Преступления в сфере компьютерной информации
Авторы: Проскурин Егор Викторович, студент юридического факультета ИМПЭ имени А.С.Грибоедова.
egorproskurin@mail.ru
Литвинцев Александр Григорьевич, студент юридического факультета МГИМО Университет МИД России.
Примерно 15 лет назад мировое сообщество столкнулось с новым витком эволюции - персональным компьютером. С тех пор он сильно эволюционировал: сменились поколения технических и программных составляющих ПК. Получили масштабное развитие компьютерные сети и самая известная из них - Интернет. Все это способствовало перемещению многих областей жизни в виртуальное пространство. А именно все то, что раньше могло содержаться на бумаге, а также фото, видео и аудио носителях стремительно преобразуется в цифровой код. Если ранее люди для отправки письма шли на почту, то теперь это можно совершить, сделав несколько нажатий кнопки мыши. Документооборот и делопроизводство постепенно перемещается в исключительно виртуальное пространство и теперь всего лишь некоторые объекты человеческой деятельности сохраняют архаичный бумажный вид - как правило, это документы, закрепляющие договорные отношения и документы, подтверждающие личность человека, но уже сейчас с развитием ЭЦП (Электронно-цифровой подписи) и электронных удостоверений личности наблюдается тенденция к “глобальному переезду” в мир цифровых технологий. Абсолютное большинство коммерческих и некоммерческих организаций обзавелись собственными компьютерами и сетями на их основе. Некоторые корпоративные сети насчитывают до 50000 компьютеров (серверы, терминалы и т.д.) в 60 странах мира. Та информация, которая ранее хранилась в офисах огромными складами бумаги теперь может уместиться в устройство размером 14 на 10 сантиметров.
Но от этого стремления некоторых людей получить доступ к этой и другой информации не изменились - они лишь перешли на другой уровень, уровень электронно-вычислительных машин и сетей на их основе. Уже давно известные понятия уголовному праву, такие как: кража, мошенничество, разбой, умышленное причинение вреда или уничтожение имущества могут быть отнесены и к преступлениям совершенным в сфере компьютерной информации, но лишь с одним исключением, что практически вся объективная сторона происходит на уровне электронно-вычислительных систем. Совершение преступлений в сфере компьютерной информации упрощается в связи с тем, что абсолютное большинство простых пользователей не имеют ни малейшего представления о компьютерной безопасности и такие слова, например, как: брандмауэр или фаерволл ничего для них не значат. Абсолютное большинство людей совершенно не знают, как обеспечить безопасность своего домашнего ПК или ПК на работе. А иногда даже сами способствуют снижению защищенности своего компьютера. Часто это связано с тем, что люди загружают из Интернета программы сомнительно происхождения (хотя это крайне редко сопровождается заражением вирусом или получением доступа к компьютеру). Гораздо чаще люди посещают сомнительные сайты (с порнографией или просто множеством призывных надписей типа: халява, бесплатно скачать, много денег и т.д.), некоторые сайты специально создаются с использованием вредоносного кода для получения доступа к компьютеру пользователя или внедрения вредоносных программ (иногда это сопровождается получением доступа и ко всей сети, в которой зарегистрирован данный компьютер, например сети предприятия).
Итак, теперь рассмотрим тех, кто пытается получить доступ к чужой информации. Существует множество классификаций, я составил собственную классификацию на основе
материалов,[1] с которыми был знаком. Классификация может, как совпадать, так и не совпадать с мнениями других авторов.
Как правило, преступниками являются лица с неоконченным математическим образованием либо самоучки, достигшие определенных успехов в познании устройства и функционирования ПК и сетей, а именно устройства ОС, программных средств управления и администрирования. Как правило, основной задачей является изучения стеков сетевых протоколов для понимания взаимодействия компьютеров по сети. Большинство таких лиц знают несколько языков программирования (основы чтения чужих кодов программ и основы написания). Далее необходимо классифицировать лиц, которые пытаются получить доступ к чужой информации. Я выделяю
1) Хакеры (Hackers)
2) Крэкеры (Crackers)
3) Кардеры (Carders)
4) Фишеры (Fishers)
5) Спамеры (Spammers)
6) Мошенники, не имеющие понятия о принципах устройства и функционирования компьютера, но имеющие в силу своего служебного положения доступ к информации.
Начнем со сравнения хакеров и крэкеров. Две эти группы являются основными и основная масса деяний, направленных на получение неправомерного доступа к информации, совершается представителями этих групп. Основное различие между ними это, как правило, наличие корыстного умысла.
