Учебно-методический комплекс утвержден и рекомендован к печати учебно-методическим Советом по юридическому профилю иубиП от 01 сентября 2010 года протокол №

Вид материалаУчебно-методический комплекс

Содержание


Преступная деятельность, связанная с нарушением правил эксплуатации ЭВМ, системЭВМ или их сетей.
Подобный материал:
1   ...   4   5   6   7   8   9   10   11   ...   19
Преступная деятельность, направленная на создание, использование и распространение вредоносных программ для ЭВМ. Первый случай массового распространения компьютерных вирусов произошел летом 1987, когда «пакистанский вирус» заразил более 18 тысяч компьютеров. Разработчик вируса 26-летний выпускник Пенджабского университета Амджан Алви заявил, что хотел наказать американцев, покупающих дешевые незаконные копии программ в Пакистане. «Вирус Морриса» 2 ноября 1988 года инфицировал около 6 тысяч компьютеров в США в сети Интернет. Нанесенный ущерб был оценен в 150 тыс. долл. Разработчик вируса Роберт Моррис, аспирант факультета информатики Корнельского университета, утверждал, что создал вирус для проверки защиты компьютера, и нежелательные последствия возникли из-за допущенной им ошибки.68 По данным Института компьютерной безопасности, общий ущерб, которые нанесли компьютерные вирусы за последние пять лет, оценивается, как минимум, в $54 млрд.69

Непосредственным объектом рассматриваемого преступления являются общественные отношения по безопасному использованию ЭВМ, ее программного обеспечения, компьютерной информации и информационных систем.70

Предметом преступления являются вредоносные программы для ЭВМ или их носители.

Программа считается вредоносной, если ее функционирование вызывает самопроизвольное уничтожение, блокирование, модификацию или копирование компьютерной информации без предварительного уведомления и санкции обладателя информации или добросовестных пользователей. Определение «вредоносной программы» дано и на международном уровне – в ст. 1 Соглашении о сотрудничестве государств – участников СНГ в борьбе с преступлениями в сфере компьютерной информации. Под вредоносной программой в этом Соглашении понимается «созданная или существующая программа со специально внесенными изменениями, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети».71

Под созданием программы для ЭВМ следует понимать разработку последовательности команд на каком-либо из машинных языков при условии, что ранее такая программа не существовала. Уголовная ответственность возможна уже в результате создания программы, независимо от того использовалась эта программа или нет.

Внесение изменений возможно в отношении уже существующих программ и может выражаться в их дополнении или сокращении, перестановке последовательности команд, замене одной части программы другой и т.п. действий.

Некоторые вредоносные программы могут неуправляемо наносить существенный вред. С этим связано установление ответственности не только за создание и использование подобных программ, но также и за их распространение. Распространение программы предполагает совершение различных действий, направленных на получение программы неограниченным кругом лиц. Распространение вредоносной программы может производиться либо путем распространения носителей, её содержащих (дискет, компакт-дисков), т.е. возмездной или безвозмездной их передачи другим лицам, оставления в общественных местах, либо иными способами, не связанными с оборотом носителей. В последнем случае распространение происходит посредством сетей связи и электронной почты (в том числе путем направления незапрошенных электронных сообщений массового характера, т.е. спама): злоумышленник рассылает зараженные файлы по конкретным адресам, предоставляет доступ к вредоносным программам неопределенному кругу лиц, активизирует программу и создает условия для ее самораспространения.

Использованием программы является ее введение в оборот, включая применение по назначению.

УК Болгарии, так же, в ч. 1 ст. 319(d) устанавливает уголовную ответственность за внесение вируса в компьютер или информационную систему, а ч. 2 этой статьи предусматривает в качестве квалифицирующего признака причинение ущерба, но без указания на его качественные характеристики.

В соответствии с ч. 5 ст. 615 УК Италии предусмотрена уголовная ответственность за распространение программ, предназначенных для повреждения или уничтожения компьютерных систем. Она устанавливает, что уголовной ответственности подлежит незаконная передача или сбыт компьютерной программы, целью или эффектом которой является повреждение компьютера или телекоммуникационной системы, содержащихся в них программ или данных, а также частичным или полным изменениям или остановкам работы компьютера или телекоммуникационной системы.

