Амелин Р.В.Актуальные проблемы уголовно-правовой борьбы
|
Оглавление
Установочный модуль
Модуль 1 Глава 1.Введение в информационную безопасность Глава 2. Принципы построения защищенной АИС Глава 3. Модели безопасности Тест к модулю 1 Модуль 2 Глава 4.Введение в криптографию. Симметричное шифрование Тест к модулю 2 Модуль 3 Глава 5.Шифрование с открытым ключом. ЭЦП Глава 6. Криптографические протоколы Тест к модулю 3 Модуль 4 Глава 7.Парольная защита Глава 8. Компьютерные вирусы и борьба с ними Глава 9. Средства защиты сети Тест к модулю 4 Практические задания Глоссарий Список литературы Актуальные проблемы уголовно-правовой борьбы с посягательствами на компьютерную информацию по УК РФ
|
|
Глава 1. Криминологическая характеристика компьютерных преступлений1.1. Криминологический анализ преступлений в сфере компьютерной информацииВ специальной литературе (в том числе зарубежной) наряду с термином «преступления в сфере компьютерной информации», использованным в законодательстве РФ, применяются термины «компьютерные преступления», «киберпреступления», «преступления в сфере высоких технологий» и т.д. При этом ряд авторов полагает, что все названные преступления являются просто особой формой существующих «традиционных» преступлений, специфика которых состоит в использовании для достижения противоправных целей компьютера или компьютерных коммуникаций. Выделять эти преступления в отдельную категорию вообще не имеет смысла, как не имеет смысла выделять преступления, совершенные с использованием телефона как «телефонные преступления». Наиболее последовательно данная позиция просматривается в работах А.Б. Нехорошева [1], где предлагается полное реформирование уголовного законодательства: изъятие из него 28-й главы и добавление соответствующих квалифицирующих признаков в другие статьи. Далее наряду с термином, предложенным законодателем, мы будем пользоваться термином «компьютерные преступления», достаточно устоявшимся и вошедшим в некоторые учебники по уголовному праву. На основе анализа уголовных дел по преступлениям, совершенным с использованием средств компьютерной техники, авторы выделяют свыше 20 основных способов совершения преступлений в сфере компьютерной информации и около 40 их разновидностей. Число их постоянно увеличивается по причине использования преступниками новых комбинаций и логической модификации алгоритмов. Такое поведение обусловлено как сложностью самих средств компьютерной техники, так и разнообразием и постоянным усложнением выполняемых информационных операций, многие из которых обеспечивают движение материальных ценностей, финансовых и денежных средств, научно-технических разработок и т.д. Криминологическая особенность компьютерных преступлений заключается в их необычайно высокой латентности. По оценкам специалистов, от 85 до 97% компьютерных преступлений остаются не обнаруженными или о них не сообщается в правоохранительные органы по различным причинам [2]. Часто виновные лица просто увольняются или переводятся в другие структурные подразделения. Иногда с виновного взыскивается ущерб в гражданском порядке. Это можно объяснить наличием ряда факторов. 1). Компьютерный преступник, как правило, не рассматривается как типичный уголовный преступник. Будучи разоблаченными, компьютерные преступники в большинстве случаев отделываются легкими наказаниями, зачастую условными — для пострадавших это является одним из аргументов за то, чтобы не заявлять о преступлении. Осужденный же преступник приобретает широкую известность в деловых и криминальных кругах, что в дальнейшем позволяет ему с выгодой использовать приобретенный опыт. 2). Расследование компьютерных преступлений может нарушить нормальное функционирование организации, привести к приостановке ее деятельности. Жертва компьютерного преступления убеждена, что затраты на его раскрытие (включая потери, понесенные в результате утраты своей репутации) существенно превосходят уже причиненный ущерб. 3). Правильная квалификация преступлений зачастую затруднена в связи с непроработанностью законодательства. Правоохранительные органы не склонны относить многие компьютерные правонарушения к категории преступлений и, соответственно, отказывают в возбуждении уголовного дела. 4). Жертва боится серьезного, компетентного расследования, так как оно может вскрыть неблаговидный, если не незаконный, механизм ведения дел в организации. Расследование компьютерных преступлений может выявить несостоятельность мер безопасности, принимаемых ответственным за них персоналом организации, привести к нежелательным осложнениям, постановке вопросов о профессиональной пригодности и т.д. Кроме того, раскрытие компьютерных преступлений, сопряжено, как правило, с открытием финансовых, коммерческих и других служебных тайн, которые могут стать достоянием гласности во время судебного рассмотрения дел. В этом отношении показательны данные, полученные Агентством систем защиты информации DISA. Специалисты агентства предприняли эксперимент, призванный показать, как реагируют владельцы на попытки проникновения в их компьютерные системы. Из 38 тыс. смоделированных нападений только 35% было блокировано системами безопасности. Из 24 700 «успешных» нападений почти 96% не было обнаружено. Но даже о проникновениях, выявленных персоналом систем, в 73% случаев не было сообщено в правоохранительные органы. Таким образом, сообщения о нарушениях поступили лишь в 0,7% случаев от общего числа нападений и в 27% из обнаруженных случаев. Достаточно хорошо коррелируют с этими результатами данные, полученные специалистами ФБР, имитировавшими нападение на 8932 системы. Из 7860 «успешных» атак только 390 были обнаружены (5%), и только в 19 случаях сообщения о нападениях поступили в правоохранительные органы (0,2% от общего числа нападений) [2]. Рис. 1.1. Соотношение зарегистрированных и раскрытых (снизу) преступлений Если же факт совершения преступления обнаруживается, то преступника удается выявить лишь в 10% случаев, о чем свидетельствуют данные российской криминологии. Диаграммы, приведенные на рис. 1.1, наглядно отображают соотношение зарегистрированных и раскрытых преступлений в 2001—2004 гг. Как видно, при тенденции к увеличению общего числа преступлений, соотношение остается прежним. Таким образом, обнаруженным и раскрытым оказывается только одно преступление из ста совершенных. Зарегистрированные преступления в информационной сфере обнаруживаются следующим образом: 1) выявляются в результате регулярных проверок доступа к данным службами коммерческой безопасности — 31%; 2) устанавливаются с помощью агентурной работы, а также при проведении оперативных мероприятий по проверкам заявлений граждан (жалобам клиентов) — 28%; 3) случайно — 19%; 4) в ходе проведения бухгалтерских ревизий — 13%; 5) в ходе расследования других видов преступлений — 10% [3]. Отмечается постоянный рост числа компьютерных преступлений и увеличение их доли в общем числе преступлений. Так, в 2004 г. было зарегистрировано в 4,2 раза больше преступлений, чем в 2001 г. В 2001 г. компьютерные преступления составляли 0,07% от общего числа, а в 2004 г. уже 0,3%. Динамика роста компьютерных преступлений отражена на рис. 1.2. Рис. 1.2. Количество преступлений в сфере компьютерной информации, Как видно из рисунка, больше всего преступлений зарегистрировано по ст. 272 УК РФ (88% от общего числа компьютерных преступлений в 2004 г.). Наименее распространенным является преступление, предусмотренное ст. 274 УК РФ. По данным ГИЦ МВД России, в 1997 г. в Российской Федерации не было зарегистрировано ни одного факта нарушения правил эксплуатации ЭВМ, их системы или сети, в 1998 г. — одно преступление, в 1999 г. — ни одного, а в 2000 г. их количество составило 44. По итогам 2001 г. число фактов нарушения правил эксплуатации ЭВМ достигло отметки 119, но в 2003 г. вновь зарегистрировано всего одно преступление. По мнению ученых, приведенные данные свидетельствуют, прежде всего, о недостаточной работе правоохранительных органов по выявлению фактов данных преступлений [4]. Типичные цели совершения компьютерных преступлений: хищение денег (подделка счетов и платежных ведомостей; фальсификация платежных документов, вторичное получение уже произведенных выплат, перечисление денег на подставные счета и т.д.); хищение вещей (совершение покупок с фиктивной оплатой, добывание запасных частей и редких материалов); хищение машинной информации; внесение изменений в машинную информацию; кража машинного времени; подделка документов (получение фальшивых дипломов, фиктивное продвижение по службе); несанкционированная эксплуатация системы; саботаж; шпионаж (политический и промышленный). Отечественные эксперты так оценивают размеры финансовых потерь от всех видов компьютерных преступлений: менее 1000 долл. — 28%; 1000—10000 долл. — 21%; 10000—100000 долл. — 35%; свыше 100000 долл. — 16% [3]. По данным ФБР, среднестатистический ущерб от такого преступления составляет 650000 долл., в то время как от обычного ограбления — 9000 долл. Дело в том, что компьютерные преступники способны наносить максимальный ущерб при минимуме затрат. Размер кражи для злоумышленника не принципиален, так как в отличие от обычного ограбления у него нет необходимости бегать по улицам с «миллионом долларов мелкими купюрами». Как видно из приведенных данных, компьютерные преступления несут высокую общественную опасность, обусловленную главным образом высокой латентностью и, как следствие, безнаказанностью большинства преступников. Статистика показывает постоянное увеличение числа компьютерных преступлений и их доли в общем числе преступлений, поэтому данная сфера, пока еще недостаточно изученная и проработанная, требует усиленного внимания как законодательных, так и правоохранительных органов. 1.2. Особенности личности преступника, совершающего компьютерные преступленияВ настоящее время совокупность лиц, совершающих преступления в глобальных сетях, нельзя считать гомогенной группой. Данная совокупность достаточно разнородна по своему составу. Как следствие, обречено на неудачу стремление построить единый обобщенный портрет всех личностей, совершающих противоправные действия в глобальных сетях. Тем не менее, возможно выделение категорий лиц, совершающих компьютерные преступления на основе различных критериев (мотивация, уровень технической подготовленности и т.