Так Хакеры, совершая деяния, не направленные на получения материальной выгоды, стремятся таким образом проверить собственные способности в области информационных технологий, опробовать новые знания, заработать уважение среди им подобных, часто преследуются исключительно научные цели. Такие деяния обычно направлены на получение несанкционированного доступа к сети или отдельному компьютеру, либо на обнаружение “дыр” в работе операционных систем, либо программ, работающих под их управлением для последующего получения доступа к информации через них. Не редко результаты такой деятельности публикуются в Интернете, и как раз уже эта информация часто используется Крэкерами. Юридическая практика показывает, что эти деяния караются по статье 272 УКРФ.
Крэкеры это лица, которые получают доступ к чужой компьютерной информации для получения материальной выгоды (совершенно исключают научный интерес), например, похищение паролей доступа в Интернет, “красивых” номеров Интернет пейджеров, адресов электронной почты и просто конфиденциальной информации для последующего сбыта. Нередко услугами Крэкеров могут пользоваться заинтересованные третьи лица, например, для получения информации о планах конкурентов или выяснения сведений о регистрации ТС. Эти деяния караются по статье 272 УКРФ.
Под Кардерами понимается отдельная группа компьютерных мошенников, которая занимается похищением номеров кредитных карт с последующим получением доступа к счетам лиц, чьи номера и коды карт были похищены. Этой группой используются различные методы, от элементарного подсматривания кода карты с последующей кражей самой карты, до кражи номеров из памяти ПК, создания подставных банкоматов и Интернет магазинов. Эти деяния, как правило, караются по совокупности статьями 159 и 272 УКРФ.
Тесно связана с группой Кардеров группа Фишеров, которая занимается созданием подставных сайтов Интернет, например создание копии страницы банка, заходя на который владелец карты, желающий проверить свой счет, вводит конфиденциальные данные, которые впоследствии используются злоумышленниками. Эти деяния как правило караются либо по статье 159 УКРФ, либо по их совокупности.
Спамеры занимаются массовой рассылкой ненужных (рекламных, вредоносных и т.д.) сообщений по сети (почта, Интернет пейджеры). Как правило, действуют в интересах третьих лиц за материальное вознаграждение. Для ведения своей деятельности используют так называемые “бот-сети” или ”зомби-сети”, для которых в компьютеры внедряется вредоносная программа (Троян) и без ведома пользователя осуществляет рассылку писем или используется для организации DOS атак (про нее будет упомянуто далее). Пока не уголовно наказуемое деяние.
Отдельного упоминания стоит организация DOS атак (атака отказа в обслуживании). Эта атака так же, как правило, проводится с помощью использования “бот-сетей” и приводит к временному выхода из строя сервера (серверов). Основными целями являются серверы расположения Интернет страниц либо серверы шлюза выхода компаний в Интернет.
Также необходимо упомянуть и тех людей (не разбирающихся в информационных технологиях), которые в силу стечения обстоятельств получили доступ к конфиденциальной информации, которая может быть интересна третьим лицам. Такие люди могут за материальное вознаграждение элементарно скопировать или повредить определенную информацию и представляют наибольшую угрозу для организаций, так как крайне мало методов надежной защиты от внутренних угроз проистекающих от лиц, которые наделены правами просмотра или изменения информации, например, в силу служебных обязанностей. Квалифицируются данные деяния по статье 273 УКРФ.
Я осознанно не упомянул про создание вредоносных программ (статья 274 УКРФ), т.к. я практически включаю это понятие в понятие получения незаконного доступа к компьютерной информации. Если посмотреть последние сводки вирусописания, например статистику с сайта kaspersky.ru можно увидеть практически полное отсутствие программ, направленных на уничтожение данных или повреждение, а в основном сейчас господствуют вирусы (Трояны, черви, вредоносные коды, прописанные в кодах Интернет страниц http/
Сегодня уже вряд ли кто-либо станет отрицать факты противоправного использования глобального информационного пространства. В сети Интернет содержится много порнографической информации, немало клеветнических сведений и оскорблений, существует информация, способствующая разжиганию национальной розни. Имеют место факты использования Интернета для получения несанкционированного доступа к информации, составляющей различные виды тайны: личной, коммерческой, государственной. Кроме того, информация, размещаемая на интернет-сайтах, в ряде случаев создает потенциальную или действительную угрозу национальной безопасности государств. Широкое распространение получила детская порнография. Успешное существование и увеличение объемов детской порнографии в сети многим обязано оплате таких услуг посредством кредитных карт (причем в этом случае указывается подробная информация о карте и её владельце) и использованию списков адресов электронной почты для подкачки изображений. Поскольку Интернет становится более доступным, "порно-клубы" получают все большую "популярность", то действия правоохранителей должны быть, в первую очередь, направлены на отслеживание и «снятие» информации именно в этой области преступной деятельности. Ввиду того, что кредитно-финансовые учреждения непосредственно связаны с такого рода правонарушениями, следует установить контроль, как гласный (в соответствии с различного рода соглашениями о предоставлении информации), так и оперативный. Таким образом, использование кредитной карты для оплаты услуг детского порно в Интернете существенно увеличит риск преступников стать замеченными и соответственно привлеченными к ответственности.
