Учебно-методический комплекс утвержден и рекомендован к печати учебно-методическим Советом по юридическому профилю иубиП от 01 сентября 2010 года протокол №

Вид материалаУчебно-методический комплекс

Содержание


Понятие и виды преступлений в сфере экономики и высоких технологий в зарубежном уголовном законодательстве.
Преступная деятельность, связанная с неправомерным доступом к компьютерной информации.
Подобный материал:
1   2   3   4   5   6   7   8   9   10   ...   19
ТЕМА № 4. Законодательство зарубежных государств в области борьбы с правонарушениями и преступлениями в сфере высоких технологий

Понятие и виды преступлений в сфере экономики и высоких технологий в зарубежном уголовном законодательстве. Исторически термин «компьютерная преступность» впервые появился в американской печати в начале 60-х годов, когда были выявлены первые случаи преступлений, совершенных с использованием компьютеров. Основные признаки компьютерных преступлений были сформулированы на конференции Американской ассоциации адвокатов в Далласе в 1979 году, к ним относились:
  1. Использование или попытка использования компьютера, вычислительной системы или сети компьютеров с целью получения денег, собственности или услуг под прикрытием фальшивых предлогов или ложных обещаний, либо выдавая себя за другое лицо;
  2. Преднамеренное несанкционированное действие, имеющее целью изменение, повреждение, уничтожение или похищение компьютера, вычислительной системы, сети компьютеров или содержащихся в них систем математического обеспечения, программ или информации;
  3. Преднамеренное несанкционированное нарушение связи между компьютерами, вычислительными системами или сетями компьютеров.

В законе ФРГ 1984 г. о компьютерных преступлениях содержалось определение компьютерной преступности, включающее в себя: «... все противозаконные действия, при которых электронная обработка информации являлась орудием их совершения или объектом преступного посягательства».32 Сходную позицию в 1995 г. заняла Генеральная ассамблея Интерпола, взяв на вооружение термин «компьютерно-ориентированная преступность».33

Американские ученые в 2000 году провели глобальное исследование уголовного законодательства 52 стран мира34 и пришли к выводу, что в тех странах, где предусмотрены составы преступлений, совершаемых в «информационном пространстве» (cyberspace), можно выделить десять различных видов компьютерных преступлений, объединяемых в четыре категории:

- Преступления, связанные с информацией, включая перехват, модификацию и кражу;

- Преступления, связанные с компьютерными сетями, включая вмешательство в их работу и саботаж;

- Преступления, связанные с доступом, включая хакерство и распространение вирусов; а также

- Преступления, связанные с использованием компьютеров, включая оказание помощи и соучастие в преступлении, компьютерное мошенничество и компьютерный подлог.35

Ю.М. Батурин считает, что компьютерных преступлений как особой группы преступлений в юридическом смысле не существует. Однако он отмечает тот факт, что многие традиционные виды преступлений модифицировались из-за использования при их совершении вычислительной техники, и поэтому правильнее было бы говорить лишь о компьютерных аспектах преступлений в целом, не выделяя компьютерные преступления в обособленную группу.36

В.В. Крылов предлагает в качестве альтернативы более широкое понятие «информационные преступления», которое позволяет абстрагироваться от конкретных технических средств.37

Необходимо подчеркнуть, что понятия «компьютерные преступления» и «преступления в сфере компьютерной информации» не являются синонимами. Понятие компьютерных преступлений шире, чем понятие преступлений в сфере компьютерной информации.

По нашему мнению, принимая во внимание результаты научных исследований и законодательную практику различных государств, а также международного сообщества, зависимости от видового объекта и предмета посягательства, все компьютерные преступления, предусмотренные в зарубежном уголовном праве можно разделить на две группы:

Преступления в сфере компьютерной информации. Предметом в таких преступлениях выступает компьютерная информация, как, например, в ст.ст. 272-274 УК РФ, ст.ст. 361-363 УК Украины, §1030 (a) (1) Свода Законов США «Несанкционированный доступ к информации с ограниченным доступом, касающейся национальной безопасности, международных отношений, атомной энергетики», ст. 478.1 УК Австралии «Несанкционированный доступ или модификация охраняемой компьютерной информации или программы» и др.

Преступления, где компьютерная информация является орудием или средством совершения другого преступления. Эти составы преступлений находятся в других главах Уголовных кодексов, к примеру, в ст. 212 УК Республики Беларусь «Хищение путем использования компьютерной техники»; § 1030 (a) (7) Свода Законов США «Вымогательство, угрозы причинения вреда с использованием компьютера»; ст. 206 (1) (е) УК Канады «Использование компьютерных данных и технологий в целях извлечения прибыли путем создания финансовых пирамид» и др. Применительно к УК РФ, ответственность за преступления этой группы должна наступать по другим статьям Кодекса в соответствии с их родовым и непосредственным объектами. Однако такие деяния в необходимых случаях могут квалифицироваться по совокупности с преступлениями, предусмотренными ст.ст. 272-274 УК РФ.

