Interviu oferit publicației „Romanian Legal Awards” de către Gabriel Albu, Managing Partner și Daniel Morar, Senior Partner Albu Morar
„Din păcate, organele de urmărire penală nu dețin, la acest moment, suficiente resurse tehnice și umane, cât ar fi necesare în soluționarea infracțiunilor cibernetice din ce în ce mai sofisticate. Deficitul de personal supra-specializat, capabil să gestioneze cazuri complexe de infracționalitate cibernetică și să combată acest fenomen, este probabil cea mai semnificativă problemă în acest context”.
Adaptabilitatea infractorilor la sistemele noi de plată a constituit, din păcate, o necesitate pentru aceștia. În contextul unei creșteri de 469% a atacurilor cibernetice, cum evaluați capacitatea actuală a organelor de urmărire penală de a combate eficient criminalitatea informatică și ce îmbunătățiri propuneți? Cum credeți că CRA (Actul European privind Reziliența Cibernetică) va contribui la reducerea riscului și a impactului acestor atacuri asupra companiilor mici și mijlocii?
Din păcate, organele de urmărire penală nu dețin, la acest moment, suficiente resurse tehnice și umane, cât ar fi necesare în soluționarea infracțiunilor cibernetice din ce în ce mai sofisticate, iar aici mă refer atât la faza de identificare a făptuitorilor, cât și la etapa de tragere a acestora la răspundere. Deficitul de personal supra-specializat, capabil să gestioneze cazuri complexe de infracționalitate cibernetică și să combată acest fenomen, este probabil cea mai semnificativă problemă în acest context. De aceea, ajutorul provenit atât din partea companiilor de profil, experților, cât și din partea noastră, a avocaților specializați, este de cele mai multe ori, nu doar binevenit, ci chiar indispensabil.
Am reușit să ajutăm cu succes organele competente, pentru atingerea unor rezultate cât mai bune, propunându-ne să fim un liant între clienți, companii afectate de atacuri cibernetice, și autorități. Ne-am aflat mereu în prima linie a acestui fenomen, gestionând spețe complexe de criminalitate informatică, alături de o echipă multidisciplinară formată, în primul rând, din specialiști tehnici în securitate cibernetică. Expunerea la foarte multe astfel de spețe, coroborat cu creșterea fără precedent a incidenței acestora, și deci a nevoii de gestionare, este motivul pentru care am decis să lansăm prima divizie juridică dedicată E-crimes din România, ca parte a practicii noastre de drept penal al afacerilor.
Referitor la Actul European privind Reziliența Cibernetică, care a intrat în vigoare la începutul anului, consider că este o inițiativă binevenită, pentru că va permite consumatorilor și companiilor mici și mijlocii să folosească dispozitive securizate corespunzător, cu programe de antivirus actualizate, care vor fi, probabil, greu de accesat de hackeri. Asta nu va dispensa, însă, pe nimeni, de la a fi în continuare vigilenți, prin update-uri continue, tehnice, de training și de proceduri de prevenție.
La nivel european, gradul de conștientizare pe această temă este încă destul de scăzut atât în rândul populației, cât și al companiilor, ceea ce ne face vulnerabili în fața atacurilor cibernetice. La nivelul UE, se fac eforturi consistente în direcția prevenirii și combaterii E-crimes, iar una dintre măsurile care se înscriu în această misiune este faptul că pe piața europeană se vor comercializa doar produse digitale care oferă garanții solide în materie de securitate cibernetică.
Ce măsuri preventive pot lua companiile pentru a minimiza riscurile asociate cu infracțiunile cibernetice și cum poate divizia E-Crimes să sprijine aceste inițiative?
Nu mai e doar o recomandare, o chestiune opțională, ci o necesitate! Companiile trebuie să implementeze politici și proceduri împotriva atacurilor de securitate cibernetică și să le actualizeze constant, precum și să le comunice angajaților prin training-uri regulate. De asemenea, trebuie să testeze regulat că sunt pregătite să acționeze în cazul unui astfel de incident de securitatea informatică, atât din perspectivă tehnică, cât și juridică.
E important să comunice în permanență cu angajații, să organizeze training-uri pe teme de securitate cibernetică, pentru ca ei să poată identifica posibile atacuri din fază incipientă și să le raporteze, primordial, departamentului de IT. Desigur, echipele trebuie să dețină cunoștințe și despre gradul de confidențialitate a informațiilor pe care le pot transmite altor departamente din companie, canalele sigure prin care pot face acest lucru și informațiile la care au acces.
De asemenea, companiile trebuie să le ofere angajaților dispozitive securizate, laptopuri și telefoane mobile, pe care să le folosească fie la birou, fie când muncesc de acasă, să le pună la dispoziție o rețea virtuală privată pentru o conexiune securizată criptată, un router sigur, să-și seteze un set de parole greu de descifrat, pe care să le schimbe constant.
Echipa noastră de E-Crimes oferă companiilor consultanță în privința identificării tuturor soluțiilor tehnice de preîntâmpinare a unor astfel de riscuri sau diminuare a consecințelor în cazul unor eventuale atacuri cibernetice. Oferim, de asemenea, know-how-ul nostru, dobândit printr-o cazuistică foarte vastă, în realizarea de proceduri tip “Incident Action Plan (IAP)”, care să stabilească clar pași, resposabilități și timing de acțiune, atunci când au loc incidente de securitate cibernetică, plan ce vizează atât aspect tehnice / IT, cât și latura strict juridică a chestiunii.
