Введение
Глава I. Информация и компьютерная информация. Уголовно-правовые запреты в сфере создания и использования компьютерной информации
§1. Термин «информация» в сфере ИКТ. Законодательное определение информации и компьютерной информации
§2. Уголовно-правовые запреты в отечественном законодательстве
§ 3. Уголовно-правовые запреты в зарубежном праве………………………..22
§ 3.1. Конвенция Совета Европы о компьютерных преступлениях……...…..22
§ 3.2. Законодательство Федеративной Республики Германия………………26
§ 3.3. Уголовное законодательство Французской Республики……………….29
§ 3.4. Защита компьютерной информации в США……………………………32
Глава II. Отдельные проблемы квалификации деяний по соответствующим статьям Главы 28 Уголовного кодекса Российской Федерации
§1. Неправомерность доступа к компьютерной информации………………...36
§2. Вредоносность компьютерных программ………………………………….45
§3. Уголовная ответственность за компьютерные атаки
§4. «Фишинг» - компьютерное мошенничество?
Заключение
Перечень использованных источников
Уголовный кодекс Российской Федерации включает в себя главу 28, состоящую из четырёх статей, которые описывают составы преступлений, связанные с посягательствами на сохранность компьютерной информации.
Информация, обрабатываемая с помощью электронно-вычислительной техники, как объект законодательного регулирования в отечественное правовое поле попала сравнительно недавно. Закон Российской Федерации «О правовой охране программ для электронно-вычислительных машин и баз данных» появился в 1992 году, и касался он защиты авторских прав на программы для ЭВМ и баз данных для этих ЭВМ. Статья 20 данного закона предусматривала уголовную ответственность за выпуск под своим именем чужой программы для ЭВМ, однако в качестве объекта уголовно-правовой охраны подразумевалось авторское право на программу для ЭВМ. Уголовно-правовые нормы, направленные на охрану непосредственно информации для ЭВМ, появились только в 1996 году и вступили в силу с 1 января 1997, то есть от появления закона об охране ЭВМ и баз данных до момента, когда они стали объектом уголовно-правовой охраны, прошло почти пять лет.
Сама по себе проблема защиты компьютерной информации появилась, конечно, намного раньше. Например, как писал в 1995 году американский хакер Крис Гогганс, с проблемой компьютерной безопасности он постоянно сталкивался последние 15 лет. «Как хакер, - пишет Гогганс, - я перемещался в компьютерных сетях по всему миру незамеченным, прямо под носом у их администраторов … в 1990 году я оказался объектом федерального расследования компьютерного преступления … когда агенты наконец-то появились в моей квартире, я был поражён, насколько плохо они информированы». Если верить словам самого хакера, получается, что компьютерные преступления получили распространение приблизительно с 80-х годов XX века.
Известен также, например, случай, произошедший в июне 1988 года, когда компьютерный взломщик Кевин Митник через удалённый доступ вторгся в сеть Министерства обороны США . Как отмечает Д. Айков, «вторжение в правительственные компьютеры США является обычным делом, несмотря на постоянное совершенствование средств компьютерной защиты». То есть на тот момент, когда в советском, а потом и российском уголовном законодательстве ещё не появилось уголовно-правового запрета на неправомерный доступ к компьютерной информации, в США такие преступления уже являлись «обычным делом».
Хакерской атаке в конце восьмидесятых подверглась даже компания IBM – одна из крупнейших транснациональных корпораций, занимающихся производством программного обеспечения. В декабре 1987 года западногерманскому программисту удалось внедрить в систему электронной почты IBM так называемого «троянского коня» - специальную вредоносную программу. Когда кто-либо из сотрудников компании вводил на своём рабочем компьютере слово «Christmas», «троян» выводил на экран монитора рождественское поздравление. Если пользователь пытался остановить вывод этого сообщения, он терял доступ к электронной почте и заодно всю несохранённую информацию.
Пожалуй, самым известным случаем хакерской атаки того времени можно назвать взлом домашнего компьютера Цутому Симомуры, ведущего специалиста Суперкомпьютерного центра Сан-Диего, занимавшегося разработкой методов предотвращения проникновения в компьютерные системы. Злоумышленником оказался небезызвестный Кевин Митник, желавший доказать, что его методы «работы» в компьютерных сетях гораздо эффективнее методов Симомуры. Впоследствии Митник был арестован благодаря тому, что его вычислил сам же Симомура.