В России родовыми объектами преступлений в сфере компьютерной информации являются общественная безопасность и общественный порядок, на что указал законодатель, поместив данную главу в раздел IX Кодекса. Но преступления в сфере компьютерной информации посягают не на все отношения общественной безопасности в целом, а лишь на одну ее часть – информационную безопасность. В основе обоих понятий лежит понятие «безопасности». В соответствии со ст. 1 Закона РФ «О безопасности» безопасность – это «состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз». Включенные в данную главу деяния посягают на безопасность создания и использования компьютерной информации, информационных систем и технологий. Таким образом, видовым объектом этих преступлений будет выступать информационная безопасность. Согласно Доктрине информационной безопасности РФ под информационной безопасностью понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Однако, данное определение нельзя признать применимым при определении объекта любых преступлений в связи с его недостаточной четкостью.

Некоторые авторы отмечают, что информационная безопасность – это «состояние защищенности страны (жизненно важных интересов личности, общества и государства) в информационной сфере от внутренних и внешних угроз».38 По нашему мнению, для целей уголовного закона, понятие «информационной безопасности» нужно рассматривать более конкретно, а именно как безопасность создания и использования компьютерной информации, информационных систем и сетей.

Можно согласиться с мнением, что «правовое регулирование деятельности по обеспечению информационной безопасности осуществляется посредством институтов тайны, лицензирования деятельности по технической защите конфиденциальной информации и деятельности с использованием шифровальных средств, использования электронной цифровой подписью, а также ответственности за правонарушения в сфере безопасности информации, в том числе преступлений в сфере компьютерной информации».39 Таким образом, уголовно-правовая защита компьютерной информации относится к правовым мерам обеспечения информационной безопасности общества.

В России с каждым годом количество преступлений, совершаемых в сфере компьютерной информации, растет. С момента вступления УК РФ в действие и до сегодняшнего времени рассматриваемые преступления не часто встречаются в следственной и судебной практике, хотя можно отметить их более быстрый рост в структуре регистрируемой преступности по сравнению со структурой судимости.40

При этом необходимо учитывать высокую степень латентности таких преступлений (расчетный коэффициент по ст. 272 УК РФ – 7,03, по ст. 273 УК РФ – 15,02 , по ст. 274 УК РФ – 40,77).41 Специалисты полагают, что известными становятся лишь 5% таких преступлений, а к примеру в США ответственность наступает лишь за одно из каждых 200 тыс.42 совершаемых компьютерных преступлений. Большинство экспертов считает, что официальные данные о преступлениях в сфере компьютерной информации являются существенно заниженными, поскольку жертвы могут не подозревать, что они стали их жертвами, могут не осознавать, что соответствующее деяние является преступлением или же могут воздерживаться от подачи жалоб, опасаясь подорвать доверие к своей компании. Дополнительные проблемы возникают в связи с массовой виктимизацией в результате таких преступлений, как распространение компьютерных вирусов, поскольку число потерпевших оказывается чрезмерно большим для выявления и подсчета и поскольку в их результате новые жертвы могут появляться спустя значительное время после того, как преступники были установлены и понесли наказание. Еще один фактор, усложняющий сбор и сопоставление национальных статистических данных о преступности, связан с тем, что транснациональные компьютерные преступления, по определению, совершаются или имеют последствия по меньшей мере в двух государствах, в некоторых случаях во многих государствах, в результате чего возникает опасность получения повторных сообщений или неполучение вообще никаких сообщений.

Для оценки раскрываемости компьютерных преступлений интерес представляет ежегодный обзор компьютерных преступлений, вышедший в США и охватывающий период с июля 2005 года по июнь 2006 года. Исследование «2006 E-Crime Watch Survey» подготовлено журналом CSO (Chief Security Officer) совместно с Секретной службой США (US Secret Service) и общественной организацией CERT (Computer Emergency Response Team), оказывающей помощь в обнаружении и расследовании преступлений, являясь посредником между потерпевшим и правоохранительными органами. Анкетирование проводилось на базе 15 тысяч читателей журнала CSO, из которых откликнулось 434 респондента. Статистическая погрешность результатов составляет не более 3,4%.43

Ниже приводится таблица из данного исследования, наглядно показывающая доли различных видов совершенных компьютерных преступлений среди общего количества. Кроме того, в таблице указаны субъекты таких преступлений в смысле отношения к пострадавшей компании.

Таблица 1. Какие компьютерные преступления были совершены против вашей компании в предыдущие 12 месяцев. Источник: 2006 E-Crime Watch Survey.44






Всего совершено

Инсайдерами

Снаружи

Кража интеллектуальной собственности

30%

63%

45%

Кража информации, включая информации о клиентах, платежные записи и др.

36%

56%

49%

Dos-атаки

36%

0%

84%

Использование вредоносных программ

72%

23%

80%

Мошенничество, включая подделки банковских карт

29%

47%

69%

Кража «личности» клиентов

19%

46%

79%

Незаконная рассылка спама

40%

10%

78%

Фишинг (попытки получения персональных данных клиентов или служащих компании под видом основной организации)

31%

0%

77%

Несанкционированные доступ к информации, информационной системе или сети

60%

47%

60%

Саботаж, преднамеренная порча, уничтожение информации,

информационных систем и сетей

33%

49%

41%

Вымогательство

33%

49%

41%

Взлом Интернет-сайтов

14%

22%

78%

Зомбирование машин в сетях компании, использование сетевых ботов (bot-net)


20%

16%

72%

Преднамеренное разглашение персональных данных, информации о частной жизни лица

11%

71%

36%

Шпионское программное обеспечение (исключая adware)

51%

17%

73%

Прочее

11%

50%

43%



Хотя респонденты по-прежнему больше обеспокоены угрозой со стороны внешних злоумышленников, проблема инсайдеров, т.е. штатных сотрудников и работников по контракту, становится все острее и острее. Среди всех организаций, которые зафиксировали инциденты в сфере информационной безопасности за последний год, большинство (55%) стали жертвой хотя бы одной инсайдерской атаки. По сравнению с предыдущим годом этот показатель возрос с 39%.

