Компьютерная преступность и компьютерная безопасность

5) Статья 187. Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов

6) Статья 272. Неправомерный доступ к компьютерной информации.

-19-

7) Статьи 159 и 165 во многом схожи, и, так или иначе, одна из них будет применена в случае использования данных кредитной карты для финансовых операций, впрочем, как и ст.174.1. Если будет получена информация о финансовых операциях владельца кредитной карты - ст.183. Если же будет попытка при помощи данной информации изготовить реальную кредитную карту - то ст. 187. Статья 272 будет применена только в случае, когда будет возможность доказать получение данных о кредитных картах с определенного сетевого ресурса, что на практике оказывается большой редкостью.

"Крекинг" - создание программ, используемых для снятия с программного обеспечения ограничений в использовании; внесение изменений в готовое программное обеспечение для полной функциональности программ. Статьи:

1) Статья 146. Нарушение авторских и смежных прав (незаконное использование объектов авторского права или смежных прав, а равно присвоение авторства, если эти деяния причинили крупный ущерб).

2) Статья 273. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами.

Статья 146, несомненно, будет вменена, если возможно доказать хотя бы один факт использования "патча"  [4] ("крека"). Вменение 273 статьи - достаточно спорный вопрос. Однако факты инкриминирования ст. 273 по данным делам имели место.

Такое преступление, как получение учетных данных пользователей и

-20-

доступ по ним к сети Интернет, имеет достаточно широкое распространение среди компьютерных преступлений не только у нас, но и по всему миру. Цель деяния ясна из определения. Способы получения учетных данных разнообразны. Статьи:

1) статья 165. Причинение имущественного ущерба путем обмана или злоупотребления доверием.

2) статья 174.1. Легализация (отмывание) средств.

3) статья 272. Неправомерный доступ к компьютерной информации.

4) статья 273. Создание и распространение вредоносных программ для ЭВМ.

Факт получения учетных данных посредством незаконного доступа к охраняемой законом компьютерной информации пользователей достаточно сложно доказуем на практике, но если есть возможность - то в зависимости от способа получения данных инкриминируется ст. 272 или 273. Статья 273 инкриминируется, в основном, при использовании так называемых программ-"троянов". Это подтверждается приговором по уголовному делу, рассмотренному в Ростовской области в 1999 году - 2 года лишения свободы условно за создание, использование и распространение вредоносных программ для ЭВМ. (данное уголовное дело рассмотрел в своей работе к.ю.н. И.Н. Соловьев)  [5]. Ст. 272 используется во всех остальных случаях. При использовании учетных данных для доступа в сеть Интернет практически стопроцентно будут инкриминированы статьи 272 (модификация информации о состоянии баланса на счетах пользователей) и 165 (причинение имущественного ущерба провайдеру либо пользователям, выбор субъекта - достаточно спорный вопрос). В случае продажи учетных данных пользователей третьим лицам наступает ответственность по ст. 174.1.

"Нюкинг", или "d.o.s."-атаки, вызывающие "зависание" компьютеров, подвергшихся этому, выглядит достаточно невинным деянием, но все же за это придется отвечать по статьям:

1) Статья 272. Неправомерный доступ к компьютерной информации.

2) Статья 273. Создание и распространение вредоносных программ для ЭВМ

3) Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред .

В своей статье И.Н. Соловьев, ФСНП России, отметил, что "по российскому законодательству за подобное деяние может наступить ответственность по ст.274 УК РФ"  [6], однако по моему мнению, статьи 273 и 274 УК РФ так же могут быть применены по данному виду преступлений. Судебная практика по вменению статей по преступлениям этой группы достаточно скудная, и в основном дела закрывались за недоказанностью. И все же, 272 статья может быть инкриминирована из-за блокирования информации на атакованном компьютере, 273 - если программы-"нюки" или эксплойты для проведения удаленных "d.o.s." атак были созданы самим подследственным, либо им распространялись. Статья 274 применится в случае "неосторожного" действия, повлекшего блокирование информации на компьютере.