д.). По мнению В. Б. Вехова, компьютерных преступников следует разделить на три устойчивые категории, положив в основу классификации мотивы и цели совершения преступлений. Первая категория — это лица, сочетающие определенные черты профессионализма с элементами изобретательности и развлечения. Такие люди, работающие с компьютерной техникой, весьма любознательны, обладают острым умом, а также склонностью к хулиганству. Они воспринимают меры по обеспечению безопасности компьютерных систем как вызов своему профессионализму и стараются найти технические пути, которые доказали бы их собственное превосходство. Вторая категория — лица, страдающие особого рода заболеваниями, развившимися на почве взаимодействия со средствами компьютерной техники. У них развивается болезненная реакция, приводящая к неадекватному поведению. Чаще всего она трансформируется в особый вид компьютерного преступления — компьютерный вандализм. Обычно он принимает форму физического разрушения компьютерных систем, их компонентов или программного обеспечения. В основном этим занимаются из чувства мести уволенные сотрудники, а также люди, страдающие компьютерными неврозами. Третья категория — это специалисты или профессиональные компьютерные преступники. Эти лица обладают устойчивыми навыками, действуют расчетливо, маскируют свои действия, всячески стараются не оставлять следов. Цели их преимущественно корыстные [5]. Ю.В. Гаврилин предлагает лиц, совершающих компьютерные преступления, разбить на две категории. Первая категория — это лица, состоящие в трудовых отношениях с предприятием (организацией, учреждением, фирмой или компанией), где совершено преступление (по данным автора, они составляют более 55%), а именно: непосредственно занимающиеся обслуживанием ЭВМ (операторы, программисты, инженеры), пользователи ЭВМ, имеющие определенную подготовку и свободный доступ к компьютерной системе, административно-управленческий персонал (руководители, бухгалтеры, экономисты и т.п.). Вторая категория — граждане, не состоящие в правоотношениях с предприятием, где совершено преступление (около 45%). Ими могут быть лица, занимающиеся проверкой финансово-хозяйственной деятельности этого предприятия, пользователи и обслуживающий персонал ЭВМ других организаций, связанных компьютерными сетями с предприятием, а также лица, имеющие в своем распоряжении компьютерную технику и доступ к телекоммуникационным компьютерным сетям. Подобная классификация используется и правоохранительными органами западных стран. До недавних пор сотрудников пострадавшей организации было принято считать основным субъектом противоправных действий. Так, по данным компании «Информзащита», несанкционированные вторжения собственных сотрудников составляли до 70% в общем объеме нарушений информационной безопасности сетевых объектов. Кроме того, по обобщенным оценкам, более чем в 80% случаев экономических преступлений, совершенных с использованием компьютерных сетей, преступником или его сообщником (пособником, наводчиком) являлся штатный сотрудник учреждения, подвергшегося нападению. Однако в последние годы ситуация постепенно меняется. В отчете ФБР и Института компьютерной безопасности США в качестве основного источника опасности для объектов вычислительной техники называются внешние подключения к сети Интернет (в 2001 г. — 74% инцидентов; в 2000 г. — 70%; в 1999 г. — 59%). Аналогичные оценки приводятся и в обзоре, подготовленном Конфедерацией британской промышленности (Confederation of British Industry). Утверждается, что основная угроза исходит не от работников компании, но в большей степени от хакеров, а также от уволенных сотрудников и представителей организованной преступности [2]. Криминологический феномен хакерского сообщества неоднократно рассматривался в трудах ученых. Термин «хакер» используется в двух значениях. Первое имеет негативную окраску, определяет личность с противоправными установками, компьютерного «взломщика»; второе позитивно и подразумевает специалиста в области информационных технологий, профессионала, увлеченного своим делом. В отечественной литературе получает распространение толкование, согласно которому хакеры — это компьютерные хулиганы, одержимые «компьютерной болезнью» и ощущающие патологическое удовольствие от проникновения в чужие информационные сети. В последнее время получила распространение точка зрения, что хакеры образуют свою субкультуру, наподобие объединения панков, рокеров и т.д. Носители этой субкультуры со временем преодолевают серьезную психологическую трансформацию, связанную со сменой ценностных ориентаций. Объективной реальностью для хакера является компьютерная сеть — основная среда их обитания. Настоящая объективная реальность скучна и неинтересна, однако биологически необходима. Хакеры создают свои объединения (группы), издают электронные журналы, имеют собственный жаргон и постоянно обмениваются опытом с зарубежными «коллегами». Между хакерами и преступниками не всегда уместно ставить знак равенства, но именно хакерская среда оказывает определяющее влияние на компьютерную преступность. Как явление сообщество хакеров не имеет аналогов в правоохранительной практике (лишь по отдельным характеристикам приближаясь к другим криминальным сообществам). Оно имеет сложную организацию, находится в постоянном развитии и достаточно слабо изучено. Главной проблемой, связанной с хакерами, является мода на них. Принадлежать к хакерской среде считается модным как среди профессионалов в сфере информационных технологий, так и среди подростков и лиц, не имеющих специального образования в области информатики. Эта мода влечет новых лиц к хакерским журналам, атрибутике, сленгу, к использованию хакерских программ (зачастую легко доступным и простым в применении), а, в конечном счете, — к целенаправленному развитию в качестве компьютерного правонарушителя. В криминологии большую роль играет обобщенный портрет преступника в той или иной сфере. Анализ уголовных дел позволяет констатировать, что компьютерные преступления в подавляющем большинстве (96%) совершаются лицами мужского пола, среди которых явно преобладают молодые люди в возрасте от 14 до 25 лет. При этом кривая, характеризующая возрастное распределение этих лиц (см. рис. 1.3), имеет ярко выраженный максимум в районе 19 лет. Объяснение такой закономерности, по мнению автора, связано с вопросом мотивации субъектов, совершающих сетевые преступления. Именно в этом возрасте у таких лиц особенно высоки потребность в самоутверждении и стремление получить максимальное количество жизненных благ при отсутствии реальной возможности достичь этого. Рис. 1.3. Кривая, характеризующая возрастное распределение компьютерных преступников По данным Национального центра по борьбе с компьютерной преступностью США, преступления, совершенные с корыстной направленностью, составляют 60—70% от общего числа изученных компьютерных преступлений; по политическим мотивам (терроризм, шпионаж и др.) — 15—20%; из любопытства — 5—7%; из хулиганских побуждений — 8—10%. В. Б. Вехов называет пять распространенных мотивов совершения компьютерных преступлений: «корыстные соображения — 66%; 2) политические цели — 17%; 3) исследовательский интерес — 7%; 4) хулиганские побуждения и озорство — 5%; 5) месть — 5%» [5]. А. Л. Осипенко предлагает дополнить указанный список недостаточно изученным «игровым мотивом». Криминологию интересует также психологические особенности личности компьютерного преступника. Среди наиболее распространенных качеств личности, определяющих структуру преступного поведения, по мнению криминологов, преобладают правовой нигилизм и завышенная самооценка. Правовой нигилизм заключается в том, что, ощущая безнаказанность своих противоправных действий, эти лица часто пренебрегают требованиями норм права, считают допустимым определять моральность тех или иных правовых норм на основе собственных критериев, проявляя инфантилизм, безответственность, непонимание возможных опасных последствий. Криминологи отмечают, что в подобных случаях оценка ситуации осуществляется не с позиций социальных требований, а исходя из личных переживаний, обид, проблем и желаний. Сознательно нарушая определенные запреты, хакеры не принимают наказания, искренне считая себя невиновными. Для них типично оправдывать, например, нанесение ущерба зарубежным фирмам целями высокого порядка («эти фирмы обкрадывают российских пользователей»); считается даже престижным осуществить противоправные действия в отношении организаций, попавших в хакерские списки «носителей зла». Гипертрофированная самооценка приводит к тому, что зачастую эти лица совершают противоправные деяния спонтанно, без серьезной предварительной подготовки. Под воздействием «комплекса безнаказанности» они оставляют послания руководителям служб безопасности, гордо публикуют сообщения о своих противоправных действиях в сетевых конференциях и чатах. По результатам опросов, проведенных ФБР, до 98% хакеров считают, что их никогда не смогут уличить в хакерстве. Хвастовство и восхищение собственными «подвигами» продолжаются и при даче показаний представителям правоохранительных органов. Компьютерные преступники убеждены, что их сотрудники не способны эффективно выявлять и расследовать подобные преступления. Рассматривая качества компьютерных преступников, исследователи отмечают и присутствие у них определенных специфических положительных свойств [2]. Эти люди, как правило, являются яркими, мыслящими личностями. Для многих из них характерны достаточный уровень квалификации, глубокие познания в области информационных технологий, высокая работоспособность, упорство. Среди них относительно невысок процент тех, кто ранее подвергался уголовному преследованию. В большинстве своем они не имеют связей в уголовно-преступной среде (за исключением случаев сотрудничества с представителями организованной преступности) и отличаются стремлением иметь в своем окружении положительную репутацию. У компьютерных преступников, как правило, отсутствуют стойкие антиобщественные установки, агрессивность, ими