По ряду серьезных угроз инсайдеры уже сейчас не уступают внешним преступникам. Предумышленное разглашение конфиденциальной информации (71%), кража интеллектуальной собственности (63%), мошенничество (47%) и вымогательство (49%), саботаж (49%) – во всех этих деяниях лидерство инсайдеров постоянно продолжает укрепляться.

Более половины организаций-респондентов, так или иначе, пострадали из-за утечек конфиденциальной информации со стороны именно инсайдеров. Таким образом, проблема инсайдеров переходит в разряд критических, учитывая и значительный рост затронутых ею предприятий по сравнению с прошлым годом.

Преступная деятельность, связанная с неправомерным доступом к компьютерной
информации.
Непосредственным объектом рассматриваемого преступления является безопасность деятельности всех субъектов, являющихся обладателями информации или операторами информационных систем, по созданию и использованию информации, т.е. по реализации ими своих полномочий в пределах, установленных законом.45 Неправомерный доступ должен быть именно к охраняемой информации, а не к носителям, на которых такая информация содержится.

Под доступом к информации в Руководящем документе Гостехкомиссии РФ «Защита от несанкционированного доступа к информации» (введен в действие приказом Председателя Гостехкомиссии России № 114 от 4.06.99 г.)46 понимается «ознакомление с информацией, ее обработка, в частности, копирование модификация или уничтожение информации».

В соответствии со ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» доступ к информации определяется как возможность получения информации и ее использования.

Таким образом, полномочия по ограничению либо разрешению доступа к информации являются существенными полномочиями обладателя информации.

Неправомерность доступа к компьютерной информации означает, во-первых, что виновный нарушает порядок доступа к информации, установленный законом или обладателем информации. Во-вторых, виновный получает возможность получить компьютерную информацию и использовать ее без согласия законного обладателя.

Нельзя рассматривать как неправомерный доступ к компьютерной информации действия, разрешенные обладателем информации, такие как проведение испытаний системы защиты, действия по настройке системы, копирование информации, уже сделанной ее обладателем доступной для неограниченного круга лиц, и т.п.

В зарубежном и международном уголовном законодательстве употребляется термин «несанкционированный доступ» (unauthorized access)47. На наш взгляд, по сути, данный термин является более точным, т.к. правомерность доступа к информации фактически означает его санкционированность (разрешенность) обладателем информации.

По мнению А.А. Жмыхова, если лицо не наделено правом доступа к информации и не имеет необходимого согласия обладателя информации, его предполагаемый доступ будет рассматриваться как несанкционированный48. К примеру, в ст. 17 (5) Закона Великобритании о злоупотреблении компьютерами 1990 г. (Computer Misuse Act)49 дано определение несанкционированного доступа. Доступ считается несанкционированным, если: лицо не наделено правом контроля над доступом к программам или данным, и если оно не получило согласия уполномоченного лица на доступ к программам или данным. В соответствии с одним из первых судебных решений по данному вопросу, в случае если, санкционированный доступ был использован для несанкционированной цели, этот доступ остается санкционированным (DPP v Bignell (1998).50 Однако в более поздних судебных решениях, а также в науке данная концепция была отвергнута.51

Способы неправомерного доступа к компьютерной информации различны и могут быть разделены на52:

1. Способы непосредственного доступа.

2. Способы опосредованного (удаленного) доступа.

3. Смешанные способы доступа.

Непосредственный доступ к ЭВМ, системам или их сети представляет собой действия по уничтожению, блокированию, модификации, копированию компьютерной информации, а также по нарушению работы компьютерного оборудования или информационной системы путем отдачи соответствующих команд с компьютера, в памяти которого находится информация, либо который планируется вывести из строя.

Удаленный способ доступа к ЭВМ, информационной системе или сети представляет собой опосредованную связь с определенным компьютером (сетевым сервером) и имеющейся на нем информацией, находящимся на расстоянии. Такая связь может быть осуществлена через локальные или глобальные информационно-телекоммуникационные сети, иные средства связи. С помощью удаленного доступа совершается специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве, так называемые сетевые (или удаленные) атаки. Под удаленной атакой обычно понимают «информационное разрушающее воздействие на распределенную вычислительную систему, программно осуществляемое по каналам связи».53

Во всем мире доля преступных деяний, совершаемых путем удаленного доступа к ЭВМ, системе или компьютерной сети, в общем числе компьютерных преступлений продолжает неуклонно расти и составляет по оценкам специалистов примерно 39,2%.54

Способы опосредованного доступа можно, в свою очередь, разделить на две подгруппы: 1) способы преодоления парольной и иной защиты и последующего подключения к чужой системе (подключение к линии связи законного пользователя, проникновение в систему путем автоматического перебора номера, использование чужого пароля); 2) способы непосредственного, электромагнитного и др. видов перехвата информации.