Конечно, знаменитые случаи неправомерного доступа к компьютерной информации случались и в России, причём ещё до появления такого состава преступления в Уголовном кодексе. Самый известный из них произошёл в 1994 году, когда петербуржец Владимир Левин получил доступ к сети банка «City-bank» и перевёл на различные счета более 10 миллионов долларов США .
Безусловно, на сегодняшний день преступления в сфере компьютерной информации весьма многочисленны в связи с развитием компьютерных технологий и информационно-коммуникационных сетей. В электронных базах данных судебных решений только за последние пять лет содержатся более полутора тысяч приговоров по статьям 272-274.1 УК РФ .Цифра эта, однако, не отражает действительного количества совершаемых компьютерных преступлений ввиду их высокой латентности. Причина такого положения состоит в том, что большинство потерпевших даже не догадывается, что против них было совершено преступное посягательство, а если речь идёт о юридических лицах, то большинство организаций просто стараются разрешить проблему своими силами, чтобы не останавливать свою работу и не ввергать себя в дополнительные расходы .
Таким образом, проблема компьютерных преступлений или «киберпреступности» существует хотя и относительно недавно, но в то же время не нова и сохраняется уже на протяжении более тридцати лет, а с развитием компьютерных технологий приобретает всё новые черты и особенности. Следовательно, актуальность затронутой темы очевидна.
Цель данного исследования заключается в том, чтобы выявить различные проблемы как при формулировании уголовно-правовых запретов в сфере защиты компьютерной информации, так и при применении уже существующих уголовно-правовых норм, направленных на обеспечение нормального функционирования информационных систем и сохранности компьютерной информации, а также обнаружить возможные противоречия в нормативном регулировании.
Для достижения поставленной цели представляется необходимым решить следующие задачи:
- последовательно проследить, каким образом на протяжении последних десятилетий формулировались уголовно-правовые запреты в сфере компьютерной информации в отечественном и зарубежном праве;
- выявить характерные признаки компьютерных преступлений, их отличительные особенности;
- проанализировать конструкции составов компьютерных преступлений;
- изучить судебную практику по вопросам применения уголовно-правовых норм в сфере защиты компьютерной информации.
Научная новизна исследования состоит в критическом анализе норм Главы 28 Уголовного кодекса Российской Федерации и предложении авторского подхода к квалификации преступлений, посягающих на безопасность компьютерной информации, а также предложений по внесению изменений в уголовно-правовые запреты в сфере защиты компьютерной информации в Российской Федерации.
При написании настоящей работы использовались как общенаучные методы исследования (например, анализ, синтез, аналогия и др.), так и частнонаучные (например, метод юридического толкования, метод правового моделирования и т.д.).
Исследованию проблем противодействия киберпреступности, а также проблем квалификации компьютерных преступлений свои научные труды посвятили такие учёные, как А.Г. Волеводз, М.М. Менжега, А.Л. Репецкая, В.Г. Степанов-Егиянц и др.
Появление уголовно-правовых запретов в сфере компьютерной информации в любой стране является адекватным ответом на запрос нового, информационного общества. Момент введения норм об уголовной ответственности за компьютерные преступления, конечно, связан с развитием технологий в государстве. И если в США первый законопроект о защите компьютерной информации был разработан ещё в 1977 году, то в России Закон об охране программ для ЭВМ появился только спустя 15 лет, а прежде чем будут сформулированы уголовно-правовые запреты, пройдёт ещё почти пять лет.
В ходе исследования были проанализированы нормы федерального законодательства о защите информации, статьи Главы 28 Уголовного кодекса Российской Федерации, судебная практика по делам, связанным с посягательствами на безопасность компьютерной информации и информационных систем, а также различные теоретические воззрения по вопросам, связанным с квалификацией таких деяний.
В ходе проведенного исследования были сформулированы следующие теоретические выводы.
