從法律層面看WannaCry類惡意軟體的因應之道
前言
本週最重大的資安事件新聞,應該就是勒贖軟體WanaDecrypt0r 2.0了(本文就以「勒贖軟體」一詞來統稱這一類的木馬程式)。以下就是本文參考的幾篇文章及報導:
在看過以上的新聞報導之後,可以知道勒贖軟體實際上已經發展了一段時間,而且已經從一開始的「技術展示」,發展到與資金流(比特幣)結合的層次。
再者,以往的病毒或是木馬軟體是透過社交工程的方式,被動的等待使用者點擊惡意網址而植入木馬,現在這波勒贖軟體則是利用系統漏洞主動出擊,已經是防不勝防了;因此,本次受災的範圍已經不只拘限在個人,而是專找「具經濟效益」的企業級電腦用戶。
除了技術面,還有法律面
但是這幾年間這麼常見的勒贖軟體資安事件,都只停留在口耳相傳、街坊傳聞,最多就是發展到新聞報導、引用外電的層次;更進一步的進展,就是開始採購以及安裝防毒軟體、買外接硬碟勤做備份等自保的處理方式。
再者,由上述的媒體報導可以得知,大多數的電腦用戶第一個反應是:「要怎麼防駭?中了勒贖軟體要怎麼解鎖?」,而不是:「我在法律上權益是否受損?有沒有機會抓到駭客並繩之以法?」。
況且,在電腦、手機日益普及,FinTech發展日新又新,這類的「災情」恐怕只會漸漸的「平民化」。所以筆者個人認為,除了上述媒體報導的日常自保程序外,一般電腦使用者以及MIS、IT人員如果能夠瞭解一下現行的法律規定,就會知道自身在法律上有何權利應該要維護;在以後遇到這類資案事件時,除了事後防毒防駭勤備份之外,第一時間應該要怎麼處理,才能進行後續法律權益保障的程序。
就我國現行法令,對於這一類駭客攻擊的「擄檔勒贖」事件,是有相關的處罰規定。就先讓我們看看現行的刑法中對於妨害電腦使用的規定有哪些。
第358條
無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處3年以下有期徒刑、拘役或科或併科10萬元以下罰金。
第359條
無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處5年以下有期徒刑、拘役或科或併科20萬元以下罰金。
第360條
無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處3年以下有期徒刑、拘役或科或併科10萬元以下罰金。
第361條
對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。
第362條
製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處5年以下有期徒刑、拘役或科或併科20萬元以下罰金。
第363條
第358條至第360條之罪,須告訴乃論。
不同的違法層次
上述的法律規定,筆者嘗試以白話來做「分解動作說明」:第一階段,如果駭客用了你不知道的方法獲取了你的帳號密碼,或是利用電腦系統的漏洞(例如,這次的勒贖軟體利用了Windows系統port445的漏洞),在沒有正當理由的情況下、以你不知道的方式,或是以你的帳號密碼進入了你的電腦系統,不必再有額外多餘的動作,就可能違反了上述第358條的規定。
第二階段,在進入電腦系統後,更進一步的複製了你電腦內的檔案(無論檔案的內容型態)到其他地方(隨身碟、燒錄光碟、甚至是網路傳輸等)、或刪掉了你的電腦檔案,甚至是修改掉檔案的內容(即便是改了1個位元都算是變更),更惡劣的就是上述的加密勒贖,都屬於違反上述第359條的規定。
而第360條規定,則是用來處罰像是分散式封包阻斷攻擊(DDoS)的駭客;第361條規定,是加重處罰妨害公務機關使用電腦的行為,而第362條則是規範處罰製作病毒程式、勒贖軟體等惡意電腦程式的人。
而上述各種妨害電腦使用的處罰規定,除了侵害公務機關的駭客行為外,都必須有告訴人或被害人提出告訴,檢警調機關才會進行調查,這就是上述法條第363條的規定;換句話說,如果你的電腦、或是公司的電腦確定被駭客入侵並加密檔案,進而要求匯款解密,但是你或是公司不提出告訴,司法機關是根本無法啟動調查程序的。
上面所講的駭客這種將檔案加密勒贖的行為,已經非常可能構成了我國上述刑法「妨害電腦使用罪」章的各相關法律規定,如果情節夠嚴重,是要抓起來關到生蝨母的。
告?不告?這是個問題
所以拙見以為,新聞媒體經常報導、甚至建議的「從備份系統還原」等程序,也是一般MIS或是IT人員最常有的直覺反應;雖然這樣可以讓電腦儘速恢復工作,但基本上也是在幫駭客滅證。
因此,遇到被駭客加密勒贖時,如果只打算摸摸鼻子認輸,那就算了,不必刻意「保全證據」;但如果考慮採取法律行動,第一時間最重要的作法,應該是把遭駭的硬碟取出以便保全證據,另外換上新的硬碟做系統復原復工後,拿著被駭的硬碟去提告,以便啟動國家機器幫你調查。
有人說「被告不明」的話是要怎麼抓,但你如果提告,至少讓國家機器有機會去抓真實的駭客。如前面所述,侵入私人的電腦做壞事屬於「告訴乃論」罪;如果沒人提告,國家機器是不會啟動的。
因此,即便最後查到的結果是因為沒有管轄權以致於沒辦法處罰,那至少也會在最後結案的公文書中交代調查過程,讓你知道駭客是從哪裡冒出來的,而這樣或許可以讓你更精確的避免掉下次的駭客攻擊。