Одно из преступных деяний подобного рода стало широко известно в мире в связи с арестом в США двух российских граждан – жителей г. Челябинска А. Иванова и С. Горшкова, которые, по данным ФБР США, на протяжении 1999-2001 гг., используя персональные компьютеры, находящиеся в Челябинске, путем сканирования осуществляли несанкционированный доступ к компьютерным сетям компаний, занимающихся электронной коммерцией, похищали оттуда номера кредитных карт клиентов, а затем шантажировали эти компании, предлагая за плату скрыть информацию, которая способна скомпрометировать компанию: не распространять номера карт и не оглашать сам факт неправомерного доступа. В отдельных случаях они входили в контакт с компанией-собственником информации, представляясь членами «группы экспертов по защите от хакеров», и сообщали, что им удалось проникнуть в компьютеры компании. Затем они предлагали за плату устранить недостатки и повысить безопасность компьютерной системы. 8 августа 2002 года Челябинское отделение ФСБ возбудило уголовное дело по признакам преступления, предусмотренного ч. 1 ст. 272 УК РФ.55

Отметим, что незаконное подключение к сети Интернет следственными и судебными органами часто квалифицируется как преступление по ст. 272 УК РФ с использованием удаленного доступа. При подключении к сети Интернет происходит использование чужого имени пользователя, поэтому считается, что этот доступ является неправомерным. Имя пользователя (логин) и пароль являются информацией, охраняемой законом. Неправомерный доступ к информации, обеспечивающей присоединение к сети Интернет, приводит к ее блокированию, т.к. законный пользователь уже не может использовать эту информацию для входа в сеть. Кроме того, происходит модификация статистической базы данных оператора связи (биллинговой системы). В этих случаях в правоприменительной практике деяние квалифицируется по совокупности ст. 272 и ст. 165 УК РФ.

В то же время, А.Л. Осипенко не согласен с подобным подходом в правоприменительной практике, считая, что в случае похищенных сетевых реквизитов для доступа к сети Интернет и последующего доступа не будет происходить модификации информации, необходимой для наступления ответственности по ст. 272 УК РФ. Он считает, что «производимая в автоматическом режиме регистрация действий лица, неправомерно завладевшего сетевыми реквизитами, является как раз признаком нормального функционирования программного обеспечения. Таким образом, фиксируемые в базах данных провайдера сведения о неправомерности сеанса доступа указанного лица в Интернет не могут считаться фактами неправомерной модификации содержащейся в них информации».56

Другие авторы утверждают, что применение в рассматриваемой ситуации ст. 272 УК РФ нельзя признать правомерным по другим причинам.57 По их мнению, наличие описанного состава преступления в действиях подозреваемого/обвиняемого может быть признано лишь в том случае, если он сам непосредственно осуществил модификацию статистической (биллинговой) информации в системе оператора связи, осуществив к ней неправомерный доступ.

По нашему мнению, с такой позицией можно согласиться. Биллинговая система (т.е. автоматизированная система расчетов) представляет собой программно-аппаратный комплекс, предназначенный для учета потребления услуг связи, управления расчетами за такие услуги, управления самими услугами одновременно с хранением информации об абонентах, которым оператор связи оказывает эти услуги. Задачами, которые она должна при этом решать, являются:

- сбор информации о потребляемых услугах;

- аутентификация и авторизация абонентов;

- контроль денежных средств на счетах абонентов и списание средств в соответствии с действующей тарифной сеткой;

- пополнение счетов абонентов;

- внесение изменений в тарифы;

- предоставление статистики по операциям (клиентская и операторская части).

В описанных выше случаях неправомерного доступа к сети Интернет непосредственного изменения информации в информационной системе оператора связи не проводилось (и подобной цели не ставилось): изменение данных производилось самой автоматизированной системой учёта в штатном режиме. Если же признать любые действия, «вводящие в заблуждение» автоматизированные системы учёта, несанкционированным уничтожением, копированием или модификацией информации, то по ст. 272 УК РФ необходимо квалифицировать и использование средств обеспечения анонимности в сети Интернет, и даже позирование перед цифровой системой видеонаблюдения с изменённой внешностью.

В то же время, начальник Бюро специальных и технических мероприятий МВД России – ведомства, ответственного за расследование преступлений в сфере компьютерной информации, Б.Н.Мирошников отмечал, что среди преступлений в сфере компьютерной информации наиболее распространены факты несанкционированного доступа в сеть Интернет с использованием реквизитов реальных пользователей.58

Таким образом, статистика преступности в сфере компьютерной информации отражает факты не вполне корректного применения правоприменительными органами соответствующего законодательства, расширительного толкования элементов состава преступления, предусмотренного ст. 272 УК РФ, а также недостаточном непонимании технических условий функционирования телекоммуникационных сервисов.

Новым видом преступности с использование опосредованного доступа стало использования беспроводных сетей связи (например, Wi-fi) для неправомерного доступа к информации.