Кроме того, следует обратить внимание на новую преступную деятельность, совершаемую в результате использования вредоносных программ. Это создание «зомбированных сетей» (bot-net). Зомби-компьютеры представляют собой зараженные компьютеры, предоставляющие неограниченный доступ для неавторизованных и удаленных пользователей (хакеров), позволяя им рассылать спам с зараженных компьютеров или осуществлять скоординированные Dos-атаки на различные интернет-сайты или информационные системы. По оценкам специалистов глобальной сети центров анализа вирусов и спама, в настоящее время более 50% всего спама рассылается при помощи зомби-сетей. Зомби-сетей, оказавшихся в полной власти хакеров, больше всего в США. Количество зомби-компьютеров в 2007 г. выросло на 29% по сравнению с 2006 г., составив порядка 6 млн, а численность контролирующих их серверов, наоборот, снизилась примерно на 25% (до 4700).

В 2005 г. власти Нидерландов арестовали трех человек, подозреваемых в создании зомби-сети из более чем 100 тысяч компьютеров. Арестованным – 19, 22 и 27 лет. Они обвиняются в хакерской деятельности, установке рекламного и шпионского программного обеспечения, и использовании скомпрометированных ими компьютеров без разрешения владельцев. Власти утверждают, что арестованные контролировали зомби-сеть из 100 тысяч зараженных компьютеров, одну из самых больших из обнаруженных ранее. В эту сеть входили компьютеры, расположенные по всему миру.

Арестованные обвиняются в использовании компьютерного червя W32/Codbot (известного также как Toxbot) для получения удаленного контроля над компьютерами ничего не подозревавших людей. С момента появления Codbot, в январе 2005 года, его авторы создали несколько модификаций этого червя для того, чтобы не допустить, его обнаружение антивирусами. Некоторые версии Codbot выполняли сбор информации о нажатии клавиш на компьютерах с тем, чтобы узнать и похитить данные он­лайн банковских счетов и кредитных карт. Сеть инфицированных компьютеров молодые люди предполагали использовать для шантажа онлайновых компаний, деятельности которых могла серьезно повредить длительная недоступность сайта.72

По российскому уголовному законодательству субъектом преступления по ст. 273 УК РФ может быть любое лицо, достигшее 16-летнего возраста. Данная статья состоит из двух частей, отличающихся друг от друга отношением преступника к совершаемым действиям.

Преступление, предусмотренное ч. 1 ст.273 УК РФ, может быть совершено только умышленно, с сознанием того, что создание, использование или распространение вредоносных программ заведомо должно привести к нарушению неприкосновенности информации. Заведомость следует относить не к достоверности знания лицом о последствиях его действий, а к тому, что он знал или предполагал это и действовал с учетом этой осведомленности.

Здесь необходимо отметить неудачную формулировку законодателя в отношении характера программ как «заведомо приводящих»73, т.к. оценка «заведомости» очень субъективна. На наш взгляд, в диспозиции ч. 1 ст. 273 УК РФ термин «заведомо» следует заменить термином «с целью», который будет обязательным признаком субъективной стороны данного состава преступления и указывать на форму вины в виде прямого умысла. Специальная цель также подчеркивает связь данного признака именно с осознанием вредоносных возможностей программы. Так, например, ст. 354 УК Республики Беларусь предусматривает ответственность за разработку вредоносных компьютерных программ или внесение изменений в существующие программы с целью несанкционированного уничтожения, блокирования, модификации или копирования информации. Цели и мотивы преступления в данном случае не влияют на квалификацию посягательства по данной статье.

В Великобритании «лица, виновные в умышленном внедрении вирусов в компьютерную систему, несут ответственность за свое деяние по ст. 3 Закона Великобритании о злоупотреблении компьютерами 1990г.» – за несанкционированную модификацию данных с целью нарушения работы компьютера, воспрепятствовать доступу к какой-либо программе или компьютерным данным. Модификация данных здесь будет иметь место, если какая-либо компьютерная программа изменена или стерта, либо какая-либо программа или данные введены в компьютер (ст. 17 Закона).