1) Для квалификации действий субъекта по соответствующей части статьи 272 Уголовного кодекса Российской Федерации необходимо не только наличие последствий в виде копирования, уничтожения, блокирования или модификации компьютерной информации, но и наличие самого деяния, выражающегося в неправомерном доступе к компьютерной информации. Вместе с тем, ни в законе, ни в доктрине не даётся ответа на вопрос, что следует понимать под неправомерным доступом к компьютерной информации. Данная проблема может быть разрешена путём введения двух критериев правомерности доступа к компьютерной информации: технического и юридического.
Технический критерий заключается в том, что доступ к информации правомерен в силу отсутствия каких-либо ограничений на доступ к информации либо в силу наличия у лица логинов, паролей, электронных ключей и т.д., с помощью которых осуществляется обращение к информации с ограниченным доступом.
Юридический критерий состоит в том, что обращение к компьютерной информации, находящейся в общем доступе, правомерно в любом случае, а доступ к конфиденциальной компьютерной информации (информации с ограниченным доступом) правомерен в силу наличия у лица специальных полномочий на доступ к такой информации.
Таким образом, доступ к компьютерной информации следует считать правомерным при одновременном соблюдении обоих критериев правомерности. В случае, когда хотя бы один из критериев не соблюдается, доступ к компьютерной информации должен признаваться неправомерным.
2) Статья 273 Уголовного кодекса Российской Федерации предусматривает ответственность за создание вредоносных компьютерных программ, однако законодателем не определено, в какой момент вредоносное программное обеспечение следует считать созданным. Представляется, что для вменения субъекту статьи 273 УК РФ необходимы:
а) субъективный признак осознания лицом предназначения программы (то есть того, для чего создана программа);
б) объективный признак создания этой программы в пригодном для применения виде, что выражается в наличии программного кода в бинарном (двоичном) формате и пользовательского интерфейса, с помощью которого возможно управление программой.
3) Исходя из формального толкования норм статьи 273 УК РФ, любое создание или использование вредоносных компьютерных программ является уголовно наказуемым. Вместе с тем, создание или использование вредоносного программного обеспечения в целях разработки программ-«антивирусов», образовательных или иных личных целях, не связанных с последующим посягательством на безопасность компьютерной информации, не могут считаться преступлениями, ввиду отсутствия обязательного признака общественной опасности. Общественная опасность данного деяния проявляется лишь тогда, когда вредоносная компьютерная программа используется по её назначению, то есть с целью посягательства на безопасность компьютерной информации.
В связи с этим, следует определить использование вредоносных компьютерных программ как применение их по назначению с целью достижения преступного результата в виде уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
4) Диспозиция статьи 273 УК РФ предусматривает ответственность за распространение вредоносных компьютерных программ. Вместе с тем, норма данной статьи не согласуется с нормами Федерального закона «Об информации, информационных технологиях и защите информации», согласно которым передача вредоносного программного обеспечения другим лицам может осуществляться не только посредством распространения, но и посредством предоставления, то есть передачи доступа определённому лицу или кругу лиц. Соответственно, предоставление вредоносных компьютерных программ также должно быть криминализовано с распространением таких программ.
5) На уровне уголовного закона никак не урегулировано совершение компьютерных атак, в частности, DoS и DDoS-атак, несмотря на очевидную общественную опасность этого деяния. Как показало исследование, квалификация DDoS-атак по статьям 272 и 273 Уголовного кодекса РФ невозможна, поскольку при осуществлении атак такого рода неправомерного доступа к информации, размещённой на атакуемом ресурсе, не происходит. Также использование вредоносного программного обеспечения само по себе не приводит к блокированию информации и нарушению функционирования информационной системы, и более того, не наносит вреда устройствам, вовлечённым в бот-сеть. Соответственно, квалификация деяния по данным статьям будет неверной, а значит, необходимо введение нового уголовно-правового запрета, предусматривающего ответственность за компьютерные атаки, повлекшие нарушение функционирования компьютерной информационной системы.
Кроме того, исследование теории, нормативной базы и судебной практики позволило сформулировать ряд выводов практического характера.