То есть Интернет, как среда размещения информации, может быть неправомерно использован. Многие из возможных деяний, таких как, клевета, распространение ложных сведений о чем-либо, а также продажа детского порно, незаконная реклама, нелицензионная продажа мультимедийной продукции (аудио, видео, программы, игры), предоставление незаконных услуг (сбор информации о лицах, проституция, реклама своих услуг по хакингу, кардингу и т.д.) имеют составы в главах уголовного кодекса и не только главе 28, посвященной преступлениям в сфере компьютерной информации. Например статья 242 УКРФ “Незаконное распространение порнографических материалов или предметов. Но наличие статьи вовсе не означает, что она будет всегда и правильно применяться, так как методы доказывания совершения преступлений на уровне ЭВМ совершенно не развиты. Все это способствует развитию преступности и за пределами Интернета, так как обычно сопровождается или предваряется реальными действиями (создание порно, предоставление проститутки, распространение материалов исключительной собственности третьих лиц).
Среди представителей “Интернет-сообщества” является весьма распространенной точка зрения о невозможности, и даже ненужности какого-либо государственного вмешательства в отношения, возникающие в связи с использованием Интернет. С их точки зрения, Интернет – уникальная информационная среда межличностного общения, имеющая наднациональный характер; Интернет не принадлежит какому-либо государству, организации либо физическому лицу; доступ к ресурсам Интернет является частным правом и не может быть ограничен путем установления государством каких-либо административных барьеров, которые бы в той или иной мере препятствовали его свободному использованию; Интернет – полностью саморегулируемая информационная среда, пользователи которой самостоятельно определяют правила поведения при ее использовании.
[2]
Но эта позиция, на мой взгляд, является не правильной и противоречащей здравому смыслу. Например, людей с неустойчивой психикой стоит оградить от сайтов с материалами террористической или иной насильственной пропагандой. Сейчас в Интернете можно найти материалы и инструкции для любого вида деятельности - например, инструкция по созданию ядерного или химического оружия массового поражения в домашних условиях и так далее. Любой специалист скажет, что всегда чрезвычайно сложно найти владельца того или иного Интернет ресурса, но любой ресурс всегда находится либо на чьем-то сервере, либо пользуется услугами Интернет провайдера, а установить, чей сервер или кто предоставляет доступ в Интернет не составляет труда. Поэтому, на мой взгляд, является целесообразным ввести ответственность провайдера или хостера за информацию, размещению которой в Интернете они содействуют технически. Да, провайдер может сказать, что он не обязан проверять какая информация идет через него или какие сайты расположены на его серверах, но эту обязанность надо установить, а также ответственность за неисполнении, если это повлекло размещение ресурсов с незаконными материалами. Лично, конечно, хозяева серверов и провайдеры ничего не нарушали и ответственность по уголовному законодательству имеет личный характер, но можно привлекать директоров хостинга и провайдеров как пособников. Хорошим решением, на мой взгляд, будет создание специального закона или кодекса, предметом регулирования которого будет исключительно Интернет. Данный кодекс или закон должен представлять из себя смесь гражданского, административного и, возможно, уголовного отраслей права. Примерно половину норм можно было бы сделать бланкетными, в связи с тем, что уже многие вопросы и проблемы урегулированы гражданским законодательством и необходимо указать лишь возможность применения в сфере Интернета. Тогда остается лишь дописать необходимые административные нормы. Также глобализация и международная унификация уголовного права в сфере компьютерной информации должны способствовать борьбе с компьютерной преступностью и злоупотреблением использования сети Интернет. Данные меры позволят сделать из Интернета не свалку отходов информационного производства, но конгломерат источников надежной информации и технически безопасной среды обмена данных.
Далее следует рассмотреть законодательное закрепление видов преступлений в уголовном законодательстве Российской Федерации. В Уголовном Кодексе РФ содержится всего три статьи, а именно: статья 272 Неправомерный доступ к компьютерной информации, 273 Создание, использование и распространение вредоносных программ для ЭВМ и статья 274 Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной
информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, —
наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет (в ред. Федерального закона от 08.12.03 № 162-ФЗ).
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к
ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет (в ред. Федерального закона от 08.12.03 № 162-ФЗ).
1. Объективную сторону данного преступления составляет неправомерный доступ к охраняемой законом компьютерной информации, который всегда носит характер совершения определенных действий и может выражаться в проникновении в компьютерную систему путем:
—использования специальных технических или программных средств, позволяющих преодолеть установленные системы защиты;
—незаконного использования действующих паролей или кодов для проникновения в компьютер, либо совершении иных действий в целях проникновения в систему или сеть под видом законного пользователя;
—хищения носителей информации, при условии, что были приняты меры их охраны, если это деяние повлекло уничтожение или блокирование информации.