В Великобритании в 2005 г. впервые был осужден хакер, признанный виновным в нелегальном проникновении в беспроводную домашнюю сеть. Грегори Страшкевич (Gregory Straszkiewicz) был задержан полицией с оснащенным интерфейсом Wi-Fi ноутбуком в руках под стенами дома, внутри которого была развернута домашняя беспроводная сеть. Подсудимый признался, что это была не первая его попытка нелегального проникновения в частные беспроводные сети. Суд приговорил Страшкевича к штрафу в размере 500 фунтов и 12 месяцам условного заключения по ст. 125 и 126 Закона о телекоммуникациях Великобритании.59

В 2004 г. в США 21-летний Брайаном Сальседо был приговорен к 9 годам тюремного заключения за попытку похищения номеров кредитных карточек путем взлома беспроводной сети одного из магазинов.

Соучастник преступления, за которое осужден Б. Сальседо – 21-летний Эдам Ботбил также признал себя виновным. Суд приговорил его к 26 месяцам лишения свободы, после которых в течение двух лет Э.Ботбил должен будет находиться под судебным надзором. Э.Ботбил был первым, кто весной 2003 года случайно получил доступ к компьютерам магазина Lowe через Wi-Fi сеть. Полгода спустя Э.Ботбил и его приятель Б.Сальседо, который в тот момент уже был условно осужден на три года за компьютерные преступления, разработали план похищения номеров кредитных карт через сеть магазинов Lowe.

Используя Wi-Fi, хакеры получили доступ к главному корпоративному серверу Lowe в Северной Каролине и через него подсоединились к локальным сетям в Канзасе, Кентуки, Южной Дакоте, Флориде и Калифорнии. В двух магазинах хакеры изменили программу «tcpcredit», которую Lowe использует для проведения транзакций. Преступники добавили в программу «tcpcredit» функцию сохранения номеров кредитных карт в специальном файле, откуда позже намеревались копировать информацию.

Через некоторое время сетевые администраторы Lowe обнаружили присутствие в сети посторонних и обратились в ФБР. После ряда оперативных мероприятий агенты задержали Б.Сальседо, Э.Ботбила и его соседа по комнате — Пола Тимминса. Последний позднее был оправдан, но при этом признался, что через сеть Lowe проверял свою электронную почту. На момент ареста преступники успели получить в свое распоряжение только шесть номеров кредитных карт.

Суд учел смягчающие обстоятельства: Б.Сальседо признал свою вину и помог потерпевшим – сети магазинов Lowe. Он встретился с представителями Lowe, рассказал им об уязвимых местах компьютерной сети и сообщил, каким образом можно ее усовершенствовать во избежание следующих нападений хакеров.60

В последнее время Bluetooth-безопасность также стала серьезной проблемой в европейских странах, где эта технология распространена более широко, чем в России. Начинают сталкиваться с этой проблемой и в США. Любой персональный компьютер или сотовый телефон, снабженный специальной антенной и спрятанный в сумке, может сканировать диапазон частот 2,4 ГГц, в котором работают Bluetooth-устройства. С помощью ноутбука можно проникнуть в любой телефон, попадающий в сферу действия его антенны, взломать любое оборудование через технологию Bluetooth, с помощью которой телефоны общаются с наушниками, компьютерами и другими устройствами. С использованием Bluetooth возможно совершение любого несанкционированного действия; прослушивание разговоров, изменение телефонных номеров в адресной книге, или даже осуществление международных звонков. Пока мало кто задумывается о том, что стремительно растет число технических и программных средств для проникновения в мобильные телефоны, включая и вирусные атаки.

Смешанные способы доступа могут осуществляться как путем непосредственного, так и опосредованного доступа к компьютерным системам.

Отметим, что способ совершения преступлений, предусмотренных в ст. 272 УК РФ, входит в предмет доказывания и для его установления может быть назначена судебная компьютерно-техническая экспертиза.

Как правило, орудием совершения таких преступлений является компьютерная техника (наиболее часто – персональный компьютер), информационно-телекоммуникационные сети и иные виды информационных технологий.

Среди возможных последствий неправомерного доступа к компьютерной информации особое место занимает – нарушение работы ЭВМ, системы ЭВМ или их сети, которое заключается в сбое компьютерной техники (произвольном отключении, отказе выдать запрашиваемую информацию, нарушении порядка выполнения команд и т.п.) при сохранности физической целостности этой техники. В основном такие последствия наступают в результате так называемой Dos- атаки. Dos-атака сегодня является одной из самых распространенных и опасных сетевых атак, относящихся к отказу в обслуживании (Denial of Service).61 Dos-атака определяется как четко выраженная попытка
атакующими предотвратить возможности воспользоваться той или иной услугой, например, попытки «заполнить» сеть, тем самым блокируя сетевой трафик; попытки нарушить связь между компьютерами, предотвращая тем самым доступ к услуге; попытки предотвратить доступ к конкретной информационной системе. Однако нужно отметить, что само по себе нарушение работы информационных систем и сетей в результате Dos-атаки является серьезным деянием, влекущим во многих зарубежных странах уголовную ответственность, и не ставится в зависимость от того, правомерный был доступ к компьютерной информации или нет, так как чаще всего речь о характере доступа не идет. С нашей точки зрения, необходимо внести соответствующую норму в УК РФ.62

По российскому уголовному праву если неправомерный доступ к информации привел к уничтожению или повреждению аппаратно-технической части ЭВМ или линий связи, то содеянное в зависимости от формы вины субъекта преступления и иных обстоятельств подлежит дополнительной квалификации по ст. 167 или ст. 168 УК РФ.