1) Необходимо внести изменения в статью 273 Уголовного кодекса Российской Федерации, изложив диспозицию части 1 в следующей редакции:
«Предоставление, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, а равно создание таких компьютерных программ или иной компьютерной информации с целью последующих предоставления, распространения или использования»;
2) Следует дополнить Главу 28 Уголовного кодекса Российской Федерации статьёй 274.2, предусматривающей ответственность за компьютерные атаки. Сформулировать диспозицию статьи следующим образом:
«Компьютерная атака, то есть неправомерное воздействие на вычислительную или информационную систему с помощью программных или программно-аппаратных средств, направленное на нарушение её функционирования, повлекшее лишение пользователей возможности получения доступа к запрашиваемому электронному ресурсу».
1. Конвенция Совета Европы о компьютерных преступлениях от 23.11.2001. СЕД - № 185. [Электронный ресурс]. URL: https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680081580
2. Соглашение о сотрудничестве государств – участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации // СПС «Консультант Плюс»
Нормативные правовые акты
1. Гражданский кодекс Российской Федерации (часть 1) от 30.11.1994 № 51-ФЗ (в редакции от 29.12.2017) // СПС «Консультант Плюс»
2. Закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.1992 №3521-1 (в редакциях от 23.09.1992 и от 02.02.2006) // СПС «Консультант Плюс»
3. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (в редакциях от 13.06.1996, от 07.12.2011, от 23.04.2018 и с изменениями от 25.04.2018) // СПС «Консультант Плюс»
4. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ // СПС «Консультант Плюс»
5. Федеральный закон «Об информации, информатизации и защите информации» от 25.01.1995 №24-ФЗ (в редакции от 10.01.2003) // СПС «Консорциум Кодекс»
6. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 №149-ФЗ (в редакциях от 27.07.2006 и от 24.04.2018) // СПС «Консультант Плюс»
7. Федеральный закон «О внесении изменений в Уголовный кодекс Российской Федерации» от 23.04.2018 № 111-ФЗ // СПС «Консультант Плюс»
8. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» (утверждён Приказом Ростехрегулирования от 27.12.2006 № 373-ст) // СПС «Консультант Плюс»
Зарубежные нормативные правовые акты
1. Federal Criminal Code and Rules. Title 18 (Свод законов Соединённых Штатов Америки. Раздел 18) [Электронный ресурс]. URL: https://www.law.cornell.edu/uscode/text/18
2. Уголовный кодекс Федеративной Республики Германия [Электронный ресурс]. URL: http://constitutions.ru/?p=5854
3. Уголовный кодекс Французской Республики [Электронный ресурс]. URL: http://constitutions.ru/?p=5859
Судебная практика
1. Постановление Пленума Верховного Суда Российской Федерации «О судебной практике по делам о мошенничестве, присвоении и растрате» от 30.11.2017 № 48 // СПС «Консультант Плюс»
2. Приговор Волжского городского суда Волгоградской области по делу № 1-1105/2016 от 17.11.2016 // База судебных актов«СудАкт»: http://sudact.ru/
3. Приговор Ленинского районного суда Краснодара по делу № 1-282/2017 от 11.05.2017// // База судебных актов«СудАкт»: http://sudact.ru/
4. Приговор Мглинского районного суда Брянской области по делу № 1-19/2012 от 21.05.2012 // База судебных актов«СудАкт»: http://sudact.ru/
5. Приговор Саянского городского суда Иркутской области по делу №1-14/2014 от 21.01.2014 // База судебных актов«СудАкт»: http://sudact.ru/
6. Приговор Хорошевского районного суда г. Москвы по делу № 1-587/2014 от 01.12.2014 // База судебных актов«СудАкт»: http://sudact.ru/
7. Приговор Шпаковского районного суда Ставропольского края по делу № 1-333/2013 от 17.10.2013 // База судебных актов«СудАкт»: http://sudact.ru/
Книги, монографии, учебные пособия
1. Айков, Д. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями: Пер. с англ. / Д. Айков, К. Сейгер, У. Фонсторх. – М.: Мир, 1999.
2. Винер, Н. Кибернетика и общество / Н. Винер. – М.: Издательство иностранной литературы, 1958.
3. Волеводз, А.Г. Противодействие компьютерным преступлениям. Правовые основы международного сотрудничества / А.Г. Волеводз. – М.: Юрлитинформ, 2002.
4. Глушков, В.М. Кибернетика. Вопросы теории и практики / В.М. Глушков. – М.: Наука, 1986.