Неправомерным признается доступ к компьютерной информации лица, не обладающего правами на получение и работу с данной информацией либо компьютерной системой. Причем в отношении этой информации либо системы должны приниматься специальные меры защиты, ограничивающие круг лиц, имеющих к ней доступ.
Под охраняемой законом информацией понимается информация, для которой в специальных законах установлен специальный режим ее правовой защиты, например — государственная, служебная и коммерческая тайна, персональные данные и т.д.
Состав данного преступления носит материальный характер и предполагает обязательное наступление одного из следующих последствий:
- уничтожение информации — приведение ее полностью либо в существенной части в непригодное для использования по назначению состояние;
- блокирование информации — обеспечение недоступности к ней, невозможности ее использования в результате запрещения дальнейшего выполнения последовательности команд либо выключения из работы какого-либо устройства, а равно выключения реакции какого-либо устройства ЭВМ, системы или сети ЭВМ при сохранении самой информации;
- модификация информации — внесение изменений в программы, базы данных, текстовую информацию, находящуюся на материальном носителе;
- копирование информации — перенос информации на другой материальный носитель, при сохранении неизмененной первоначальной информации;
- нарушение работы ЭВМ, системы ЭВМ или их сети, что может выразиться как в нарушении работы отдельных программ, баз данных, выдаче искаженной информации, так и в нештатном, т.е. не предусмотренном специальными инструкциями либо правилами, функционировании программно-аппаратных средств и периферийных устройств либо нарушении нормального функционирования сети.
Важным является установление причинной связи между несанкционированным доступом и наступлением последствий.
При этом следует учитывать, что неправомерный доступ может осуществляться к одной компьютерной информации, а вредоносные последствия наступать в отношении другой.
При функционировании сложных компьютерных систем возможны уничтожение, блокирование и нарушение работы ЭВМ в результате технических неисправностей или ошибок в программных средствах. В этом случае лицо, совершившее неправомерный доступ к компьютерной информации, не подлежит ответственности из-за отсутствия причинной связи между действиями и наступившими последствиями.
Данное преступление считается оконченным в момент наступления предусмотренных в комментируемой статье последствий.
2. Субъективная сторона данного преступления характеризуется только прямым умыслом. В случае если в результате неправомерного доступа к системе ЭВМ, управляющей процессами, связанными с повышенной опасностью, например системе управления атомной станцией, в результате уничтожения, блокирования, модифицирования информации была нарушена работа реактора, что привело к тяжким последствиям, даже если наступление этих последствий не охватывалось умыслом лица, уголовная ответственность за такие последствия наступает в случае, если лицо предвидело возможность их наступления, но без достаточных к тому оснований самонадеянно рассчитывало на их предотвращение, или в случае, если лицо не предвидело, но должно было и могло предвидеть возможность наступления этих последствий. В целом такое преступление признается совершенным умышленно.
По общему правилу субъектом преступления, предусмотренного комментируемой статьей, может быть лицо, достигшее 16-летнего возраста, однако ч. 2 этой статьи предусматривает наличие специального субъекта, совершившего данное преступление с использованием своего служебного положения, а равно имеющего доступ к ЭВМ, системе ЭВМ или их сети. Под доступом в данном случае понимается фактическая возможность использовать ЭВМ при отсутствии права на работу с защищенной информацией. Например, инженер по ремонту компьютерной техники имеет доступ к ЭВМ в силу своих служебных обязанностей, но вносить какие-либо изменения в информацию, находящуюся в памяти ЭВМ, не имеет права.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев (в ред. Федерального закона от 08.12.03 JVs 162-ФЗ).
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от трех до семи лет.
1. Под вредоносными программами в смысле комментируемой статьи понимаются программы, специально созданные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены, что определено в документации на программу.
В настоящее время самыми распространенными являются программы, предназначенные для сбора информации, и программы для несанкционированного доступа к ЭВМ либо другим программам.
«Компьютерные вирусы» — это программы, которые умеют воспроизводить себя в нескольких экземплярах, модифицировать (изменять) программу, к которой они присоединились и тем самым нарушать ее нормальное функционирование.
«Логические бомбы» — это умышленное изменение кода программы, частично или полностью выводящее из строя программу либо систему ЭВМ при определенных заранее условиях, например наступлении определенного времени.
Принципиальное отличие «логических бом» от «компьютерных вирусов» состоит в том, что они изначально являются частью программы и не переходят в другие программы, а «компьютерные вирусы» являются динамичными программами и могут распространяться даже по компьютерным сетям.
2. Объективную сторону данного преступления составляет факт создания программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами.
Под использованием программы понимается выпуск в свет, воспроизведение, распространение и иные действия по их введению в оборот. Использование может осуществляться путем записи программы в память ЭВМ, на материальный носитель, распространение по сетям либо путем иной передачи другим лицам.