Если не наступило ни одно из указанных в ч. 1 ст. 272 УК РФ последствий, то уголовная ответственность по этой статье Кодекса не наступает. Преступление считается оконченным именно с момента наступления указанных последствий. При этом должна быть установлена причинная связь между действиями виновного по неправомерному доступу к компьютерной информации и наступившими последствиями. Отметим, что такой подход к формулированию рассматриваемого состава преступления применяется далеко не во всех странах.

Чаще всего, именно факт установления причинной связи представляет для следственных органов и судов значительные трудности. Ввиду того, что именно неправомерный доступ должен являться условием для непосредственного осуществления второго действия (например, копирования, уничтожения и т.д.), то их сложно связать с помощью причинной связи. В связи с этим в обвинительных заключениях встречаются некорректные, с технической точки зрения, формулировки о причинной связи между неправомерным доступом и последствиями, но чаще следователи лишь упоминают о причинной связи, указывая лишь на общую последовательность отдельных действий. Есть даже примеры, где следователи, пытаясь показать причинную связь, расширяют число причиненных последствий за счет выходящих за рамки ст. 272 УК РФ.

С нашей точки зрения, действующая формулировка состава преступления, предусмотренного в ч. 1 ст. 272 УК РФ, как материального «отсекает» целый ряд ситуаций, когда указанных в законе последствий не наступает, но сам факт того, что информация становится известна третьему лицу, причиняет существенный вред ее обладателю. Эту проблему некоторые исследователи предлагают устранить путем уточнения диспозиции ст. 272 УК, включив в перечень предусмотренных последствий и «несанкционированное собственником ознакомление лица с защищаемой законом информацией».63

Другими авторами представляется, что правильнее было бы рассматривать основанием, влекущим уголовную ответственность за неправомерный доступ к компьютерной информации случаи, когда неправомерный доступ сопряжен с ее уничтожением, блокированием и иными последствиями (т.е., по их мнению, такому доступу следовало бы в законе придать значение не только причины, но и необходимого условия наступления таких последствий).64

В соответствии с Федеральным законом от 27 июля 2006 г «Об информации, информационных технологиях и о защите информации», доступ к информации уже подразумевает под собой возможность получения информации и ее использования любым возможным способом, таким как копирование, передача другим лицам и др. Таким образом, установление в качестве обязательных признаков объективной стороны рассматриваемого состава преступления наступление каких-либо последствий является с этой точки зрения излишним.

Необходимо заметить, что уголовное законодательство многих стран формулирует составы преступлений в сфере компьютерной информации как формальные, т.е. уголовную ответственность влечет совершение самого деяния, независимо от того, наступили ли определенные общественно опасные последствия. Такой подход представляется более целесообразным, исходя из практики расследований данных преступлений и сложностей в установлении причинной связи, а также технических возможностей и способов их совершения.

Именно так этот вопрос решается ст. 138а УК Нидерландов, в которой предусмотрена уголовная ответственность за несанкционированный доступ.

Лицо признается виновным в преступлении, если преднамеренно и незаконно получает доступ к автоматизированной системе хранения данных, системе обработки данных или части таких систем, если оно при этом преодолевает систему защиты или использует такие технические средства, как ложные сигналы, ложные пароли, ложное установление идентичности. Квалифицированный состав того же преступления на лицо, если преступник копирует или переписывает для себя или для другого лица данные, к которым он незаконно получил доступ указанными способами. Особо квалифицированный состав того же преступления будет, когда лицо совершает незаконный доступ посредством телекоммуникационных систем, либо с целью извлечения выгоды для себя или для третьего лица, или если посредством системы, к которой виновный получил незаконный доступ, он получает доступ к еще одной системе.

В Уголовном кодексе Республики Беларусь указанная проблема решена следующим образом. Ст. 349 УК устанавливает ответственность за «несанкционированный доступ к информации, хранящейся в компьютерной системе, сети или на машинных носителях, сопровождающийся нарушением системы защиты и повлекший по неосторожности изменение, уничтожение, блокирование информации или вывод из строя компьютерного оборудования либо причинение иного существенного вреда». При этом ответственность за умышленное уничтожение, копирование, блокирование и модификацию установлена отдельными статьями (ст. 350-351).

Закон Великобритании о злоупотреблении компьютерами 1990 г. в ст. 1 устанавливает ответственность за несанкционированный доступ к какой-либо компьютерной программе или базе данных. В самостоятельной ст. 3 Закона отдельно предусматривается ответственность за несанкционированную модификацию данных с целью помешать деятельности какого-либо компьютера, воспрепятствовать доступу к любой программе или данным любого компьютера или повредить данные компьютера. Ст.1 Закона применяется к хакерам, которые получили доступ к компьютерным программам и данным без какого-либо намерения совершить другое преступление. Установлено, что лицо виновно в преступлении, если:

а) оно заставляет компьютер выполнять какую-либо функцию с намерением обеспечить доступ к любой программе или данным, содержащимся в компьютере;

б) доступ, который оно намерено обеспечить, является несанкционированным;

в) оно знает в это время, когда заставляет компьютер выполнять эту функцию, что это преступление.

Таким образом, для наличия данного состава преступления требуются некоторые формы взаимодействия с компьютером, но не обязательно должен быть обеспечен фактический доступ к компьютеру. Такая широкая формулировка означает, что простое включение компьютера уже является достаточным для признания наличия состава преступления, предусмотренного ст. 1 Закона Великобритании.

