normes i, per tant, s possible que varin dun pas a un altre. s molt important conixer lessncia de la normativa que afecta ls de les tecnologies, ja que, amb independncia de la nostra voluntat, condiciona ls de les tecnologies, tant des del punt de vista del treballador tcnic, com del de lusuari dun ordinador duna llar qualsevol.

El delicte... ... es defineix com una conducta tpica (tipificada per la llei), antijurdica (contrria a dret), culpable i punible. Implica una conducta infraccional del dret penal, s a dir, una acci o una omissi tipificades i penades per la llei.

Lmits tcnics i legals El lmit de velocitat dun cotxe no s imposat per lmits tcnics, sin per normes legals. De fet, hi ha limitadors per evitar que la tecnologia pugui ultrapassar el lmit fixat per la legislaci.

1.1. El delicte informticEl delicte informtic no apareix explcitament definit en lactual Codi penal (1995), ni en les reformes posteriors (Llei 15/2003) que se nhan fet i, per tant, no es podr parlar de delicte informtic prpiament dit, sin de delictes fets amb lajut de les noves tecnologies, en els quals lordinador susa com a mitj dexecuci del delicte (per exemple, lenviament dun correu electrnic amb amenaces), o b com a objectiu daquesta activitat (per exemple, una intrusi en un sistema informtic). La legislaci del nostre pas encara presenta buits pel que fa als mal anomenats delictes informtics, de manera que tan sols oferirem un seguit de directrius bsiques, ms aviat relacionades amb el sentit com, que no pas amb la normativa complexa que es va generant entorn de laplicaci de les noves tecnologies. El vessant tecnolgic o cientfic dels estudis dinformtica sovint deixa de banda el vessant social de laplicaci dels avenos que es van produint en aquestes disciplines. Consegentment, els usuaris i tcnics dun sistema informtic poden ser molt competents en el seu treball, per s ms que probable que tinguin molts dubtes a lhora dabordar problemes com els segents: Si el meu cap em demana que li mostri el contingut de la bstia de correu personal dun treballador, tinc lobligaci de fer-ho? Puc entrar a la bstia de correu electrnic dun amic? Uns intrusos han modificat la pgina web de lempresa en qu treballo. Aquest fet s denunciable? A qui ho he de denunciar?El Codi penal de 1995... ... es divideix, a grans trets, en un ttol preliminar i tres llibres. Cont 639 articles, els quals recullen totes les conductes susceptibles de ser sancionades pel Codi penal.

Una intrusi consisteix en un accs no autoritzat a un sistema informtic.

El sistema informtic de la feina emmagatzema dades de carcter personal (com, per exemple, el nom, els cognoms, ladrea i el DNI dels treballadors). Cal protegir aquestes dades amb alguna mesura de seguretat determinada? Puc penjar a Internet una pgina web amb les fotografies i logotips del meu grup de msica preferit? Puc descarregar lliurement qualsevol arxiu de msica de la Xarxa? Segurament, cap dels exemples descrits no us representa cap mena de dificultat tcnica. No obstant aix, cal que tingueu molt present que, si b no totes les accions vistes sn constitutives de delicte, totes elles poden tenir conseqncies importants. Aix, doncs, haureu de ser molt conscients que no hi ha una lnia dactuaci nica i que cal ser molt prudent a lhora denfrontar-nos amb aquest tipus de problemes, ja que no tot all que s tcnicament possible s legal, i, sobretot, cal que tingueu en compte que el desconeixement de les normes no exonera de responsabilitat (penal o no) el treballador informtic.

1.2. El Codi penal i les conductes illcites vinculades a la informticaEl nostre Codi penal s especialment sever amb la protecci dels drets fonamentals i les llibertats pbliques, recollits en el ttol I de la Constituci. Aquests drets i llibertats sn inherents a la condici de persona i, per aquest motiu, gaudeixen duna protecci tan especial. Un dels articles de la Constituci ms directament relacionat amb la prctica informtica (tant des del punt de vista tcnic, com del simple usuari), s larticle 18, el qual reconeix el dret a la intimitat. Han de ser objecte de protecci no sols lmbit ntim de lindividu, sin tamb lesfera familiar i domiciliria.Article 18 CE 1. Es garanteix el dret a lhonor, a la intimitat personal i familiar i a la prpia imatge. 2. El domicili s inviolable. No shi pot entrar ni fer-hi cap escorcoll sense el consentiment del titular o sense resoluci judicial, llevat del cas de delicte flagrant. 3. Es garanteix el secret de les comunicacions i, especialment, de les postals, telegrfiques i telefniques, excepte en cas de resoluci judicial. 4. La llei limita ls de la informtica per tal de garantir lhonor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets.

La Constituci (1978) s la norma fonamental de lEstat, superior a la resta de lleis i a qualsevol tipus de norma.