Данный состав является формальным и не требует наступления каких-либо последствий, уголовная ответственность возникает уже в результате создания программы, независимо от того, использовалась эта программа или нет. По смыслу комментируемой статьи наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности. Однако следует учитывать, что в ряде случаев использование подобных программ не будет являться уголовно наказуемым. Это относится к деятельности организаций, осуществляющих разработку антивирусных программ и имеющих лицензию на деятельность по защите информации, выданную Государственной технической комиссией при Президенте РФ.
Формой совершения данного преступления может быть только действие, выраженное в виде создания вредоносных программ для ЭВМ, внесения изменений в уже существующие программы, а равно использование либо распространение таких программ. Распространение машинных носителей с такими программами полностью покрывается понятием «использование».
3. С субъективной стороны преступление, предусмотренное
ч. 1 комментируемой статьи, может быть совершено только с прямым умыслом, так как в этой статье определено, что создание вредоносных программ заведомо для создателя программы должно привести к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ.
Использование или распространение вредоносных программ тоже может осуществляться только умышленно, так как в соответствии с ч. 2 ст. 24 УК деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части УК.
4. Часть 2 комментируемой статьи в отличие от ч. 1 в качестве квалифицирующего признака предусматривает наступление тяжких последствий по неосторожности. Разработка вредоносных программ доступна только квалифицированным программистам, которые в силу своей профессиональной подготовки должны предвидеть возможные последствия использования этих программ.
В случае если установлен прямой умысел, охватывающий и наступление тяжких последствий, квалификация данного преступления должна основываться на цели, которая стояла перед виновным. В этом случае создание программы либо внесение изменений в программу будут являться только способов, совершения преступления и должна применяться ч. 2 ст. 17 УК.
5. Субъектом данного преступления может быть любой гражданин, достигший 16 лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет.
1. Компьютерные системы в настоящее время все больше влияют на нашу жизнь и выход из строя ЭВМ, систем ЭВМ или их сети может привести к катастрофическим последствиям, по
этому законодателем установлена уголовная ответственность за нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети. Данная норма является бланкетной и отсылает к конкретным нормативным актам, а также инструкциям и правилам, устанавливающим порядок работы с ЭВМ в ведомстве или организации.
Эти правила должны устанавливаться управомоченным лицом, в противном случае каждый работающий с компьютером будет устанавливать свои правила эксплуатации.
2. Применительно к комментируемой статье под правилами эксплуатации глобальных сетей типа Интернет понимаются нормативные акты, регламентирующие работу данной сети, в частности, Федеральный закон от 07.07.03 № 126-ФЗ «О связи», регламентирующий порядок создания и подключения к сети, или Закон РФ от 23.09.92 № 3520-1 «О товарных знаках, знаках обслуживания и наименованиях мест происхождения товаров» (в ред. от11.12.02), определяющий правила присвоения доменных имен.
3. Под охраняемой законом информацией понимается информация, для которой в специальных законах установлен специальный режим ее правовой защиты, например государственная, служебная, коммерческая и банковская тайны, персональные данные и т.д.
4. Объективная сторона данного преступления состоит в нарушении правил эксплуатации ЭВМ, повлекшем уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ при условии, что в результате этих действий был причинен существенный вред.
Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь и полностью доказано, что наступившие последствия являются результатом нарушения правил эксплуатации, а не программной ошибкой либо действиями, предусмотренными в ст. 272, 273 УК.
Понятие существенного вреда определяется самим потерпевшим и оценивается судом с учетом не только материального, но и морального ущерба, ущерба деловой репутации, вынужденных финансовых потерь и затрат на восстановление рабочего состояния ЭВМ, систем ЭВМ и их сети.
5. Субъективную сторону ч. 1 комментируемой статьи характеризует наличие умысла, направленного на нарушение правил эксплуатации ЭВМ. В случае наступления тяжких последствий ответственность по данной статье наступает только в случае неосторожных действий.
Умышленное нарушение правил эксплуатации ЭВМ, систем ЭВМ и их сети влечет уголовную ответственность в соответствии с наступившими последствиями, и нарушение правил эксплуатации в данном случае становится способом совершения преступления.
Действия специалиста больницы, поставившего полученную по сетям программу без предварительной проверки (что говорит о преступной неосторожности) на наличие в ней компьютерного вируса, что привело к отказу работы систем жизнеобеспечения реанимационного отделения, повлекшему смерть больного, должны квалифицироваться по ч. 2 комментируемой статьи. Подобные действия, совершенные умышленно, должны квалифицироваться как покушение на убийство.
6. Субъект данного преступления — специальный, это лицо, в силу должностных обязанностей имеющее доступ к ЭВМ, системе ЭВМ и их сети и обязанное соблюдать установленные для них правила эксплуатации.