Кроме того, рассматриваемое преступление будет совершено даже в случае, если не были предприняты какие-либо меры по обеспечению компьютерной безопасности и защиты от хакерского взлома. Любая содержащаяся на компьютере информация защищена Законом Великобритании 1990 г., не зависимо от того, защищена ли она ее обладателем. В этом основное различие между этим английским законом и подобными нормами, действующими в других странах, где, как и в России, преступлением считается только несанкционированный доступ к информации, доступ к которой ограничен.65 При разработке Закона 1990 г. разработчики посчитали, что ограничивать преступление хакерства только защищенными данными эквивалентно ситуации, в которой кражи со взломом не будет в случае, если домовладелец оставил двери и окна открытыми.66

Преступление, наказуемое по ст. 2 Закона о злоупотреблении компьютерами, включает в себя то же деяние, которое предусмотрено в ст. 1, с намерением совершить или облегчить совершение другое преступления.67 Таким преступлением должно быть такое наказание, за которое установлено в законе (например, мошенничество, убийство или государственная измена) и составляет не менее пяти лет лишения свободы. Если преступление, с целью совершения которого было совершен несанкционированный доступ к данным, закончено, то оно будет наказываться по соответствующему закону, Ст.2 Закона 1990 г. будет применяться только тогда, когда это преступление не является законченным деянием. Преступления, квалифицируемые по ст. 1 и 2 рассматриваемого Закона Великобритании, являются подчиненными, т.е. если лицо обвиняется по ст.2, то обвинение может быть изменено на ст. 1, если необходимое намерение совершить другое преступление не может быть доказано. Необходимо отметить, что преступление по ст. 2 рассматривается по обвинительному акту судом присяжных, поэтому возможно наказание за покушение на совершение данного преступления, а в случае обвинения по ст. 1, наказание за покушение невозможно, т.к. оно является суммарным преступлением.

Закон Великобритании 1990 г. содержит нормы, в соответствии с которыми юрисдикция компетентных органов и судов Великобритании распространяется на любое из перечисленных в Законе деяний, при совершении которого хотя бы один из элементов состава преступления был выполнен на территории страны. Это означает, что Закон 1990 г. применяется, когда на территории Великобритании имеет место либо само деяние, либо наступают только его последствия. В таких случаях преступление признается оконченным в Великобритании (ст. 4-7). По мнению зарубежных исследователей в области борьбы с компьютерными преступлениями, данное предписание закона является исключительно необходимым для случаев, когда преступление совершено с компьютера, расположенного в стране не установившей ответственности за такие преступления, или когда уголовно-правовые предписания признают оконченным состав преступления лишь в случае наступления общественно опасных последствий на территории государства совершения преступного деяния.

8 ноября 2006 года в Великобритании был одобрен Закон, который ужесточает наказание за преступления в сфере компьютерной информации. В соответствии с Законом о полиции и юстиции (Police and Justice Bill 2006), вносящем изменения в Закон о злоупотреблении компьютерами 1990 г., к разряду преступлений отнесены умышленные действия, направленные на временное или постоянное нарушение работы компьютера или компьютерной системы, предотвращение доступа к какой-либо информации или базе данных (Dos-атака). Кроме того, в соответствии с указанным Законом, вводится уголовная ответственность за изготовление, поставку и приобретение программ, предназначенных для совершения несанкционированного доступа к компьютеру, а также для нарушения работы компьютера.

В Уголовном кодексе Франции также содержатся достаточно подробные нормы, посвященные преступлениям в сфере компьютерной информации. В §1 ст. 323-1 предусматривается уголовная ответственность за незаконный доступ к части или всем данным, обрабатываемым автоматическими системами. В то же время §2 этой же статьи говорит об ответственности за то же деяние, если оно повлекло блокирование или модификацию данных в этой системе либо привело к нарушению функционирования системы. Ст. 323-3 УК Франции устанавливает ответственность за мошенническое введение данных в автоматизированную систему либо мошенническое удаление или модификация данных. Кроме того, в 2004 году были внесены поправки в УК Франции путем добавления новой ст. 323-3-1, устанавливающей ответственность за незаконный импорт, владение, предложение, передача или предоставление в доступ неограниченному кругу лиц любого оборудования, инструмента, компьютерной программы или информации, специально созданной либо адаптированной для совершения деяний ст. 323-1 и ст. 323-3.

В ч. 2 ст. 272 УК РФ, где содержится квалифицированный состав деяния, предусмотренного ч.1 той же статьи, в качестве квалифицирующего признака объективной стороны используется групповой способ совершения преступления: совершение преступления группой лиц по предварительному сговору и организованной группой. Понятия группы лиц по предварительному сговору и организованной группы содержатся в ст. 35 УК РФ.

На практике совершению деяния, предусмотренного ст. 272 УК РФ может предшествовать совершение действий, предусмотренных ст. 273 Кодекса. Использование вредоносной программы может являться средством для обеспечения неправомерного доступа к компьютерной информации. В таких случаях содеянное квалифицируется по совокупности соответствующих частей ст. 272 и ст .273 УК РФ.