не допускается даже возможность совершения иных видов преступлений, особенно связанных с применением насилия. Предвидение высокой вероятности наступления правовых последствий для многих из изученных лиц было способно привести к отказу от совершения преступления. Это позволяет предположить, что для таких лиц боязнь ответственности тесно связана со степенью активности правоохранительных органов. Для российского общества проблема участия представителей «технической элиты» в противоправной деятельности связана и с определенными социальными предпосылками. Вероятность совершения сетевых преступлений повышается в тех регионах, где имеется множество подготовленных профессионалов, не получающих соответствующего своим способностям вознаграждения за свою работу. Таким образом, опасность встать на путь компьютерных преступлений грозит, в первую очередь, подросткам и молодежи, которых привлекает своеобразная интеллектуальная романтика, «мода» хакерской субкультуры, а также уверенность в относительной безнаказанности и «незначительности» своих общественно опасных деяний. Поэтому решительные действия правоохранительных органов в борьбе с компьютерными преступлениями особенно важны с точки зрения профилактики. Второй потенциально опасной группой являются обиженные специалисты, увольняемые с предприятий. В связи с этим во многих организациях уделяется большое внимание разработке специальных процедур «безопасного» увольнения. Глава 2. Объект и предмет преступлений в сфере компьютерной информации.2.1. Особенности объекта преступлений в сфере компьютерной информацииПреступления в сфере компьютерной информации выделены в отдельную, 28 главу УК РФ. Эта глава помещена в девятом разделе Особенной части УК «Преступления против общественной безопасности и общественного порядка». Таким образом, по мнению законодателя, родовым объектом для всех видов компьютерных преступлений является совокупность общественных отношений, составляющих содержание общественной безопасности и общественного порядка. Одним из классификационных критериев объединения компьютерных преступлений в единую главу является видовой объект посягательства, который составляет совокупность общественных отношений в части правомерного и безопасного использования компьютерной информации и информационных ресурсов. По поводу непосредственного объекта анализируемых преступлений исследователи придерживаются различных точек зрения. Учебник Ю. И. Бытко и С. Ю. Бытко лаконично называет непосредственным объектом ст. 272 УК РФ «интересы собственников, владельцев компьютерной информации и порядок доступа к ней»; ст. 273 — безопасность компьютерной информации; ст. 274 — безопасные условия эксплуатации ЭВМ, системы ЭВМ и их сети [6]. Более развернутое толкование дает учебник под редакцией Л.Д. Гаухмана и С.В. Максимова. По мнению его авторов, непосредственным объектом преступления, предусмотренного ст. 272 являются общественные отношения, обеспечивающие правомерные доступ, создание, обработку, преобразование, использование компьютерной информации самим создателем, потребление ее иными пользователями, а также правильное функционирование ЭВМ, системы ЭВМ или их сети. Данное преступление, совершенное лицом с использованием своего служебного положения, посягает и на второй непосредственный объект — общественные отношения, обеспечивающие интересы службы. Статья 273 имеет непосредственным объектом общественные отношения, обеспечивающие безопасность 1) правомерных доступа, создания, обработки, преобразования и использования компьютерной информации; 2) правильного функционирования ЭВМ, системы ЭВМ или их сети; 3) интересов предпринимательства, связанных с оборотом безопасных компьютерных продуктов. Непосредственный объект данного преступления, повлекшего по неосторожности тяжкие последствия, предусмотренные ч.2 ст. 273 УК, — общественные отношения, обеспечивающие в зависимости от характера последних иные социально значимые ценности (жизнь человека, здоровье людей и т.п.). О непосредственном объекте ст. 274 авторы пишут: «Общественные отношения, обеспечивающие: установленный нормативными правовыми актами, собственником или иным владельцем порядок эксплуатации ЭВМ, системы ЭВМ или их сети; интересы создания, обработки, преобразования и использования компьютерной информации, относящейся в соответствии с законом к информации ограниченного доступа самим создателем и потребления другими пользователями; интересы правильного функционирования ЭВМ, системы ЭВМ или их сети. Непосредственный объект преступления, предусмотренного ч. 2 ст. 274 УК, совпадает по содержанию с соответствующим объектом преступления, предусмотренного в ч. 2 ст. 273 УК» [7]. Третья точка зрения (которой будем придерживаться и мы) заключается в том, что непосредственный объект является общим для всех составов преступлений, собранных в главе 28. Таковым являются общественные отношения по обеспечению безопасности охраняемой законом компьютерной информации и нормальной работы ЭВМ, системы ЭВМ или их сети. В дальнейшем, проводя анализ составов анализируемых преступлений, мы покажем, что безопасность охраняемой законом компьютерной информации, подразумевающая обеспечение трех ее свойств — конфиденциальность, целостность и доступность — исчерпывающе определяет объект компьютерных преступлений, не допуская вместе с тем его излишне расширительного толкования. Другим непосредственным объектом могут выступать правильные условия эксплуатации ЭВМ, системы ЭВМ или их сети, но лишь в той мере, в которой их нарушение влечет угрозу безопасности охраняемой законом компьютерной информации. Дополнительный объект факультативен. Его наличие зависит от того вреда, который был причинен правам и законным интересам личности, общества и государства. Дополнительным объектом может, например, выступать собственность, авторское право, право на неприкосновенность частной жизни, личную и семейную тайну, экологическая безопасность, основы конституционного строя Российской Федерации и др. Наличие дополнительного объекта, безусловно, повышает степень общественной опасности преступления, что подлежит обязательному учету при назначении виновному справедливого наказания. 2.2. «Компьютерная информация» как предмет преступлений главы 28 УК РФНекоторое время существовала точка зрения, что предметом компьютерных преступлений является компьютер как информационная система, носитель информации. В настоящий момент эта позиция отвергнута и исследователи единодушны во мнении, что предметом преступлений, выделенных в 28-ю главу УК РФ, является компьютерная информация или информационные ресурсы, содержащиеся на машинном носителе, в ЭВМ, системе ЭВМ или их сети. Они выступают в качестве нематериальных ценностей, на которые непосредственно воздействует виновный, осуществляя преступное посягательство на общественные отношения по обеспечению безопасности такой информации, а также нормальной работы ЭВМ, системы ЭВМ или их сети. На практике могут возникнуть ситуации, когда преступное воздействие на будет осуществляться непосредственно на электронно-вычислительную технику (например, похищение ЭВМ и осуществление неправомерного доступ к содержащейся в ней информации в удобных для злоумышленника условиях). Действия такого лица следует квалифицировать по совокупности преступлений (ст. 272 и соответствующей статье, расположенной в главе 21 Особенной части УК РФ). Электронно-вычислительная машина рассматривается в качестве предмета преступления против собственности, а компьютерная информация, воздействие на которую осуществляется чуть позже — предметом преступления, предусмотренного ст. 272 УК РФ. 2.2.1. Понятие компьютерной информацииСовременный уровень развития научного знания еще не позволяет, а возможно и никогда не позволит, дать точное и законченное определение понятия «информация». С развитием нашего представления о мире, с развитием науки содержание этого понятия расширяется и углубляется. Норберт Винер в своей работе «Кибернетика или управление и связь в животном и машине» определяет информацию как «обозначение содержания, черпаемого нами из внешнего мира в процессе приспособления к нему и приведения в соответствие с ним нашего мышления». Т.е. информация определяется через категорию «содержание внешнего мира» и напрямую увязана с человеком, его мышлением и процессом приспособления человека к явлениям и событиям внешнего мира. Иными словами, Винер утверждает, что информация вне человеческого сознания не существует. Отождествление информации со сведениями или фактами, которые теоретически могут быть получены и усвоены, то есть, преобразованы в человеческие знания, составляет суть антропоцентрического подхода к определению понятия «информация». До последнего времени антропоцентрический подход удовлетворительно работал в области правовых и общественных наук. Однако в связи с широким внедрением вычислительной техники его недостатки все чаще дают о себе знать. Во-первых, подход к информации только как к сведениям не позволяет адекватно интерпретировать информационные процессы в таких объектах, как компьютерные программы, компьютерные сети, системы искусственного интеллекта, системы, ориентирующиеся в состоянии неопределенности. Здесь процессы получения, преобразования, передачи информации могут проходить без этапа осмысления их человеком. Во-вторых, в рамках антропоцентрического подхода невозможно найти адекватного объяснения генетической информации живой природы. В связи с этим возникла потребность в изменении трактовки понятия информации. Оно было расширено и включило обмен сведениями не только между человеком и человеком, но также «между человеком и автоматом, автоматом и автоматом, обмен сигналами в животном и растительном мире, передачу признаков от клетки к клетке». Наиболее плодотворное проникновение в сущность понятия «информация» осуществил К. Шеннон в работах, опубликованных в конце 40-х годов XX в. В них под информацией понимаются лишь те сообщения, которые уменьшают неопределенность у получателя этого сообщения. Таким образом, по Шеннону информация — величина, обратная энтропии, то есть неопределенности. В российском законодательстве в настоящее время применяется антропоцентрический подход. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации» определяет информацию как «сведения независимо от формы их представления». Таким образом, современное российское право регулирует лишь те информационные отношения, в которых информация может быть каким-либо образом воспринята и проинтерпретирована человеком. Федеральный закон «Об информации, информационных технологиях и защите информации» является основным источником данных законодателем определений в области регулируемых правом информационных отношений. Среди прочих источников важно отметить Конституцию Российской Федерации, Закон РФ от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене», Гражданский Кодекс РФ (4 часть). Ряд требований к применяемой терминологии содержится в «Концепции формирования и развития единого информационного пространства России и соответствующих государственных информационных ресурсах» (одобрена решением Президента Российской Федерации от 23.04.95 г. № Пр-1694) и «Концепции правовой информатизации России» (утверждена Указом Президента Российской Федерации от 23.04.93 г. № 477). Существуют и совершенно конкретные требования к понятиям и определениям, зафиксированные в государственных стандартах и документах и регламентирующие их. К сожалению, эти требования (в том числе и закрепленные в международных договорах о стандартизации) не всегда учитываются законодателем. Глава 28 УК РФ имеет название «Преступления в сфере компьютерной информации». Статья 272 уточняет, что речь идет об «информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети». Представляется, что законодателю не стоило изобретать собственный термин. В информатике давно используется соответствующее понятие, а именно данные это форма представления информации, удобная для восприятия и обработки ее на ЭВМ (как правило, информация преобразовывается в данные с помощью двоичного кодирования). Вместо того чтобы положить в основу определения форму представления информации, (которая, однако подразумевается неявно), законодатель приводит исчерпывающее перечисление возможных носителей информации, причем, не приводя определения ни одного из этих носителей, что вызывает массу проблем в правоприменительной практике. Прежде всего, непростым оказывается вопрос об отнесении конкретного электронного устройства к категории электронно-вычислительной машины. В частности, можно ли считать ЭВМ так называемые интегрированные системы (компьютеры в нетрадиционном понимании — пейджеры, сотовые телефоны, электронные контрольно-кассовые машины, электронные банкоматы) и, соответственно, как квалифицировать неправомерные действия с рассматриваемыми объектами? Толковый словарь по вычислительной технике и программированию утверждает, что ЭВМ есть цифровая вычислительная машина, основные узлы которой реализованы средствами электроники. В комментарии к уголовному кодексу под редакцией Ю.И. Скуратова и В.М. Лебедева ЭВМ определяется как «совокупность технических средств, создающая возможность проведения обработки информации и получения результата в необходимой форме». В комментарии к УК РФ под ред. С.И. Никулина содержится следующее определение: «ЭВМ представляет собой совокупность аппаратно-технических средств и средств программирования, позволяющих производить операции над символьной и образной информацией». Ю.В. Гаврилин приходит к следующему определению: «ЭВМ — электронное устройство, производящее заданные управляющей программой операции по хранению и обработке информации и управлению периферийными устройствами» [4] и в его рамках утвердительно отвечает на вопрос об отнесении к ЭВМ так называемых интегрированных систем. 9 ноября 1998 года УРОПД ГУВД Московской области было возбуждено уголовное дело по факту совершения неправомерного доступа к охраняемой законом компьютерной информации в кассовых аппаратах одного из частных предпринимателей города Павловский Посад. По статье 272 УК РФ в ходе следствия было квалифицировано изменение информации в контрольно-кассовых аппаратах, при которых записанная в них сумма выручки за смену искусственно занижалась. Контрольно-кассовые аппараты были признаны следствием электронно-вычислительными машинами. Понятие «система ЭВМ», введенное законодателем, также неоднозначно трактуется в юридической литературе. Ю.В. Гаврилин предлагает исходить из того, что понятие «система» предполагает определенную совокупность объектов, элементы которой находятся в упорядоченной взаимосвязи и взаимозависимости и под системой ЭВМ следует понимать упорядоченную совокупность взаимосвязанных и взаимодействующих как единое целое ЭВМ, обеспечивающих выполнение единой функции [4]. Другие авторы полагают, что систему образует ЭВМ вместе со своими перефирийными устройствами (принтер, сканнер и т.п.). Оба подхода заслуживают определенного внимания. Второй хорош тем, что включает в охваченную законодателем сферу информацию, хранящуюся, например, в собственной памяти принтера. Сеть ЭВМ можно определить как способ организации связи между несколькими самостоятельными ЭВМ с целью получения доступа к совместными информационным ресурсам или оборудованию. Однако среди исследователей нет единодушия в том, считать ли таковой глобальную сеть общего пользования — Интернет. Расплывчатые формулировки законодателя вынуждают исследователей приводить дополнительные толкования термина «компьютерная информация». Одно из наиболее цитируемых принадлежит В.В. Крылову. Он пишет: «Компьютерная информация есть сведения, знания или набор команд (программ), предназначенных для использования в ЭВМ или управления ею, находящиеся в ЭВМ или на машинных носителях, — идентифицируемый элемент информационной системы, имеющей собственника, установившего правила ее использования» [8]. Многие исследователи принципиально против рассмотрения «компьютерной информации» как особого объекта правоотношений. Так, например, А.Б. Нехорошев пишет: «Опираясь на тип носителя, с таким же успехом можно говорить о бумажной, текстильной, пластмассовой, кожаной, каменной информации и т.д. и т.п. В корне неверно классифицировать объект по второстепенным признакам, а ведь информация не меняется при изменении носителя» [3]. Это мнение весьма спорно. Компьютерная информация (данные) принципиально отличаются от информации вообще. Так, например, данные обладают свойством «уничтожаемости», говорить же о возможности уничтожения информации можно лишь в рамках антропоцентрического подхода, подразумевая уничтожение всех существующих носителей данной информации, включая людей. При этом информация, веками считавшаяся утерянной (уничтоженной) может быть в любой момент восстановлена с помощью новых научно-технических методов. Применительно к «чистой» информации можно говорить лишь о ее постепенном рассеянии, бесконечном приближении к исчезновению. Поэтому бессмысленно рассматривать и такой вид противоправных деяний как уничтожение информации. Компьютерная информация (данные) отличается от «бумажной» или «каменной» принципиально иным способом обработки. Данные могут очень легко создаваться, модифицироваться, копироваться и уничтожаться, что придает им особые качества. Например, если такие данные позволяют определить сумму переводимых на счет злоумышленника денежных средств при проникновении его в систему банка, положение запятой в указанной сумме может изменить объем похищенного на несколько порядков. Для уничтожения компьютерной информации, равной 500 страницам текста, необходимо два нажатия клавиши клавиатуры, и через три секунды она будет бесследно стерта, в то время как для сжигания 500 страниц машинописного или рукописного текста необходимы специальные условия и значительный промежуток времени. Эта особая «уязвимость» компьютерной информации по сравнению с информацией «бумажной» — а отсюда и уязвимость общественных отношений в сфере создания, распространения и использования такой информации — и побудила законодателя, на наш взгляд, совершенно обоснованно, выделить преступления в сфере компьютерной информации в качестве отдельной главы уголовного права. Заметим, что хотя глава 28 УК РФ посвящена именно компьютерной информации, в явном виде этот термин приведен только в ст. 272. В ст. 273 речь идет уже об «информации», а ст. 274 оперирует непонятным термином «информация ЭВМ». Это выглядит явным недочетом, поскольку очевидно, что в статьях 273 и 274 речь идет именно о компьютерной информации — только данные подвержены угрозам со стороны вредоносных программ или нарушения правил эксплуатации ЭВМ. Безусловно, используемые в УК термины должны быть законодательно закреплены, причем в различных нормативных актах должна соблюдаться единая терминология. При этом следует пользоваться достижениями других наук, в которых соответствующие термины достаточно устоялись, а не изобретать собственные. Игнорирование этого вопроса является главной проблемой современного уголовного законодательства в области компьютерных преступлений. 2.2.2. Свойства компьютерной информацииХотя формального определения информации не существуют, среди исследователей не возникает споров относительно её свойств. В многочисленных трудах по кибернетике, информационным технологиям, а также в юридических учебниках содержание понятия «информация» зачастую раскрывается через её свойства. Число этих свойств у разных исследователей неодинаково, но связано это лишь с тем, что в рамках отдельной научной дисциплины не все свойства информации имеют значение. Так, например, изучая информацию как особый объект судебной экспертизы и сравнивая свойства материальных и информационных объектов, С.А. Смирнова подробно описывает 21 различие [9]. В учебнике «Правовая информатика» Чубуковой С.Г. И Элькина В.Д. таких значимых с точки зрения авторов свойств девять, в том числе неисчерпаемость, массовость, универсальность и т.д. Причем, говоря о свойстве «качество», авторы разлагают его на восемь других свойств, таких как полнота, избыточность, адекватность, актуальность и т.