!!Podeu trobar una descripci de lestructura (i la seva divisi en articles) de la Constituci en el Glossari del web.

!!Per tal de consultar la Constituci en catal podeu consultar la secci Adreces dinters del web.

1.2.1. Delictes contra la intimitatUna part molt important dels delictes produts entorn de la informtica subica dins de la tipificaci dels delictes contra la intimitat. Sovint, els au-

tors daquestes conductes no sn conscients de la importncia dels bns protegits per la llei i no sadonen de les conseqncies de les seves accions fins que ja s massa tard. Els delictes contra la intimitat sn recollits en larticle 197.1 de lactual Codi penal (dara endavant, CP). Com a conseqncia de lassimilaci de la intercepci del correu electrnic amb la violaci de la correspondncia, aquest article disposa que les conductes segents sn constitutives de delicte: Lapoderament de papers, cartes, missatges de correu electrnic o qualsevol altre document o efectes personals. La intercepci de les telecomunicacions. La utilitzaci dartificis tcnics descolta, transmissi, gravaci o reproducci de so, o de qualsevol altre senyal de comunicaci. Per ser constitutives de delicte, aquestes activitats shan de produir sense el consentiment de la persona afectada (ni autoritzaci judicial motivada o justificada), i amb la intenci de descobrir-ne els secrets o vulnerar-ne la intimitat. Per tant, obrir la bstia dun correu electrnic que no sigui el nostre propi i llegir els missatges que shi emmagatzemen podria esdevenir una conducta constitutiva de delicte. Cal anar amb molt de compte amb aquest tipus daccions (tcnicament solen ser molt senzilles defectuar, per no per aix sn conductes legals) i, com a norma general, mai no sha de llegir cap correu electrnic que no vagi adreat a nosaltres mateixos (ni tan sols si el nostre cap, dins de lmbit laboral, ens ho demana). En el cas de la intercepci del correu electrnic dins de lmbit empresarial, se sol argumentar que els treballadors no poden fer s dels mitjans de lempresa per a qestions personals. Moltes sentncies shan pronunciat a favor de lempresa perqu sentn que, efectivament, els mitjans pertanyen a lempresa i que, per tant, no s un lloc adient per enviar i rebre missatges de carcter privat. No obstant aix, davant del dubte, cal que sempre tingueu present que els correus electrnics dels treballadors de lempresa gaudeixen de la mateixa protecci legal, pel que fa a la intimitat, que els correus electrnics personals. Una manera til per fer saber als usuaris duna organitzaci quins sn els usos correctes dels mitjans de lempresa, i les seves limitacions, consisteix en ls de contractes en els qual sespecifica, per exemple, quines obligacions i responsabilitats t un usuari dun compte de correu electrnic. Si com a tcnics sens requereix que demostrem ls indegut dalgun mitj electrnic de lorganitzaci, sempre ser preferible usar controls tan poc lesius com sigui possible, com ara el monitoratge o el seguiment del nomActivitats personals Aquestes activitats personals abracen tamb, per exemple, ls dels jocs inclosos per defecte en els sistemes operatius.

bre de bytes transmesos (o rebuts) per un usuari concret (per exemple, si un usuari descarrega arxius de vdeo o canons, el nombre de bytes rebuts ser, probablement, molt ms gran que el que seria si fes un s adequat del correu).

Usurpaci i cessi de dades reservades de carcter personalEls articles 197, 198, 199 i 200 del CP tipifiquen com a conductes delictives laccs, la utilitzaci, la modificaci, la revelaci, la difusi o la cessi de dades reservades de carcter personal que es trobin emmagatzemades en fitxers, suports informtics, electrnics o telemtics, sempre que aquestes conductes les facin persones no autoritzades (conductes anomenades, genricament, abusos informtics sobre dades personals). A ms de la responsabilitat penal en qu poden derivar aquests tipus daccions, tamb cal considerar que les dades personals shan demmagatzemar i declarar segons una normativa especificada en la Llei orgnica de protecci de dades personals (LOPDP). Pel que fa al Codi penal, explcitament es fa esment de lagreujant daquestes conductes quan les dades de lobjecte del delicte sn de carcter personal que revelin ideologia, religi, creences, salut, origen racial o vida sexual. Altres agreujants que cal tenir en compte es produeixen quan la vctima s un menor dedat o incapacitat, o b la persona que comet el delicte s el responsable dels fitxers que hi estan involucrats. Mereix una consideraci especial larticle 199.2, en el qual es castiga la conducta del professional que, incomplint lobligaci de reserva, divulga els secrets duna altra persona.Article 25 CP A lefecte daquest Codi es considera incapa tota persona, se nhagi declarat o no la incapacitaci, que pateixi una malaltia de carcter persistent que li impedeixi governar la seva persona o bns per ella mateixa.

