计算机犯罪:一个技术缺陷
作者:詹姆士A范根
译者:李兴安
文章来源于《比较与应用刑事司法国际杂志》第15卷第二期。
导论
当今社会,计算机成为普遍采用的机器。计算机犯罪问题也无处不再,危害严重,蔓延迅速。同计算罪作斗争困难重重。由于犯罪手段高超,情节复杂,追诉往往难以进行。执法官员通常缺乏调查高技术性的计算机犯罪所必需的训练。甚至立法对技术的发展也望尘莫及。由于许多人认为计算机犯处于比普通罪犯高级的阶层,所以对计算机犯罪的控制陷入困境。甚而有人把计算机犯罪尊为与机器或者大公司对抗的民间英雄。
鉴于上述问题,有必要对保护个人计算机、数据和网络的法律以及控制计算机犯罪的国际或者国内立法做出评价。由于信息网络的日渐扩大和计算机的国际性利用,在对计算机犯罪进行调查方面的诸多问题都具有国际性。本文将探讨计算机犯罪的三个方面的问题:一是数据安全与完整,二是对国家安全的威胁,三是软件版权的保护。
数据安全
历史上,政府机构和公司都非常关注紧密数据的安全,颁布了公司专利数据的立法;近几年,制定了财产权利法,规定追溯盗窃与有形财产不同的数据和秘密的人。计算机主机、个人计算机和计算机网络的涌现,为数据安全与完整带来了崭新的课题。
就保障机密数据的安全与完整而言,强制力往往是存取控制的前提。在个人计算机普及以前,数据保存在档案柜、档案库或者“计算机房”内,以机械锁和保安员加以包围。个人计算机硬盘存储技术和联网性能的出现,是的在一台个人计算机上可以对许许多多的数据库进行访问,并可存储大量数据。这种个人计算机几乎没有免受未经授权的访问的机械性安全装置。这种情况的产生,可能是因为个人计算机最初采用时,数量很少,懂得如何使用的人也很少。数据安全时内在的,即使有人访问了个人计算机,他也不能断定如何做出有害的事情。过去,这种内在保护运作正常,而现在它已经不再安全。比如1989年美国一所中西部的县监狱里,一位囚犯获取了犯人登记计算机的访问方法,篡改了他的释放时间,差一点越狱成功。一项调查披露,该监狱的计算机没有口令保护这样的安全措施以保护系统免受无权侵入,因为他们认为囚犯不会这么聪明灵巧,及时取得了访问方法,也不懂如何操作。显然这个假设是错误的。
假设内在安全措施已经足以防范的人不限于刑事司法人员,还有信息服务部门的管理人员和其他负责管理和保护个人计算计算机数据的人员,他们实行的许多安全程序也是不够的。主要原因有三个方面:一是管理人员没有明确为下属提供一个安全的操作环境;二是管理人员和操作人员都缺乏知识和训练;三是没有设立协调或者控制的中心办公室,以保卫安装在团体内的设备和数据。
安全政策和程序基本上可以分为对危险的事前对策和事后对策。事前对策和程序是努力在实际破坏发生前阻止损害、丢失或者泄露数据的行动,包括建立对数据进行口令保护,以避免未经授权的访问。
事后政策和程序是在发生破坏安全的事件时,该团体采取的行动。这是实际发生了紧急情况或者丢失了数据或者设备。事后对策包括通过调查决定犯罪人和找回设备、追诉犯罪人的程序,或者在事件迫在眉睫时的应急程序。事前安全政策和程序的价值在于防止损失和减少危险。事后措施的作用也不可低估。正是这种用以认定和追诉犯罪人的程序的存在,可以防止某些人重步后尘。事后政策和程序可以为损害控制指挥员提供行动方案。损害控制指挥员可以在发生破坏安全的重要事件时,为团体或者个人提出专门的行动纲领。政策和程序必须成为超前的计划、证明和准备,以减少损失,扭转整个灾难。如果一个团体没有设计和正确遵循后援程序,就不能恢复丢失的数据。
但是最大的危险不是松弛的安全程序,而是管理人员和下属人员缺乏对所面临着的危险的预见。正如弗罗里达州奥兰多质量保险机构的总经理威廉E佩利在谈到软件安全问题时说:“我觉得大多数信息服务中心的管理人员们认为他们干得很好,可是他们干得并不好。我常常把他们比作嗜酒者互戒协会;只有当你知道自己是饮酒过度的人的时候,你才去。你肯定说:‘我有问题了’。”
许多管理人员和团体都不承认个人计算机安全上存在问题,因为他们认为“对个人计算机的保护太麻烦、太混乱、也太昂贵了”。同样地,执法机关和检察人员往往也否认在逮捕和追诉计算机犯方面存在问题。与其他白领犯罪一样,计算机犯罪在刑事司法系统中排列到很低的次序,做出的对策很少。
数据安全遇到的意外危险
必须承认,并不是所有的数据丢失事故都是由犯罪意图造成的。有些数据的丢失和安全缺陷纯属偶然。这是因为环境中的人们对数据安全形成有害的作用参数。对数据造成的危险,有的归因于无知、依赖性或者疏忽大意。比如许多个人计算机安装在有喷水系统的办公环境的桌面上。在办公环境中发生的许多偶然防水事件,会对个人计算机和数据造成不必要的巨大损失,因为没有让职员意识到应该采取保护性行动以减少放会造成的损失。甚至虽然职员意识到必须采取行动,但是如果该团体没有提供备用的塑料外罩,他也会无计可施。许多个人计算机有冷却扇,吸入空气,并将它经过计算机CPU和电力供应的各个部件进行循环以冷却它们。当人们在计算机附近的某个地方吸烟或者使用发胶时,含有烟或者发胶的空气就会吸入计算机的CPU并造成损害。落在软盘上磁性表面上的发胶可以破坏软盘,破坏软盘上的数据,也可能在软盘插入计算机时破坏软盘驱动器的读写头。
管理人员监督使用计算机的职员,必须掌握有关各种环境危险的知识,并轮流培训他们的职员。对数据安全造成的一些威胁,是普通行为的结果。这种行为平常是无害的,但是在使用计算机的环境下应当纠正。例如,用来在金属桌面上固定便条的磁铁,可以破坏软盘上的数据。在软盘附近6至8英寸内的强永久磁铁,会引起数据无可挽回的丢失。转运软盘数据的职员,如果把软盘放在汽车的仪表板上或者贮藏柜内,由于那里温度可以超过150摄氏度,可能破坏数据。溅到计算机键盘上的咖啡或者饮料,可能对计算机或者软盘造成几百或者几千美元的损失。上述问题最好由公司自行解决而不是由立法或者执法机关来解决。在纠正这些行为时,管理人员必须记住人们的心理。因为这是普通行为,所以管理人员往往必须积极塑造其职员的行为,直到达到了服从禁止这些行为的规则的预期目标。
计算机犯罪造成的危险
一个屡见不鲜而又潜滋暗长的代价高昂的危险,是与具有犯罪意图的行为联系在一起的。由于这些原因而造成的损失难以精确地计算出来,但是对1,000个团体的调查发现,1985年由计算机犯罪造成的可核实的损失估计在1.45亿美元至7.5亿美元之间。计算机犯罪的增长率在显著提高。1986年由国家司法研究院进行的调查显示,所调查的75%的警察局长和63%的行政执法长官说计算机犯罪调查可能对他们未来的工作压力产生重要影响
。在居民达50万以上的司法区比例更高,84%的警察局长和75%的行政执法长官持相同观点。
[1][2][3]下一页
来源:网络整理 免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。