Несанкционированная модификация как состав преступления по Закону Великобритании состоит из трех элементов: несанкционированная модификация содержания, необходимое намерение и необходимое знание Эта норма применяется как в случаях распространения вирусов, временных бомб и логических бомб, так и в случаях прямой модификации. Таким образом, для применения ст. 3 Закона лицо должно совершить любое действие, причиняющее несанкционированную модификацию содержания любого компьютера; при наличии в это время, когда совершается данное действие, необходимого намерения и необходимого знания. Необходимое намерение означает намерение совершить модификацию содержания какого-либо компьютера: нарушить операции какого-либо компьютера; предотвратить или скрыть доступ к какой-либо программе или данным, содержащимся в каком-либо компьютере; нарушить операции какой-либо программы или надежности каких-либо данных. Необходимым знанием будет знание того, что модификация является несанкционированной.

В Своде законов США нет отдельной статьи об ответственности за создание и распространение вредоносных программ. Судебная практика показывает, что виновных судят по (a)(5)(A) §1030 18 Свода законов США за умышленную передачу какой-либо программы, информации, кода или команды, повлекшую умышленное причинение ущерба без авторизации защищенному компьютеру.

Так Давид Л. Смит был признан виновным 9 декабря 1999 г. в распространении компьютерного вируса «Мелисса». Он подтвердил, что вирус «Мелисса» причинил ущерб, превышающий $80 млн., заразив персональные компьютеры и компьютерные сети в коммерческой структуре и американском правительстве. Д.Л. Смит был признан виновным в умышленном распространении вируса с целью причинить ущерб. Вирус «Мелисса» появился в тысячах почтовых системах 26 марта 1999 г. Вирус самостоятельно распространялся через почтовую программу Microsoft Outlook первым пятидесяти адресатам, которые в свою очередь «заражали» таким же образом еще пятьдесят компьютеров. Вирус быстро повлек за собой блокирование и повреждение государственных коммуникаций и служб, разрушение компьютерных сетей через постоянные перезагрузки почтовых серверов. Д.Л. Смита признали виновным по (a)(5)(A) 18 Свода законов США.74

Следует отметить, что в зарубежном законодательстве распространение спама само по себе не влечет уголовной ответственности. Например, в соответствии с Законом США о противодействии распространению незапрошенной информации порнографического или рекламного характера (CAN SPAM Act 2003), нарушение требований к массовой рассылке сообщений влечет за собой штраф в размере $11,000.75 Уголовная ответственность наступает только в случае:

- несанкционированного использования компьютера для рассылки сообщений коммерческого характера с него или с его помощью;

- несанкционированного использования компьютера для замены или перенаправления сообщений массовой рассылки с целью обмана или введения в заблуждение получателей относительно содержания сообщения;

- технического искажения заголовка сообщений при массовой
рассылке и намеренной рассылки таких сообщений;

- регистрации пяти или более учетных записей электронной почты, либо иных учетных записей пользователя, либо двух и более доменных имен с использованием информации, фальсифицирующей настоящего абонента, с целью массовой рассылки электронных сообщений с использованием любой комбинации таких учетных записей или доменных имен;

- умышленной подмены пяти или более IP-адресов абонента или законного представителя в целях осуществления массовой рассылки коммерческих сообщений с таких адресов.

Указанные преступления содержатся в отдельном Разделе 1037 Кодекса США «Мошенничество и связанные с ним деяния с использованием электронной почты».

Преступная деятельность, связанная с нарушением правил эксплуатации ЭВМ, систем
ЭВМ или их сетей.
Среди преступлений в сфере компьютерной информации данное преступление является наименее распространенным. В Уголовных кодексах ряда стран СНГ и Прибалтики, как и многих других государств, вообще не предусмотрено такое преступление как нарушение правил эксплуатации ЭВМ (например, Казахстан, Эстония, Великобритания, США, Япония и др.).

Объектом рассматриваемого преступления являются отношения в сфере обеспечения безопасности. В диспозиции 274 статьи УК РФ есть прямое указание на предмет преступления – это охраняемая законом компьютерная информация, т.е. информация, изъятая из открытого оборота на основании закона. В то же время, например, в УК Республики Беларусь одним из квалифицирующих признаков ст. 355 «Нарушение правил эксплуатации компьютерной системы или сети» является характер информации. Здесь предметом преступления будут компьютерные системы или сети, содержащие информацию особой важности.