[3]
Исходя из особой опасности компьютерной преступности и угрожающих тенденций ее отрицательного влияния на мировое сообщество, в рамках ООН регулярно проводится работа, целью которой является поиск адекватных путей противодействия этому виду преступлений. Во многих развитых странах для борьбы с преступными действиями, связанными с противоправным использованием компьютерной техники, уже имеется современная правовая база.
Так, например, в США федеральный «компьютерный» закон действует уже с 1984 года, в Дании - с июля 1985 года, в Канаде - с декабря 1985 года, в Португалии - с 1982 года. Соответствующие нормы уголовного права в Германии приняты с августа 1986 года. Ведутся работы по усовершенствованию национального законодательства для борьбы с компьютерными преступлениями и в других странах мира.
С целью унификации национальных законодательств 13 сентября 1989 года на заседании Комитета министров Европейского Совета был выработан список правонарушений, рекомендованный странам-участницам ЕС для разработки единой уголовной стратегии при разработке законодательства, связанного с компьютерными преступлениями. Он содержит так называемые Минимальный и Необязательный списки правонарушений.
[4]
1. Минимальный список:
- компьютерное мошенничество;
- компьютерный подлог;
- повреждение компьютерной информации и компьютерных программ;
- компьютерный саботаж;
- несанкционированный доступ к компьютерным сетям;
- несанкционированный перехват информации;
- несанкционированное копирование защищенных компьютерных программ;
- незаконное изготовление топографических копий.
2. Необязательный список:
- изменение информации или компьютерных программ;
- компьютерный шпионаж;
- противозаконное применение компьютера;
- несанкционированное применение защищенных компьютерных программ.
Законодательство Германии сформировано как раз с учетом указанных рекомендаций и состоит из нескольких условно выделенных блоков:
1) Экономическое уголовное законодательство: противоправные компьютерные манипуляции; компьютерный саботаж; компьютерный шпионаж; несанкционированный доступ к компьютерным системам или сетям.
2) Законодательство об охране прав интеллектуальной собственности: противозаконное использование работ, которые защищены авторским правом; незаконное изготовление топографии микроэлектронных полупроводников.
3) Законодательство о защите государственной информации: регулирует степень ответственности за преступления, которые связаны с противозаконным разглашением защищенной государственной информации.
4) Процессуальное законодательство: регламентирует состав преступлений, связанных с противоправным вмешательством в компьютерные системы в связи с проведением процессуальных действий.
Коротко рассмотрим статьи Уголовного кодекса Германии, Закона об авторском праве и некоторых других законов, которые отвечают «Минимальному списку нарушений».
«Компьютерное мошенничество» (Ст. 263а УК).
Состав статьи предусматривает уголовную ответственность за попытку влияния или влияние на обработку данных путем:
- намеренного проектирования программы, которая отрицательно влияет на обработку данных;
- применения неправильных или незавершенных данных;
- несанкционированного применения данных;
- другого несанкционированного вмешательства в перемещения данных.
Нарушения могут вестись путем внедрения, изъятия программы, а также с использованием аппаратных средств.
Состав этой статьи определяет, как цель, интерес к чужой собственности с целью получения преимуществ для себя или другой стороны.
«Подделка используемых данных» (Ст. 269 УК).
Данный состав статьи предусматривает наступление ответственности за попытку изменения данных или непосредственное использование измененных данных, то есть замещение данных таким способом, при котором будет получаться неправильный результат при каждом дальнейшем использовании этих данных. «Используемые данные», согласно этой статьи, включают только такие, которые предполагается применять в официальных научных работах с целью доказательства любого факта, который относится к делу. При этом возможно использование только таких данных, которые на протяжении работы сохранялись с помощью электронных средств, магнитной записи или другим, не часто используемым способом (например, с помощью оптических средств).
«Обман в официальных научных работах в совокупности с обработкой данных» (ст. 270 УК).
Согласно этой статьи, уголовная ответственность наступает за попытку или осуществление действий, которые мешают обработке данных в официальных научных работах. «Обман в официальных научных работах» считается эквивалентом «несанкционированного вмешательства в процесс обработки информации». Метод ошибочного вмешательства - несоответствующий.
«Замена данных» (ст. 303а УК).
Состав статьи предусматривает ответственность за попытку или незаконное изъятие, блокирование, стирание, изменение данных. «Данные», определенные законом, – это такие данные, которые сохраняются или передаются с помощью электронных средств, магнитной записи, или другим часто используемым способом. «Данные» в допустимом значении содержат в себе и программы.
Указанные в статье действия наказываются лишением свободы сроком до двух лет. Преследование в судебном порядке по этой статье возможно только после поступления заявления от пострадавшей стороны. Заявление должно быть сделано на протяжении трех месяцев после того, как пострадавшей стороне был нанесенный убыток, который был зафиксирован в заявлении. Если возникает «индивидуальный общественный интерес» в преследовании нарушения, то обвиняемая сторона может самостоятельно осуществлять расследование, поскольку для этого появляются причины даже без поступления заявления от пострадавшей стороны. Заявление необходимо, чтобы расследовать факты, которые уже произошли. «Общественный интерес» появляется, если нарушение серьезно мешает интересам мирового сообщества и при этом наносится серьезный материальный или моральный вред.