д. Уголовное законодательство восприняло (хотя и не назвало их явно) центральные свойства, изучаемые в рамках информационной безопасности: конфиденциальность, целостность и доступность. Их принципиальное отличие от всех остальных свойств заключается в том, что они не присущи информации как таковой, а появляются лишь в результате принятия мер иного, организационного характера. Более того, после того как определенная информация (или компьютерная информация) обрела эти свойства, она может их и лишиться — в результате внешних воздействий. Эти воздействия могут явиться как результатом события (например, в результате стихийного бедствия был уничтожен банк данных — потеря целостности и доступности), так и действия. В свою очередь, действия могут быть правомерные и неправомерные. Учитывая, что информация, обладающая указанными свойствами (всеми тремя или двумя последними) имеет гораздо большую ценность, чем информация, такими свойствами не обладающая, неправомерные деяния, их нарушающие, наносят значительный ущерб собственнику информации, а значит — и общественным отношениям в данной области. Таким образом, логичной является позиция законодателя, обеспечившего уголовно-правовые средства защиты этих важных свойств. Заметим, что остальные многочисленные свойства информации не нуждаются в защите такого рода. Часть из них неотъемлема по самой природе информации (идеальность, неисчерпаемость), другими же, такими как достоверность или объективность, информация может либо обладать, либо не обладать, но их изменение невозможно — это будет уже другая информация. В 28-й главе УК РФ используется общий для УК подход, при котором в основу классификации преступлений положена их объективная сторона. Угрозы компьютерной информации рассматриваются не с точки зрения её свойств, которые нарушаются в результате неправомерных действий (бездействия), а с точки зрения самих этих действий. Как будет показано нами далее, при анализе объективных признаков компьютерных преступлений, подобный подход заранее обречен на неполноту, поскольку невозможно исчерпывающе указать перечень действий (бездействий), нарушающих свойства компьютерной информации, тем более в условиях непрерывного развития информационных технологий, средств и способов обработки данных и доступа к ним. На наш взгляд, разумнее было бы использовать подход, устанавливающий уголовную ответственность за нарушение конфиденциальности, целостности и доступности информации (с учетом равной значимости всех трех свойств ответственность могла бы быть единой), независимо от способа совершения преступления. Отдельные способы, такие как создание или распространение вредоносных программ, в силу их особой общественной опасности могли бы выступить в качестве квалифицирующего признака. Такой подход гарантированно закрыл бы «дыры» в законодательстве, поскольку угрозы компьютерной информации «покрываются» угрозами тремя названным свойствам. 2.3. Охраняемая законом информацияВ статьях 272 и 274 УК РФ речь идет об охраняемой законом информации. Такого рода информация может быть разбита на две большие категории: конфиденциальная информация, т.е. информация, составляющая какую-либо тайну, доступ к которой ограничен законодательством, и интеллектуальная собственность. Эта классификация воспринята, в частности, ГК РФ в разделе, посвященном объектам гражданских правоотношений (ст. 138, 139). Далее мы не будем подробно рассматривать такую категорию, как интеллектуальную собственность. Отметим лишь, что неправомерный доступ к объектам интеллектуальной собственности, представленным в цифровом виде (это могут быть исходные коды программ, тексты литературных произведений и т.д.), повлекший незаконное распространение (копирование) указанных объектов и собственно незаконное распространение представляют собой разные составы преступлений. Последнее есть нарушение авторских и смежных прав либо нарушение изобретательских и патентных прав. Уголовная ответственность за эти преступления предусмотрена статьями 146 и 147 УК РФ. В области информации с ограниченным режимом доступа (тайн) наблюдается отсутствие единого подхода к понятийному аппарату. Анализ законодательства РФ на 2000 г. позволял выделить более 30 видов упоминаемых тайн, анализ же подзаконных актов позволял увеличить этот перечень до 40. Ситуация не изменилась и к настоящему времени. Все виды тайн, охраняемые законом, можно разделить на 4 группы. 1. Тайна частной жизни — это личная тайна и семейная; тайна переписки; тайна телефонных переговоров, телеграфных и иных сообщений; тайна почтовых отправлений; тайна исповеди; тайна голосования; персональные данные. 2. Профессиональная тайна — это банковская тайна; врачебная тайна; адвокатская тайна; нотариальная тайна; журналистская тайна; редакционная тайна; тайна совещательной комнаты; тайна страхования; секреты мастерства; налоговая тайна; сведения о мерах безопасности судей, должностных лиц, правоохранительных и контролирующих органов; служебная информация о рынке ценных бумаг; геологическая информация о недрах. 3. Коммерческая тайна — это конфиденциальные данные и сведения, имеющие коммерческую ценность; «ноу-хау». 4. Государственные секреты — служебная и государственная тайна. Проблема защиты прав личности, защиты личности от несанкционированного сбора персональных данных, злоупотреблений, возможных при сборе, обработке и распространении информации персонального характера, приобрела особую актуальность в условиях информационного общества, характеризующегося развитием средств вычислительной техники и связи, что позволяет накапливать и обрабатывать значительные массивы информации. Основные принципы правового режима информации о частной жизни определены в части 1 статьи 24 Конституции РФ. Обязательным условием ее сбора, хранения, использования и распространения является согласие лица. Персональные данные, согласно Федеральному закону РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ, – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Названный федеральный закон устанавливает следующие принципы обработки персональных данных: 1) законность целей и способов обработки персональных данных; 2) соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора; 3) соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; 4) достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; 5) недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или утраты необходимости в их достижении. Юридические и физические лица, владеющие информацией о гражданах, получающие и использующие ее, несут ответственность за нарушение режима защиты, обработки и порядка использования этой информации. Часть 1 статьи 24 Конституции РФ устанавливает общее правило, которое действует в границах пользования правами и свободами, установленными в части 3 статьи 55. Так, не требуется согласия лица на сбор, хранение, использование и распространение сведений о нем при проведении следствия, дознания, оперативно-розыскных мероприятий. Собирание конфиденциальной информации государственными органами предусмотрено УПК РФ, Законом РФ от 18 апреля 1991 г. № 1026-I «О милиции», Федеральным Законом от 3 апреля 1995 года N 40-ФЗ «Об органах федеральной службы безопасности в Российской Федерации», Федеральным Законом от 12 августа 1995 года № 144-ФЗ «Об оперативно-розыскной деятельности». Статья 41 Закона от 27 декабря 1991 года № 2124-1 «О средствах массовой информации» ограничивает возможность редакции разглашать в распространяемых сообщениях и материалах сведения персонального характера. Согласно части 1 статьи 30 (пункт 6) и части 2 статьи 61 Основ законодательства Российской Федерации об охране здоровья граждан от 22 июля 1993 года № 5487-1, пациент имеет право на сохранение в тайне информации о факте обращения за медицинской помощью, о состоянии здоровья, диагнозе и иных сведениях, полученных при обследовании и лечении, а органы и лица, которым эти сведения стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, обязаны не допускать их разглашения. В соответствии с ГК РФ информация составляет служебную или коммерческую тайны в случаях, если эта информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам; если к этой информации нет свободного доступа на законном основании; если обладатель информации принимает надлежащие меры к охране ее конфиденциальности. Согласно Указу Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», разница между служебной и коммерческой тайной состоит в том, что коммерческая тайна — сведения, связанные с коммерческой деятельностью, а служебная тайна — служебные сведения, доступ к которым ограничен органами государственной власти. Исходя из анализа законодательства, в литературе предлагается следующее определение: служебная тайна — несекретные сведения, ограничение в распространении которых диктуется служебной необходимостью в органах государственной власти, в подведомственных им предприятиях, учреждениях и организациях. По общему смыслу понятия «служебная тайна» можно предположить то, что носителями этой тайны должны быть субъекты, которые относятся к категории служащих. В настоящее время согласно Федеральному закону от 27 мая 2003 г. N 58-ФЗ «О системе государственной службы Российской Федерации», к государственным служащим относятся только лица, занимающие государственные должности Российской федерации и ее субъектов (законодательной, исполнительной и судебной власти). Известно большое количество научных работ, посвященных коммерческой тайне, где предпринимаются попытки дать четкое и однозначное определение этому предмету информационных правоотношений. Авторы согласны в том, что коммерческая тайна может только тогда считаться таковой, когда собственник устанавливает для нее особый режим допуска (зафиксированный в локальных нормативных актах предприятия) и принимает организационные меры для соблюдения этого режима допуска. Если собственник таких мер не предпринимает, информация должна считаться общедоступной. Однако спорным остается вопрос о разграничении коммерческой тайны и интеллектуальной собственности (последняя должна охраняться законом независимо от режима обращения с ней). Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами (например, постановлением Правительства Российской Федерации № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» от 5 декабря 1991 г.) Закон РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне» относит к таковой «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации». Названный закон устанавливает перечень сведений, составляющих государственную тайну, порядок отнесения сведений к государственной тайне. Отметим, что безопасность, согласно закону РФ от 5 марта 1992 г. № 2446-I «О безопасности», это «состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз». Анализ различных видов тайн позволяет прийти к неожиданным выводам. В частности, оказывается, что одни и те же сведения могут по-разному классифицироваться в зависимости от субъектов, носителей этих сведений. Например, информация, которая имеет режим коммерческой тайны, может стать на законных основаниях известной работникам Министерства РФ по налогам и сборам и перейти в статус служебной тайны. Информация, составляющая тайну частной жизни гражданина, может стать известной его врачу или адвокату и перейти в разряд профессиональной тайны. Это свидетельствует о целесообразности подготовки единого кодификационного акта, в котором необходимо провести классификацию всех существующих на сегодняшний день видов тайн и установить их правовой режим. Это позволит исключить возможную путаницу при решении вопросов, связанных с институтом тайны. Глава 3. Уголовно-правовая характеристика преступлений в сфере компьютерной информации3.1. Объективные признаки преступлений главы 28 УК РФОбъективная сторона преступления, предусмотренного ст.272 УК РФ, выражается в неправомерном доступе к охраняемой законом компьютерной информации. Законодатель не уточняет понятие неправомерности доступа, но оно вытекает из смысла понятия «охраняемая законом компьютерная информация», проанализированного нами выше. Неправомерность доступа означает, что лицо не имело право вызывать информацию, знакомиться с ней и распоряжаться ею. Способы неправомерного доступа к охраняемой законом компьютерной информации могут быть самыми разнообразными и, как правило, не влияют на юридическую оценку поведения виновного. Неправомерный доступ к компьютерной информации общего пользования, то есть неохраняемой законом информации, адресованной неограниченно широкому кругу лиц, не образует признаков рассматриваемого преступления. Из-за этого возникают частные ошибки при квалификации незаконного подключения к сети Интернет. Так, З. осуществил незаконное проникновение в компьютерную сеть Интернет с использованием сервера фирмы «Эликом» под именем и паролем фирмы «Микст» и произвел копирование файлов, на основании чего следователем было обоснованно возбуждено уголовное дело по ч.1 ст. 272. В процессе расследования в действиях З. не было установлено признаков состава преступления, поскольку информация, содержащаяся в незащищенных файлах компьютерной сети Интернет, доступ к которой осуществил З., не охраняется законом. В связи с этим производство по данному делу было прекращено. Следователем не была до конца отработана версия о неправомерном доступе к охраняемой законом компьютерной информации, находящейся на сервере фирмы «Эликом» (списки зарегистрированных пользователей, получающих доступ через этот сервер, и их пароли) [4]. Отметим, что из всех статей 28-й главы, статья 272 вызывает наименьшие затруднения при толковании. Именно поэтому, на наш взгляд, число зарегистрированных по этой статье преступлений на порядок превосходит число преступлений, зарегистрированных по ст. 273 и на два порядка — по ст. 274 (см. выше). По этой же причине неправомерный доступ к компьютерной информации наиболее полно проанализирован в литературе, в частности, криминалистической. Преступление, предусмотренное ст. 273 УК РФ, предусматривает совершение хотя бы одного из следующих действий: создание вредоносных программ для ЭВМ; внесение изменений в существующие программы для ЭВМ; использование или распространение вредоносных программ для ЭВМ. Совершить названное преступление путем бездействия невозможно. Рассмотрим названные действия более подробно. 1. Создание вредоносных программ для ЭВМ. Для наступления уголовной ответственности данная программа должна являться вредоносной. Законодательной дефиниции вредоносной программы не существует, что, несомненно, приводит к субъективизму в правоприменительной практике. Единственная попытка дать такое определение встречается нами в Соглашении о сотрудничестве государств — участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации (Минск, 1 июня 2001 г.), однако данный документ в настоящее время прекратил действие и юридической силы не имеет. В этом документе вредоносная программа определялась как «созданная или существующая программа со специально внесенными изменениями, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети». Как видно, определение неудачно, поскольку оно буквально повторяет текст ст. 273, не раскрывая его сути, а, кроме того, толкует понятие вредоносной программы расширительно. Под него попадает любая программа, ошибка в которой (или неправильное пользование ею) может привести к названным последствиям. Между тем, по эмпирическим данным, любая программа содержит не менее 5 ошибок на 1000 строк кода и если устанавливать ответственность за эти ошибки, индустрия программного обеспечения моментально рухнет. Нам кажется более уместным одно из определений, предлагаемых в научной литературе. «Вредоносной программой является специально написанная (созданная) программа, которая, получив управление, способна совершать несанкционированные пользователем действия и вследствие этого причинять вред собственнику или владельцу информации, а также иным лицам в виде уничтожения, блокирования модификации или копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети» [10]. В других источниках приводится важное уточнение. Вредоносность или полезность соответствующих программ для ЭВМ определяется не в зависимости от их назначения, способности уничтожать, модифицировать, копировать информацию (это вполне типичные функции вполне легальных программ), а в связи с тем, предполагает ли их действие, во-первых, предварительное уведомление собственника компьютерной информации или другого законного пользователя о характере действия программы, а во-вторых, получение его согласия (санкции) на реализацию программой своего назначения. Нарушение одного из этих требований делает программу вредоносной. Многие юристы ошибочно отождествляют понятия вредоносной программы и компьютерного вируса. Однако многообразие вредоносных программ ими не ограничивается. Помимо вирусов к категории вредоносных программ относятся, например «троянские кони» и «логические бомбы». Логическая бомба — это умышленное изменение кода программы, частично или полностью выводящее из строя программу либо систему ЭВМ при определенных заранее условиях, например наступления определенного времени. Хрестоматийным является случай, произошедший в 1983 г. На Волжском автомобильном заводе был изобличен программист, из мести к руководству предприятия умышленно внесший изменения в программу ЭВМ, управлявшую подачей деталей на конвейер. В результате произошедшего сбоя заводу был причинен существенный материальный ущерб: не сошло с конвейера свыше сотни автомобилей. Программист был привлечен к уголовной ответственности, обвинялся по ч. 2 ст. 98 УК РСФСР «Умышленное уничтожение или повреждение государственного или общественного имущества ... причинившее крупный ущерб». При этом обвиняемый утверждал, что ничего натурально повреждено не было — нарушенным оказался лишь порядок работы, т.е. действия, не подпадающие ни под одну статью действующего в то время законодательства. С научной точки зрения интересен приговор суда: «три года лишения свободы условно; взыскание суммы, выплаченной рабочим за время вынужденного простоя главного конвейера; перевод на должность сборщика главного конвейера» [4]. В настоящее время квалификация действий программиста должна была бы производиться по ч.1 ст.273 УК РФ. Таким образом, смешение таких понятий как «вредоносная» и «вирусная» программа ведет к неоправданному сужению признаков объективной стороны рассматриваемого преступления, что создает возможность для безнаказанности за создание, использование и распространение вредоносных программ для ЭВМ, не являющихся по своим качественным характеристикам вирусными. В литературе нет однозначного мнения по поводу того, следует ли считать вредоносными программами так называемые «крэки», назначение которых — снятие защиты с программных продуктов. Написание и использование такой программы, несомненно, наносит вред владельцу авторских прав на защищенный программный продукт, однако критериям, названным выше, она не удовлетворяет. Кроме того, формально применение «крэка» не влечет последствий, предусмотренных статьей 273. Поэтому «крэки» (а равно, например, программы автоматического подбора паролей и т.п.) предлагается считать лишь средством совершения преступлений, предусмотренных статьями 272 или 146 УК РФ, а их написание — подготовкой к совершению названных преступлений. Однако в судебной практике немало противоположных случаев. Так, 6 отделом УРОПД при ГУВД Санкт-Петербурга и области 2 сентября 1998 г. было возбуждено уголовное дело по признакам преступления, предусмотренного ст. 273 УК РФ по факту распространения компакт-дисков с программами, предназначенными для снятия защиты с программных продуктов, а также «взломанных» версий программ. «Крэки» были признаны следствием вредоносными программами. Аналогичная позиция отстаивалась и по делу, возбужденному 10 марта 1998 года следственным управлением ГУВД Свердловской области по факту создания электронной доски объявлений, в одном из разделов которой находилась подборка крэков. 2. Внесение изменений в существующие программы — это несанкционированная законным пользователем или собственником программы ее модификация (переработка программы путем изменения, добавления или удаления ее отдельных фрагментов) до такого состояния, когда эта программа способна выполнить новые, изначально незапланированные функции и приводить к последствиям, предусмотренным ч. 1 ст. 273 УК РФ. 3. Под использованием программы (согласно ст. 1270 ГК РФ) понимается ее распространение, воспроизведение (под которым также понимается запись на электронный носитель или в память ЭВМ, т.