Российское уголовное законодательство, в отличие от ряда других стран, например, США, Испании, Польши и др., не выделяет квалифицированные составы преступлений по признаку использования компьютеров как средства совершения иного преступления, например, компьютерного мошенничества, т.н. кибертерроризма и т.д. Поэтому в случае, когда неправомерный доступ к компьютерной информации является способом совершения другого умышленного преступления, то содеянное квалифицируется по совокупности преступлений. Однако и здесь есть проблема, которая вытекает из формулировки состава преступления, указанного в ст. 272 УК РФ как материального, т.е. требующего обязательного наступления последствий в виде модификации, блокировки, уничтожения информации. Сложности в квалификации возникают в связи с тем, что такие последствия либо не охватываются умыслом виновного, либо отсутствуют.

В то же время, например, §2 ст. 278 УК Польши предусматривает ответственность за хищение чужого имущества путем несанкционированного использования компьютерных программ. Ст. 193 УК Республики Кыргызстан предусматривает ответственность за незаконное получение сведений, составляющих коммерческую или банковскую тайну, путем незаконного проникновения в компьютерную систему или сеть.

УК Италии в ч. З ст. 615 запрещает неправомочный доступ к компьютеру или информационной системе, т.е. доступ к компьютерам или системам, защищенным мерами безопасности, либо доступ против выраженного или подразумеваемого желания владельца подобный доступ исключить. Повышенная ответственность предусмотрена за совершение этого преступления специальным субъектом должностным лицом или лицом, злоупотребившим своими полномочиями, лицом, занимающимся, даже без лицензии, частной детективной деятельностью, а также оператором информационной системы. Кроме того, этой же статьей предусмотрена уголовная ответственность, если преступление совершено с применением насилия, угрозой причинения вреда имуществу, с применением оружия, если преступление причинило вред системе, частично или полностью прервало ее работу, разрушило или повредило данные, информацию или программы, содержащиеся в системе. Самым тяжким видом этого преступления является совершение его в отношении компьютеров или телекоммуникационных систем оборонного значения, а также предназначенных для охраны общественного порядка и общественной безопасности, охраны иных интересов общества.

С субъективной стороны преступление, предусмотренное ст. 272 УК РФ характеризуется умыслом – прямым или косвенным. Виновный осознает общественную опасность осуществляемого им неправомерного доступа к охраняемой законом компьютерной информации, предвидит возможность или неизбежность наступления в результате этого хотя бы одного из перечисленных в законе последствий и желает их наступления либо не желает, но сознательно допускает эти последствия или относится к их наступлению безразлично.

Для данного преступления, как и для всех преступлений в сфере компьютерной информации, характерна сложность в установлении субъективной стороны. Очень сложно доказать умысел в действиях какого-либо лица и тем более желание или сознательное допущение уничтожения, модификации, копирования информации или нарушения работы системы ЭВМ.

Мотивы и цели неправомерного доступа к охраняемой законом компьютерной информации могут быть различными. Но так как они не являются обязательными признаками состава, то на квалификацию не влияют. При этом они могут играть роль обстоятельств, смягчающих (п. «д», «ж», «з» ч.1 ст. 61 УК РФ) или отягчающих наказание (п. «е», «ж» ч. 1 ст. 63 УК РФ).

В зарубежном уголовном праве, например, в ст. 1 Закона Великобритании о злоупотреблении компьютерами 1990 г. субъективная сторона преступления (mens rea) подробно описана в виде двух элементов. Первым из них является «намерение обеспечить доступ к любой программе или данным, содержащимся в компьютере», и второй элемент – лицо должно знать во время совершения объективной стороны, что доступ, который оно намерено обеспечить, является несанкционированным. Намерение виновного не должно быть прямо направлено на какую-либо определенную программу или данные, либо программы или данные конкретного вида, либо программы или данные конкретного компьютера (раздел (2)1).

Субъект преступления, предусмотренного ч. 1 ст. 272 УК РФ, общий – любое лицо, достигшее 16 лет. В то же время, например, в ст. 313-В Закона Бразилии от 7 июля 2000 г № 9 983. «Несанкционированная модификация или изменение информационной системы» субъектом преступления является только государственное или муниципальное должностное лицо. Ст. 615 УК Италии в качестве квалифицирующего признака предусматривает уголовную ответственность государственного чиновника, служащего государственной службы либо частного детектива за несанкционированный доступ к компьютеру или телекоммуникационной системе, ограниченной в доступе.

Следует отметить, что признак возможности получения доступа к информации наличествует в обоих частях ст. 272 УК РФ, вопрос только в правомерности такого доступа. Говоря о неправомерности доступа к компьютерной информации в ч. 1 ст. 272, презюмируется, что в результате неправомерных действий этот доступ был обеспечен, в то время как в ч. 2 виновный уже имеет права доступа к информации.

Выделение специального субъекта по признаку наличия доступа к ЭВМ, системе ЭВМ или их сети для более строго наказуемого деяния имело бы смысл, если бы был введен какой-либо квалифицирующий признак для самого компьютера либо информационной системы, как это сделано во многих зарубежных странах, либо более точно были указаны конкретные признаки специального субъекта (например, ст. 615 УК Италии).

Подводя итог, отметим, что законодательство зарубежных стран существенно отличается от аналогичных норм УК РФ, предусматривающим уголовную ответственность за неправомерный доступ к компьютерной информации.