"Спамминг", или несанкционированная рассылка электронных сообщений рекламного либо любого другого характера - неоднозначное явление в среде компьютерных преступлений. Фактически это является правонарушением, но на практике в РФ дела, связанные со спамом, не рассматривались. Пожалуй, единственная статья, которую можно вменить "спамерам" - 274. В

-21-

этом случае рассылка сообщений рассматривается как нарушение правил рассылки электронных сообщений, что привело к модификации содержимого почтовых ящиков потерпевших и блокирование поступления сообщений в почтовый ящик (в случае переполнения его "спамом"). Это упущение, я считаю, необходимо рассмотреть законодателям при создании новых законопроектов в области регулирования компьютерных отношений. Безусловно, здесь можно выделить подгруппу, в которую будут включены преступления, включающие в себя рассылку сообщений, содержащих угрозы, направленные на жизнь, здоровье и другие свободы граждан. Здесь можно использовать:

1) Статья 110. Доведение до самоубийства или до покушения на самоубийство путем угроз.

2) Статья 117. Истязание (причинение физических или психических страданий насильственными действиями).

3) Статья 119. Угроза убийством или причинением тяжкого вреда здоровью, если имелись основания опасаться осуществления этой угрозы.

4) Статья 130. Оскорбление.

5) Статья 207. Заведомо ложное сообщение об акте терроризма.

Чтение чужих электронных сообщений так же можно выделить в новую группу преступлений, так как эти деяния по своей сути не несет никакого финансового ущерба, кроме, разве что, использования информации, содержащей коммерческую тайну, возможно содержащейся в электронных сообщениях. Инкриминировать по этому деянию можно:

1) статью 137 - нарушение неприкосновенности частной жизни,

-22-

2) статью 138 - нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений,

3) статью 183 - незаконные получение и разглашение сведений банковской тайны,

4) статью 272 - неправомерный доступ к компьютерной информации,

5) статью 273 - создание и распространение вредоносных программ для ЭВМ.

Безусловно, будет вменена статья 183, поскольку обмен электронными сообщениями также является перепиской. Статья 272 используется, так как просмотр сообщений является сам по себе копированием электронных сообщений на ПК инкриминируемого. Статья 273 будет вменена в случае использования специального программного обеспечения либо "эксплойта" для чтения сообщений. Статья 183 - в случае содержания финансовой тайны в сообщениях. И статья 138 - в случае содержания в сообщениях тайн личной жизни.

    Итак, практика преступлений, совершаемых в компьютерной сфере, весьма разнообразна, и для последующего предотвращения противоправных деяний, а так же предупреждения сложности выбора статей, по которым необходимо предъявлять обвинения по данным преступлениям, необходимо совершенствовать законодательство РФ новыми правовыми актами, которые смогут внести точность и ясность в нестабильные вопросы компьютерного права в России.

Проблема неосторожности в области компьютерной техники сродни                                                             неосторожной вине при использовании любого другого вида техники, транспорта и т.п.

 

 

-23-

                              Особенностью компьютерной неосторожности является то, что без ошибочных программ в принципе не бывает. Если проект практически в любой области техники можно выполнить с огромным запасом надежности, то в области программирования такая надежность весьма условна, а в ряде случаев почти не достижима.

  Подделка компьютерной информации.

 По-видимому, этот вид компьютерной преступности является одним из наиболее свежих. Он является разновидностью несанкционированного доступа с той разницей, что пользоваться им может, как правило, не посторонний пользователь, а сам разработчик, причем имеющий достаточно высокую квалификацию.

  Идея преступления состоит в подделке выходной информации компьютеров с целью имитации работоспособности больших систем,                                                            составной частью которых является компьютер. При достаточно ловко выполненной подделке зачастую удается сдать заказчику заведомо неисправную продукцию.

 К подделке информации можно отнести также подтасовку результатов выборов, голосования, референдумов и т.п. Ведь если каждый голосующий не может убедиться, что его голос зарегистрирован правильно, то всегда возможно внесение искажений в итоговые протоколы.