«Компьютерный саботаж» (ст. 303b УК).
Уголовная ответственность по этой статье наступает за попытку или задержку обработки данных, направленную против «другого предприятия», «другого дела» или государственной власти при совершении нарушения, предусмотренного ст.303 об: уничтожении, повреждении, стирании, изъятии данных, изменении системы обработки данных или носителя данных. Статьей защищаются не только данные, но и аппаратные средства, а также программное обеспечение, необходимое для их обработки. «Другое предприятие» и «другое дело» относятся к объектам, которые не являются собственностью правонарушителя. Состав статьи распространяется на срыв обработки данных «жизненной важности» для предприятия, или дела государственной власти, если они включают информацию, необходимую для функционирования предприятия в целом.
«Информационный шпионаж» (Ст. 202а УК).
Соответственно этой статье уголовная ответственность наступает за похищение данных, не предназначенных для правонарушителя и защищенных от несанкционированного доступа. Действия правонарушителя осуществляются при этом без разрешения стороны, которая является фактическим хозяином данных. Потерпевшая сторона должна поддерживать соответствующий режим сохранения информации при обеспечении определенного уровня защиты не только уже обработанных данных, но и данных, которые находятся в процессе обработки или передачи.
Судебное преследование может наступить только при поступлении заявления от потерпевшей стороны или вследствие возникновения «общественного интереса», содержание которого раскрывается в комментариях к ст.303а УК Германии.
Те же действия, осуществленные повторно для получения прибыли, образовывают самостоятельный состав преступления по ст.108а Закона Германии “Об авторском праве”.
“Незаконная эксплуатация компьютерной информации, осуществленная повторно для получения прибыли” (ст.108а Закона Германии “Об авторском праве”).
Ответственность по этой статье наступает за осуществление или попытку осуществления повторного нарушения, предусмотренного ст.106 Закона Германии “Об авторском праве”, с целью получения еще большей прибыли, нежели та, которая была получена ранее. При этом повторные действия лица осуществляются с целью увеличения прибыли. Увеличение размера прибыли возможно только при неоднократном осуществлении указанного нарушения. Преследование в судебном порядке по данной статье возможно только при поступлении заявления от потерпевшей стороны или вследствие возникновения «общественного интереса».
Из всего сказанного четко прослеживается линия дифференциации крупных составов преступлений, на более мелкие, но в тоже время лучше сформулированные и более удобные в использовании. Это, на мой взгляд, позволяет более точно определять квалификацию деяния. В этом случае, сравнивая Российское законодательство с Германским, становится заметна сильная концентрация в Российском всевозможных составов, особенно в статье 272 УК. И напрашивается метафора с ситом, в котором ячейки настолько велики, что просеивают и нужное. Если совместить в одну статью все составы главы 21 УК, то получится аналог статьи 272, только в сфере преступлений против физической собственности.
Поэтому я считаю, что для успешного применения Российского Уголовного законодательства в отношении преступников в сфере компьютерной информации необходимо разбить статьи 272, 273, 274 УКРФ на более мелкие и конкретизированные составы, а также добавить другие специализированные составы: спам, организация “Бот-сетей” и так далее. Подобные меры позволят судьям (присяжным) не вникать глубоко в технические подробности содеянного деяния для адекватного назначения наказания, а более оперативно использовать готовые статьи, в которых вместо всех преступлений сразу говорится только о конкретном преступлении с соответствующим наказанием. Наглядной ситуацией можно представить случай, когда злоумышленник проникает в главный сервер сети и заражает вирусом, а также уничтожает и изменяет некоторую информацию. Далее сомнительно то, что суд будет рассматривать, с какой целью это деяние было совершено, так как этого уже достаточно для осуждения по статьям 272 и 273. А теперь представим цель, которую мог преследовать злоумышленник:
1) Получение свободного доступа в Интернет. Злоумышленник добавил новую учетную запись с неограниченным доступом в Интернет, а также удалил следы своих действий и для надежности оставил вирус.
2) Злоумышленник изменил настройки выходного шлюза и маршрутизаторов для снятия ограничений на передачу определенных типов данных. Занес вирус, который, размножившись в данной среде, должен превратить ее в “бот-сеть”.