Frauda este la un click distanță. Cum îi sfătuiți pe clienții dumneavostră să adopte o conduită preventivă atunci când interacționează cu spațiul virtual? Care credeți că sunt cele mai mari red flags la care ar trebui să fim atenți atunci când navigăm pe internet?
Ne petrecem majoritatea timpului în mediul digital, de la cumpărături online, la conversații pe rețelele de socializare. Activitatea de business are multiple fațete de utilizare a unor diverse aplicații IT, de la banalul e-mail, la platformele de comunicare audio/video, aplicațiile de online banking, programele de contabilitate și multe altele. Hackerii, evident că și-au adaptat metodele de atac la noul context digital. Atacul poate veni de oriunde: prin accesarea unui e-mail sau unui fișier infectat, prin scanarea unui cod QR.
Cele mai bune măsuri de combatere a fraudelor online pe care le putem lua este să nu accesăm link-urile din e-mailuri ori SMS-uri pentru care nu există un demers anterior de generare, să verificăm în detaliu conținutul e-mailului sau paginii web – greșelile de scriere, greșelile în adresa de e-mail reprezintă semnale de alarmă. Un truc util în depistarea unui posibil atac infracțional prin intermediul e-mailului ar fi să nu dea reply la acel mesaj, ci să folosească funcția „forward”, urmată de introducerea manuală a adresei de e-mail aparținând persoanei cu care corespondează.
În privința plăților online, este recomandat să obținem o confirmare prealabilă anterior efectuării plății ori introducerii datelor bancare și/sau personale prin folosirea datelor de contact din corespondența anterioară.
În încheiere, ca red flags în spațiul virtual, aș menționa greșelile de scriere din corpul e-mail-ului sau adresei de e-mail; SMS-uri dubioase primite de la numere din străinătate; solicitarea unor informații confidențiale pentru efectuarea plăților cum ar fi PIN-ul cardului sau CNP-ul persoanelor.
Cu o practică impecabilă, recunoscută și de către directoarele internaționale, Albu Morar continuă să exceleze în domeniul white collar crime. Cum poate echipa Albu Morar, specializată în criminalitate informatică, să contribuie la reducerea timpului de rezolvare a cazurilor și la îmbunătățirea rezultatelor pentru clienți?
Mulțumim pentru apreciere. Ne străduim permanent să o merităm.
În primul rând, dezvoltăm și prezentăm cele mai bune metode de prevenție, prin raportare la specificul activității unei companii. Apoi, atunci când au loc incidente, transpunem într-o formă cât mai simplă modul, de regulă complex, în care a fost săvârșită infracțiunea, pentru ca toți actorii implicați să înțeleagă fenomenul, iar asta ne ajută și în consultanța de prevenție, arătând clienților cum pot evita pe viitor astfel de atacuri.
Colaborăm cu toate organele de urmărire penală, precum și cu autoritățile administrative competente, cum ar fi Directoratul Național de Securitate Cibernetică, identificăm, în cel mai scurt timp, pașii ce trebuie urmați pentru conservarea probelor și limitarea prejudiciului și ne asigurăm că sunt administrate toate probele necesare pentru maximizarea șanselor de identificare a făptuitorilor și de recuperare a prejudiciului.
Recent, hackerii au deblocat un portofel bitcoin cu o valoare de peste 3 milioane de dolari, portofel nedeblocat de proprietar din cauza lipsei parolei. Banii au fost blocați timp de 11 ani. Cum poate fi abordată din punct de vedere legal situația în care hackerii au deblocat un portofel Bitcoin și au transferat fondurile fără consimțământul proprietarului original? Care sunt argumentele juridice pentru menținerea dreptului de proprietate asupra fondurilor în cazul în care accesul la un portofel Bitcoin a fost pierdut pentru o perioadă extinsă de timp?
În acest caz, vorbim, colocvial, despre două infracțiuni: hacking-ul, accesul neautorizat la un sistem informatic, inclusiv un portofel digital, și furtul, transferul fondurilor fără consimțământul proprietarului. Ambele fapte sunt pedepsite conform legilor penale. Este esențial să determinăm jurisdicția, deoarece legislația poate varia în funcție de țară. Fapta poate fi investigată și pedepsită în țara unde s-a produs infracțiunea, unde s-au produs urmările sau unde se află victima.
Chiar dacă proprietarul a pierdut accesul la portofelul Bitcoin pentru o perioadă extinsă de timp, există argumente juridice pentru a susține dreptul de proprietate asupra fondurilor. În primul rând, dreptul de proprietate asupra criptomonedelor este similar cu dreptul de proprietate asupra altor active. Proprietarul inițial al portofelului are un drept legal asupra fondurilor, indiferent de perioada de timp în care accesul a fost pierdut.
Înregistrările tranzacțiilor din blockchain pot fi utilizate pentru a demonstra dreptul de proprietate al unei anumite persoane asupra fondurilor.
În multe jurisdicții, furtul și alte infracțiuni similare nu se prescriu după perioade scurte de timp. În funcție de legislația aplicabilă, proprietarul poate avea încă dreptul să solicite restituirea fondurilor și sancționarea hackerilor. Mai mult, poate avea dreptul la compensații pentru pierderile suferite, poate cere în instanță daune morale sau materiale.