Естественно, что подделка информации может преследовать и другие цели.

Хищение компьютерной информации.

Если "обычные" хищения подпадают под действие существующего уголовного закона, то проблема хищения информации значительно более сложна. Присвоение машинной информации, в том числе

-24-

программного обеспечения, путем несанкционированного копирования не квалифицируется как хищение, поскольку хищение сопряжено с изъятием ценностей из фондов организации. На самом деле у нас программное обеспечение не распространяется путем краж и обмена крадеными программами. При неправомерном обращении в собственность машинная информация не изымается из компьютера, а копируется. Следовательно, как уже отмечалось выше, машинная информация должна быть выделена как самостоятельная отрасль уголовного права. Собственность на информацию, как и прежде, не закреплена в законодательном порядке. На мой взгляд, последствия этого не замедлят сказаться.

Рассмотрим теперь вторую категорию преступлений, в которых компьютер является "средством" достижения цели. Здесь можно выделить разработку сложных математических моделей, входными данными, в которых являются возможные условия проведения преступления, а выходными данными - рекомендации по выбору оптимального варианта действий преступника.

Другой вид преступлений с использованием компьютеров получил название "воздушный змей". В простейшем случае требуется открыть в двух банках по небольшому счету. Далее деньги переводятся из одного банка в другой и обратно с посте-пенно повышающимися суммами. Хитрость заключается в том, чтобы до то¬го, как в банке обнаружится, что поручение о переводе не обеспечено необ¬ходимой суммой, приходило бы извещение о переводе в этот банк, так чтобы общая сумма покрывала требование о первом переводе. Этот цикл повторя ется большое число раз ("воздушный змей" поднимается все выше и выше) до тех пор, пока на счете не оказывается приличная сумма (фактически она постоянно "перескакивает" с одного счета на другой, увеличивая

 

 

-25-

свои размеры). Тогда деньги быстро снимаются, а владелец счета исчезает. Этот способ требует очень точного расчета, но для двух банков его можно сделать и без компьютера. На практике в такую игру включают большое количество банков так сумма, накапливается быстрее и число поручений о переводе не достигает подозрительной частоты. Но управлять этим процессом можно только с помощью компьютера.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

-26-

Глава II

 Предупреждение компьютерных преступлений

       Естественно, что против вирусов были приняты чрезвычайные меры, приведшие к созданию текстовых программ-антивирусов. Защитные про¬граммы подразделяются на три вида:

1.фильтрующие (препятствующие проникновению вируса);

2.противоинфекционные (постоянно контролирующие процессы в

системе);

3.противовирусные (настроенные на выявление отдельных вирусов).

Однако развитие этих программ пока не успевает за развитием компьютерной эпидемии.

Мое пожелание ограничить использование непроверенного программного обеспечения скорее всего так и останется практически невыполнимым. Это связано с тем, что лицензионные программы на "стерильных" носителях стоят немалых денег в валюте. Поэтому избежать их неконтролируемого копирования почти невозможно.

Справедливости ради следует отметить, что распространение компьютерных вирусов имеет и некоторые положительные стороны. В частности, они являются, по-видимому, лучшей защитой от похитителей программного обеспечения. Зачастую разработчики сознательно заражают свои дискеты каким-либо безобидным вирусом, который хорошо обнаруживается любым антивирусным тестом. Это служит достаточно надежной гарантией, что никто не рискнет копировать такую дискету.

Преступная небрежность в разработке, изготовлении и эксплуатации

-27-

программно-вычислительных комплексов, приведшая к тяжким последствиям.

     При разработке компьютерных систем, выход из строя или ошибки в работе которых могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. Известно много мер, направленных на предупреждение преступления. Выделим из них технические, организационные и правовые. К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо

важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое. К организационным мерам отнесем охрану вычислительного центра, тщательный подбор персонала, исключение случаев веде-ния особо важных работ только одним человеком, наличие плана восстановления работоспособности центра после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.