К такого вида нарушениям можно отнести несоблюдение общих средств защиты информации, а также нарушение режима эксплуатации ЭВМ. Выделяют два основных средства защиты: копирование информации и ограничение доступа к информации. Нарушение режима эксплуатации ЭВМ образуют, например, несанкционированные изменение, уничтожение или передача информации. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети состоит в несоблюдении правил режима их работы, предусмотренных инструкциями, исходящими из технических характеристик, правил внутреннего распорядка, а также правил обращения с компьютерной информацией, установленных собственником или владельцем информации либо законом или иным нормативным актом. Под охраняемой законом информацией следует понимать информацию, изъятую из публичного оборота на основании закона, других нормативных актов, а также правил внутреннего распорядка, основанных на упомянутых нормативных документах. По общему правилу такая информация имеет гриф ограниченного пользования. Представляется, что частные фирмы, включая коммерческие банки, вправе устанавливать ограничительные грифы в целях сохранения коммерческой или банковской тайны.

Под существенным вредом (оценочное понятие) следует понимать причинение как материального, так и нематериального вреда.

Таким образом, при наличии нормативных документов любого уровня, устанавливающих определенные правила эксплуатации этих сетей, их нарушение влечет за собой уголовную ответственность по ст. 274 УК РФ. Именно это является одной из причин, почему данная статья «не работает»: далеко не во всех организациях имеются такие правила, и почти никто при приеме на работу не знакомится с ними.

Интерес и практическое значение имеет вопрос об уголовной ответственности за нарушение правил пользования глобальными информационно-телекоммуникационными сетями. В связи с этим необходимо подчеркнуть, что в сетях типа Интернет отсутствуют общие правила эксплуатации, где их заменяют этические «кодексы поведения», нарушение правил которых, в связи с конструкцией ст. 274 УК РФ, не может являться надлежащим основанием для привлечения к уголовной ответственности. В то же время владелец любого сетевого ресурса может установить для этого ресурса свои правила его использования и опубликовать их для всеобщего ознакомления. Пользователь будет обязан соблюдать эти правила либо отказаться от использования ресурса.

В отличие от российского УК, УК Республики Беларусь и Республики Таджикистан раскрывают понятии «существенного вред». Так в ч. 1 ст. 355 УК Республики Беларусь под существенным вредом понимается уничтожение, блокирование, модификация компьютерной информации, нарушение работы компьютерного оборудования либо иной вред.

Что касается субъектного состава ст. 274 УК РФ, то в этой статье существует тот же недостаток в формулировке, что и в ч. 2 ст. 272 УК РФ.76

В УК Украины в ст. 363 «Нарушение правил эксплуатации автоматизированных электронно-вычислительных машин» указан более узкий субъектный состав: здесь субъектом преступления будет лицо, отвечающее за эксплуатацию автоматизированных электронно-вычислительных машин, их систем или компьютерных сетей. УК Латвии также устанавливает ответственность за нарушение правил хранения и обработки информации либо за нарушение безопасности компьютеризованных информационных систем лицом, ответственным за выполнение этих правил.

С субъективной стороны рассматриваемое преступное деяние может быть совершено умышленно – с прямым или косвенным умыслом. Лицо сознает, что совершает запрещенные правилами действия и предвидит наступление определенных в законе последствий и желает их наступления, а также что эти последствия могут причинить существенный вред, либо лицо не желает наступления тех же последствий, но сознательно их допускает или относится к ним безразлично.

Мотив и цель нарушения правил эксплуатации ЭВМ имеют факультативное значение.

Анализ рассматриваемых норм позволяет нам отнести их к категории бланкетных, т.е. отсылающих к конкретным правилам, устанавливающим порядок работы с ЭВМ, что, по мнению многих авторов, как раз и не позволяет применять данную статью.77

Проведенный анализ российского и зарубежного законодательства показывает, что общественная опасность рассматриваемого деяния состоит не в нарушении правил эксплуатации ЭВМ как таковых, а в тех последствиях, к которым такие нарушения приводят, т.е. в нарушении работы информационных систем или

информационно-телекоммуникационных сетей.