Объекты и объективная сторона в обоих действиях одинаковы - следовательно, и наказание должно быть примерно равно, но второе деяние наносит гораздо больший вред, как для хозяев сети, так и для Интернета в целом, так как является, по сути, подготовкой для других преступлений (Спам, плацдарм для организации DoS атак и т.д.). Следовательно, второе действие должно наказываться более строго, но это не всегда очевидно неспециалистам, а порой возможность сиюминутной наживы (получение незаконного доступа в Интернет) может показаться более тяжким преступлением. Вот, например такие данные приводит Ирина Ена:
• 76% сотрудников органов внутренних дел ни разу не сталкивались и обнаружением, изъятием компьютерной информации;
• 62% считают, что не могут процессуально правильно оформить обнаружение и изъятие компьютерной информации;
• 34% не имеют представления о том, какая именно информация может быть использована в качестве доказательства при расследовании компьютерных преступлений
[5]
И на последок привожу данные статистики, по данным Главного информационного центра МВД России, в прошлом году таких правонарушений было совершено 13723, что почти в два раза больше по сравнению с 2003 годом – 7053.
Всего:
13723 компьютерных преступлений.
Из них:
1. Неправомерный доступ к компьютерной информации (ст. 272 УК РФ) –
8002.
2. Создание, использование и распространение вредоносных программ для ЭВМ или машинных носителей с такими программами (ст. 273 УК РФ) –
1079.
3. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ) –
11.
4. Нарушение авторских и смежных прав (ст. 146 УК РФ) –
528.
Общий размер причиненного материального ущерба составил 232 млн. 432 тысячи 782 рубля.
Для возмещения ущерба потерпевшим в ходе следствия был наложен арест на имущество подозреваемых (обвиняемых) на общую сумму 179 млн. 395 тысяч 592 рубля.
5. Мошенничество (ст. 159 УК РФ) –
371.
6. Причинение имущественного ущерба путем обмана или злоупотребления доверием (ст. 165 УК РФ) –
2892.
7. Незаконное предпринимательство (ст. 171 УК РФ) –
5.
8. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст. 183 УК РФ) –
480.
9. Изготовление или сбыт поддельных кредитных либо расчетных карт (ст. 187 УК РФ) –
1616.
Общий размер причиненного материального ущерба составил 22 млн. 939 тысяч рублей.
Для возмещения ущерба потерпевшим в ходе следствия был наложен арест на имущество подозреваемых (обвиняемых) на общую сумму 32 млн. 521 тысяча рублей.
10. Незаконное распространение порнографических материалов или предметов (ст. 242 УК РФ) –
335.
11. Изготовление и оборот материалов или предметов с порнографическими изображениями
несовершеннолетних (ст. 242-1 УК РФ) –
13.
[6]
Проведя данный анализ отечественного и заграничного уголовного права, а, также затронув реальное положение дел, следует отметить, что российское уголовное право, в сфере компьютерной информации требует огромной доработки и развития. Разумеется, понятно, что в 1996
[7] году в России компьютеры были не так распространены и законодатель просто не мог предвидеть, что компьютерная преступность получит такой толчок в развитии, но закон не может оставаться в статическом состоянии и необходимо развитие уголовного права и его доктрин. Европейское право также не идеально, но в ряде стран, как уже упоминалось, приняты специальные законы, которые дополняют и уточняют уголовные кодексы и вводят новые составы преступлений. В России же из-за невозможности такого способа совершенствования Уголовного права возможно лишь изменение и дополнение статей самого Уголовного кодекса. Но, беря во внимание, какими темпами принимаются поправки и дополнения к другим кодексам становится не понятно, почему законодатель так усердно игнорирует столь устаревшую главу уголовного кодекса РФ и не может, хотя бы, привести в соответствие с западными образцами. Вероятно решение этой проблемы, а также проблемы поимки и осуждения преступников придет со следующим поколением следователей, прокуроров, адвокатов, депутатов, которые уже будут более технически подкованы в сфере информационных технологий.
1) Федеральный закон от 16.02.1995 № 15-ФЗ “О связи”
2) Федеральный закон от 20.02.1995 № 24-ФЗ “Об информации, информатизации и защите связи”
3) Уголовный кодекс Российской Федерации от 13.6.1996
4) Уголовный кодекс ФРГ / Пер. с нем. – М.: Издательство “Зерцало”, 2000
5) Комментарии к УКРФ В.М. Лебедев Юрайт-Издат 2004
7) Федеральный закон РФ от 10.01ю2002 года № 1-ФЗ “Об электронной цифровой подписи”
8) Доктрина Информационной безопасности Российской Федерации (Российская газета, 28 сентября 2000г №187)
"
Предупреждение автора: Эту статью запрещено копировать с сайта ЮрКлуба и размещать на других сайтах."
[3] Частично комментарии к УКРФ В.М. Лебедев Юрайт-Издат 2004.
+Отчет о преступлениях, совершенных в сфере телекоммуникаций и компьютерной информации. Раздел 01. Сведения о преступлениях, совершенных в сфере телекоммуникаций и компьютерной информации (извлечение).
[7] УК РФ принят Государственной думой 24 мая 1996 года,
Одобрен Советом федерации 5 июня 1996 года,
Вступил в действие с 1 января 1997 года.