5. Каспаров, А.А. Создание, использование и распространение вредоносных программ для ЭВМ: уголовно-правовые аспекты / А.А. Каспаров. – М., 2003.
6. Лебедев, В.М. Комментарий к Уголовному кодексу РФ / В.М. Лебедев, В.А. Давыдов; отв. ред. В. М. Лебедев. – 13-е изд., – М.: Юрайт, 2013.
7. Менжега, М.М. Методика расследования создания и использования вредоносных программ для ЭВМ / М.М. Менжега – М.: Юрлитинформ, 2009.
8. Мирошниченко, Е.А. Технологии программирования: учебное пособие / Е.А. Мирошниченко. – 2-е изд., испр. и доп. – Томск.: Изд-во Томского политехнического университета, 2008.
9. Степанов-Егиянц, В.Г. Ответственность за преступления против компьютерной информации по уголовному законодательству Российской Федерации / В.Г. Степанов-Егиянц // СПС «Консультант Плюс».
Статьи
1. Волков, Ю.В. Происхождение термина «информация». [Электронный ресурс] / Ю.В. Волков. URL:http://www.russianlaw.net/files/law/doc/a326.pdf
2. Громов, Е.В. Развитие уголовного законодательства о преступлениях в сфере компьютерной информации в зарубежных странах / Е.В. Громов // Вестник ТГПУ. – 2006. – Выпуск 11. – С.30-35.
3. Зверев, Г. Н. О термине «информация» и месте теоретической информатики в структуре современной науки / Г.Н. Зверев // Открытое образование. – 2010. – №2. – С. 48-62.
4. Коликов, Н.Л. Причины и условия профессиональной компьютерной преступности / Н.Л. Коликов // Вестник ЮУрГУ. – 2011. – № 19. – С. 30-33.
5. Репецкая, А.Л., Родивилин, И.П. Незаконное ограничение доступа к компьютерной информации в сети Интернет: уголовно-правовой аспект / А.Л. Репецкая, И.П. Родивилин // Библиотека уголовного права и криминологии. 2016. С. 79-84.
6. Родивилин, И.П., Шаевич, А.А. Уголовно-правовое противодействие незаконному ограничению доступа к компьютерной информации в сети Интернет // Криминалистические чтения на Байкале – 2015 (мат. Международной научно-практической конференции) / ФГБОУВО «Российский государственный университет правосудия», Восточно-Сибирский филиал; отв. ред. Д. А. Степаненко. 2015. С. 275-278.
7. Шелухин, О.И., Симонян, А.Г., Иванов, Ю.А. Особенности DDoS атак в беспроводных сетях / О.И.Шелухин // Технологии информационного общества. № 11. 2012. С. 67-71.
8. Hartley, R. V. L. Transmission of information // Bell System Technical Journal. 1928. V. 7, pp 535-563.
Прочие документы и ресурсы
1. 7 базовых правил защиты от фишинга. [Электронный ресурс]. URL: https://habr.com/post/344066/
2. 10 самых громких хакерских атак в истории Интернета. [Электронный ресурс].URL:https://republic.ru/future/10_samykh_gromkikh_khakerskikh_atak_v_istorii_interneta-1139636.xhtml
3. Левин, Владимир Леонидович. [Электронный ресурс]. URL: https://ru.wikipedia.org/wiki/%D0%9B%D0%B5%D0%B2%D0%B8%D0%BD,_%D0%92%D0%BB%D0%B0%D0%B4%D0%B8%D0%BC%D0%B8%D1%80_%D0%9B%D0%B5%D0%BE%D0%BD%D0%B8%D0%B4%D0%BE%D0%B2%D0%B8%D1%87
4. Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации. [Электронный ресурс]. URL: http://genproc.gov.ru/documents/nauka/execution/document-104550/
5. Письмо Банка России от 30.01.2009 № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга» // СПС «Консультант Плюс»
6. Положение о правах и обязанностях Facebook. [Электронный ресурс].URL: https://www.facebook.com/legal/terms
7. Правила пользования сайтом ВКонтакте. [Электронный ресурс].URL: https://vk.com/terms
8. Условия использования Instagram. [Электронный ресурс]. URL: https://help.instagram.com/478745558852511