Таким образом, законодательство зарубежных стран, несмотря на подписание ими Конвенции о киберпреступности, пока еще весьма различно и даже противоречиво. Большинство норм, устанавливающих ответственность за компьютерные преступления, были приняты и развивались, изменялись «автономно». Некоторые страны предпочли внести изменения в уголовные кодексы, другие – принять специальные законы, направленные на борьбу с киберпреступностью. В некоторых странах – например, в Испании, нет специальных норм, посвященным компьютерным преступлениям, тем не менее, мы с уверенностью можем сказать, что подобные деяния в этой стране криминализированы, поскольку в УК Испании есть «общие» статьи, по которым можно привлечь к ответственности за совершение компьютерных преступлений. А в Австрии не криминализировано ни одно из компьютерных правонарушений – в лучшем случае за их совершение лицо может быть привлечено к административной ответственности.

Законодательство зарубежных стран, включая и специальные нормы, посвященные именно компьютерным преступлениям, и «общие нормы», по которым лицо с максимальной долей вероятности будет привлечено за совершение компьютерного преступления, можно отобразить в следующей таблице:

Страна

Вредоносные программы

Попытка вторжения

Неправомочный доступ к информации

Неправомочный перехват

Неправомочная модификация информации

Неправомочный доступ к системам связи

Австрия

Нет

Адм/отв

Адм/отв

Нет

Нет

Адм/отв

Финляндия

Крим.

Крим.

Крим.

Крим.

Крим.

Крим.

Франция

Крим.

Крим.

Крим.

Крим.

Крим.

Крим.

Германия

Крим.

Крим.

Крим.

Крим.

Крим.

Крим.

Греция

Нет

Крим.

Крим.

Нет

Нет

Крим.

Италия

Крим.

Крим.

Крим.

Крим.

Крим.

Крим.

Нидерланды

Крим.

Крим.

Крим.

Крим.

Крим.

Крим.

Испания

Крим.

Крим.

Крим.

Крим.

Крим.

Крим.

Швеция

Крим.

Крим.

Крим.

Крим.

Крим.

Крим.

Великобрита-ния

Крим.

Крим.

Крим.

Крим.

Крим.

Крим.



Из этой таблицы можно увидеть, что в большинстве зарубежных государств компьютерные посягательства криминализированы.

Законодательство зарубежных стран, несмотря на подписание ими Конвенции о киберпреступности, пока еще весьма различно и даже противоречиво. Большинство норм, устанавливающих ответственность за компьютерные преступления, были приняты и развивались, изменялись “автономно”. Некоторые страны предпочли внести изменения в уголовные кодексы, другие – принять специальные законы, направленные на борьбу с киберпреступность. В некоторых странах, например, в Испании, нет специальных норм, посвященным компьютерным преступлениям, тем не менее, мы с уверенностью можем сказать, что подобные деяния в этой стране криминализированы, поскольку в УК Испании есть «общие» статьи, по которым можно привлечь к ответственности за совершение компьютерных преступлений. А в Австрии не криминализировано ни одно из компьютерных правонарушений – в лучшем случае за их совершение лицо может быть привлечено к административной ответственности.

Законодательство стран Европы, включая и специальные нормы, посвященные именно компьютерным преступлениям, и «общие нормы», по которым лицо с максимальной долей вероятности будет привлечено за совершение компьютерного преступления (при отсутствии специальных норм).

Сравнение наказуемости преступлений в сфере компьютерной информации в России и зарубежных государствах показывается, что в целом многие страны СНГ и Прибалтики, в том числе и Россия, довольно мягко относятся к «вирусописателям» и их распространителям. При этом нередко уголовные дела, возбужденные по факту распространения вредоносных программ, в нашей стране заканчиваются условным осуждением либо назначением более мягкого, чем лишение свободы, наказанием.