!!Vegeu la LOPDP, i tamb una definici ms acurada de dada personal, en lapartat Marc juridic extrapenal daquesta unitat.

!!Podeu trobar el Codi penal tradut al catal en la secci Adreces dinters del web.

En definitiva, el sentit com ja ens avisa que aquestes accions poden tenir algun tipus de repercussi. El que probablement desconeixem s que sen puguin derivar responsabilitats penals. Aix, com a tcnics i usuaris de sistemes informtics, s molt probable que tinguem accs a dades personals, sobre les quals tenim lobligaci de mantenir el secret i no cedir-les a ning.

La revelaci del secret professional s una conducta que apareix tipificada en larticle 199 del Codi penal.

1.2.2. Delicte de frau informticEn larticle 248.2 CP es castiga la conducta de qui, emprant qualsevol manipulaci informtica, aconsegueixi la transferncia no consentida de qualsevol b, amb nim de lucre i perjudici sobre tercer. Tamb apareixen en el Codi penal les conductes preparatries per a la comissi de delictes de frau informtic, les quals poden consistir, a tall dexemple, en la fabri-

caci, la facilitaci o simplement la mera possessi de programari especfic destinat a la comissi del delicte de frau informtic. Per exemple, lanomenat descaminament (pharming) s una de les tcniques que es podrien englobar dins daquesta tipificaci. Aquesta tcnica permet que un atacant pugui redirigir un nom de domini a una mquina diferent. Aix, doncs, un usuari pot creure que accedeix al seu compte bancari via Internet, quan en realitat el que fa s proporcionar les seves claus daccs a latacant. El desencaminament est molt relacionat amb un altre terme anomenat pesca (phishing). En aquest darrer cas, per, no estarem parlant duna tcnica informtica, sin duna estratgia denginyeria social, en la qual susa la suplantaci de correus electrnics o pgines web per intentar obtenir la informaci confidencial de lusuari. s a dir, a diferncia del desencaminament, molt ms tcnic, en la pesca lusuari creu que introdueix les dades en el portal duna entitat bancria, per en realitat s un portal diferent, amb una adrea diferent de la real. En el cas del desencaminament, lusuari introdueix ladrea real del portal dInternet, per es produeix una redirecci a una mquina diferent. Tot i que la duplicaci o clonaci de les bandes magntiques duna targeta de crdit podria semblar una operaci similar a les anteriors, en realitat pot comportar conseqncies encara ms greus, ja que, segons larticle 387 CP, aquesta acci es pot assimilar a un delicte de falsificaci de moneda.

Lenginyeria social... ... s la prctica dobtenir informaci confidencial mitjanant la manipulaci i lengany dels usuaris legtims (per exemple, amb una trucada telefnica en la qual alg es fa passar per un administrador del sistema, sens demana la nostra contrasenya daccs).

1.2.3. Delicte ds abusiu dequipamentsWi-Fi

Larticle 256 CP castiga ls de qualsevol equipament terminal de telecomunicacions sense el consentiment del titular, sempre que li ocasioni un perjudici superior a 400 euros. Aquesta quantitat va ser establerta per la Llei 15/2003.

Fixeu-vos que laprofitament no consentit duna connexi Wi-Fi es podria incloure dins de larticle 256 CP. Caldria, no obstant aix, acreditar el perjudici econmic que sha pogut produir.

1.2.4. Delicte de danysEls delictes de danys, juntament amb els delictes contra la intimitat i contra la propietat intellectual, sn, amb diferncia, els que succeeixen amb ms freqncia. De manera similar a com passa amb els que sefectuen contra la intimitat de les persones, sovint els autors daquestes accions no sn conscients de les conseqncies que poden comportar els delictes que cometen.

Segons larticle 264 CP el delicte de danys consisteix en la destrucci, lalteraci, la inutilitzaci o qualsevol altra modalitat que impliqui el dany de dades, programari o documents electrnics emmagatzemats en xarxes, suports o sistemes informtics.

Tal com ens podem imaginar, aquest delicte pot tenir repercussions econmiques molt importants en les organitzacions afectades i, en conseqncia, les sancions daquestes accions poden comportar grans sumes de diners per a les persones implicades. Els danys produts en un sistema informtic shan de poder valorar i s essencial adjuntar-ne una valoraci en el moment defectuar la denncia davant dun cos policial. La valoraci dels danys s un procs complex de dur a terme i pot abraar diferents aspectes: cost de restauraci duna pgina web, prdues en conceptes de publicitat no emesa (lucre cessant), o per serveis que no shan pogut prestar, etc. A tall dexemple, lalteraci duna pgina web per una persona no autoritzada s un cas de delicte de danys. Tot i que en alguns casos pugui semblar una acci innocent (i fins i tot engrescadora, dins de lentorn dels pirates), pot comportar prdues de milers deuros. Ca...