е. собственно запуск программы), передача по сети, а также доведение до всеобщего сведения (например, путем открытия доступа к каталогу собственного компьютера, содержащего эту программу). 4. Распространение программы для ЭВМ — это предоставление доступа к воспроизведенной в любой материальной форме программе для ЭВМ, в том числе сетевыми и иными способами, а также путем продажи, проката, сдачи внаем, предоставления взаймы, включая импорт для любой из этих целей. Распространение вредоносных программ может осуществляться непосредственно путем их копирования на компьютер потерпевшего, например, с дискеты, а также опосредовано, путем передачи по электронной почте, по линии связи законного пользователя через компьютерную сеть. Отметим, что уголовная ответственность по этой статье возникает в результате создания программы независимо от того, использовалась программа или нет. По смыслу ст. 273 УК наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности. Однако следует учитывать, что в ряде случаев использование подобных программ не должно являться уголовно наказуемым. Это относится к деятельности организаций, осуществляющих разработку антивирусных программ и имеющих соответствующую лицензию. Также очевидно, что собственник информационного ресурса вправе в необходимых случаях (например, исследовательские работы по созданию антивирусных средств) использовать вредоносные программы. К сожалению, эти очевидные исключения прямо не оговорены в законодательстве. Статья 274 УК РФ устанавливает уголовную ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети. Эта статья имеет целью предупреждение невыполнения пользователями своих профессиональных обязанностей, влияющих на сохранность хранимой и перерабатываемой информации. Выше мы отмечали, что число преступлений, зарегистрированных по ст. 274 УК РФ непропорционально мало по сравнению с другими преступлениями 28-й главы, что, по мнению некоторых авторов, свидетельствует о недостаточной работе правоохранительных органов. Недостаточно разработана и уголовно-правовая характеристика рассматриваемого преступления. Закон не дает определения нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, диспозиция ст. 274 носит бланкетный (отсылочный) характер. Под такими правилами понимаются, во-первых, гигиенические требования к технике и организации работы, во-вторых, техническая документация на приобретаемые компьютеры, в-третьих, конкретные, принимаемые в определенном учреждении или организации, оформленные нормативно и подлежащие поведению до сведения соответствующих работников правила внутреннего распорядка, в-четвертых, требования по сертификации компьютерных сетей и оборудования, в-пятых, должностные инструкции конкретных сотрудников, в-шестых, правила пользования компьютерными сетями. В частности, порядок сертификации средств защиты информации в РФ устанавливается Положением о сертификации средств защиты информации, утвержденным постановлением Правительства РФ от 26 июня 1995 г. № 608. Нарушения правил эксплуатации ЭВМ подразделяются на физические (неправильное подключение периферийного оборудования, отсутствие устройств бесперебойного питания, нарушение теплового режима в помещении, неправильное подключение ЭВМ к источникам питания, нерегулярное техническое обслуживание, использование несертифицированных средств защиты и самодельных узлов и приборов и пр.) и интеллектуальные (невыполнение процедуры резервного копирования, несанкционированная замена программного обеспечения, параметров настройки системы ЭВМ или компьютерной сети и пр.). К интеллектуальным нарушениям можно отнести и пренебрежение организационными мерами защиты компьютерной информации (предоставление посторонним лицам доступа в служебное помещение, несанкционированное разглашение сетевого имени и пароля законного пользователя и пр.). Заметим, что из текста ст. 274 УК РФ за нарушение правил обращения с машинными носителями информации привлечь лицо к уголовной ответственности нельзя, что, конечно, является серьезным недостатком закона. Ведется полемика о том, будет ли наступать уголовная ответственность за нарушение правил пользования глобальными сетями, например сетью Интернет. Сеть Интернет представляет собой глобальное объединение компьютерных сетей и информационных ресурсов, принадлежащих множеству различных людей и организаций. Это объединение является децентрализованным, и единого общеобязательного свода правил (законов) пользования сетью Интернет не установлено. В учебном пособии под редакцией Гаврилова отстаивается та точка зрения, что существуют общепринятые нормы работы в сети Интернет, направленные на то, чтобы деятельность каждого пользователя сети не мешала работе других пользователей и за нарушение таких норм должна наступать уголовная ответственность по ст. 274 УК РФ. Фундаментальное положение этих норм таково: правила использования любых ресурсов сети Интернет (от почтового ящика до канала связи) определяют владельцы этих ресурсов, и только они. Однако примеры, которые приводятся в пособии и которые, по мнению авторов, могут составлять объективную сторону анализируемого преступления (массовая рассылка рекламы (спам), оффтопик, фальсификация своего IP-адреса при выходе в сеть и т.п.) являются, на наш взгляд, неудачными, поскольку не могут повлечь предусмотренные ст. 274 УК РФ последствия. Наша точка зрения косвенно подтверждается тем, что в судебной практике отсутствуют случаи привлечения лица к уголовной ответственности за нарушение неписаных общепринятых норм работы в Интернет. Состав всех трех преступлений 28-й главы УК РФ конструктивно сформулирован как материальный. Обязательными признаками их объективной стороны являются не только общественно опасные действия, но и наступление общественно опасных последствий, а также причинная связь между этими двумя признаками. Общественно опасные последствия всех трех преступлений выражаются в виде уничтожения, блокирования, модификации либо копирования информации, а также нарушения работы ЭВМ, системы ЭВМ или их сети. В законе содержание указанных понятий не раскрывается, поэтому авторы, анализирующие состав данного преступления, вынуждены давать собственные определения. В одном из последних комментариев к УК РФ предлагаются следующие. Уничтожение информации заключается в удалении ее с носителя. Блокирование — это создание препятствий правомерному доступу к ней. Модификация информации предполагает любое ее изменение. Копирование — воспроизведение указанной информации на другом носителе. При этом не имеет значения, воспроизводится ли она с помощью технических средств либо вручную. Нарушение работы ЭВМ, их систем или сети означает, что они в результате этого не могут выполнять свои функции, выполнять их на должном уровне, когда значительно уменьшается их производительность. Таким образом, статьи 28-й главы обеспечивают защиту всех трех свойств компьютерной информации, которые рассматривались во второй главе дипломного проекта: конфиденциальности (копирование), целостности (уничтожение, модификация) и доступности (блокирование). Нарушение работы ЭВМ, системы ЭВМ или их сети может привести к потере любого из этих свойств в зависимости от характера такого нарушения. Но, на наш взгляд, законодатель допустил ошибку, не воспользовавшись достижениями науки информационной безопасности и явно не назвав указанные свойства, нарушение которых является первичным последствием компьютерных преступлений. Вместо этого законодатель использовал перечисление последствий, вторичных по своей природе, причем сделал это перечисление исчерпывающим. Это неотвратимо ведет к сужению области действия законодательства. Наиболее яркое подтверждение тому — дискуссия, которая ведется вокруг ст. 272 УК РФ. Дело в том, что из буквального текста законодательства следует, что сам по себе факт вызова или просмотра компьютерной информации, хранящейся на машинном носителе, состава анализируемого преступления не образует. К этому выводу приходят многие авторы, утверждая, что «необходимо по крайней мере установить факт переноса указанной информации на другой машинный носитель» [4]. Нет, например, оснований привлекать к уголовной ответственности по ст. 272 УК лицо, которое с помощью подбора пароля обошло систему защиты межбанковской компьютерной сети и, получив доступ к информации о счетах клиентов, из любопытства (или из преступных намерений) ознакомилось с ними. Конечно, во многих случаях ознакомления (чтения) информации в результате неправомерного доступа, можно «притянуть за уши» копирование, опираясь на то, что данные, прежде чем быть выведенными на экран, должны попасть с машинного носителя в оперативную память компьютера (т.е. создается временная копия указанных данных). Однако такой подход очевидно слаб (тем более, что данные могли по каким-то причинам уже находиться в памяти в результате действий управомоченного пользователя). Отметим, что необходимым признаком объективной стороны компьютерных преступлений является причинная связь между противозаконными действиями виновного и наступившими вредными последствиями. Действующее уголовное законодательство не выделяет квалифицированные составы преступлений по признаку использования электронной техники. Поэтому в тех случаях, когда неправомерный доступ к компьютерной информации выступает способом совершения другого умышленного преступления, а электронно-вычислительная техника используется в качестве орудия для достижения преступной цели, содеянное виновным квалифицируется по совокупности преступлений. Примером подобного преступления может являться следующее. К., являясь оператором ЭВМ в одной из организаций, на своем личном компьютере изготовил электронное почтовое сообщение с рекламой товаров народного потребления, приложив к нему в качестве подробного каталога с ценами и условиями поставки составленную им лично вредоносную программу для ЭВМ в виде файла katalog.exe, и распространил ее согласно имеющемуся у него списку электронных почтовых адресов пользователей сети Интернет 350 адресатам. В результате массового распространения этой вредоносной программы после ее запуска пользователями сети Интернет, К. несанкционированно получил по своему электронному адресу 87 учетных имен и паролей для