Однако особый характер компьютерной информации, должностное положение виновного, совершение преступления в отношении информационно-телекоммуникационных сетей специального назначения и другие подобные обстоятельства рассматриваются зарубежным уголовным законодательством, как повышающие общественную опасность таких преступлений, что находит свое отражение в более строгих санкциях, что можно отобразить в следующей таблице:

Для содействия оперативному сотрудничеству между правоохранительными органами в транснациональном контексте Римско-Лионская группа рекомендовала создать в каждом государстве сеть национальных контактных пунктов (НКП 24/7), к которым можно обращаться в любое время суток на протяжении семи дней в неделю с просьбой об оказании помощи в проведении компетентного расследования.

Рекомендуемая литература
  1. Уголовным кодекс Республики Дании. СПб., 2001.
  2. Уголовным кодекс Республики Швеции. СПб., 2001.
  3. Уголовным кодекс Республики Швейцарии. СПб., 2001.
  4. Уголовным кодекс Республики Норвегии. СПб., 2001.
  5. Уголовным кодекс Республики Аргентины. СПб., 2001.
  6. Уголовным кодекс Республики Австрии. СПб., 2001.
  7. Уголовным кодекс Республики Франции. СПб., 2001.
  8. Уголовным кодекс Республики США. СПб., 2001.
  9. Уголовным кодекс Республики Японии. СПб., 2001.
  10. Борчева Н.А. Компьютерное право и ответственность за компьютерные преступления за рубежом // На пути к информационному обществу: криминальный аспект: Сборник статей. – М., 2002. – С. 25–32.
  11. Букин Д. Хакеры. О тех, кто делает это // Рынок ценных бумаг, 1997, № 23.
  12. Вершинин В.И. Борьба с кражами персональной информации в США // Борьба с преступностью за рубежом. – № 4. – 2008. – С. 3–5.
  13. Вехов В.Б., Голубев В.А. Расследование компьютерных преступлений в странах СНГ / Под ред. д.ю.н., проф. Б.П. Смагринского. – Волгоград: ВА МВД России, 2004.
  14. Компьютерные преступления в кредитно–финансовой деятельности: Обзорная информация. Зарубежный опыт. – Вып. 1. – М.: ГИЦ МВД России, 1996.
  15. Матвеева А.А. Ответственность за компьютерные преступления в национальных правовых системах России и стран Балтии // Международное и национальное уголовное законодательство: проблемы юридической техники. – М.:ЛексЭст, 2004.
  16. Официальный сайт Европейского Союза [Электронный ресурс] ссылка скрыта ofollow" href=" " onclick="return false">ссылка скрыта (Дата обращения 25.07.2009).
  17. Официальный сайт Правительства Канады [Электронный ресурс] ссылка скрыта ofollow" href=" " onclick="return false">ссылка скрыта (Дата обращения 23.08.2009).
  18. Официальный сайт Совета Европы. [Электронный ресурс] [Электронный ресурс] ссылка скрыта ofollow" href=" " onclick="return false">ссылка скрыта (Дата обращения 23.09.2009).
  19. Официальный сайт Управления по изданию официальных документов Королевы Великобритании [Электронный ресурс] ссылка скрыта ofollow" href=" " onclick="return false">ссылка скрыта (Дата обращения 22.04.2009).
  20. Официальный сайт ФБР США [Электронный ресурс] ссылка скрыта ofollow" href=" " onclick="return false">ссылка скрыта (Дата обращения 23.08.2009).
  21. Панов В. П. Сотрудничество государств в борьбе с международными уголовными преступлениями.– М., 1993.
  22. Расследование в Великобритании преступлений, совершаемых с использованием компьютеров // Борьба с преступностью за рубежом. – М.: ВИНИТИ, 1993, – № 8.
  23. Расследование в Великобритании преступлений, совершаемых с использованием компьютеров // Борьба с преступностью за рубежом. – М.: ВИНИТИ, 1993, – № 8.
  24. Сайт новостей США [Электронный ресурс] ссылка скрыта ofollow" href=" " onclick="return false">ссылка скрыта (Дата обращения 17.08.2009).
  25. Страховое мошенничество за рубежом [Электронный ресурс] ссылка скрыта ссылка скрыта. (Дата обращения 25.11.2009).
  26. Юридический Университет Австралии, законодательство [Электронный ресурс] ссылка скрыта ofollow" href=" " onclick="return false">ссылка скрыта (Дата обращения 10.07.2009).