доступа в сеть Интернет, которые скопировал на жесткий диск своего компьютера и в дальнейшем использовал для доступа в сеть Интернет [4]. В приведенном примере налицо несколько составов преступлений. Во-первых, создание, использование и распространение вредоносных программ для ЭВМ (ч. 1 ст. 273 УК РФ). Во-вторых, мошенничество, то есть хищение чужого имущества, совершенное путем обмана, (п. «б» ч. 2 с. 159 УК РФ). В-третьих, К. совершил неправомерный доступ к охраняемой законом компьютерной информации (учетные данные пользователей), повлекший ее блокирование (поскольку, в период работы К. законные пользователи не могли получить доступ к системе), то есть преступление, ответственность за которое предусмотрена ч. 1 ст. 272 УК РФ. Наиболее часто компьютерные преступления выступают в качестве способа совершения следующих умышленных преступлений: воспрепятствование осуществлению избирательных прав граждан или работе избирательных комиссий (ст. 141 УК РФ); фальсификация избирательных документов, документов референдума или неправильный подсчет голосов (ст. 142 УК РФ); мошенничество (ст. 159 УК РФ); причинение имущественного ущерба путем обмана или злоупотребления доверием (ст. 165 УК РФ); незаконное получение сведений, составляющих коммерческую или банковскую тайну (ст. 183 УК РФ); диверсия (ст. 281 УК РФ) и др. Интересно то, что квалифицированные составы преступлений 28-й главы несколько различаются. Ч.2 ст. 272 устанавливает повышенную уголовную ответственность за неправомерный доступ к компьютерной информации, совершенный группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети. Ч.2 ст. 273 и ч.2 ст. 274 в качестве квалифицирующего признака называют повлекшие по неосторожности тяжкие последствия. (Эта формулировка вызывает законный вопрос у многих авторов — а как же быть, если тяжкие последствия охватываются умыслом преступника?) Под тяжкими последствиями понимаются выход из строя важных технических средств (в том числе оборонного значения, авианавигационной техники), повлекшие аварии, катастрофы, гибель людей, а также безвозвратная утрата особо ценной информации. В последнем случае понятие тяжких последствий является оценочным и определение объема причиненного вреда должно осуществляться с учетом совокупности всех полученных данных. Подводя итоги, следует подчеркнуть, что совершенствование уголовного законодательства в сфере компьютерной информации, устранение многих белых пятен в нем, может быть достигнуто путем законодательного определения свойств конфиденциальности, целостности и доступности информации и установления их нарушения в качестве последствий рассматриваемых общественно опасных деяний. 3.2. Субъективные признаки преступлений в сфере компьютерной информацииСубъективная сторона компьютерных преступлений в настоящее время остается предметом полемики различных авторов. Это связано с тем, что прямых указаний на этот счет в Уголовном кодексе не содержится. Согласно одной точке зрения можно говорить об умышленной форме вины в виде прямого или косвенного умысла. Другая точка зрения состоит в том, что преступления, предусмотренные ст. 272 и 273 УК РФ могут быть совершены только с прямым умыслом. Одним из аргументов является использование слова «заведомо» в формулировке ст. 273: «…создание программ для ЭВМ…, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации…». Мы склоняемся к первой точке зрения. На практике преступник не всегда желает наступления вредных последствий, что особенно это характерно при совершении данного преступления из озорства, или так называемого «спортивного интереса». В учебном пособии под редакцией Гаврилова в качестве примера приводятся действия лица, осуществляющего распространение CD-дисков с вредоносными программами, достоверно знающего о вредоносных последствиях такой программы (хотя бы по этикетке компакт-диска), но вместе с тем безразлично к ним относящегося. Очевидно, что целью такого лица является не наступление общественно опасных последствий, а получение прибыли за счет продажи дисков. Таким образом, интеллектуальный момент вины, характерный для состава анализируемых преступлений, заключается в осознании виновным факта осуществления неправомерного доступа к охраняемой законом компьютерной информации, создания, распространения или использования вредоносных программ для ЭВМ либо нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети. При этом виновный понимает не только фактическую сущность своего поведения, но и его социально-опасный характер. Кроме того, виновный предвидит возможность или неизбежность реального наступления общественно опасных последствий в виде уничтожения, блокирования, модификации либо копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети. Следовательно, субъект представляет характер вредных последствий, осознает их социальную значимость и причинно-следственную зависимость. Волевой момент вины отражает либо желание (стремление) или сознательное допущение наступления указанных вредных последствий, либо, как минимум, безразличное к ним отношение. В любом случае для квалификации действий как использования вредоносных программ необходимо доказать, что лицо заведомо знало о свойствах используемой программы и последствиях ее применения. Заметим, что в процессе создания программы могут проявиться случайные результаты, возникшие, например, в из-за ошибок разработчика, которые могут привести к указанным в ст. 273 последствиям. При этом подобный результат будет неожиданностью для самого разработчика (как в случае со знаменитым «червем» Морриса). По российскому законодательству, в подобных ситуациях лицо не будет нести уголовную ответственность, поскольку указанные последствия не охватываются его умыслом. Открытым остается вопрос о том, должно ли лицо, осуществляющее неправомерный доступ к охраняемой законом компьютерной информации, осознавать факт неправомерности этого доступа. Что касается ст. 274 УК РФ, то, поскольку субъектом соответствующего преступления является должностное лицо, априорно предполагается, что это лицо ознакомлено со всеми необходимыми должностными инструкциями и, нарушая правила эксплуатации ЭВМ, системы ЭВМ или их сети, не может впоследствии ссылаться на незнание этих правил. В некоторых работах встречается суждение о том, что компьютерные преступления могут совершаться и по неосторожности. Мы считаем эту точку зрения ошибочной. Любое из преступлений, предусмотренных статьями 28-й главы, совершенное по неосторожности, исключает правовое основание для привлечения лица к уголовной ответственности, т.к., согласно ч.2 ст.24 УК, «деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части настоящего Кодекса». О неосторожности в диспозиции ст. 272—274 УК РФ не сказано, следовательно, деяние может быть совершено лишь умышленно. Преступления, предусмотренные ч. 2 ст. 273 и ч.2 ст. 274, совершаются с двойной формой вины: умышленной (в виде прямого или косвенного умысла) по отношению к созданию, использованию и распространению вредоносных программ либо нарушению правил эксплуатации ЭВМ, их системы или сети, и неосторожной по отношению к наступившим тяжким последствиям. То есть, причинение тяжких последствий не охватывается умыслом виновного, однако он предвидит возможность их наступления, но без достаточных к тому оснований самонадеянно рассчитывает на их предотвращение, либо не предвидит, хотя должен был и мог предвидеть возможность наступления тяжких последствий. Мотивы и цели компьютерных преступлений имеют факультативное значение для квалификации преступлений и были подробно нами проанализированы в первой главе настоящей работы. Согласно ст. 20 УК РФ, субъектом преступлений, предусмотренных ч.1 ст. 272 и ст. 273 УК РФ может быть любое физическое лицо, достигшее к моменту преступной деятельности шестнадцатилетнего возраста. Обязательным условием привлечения лица к уголовной ответственности является вменяемость (ст. 21 УК РФ). В двух последних квалифицированных составах преступления, перечисленных в ч. 2 ст. 272 РФ, а также в составе преступления, предусмотренного ст. 274 УК РФ имеется специальный субъект — лицо, имеющее доступ к ЭВМ, системе ЭВМ или их сети. К таким лицам следует относить законных пользователей информации (операторов ЭВМ, программистов, абонентов системы ЭВМ), а также лиц, по характеру своей деятельности имеющих доступ к ЭВМ, системе ЭВМ или их сети (наладчиков оборудования, иной технический персонал, обслуживающий ЭВМ). При этом необходимо подчеркнуть, что признание лица специальным субъектом преступления обусловлено не его особым положением (это бы противоречило принципу равенства граждан перед законом — ст. 4 УК РФ), а тем обстоятельством, что лицо именно вследствие занимаемого положения способно совершить такое преступление. Абсолютное большинство лиц, совершающих неправомерный доступ к охраняемой законом компьютерной информации (до 70%) как раз и будет приходиться на долю указанной законодателем категории лиц. Использование своего служебного положения предполагает доступ к охраняемой законом компьютерной информации благодаря занимаемому виновным положению по службе. При этом действия лица хотя и находятся в пределах его служебной компетенции, но совершаются с явным нарушением порядка осуществления своих функциональных обязанностей, установленных законом или иным нормативным актом. На субъект преступления, предусмотренного ст. 274 УК РФ, законом или иным нормативным актом возложена обязанность соблюдения правил эксплуатации ЭВМ в силу характера выполняемой трудовой, профессиональной или иной деятельности. В литературе до сих пор ведется полемика, следует ли считать квалифицированным субъектом лицо, имеющее законный доступ к сети Интернет. Понятие «сети ЭВМ», как отмечалось выше, законодательно не сформулировано и формально Интернет может попадать под эту категорию. Авторы, придерживающиеся другой точки зрения (например, А.Б. Нехорошев), замечают, что возможность законного доступа в Интернет в настоящее время есть практически у каждого пользователя, и рассмотрение его в качестве сети ЭВМ, названной в п.2 ст.272 УК приводит к неосновательному расширению квалифицирующего состава преступления. Приложение. Глава 28 УК РФ.
|