WWW.DISUS.RU

БЕСПЛАТНАЯ НАУЧНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

 

Pages:     | 1 | 2 || 4 | 5 |   ...   | 6 |

« МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ Уфимский юридический институт ...»

-- [ Страница 3 ] --

Рис. 7. Виды угроз безопасности

Безопасность – состояние защищенности жизненно важных интересов личности, общества, государства от внешних и внутренних угроз.

Угроза безопасности – совокупность условий, факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Таким образом, независимо от вида объекта безопасности, угроза безопасности представляет совокупность факторов, явлений, условий и действий, создающих опасность для нормального функционирования объектов, реализующих определенные цели и задачи. С учетом этих понятий, для ТСОИ можно представить следующее определение угрозы.

Угроза информационной безопасности – реальные или потенциально возможные действия или условия, приводящие к овладению, хищению, искажению, изменению, уничтожению информации, обрабатываемой в ТСОИ, и сведений о самой системе, а также к прямым материальным убыткам.

Подсистемы защиты информации должны преследовать достижение следующих целей[37].

1) обеспечение физической целостности защищаемой информации, т.е. заданной синтаксической ее структуры;

2) обеспечение логической целостности, т.е. семантических характеристик информации и установленных взаимосвязей между ее элементами;

3) обеспечение доверия к информации в прагматическом плане, т.е. предупреждения несанкционированной ее модификации с изменением или без изменения синтаксических или семантических характеристик;

4) предупреждение несанкционированного получения защищаемой информации лицами или программами (процессами), не имеющими на это специальных полномочий, т.е. обеспечения установленного статуса ее секретности (конфиденциальности);

5) предупреждение несанкционированного копирования (размножения) информации, объявленной чьей-либо собственностью;

6) защита от демаскирования, т.е. скрытия назначения, архитектуры, технологии и самого факта функционирования системы обработки информации;

7) защита личности, общества, государства, в т.ч. их информационных ресурсов, информации, информационных систем от воздействия информации, наносящей ущерб, внешних и внутренних угроз.

Для достижения рассмотренных целей комплексной защиты информации необходимо предусмотреть адекватные по содержанию и достаточные по количеству способы и средства защиты, как отдельных образцов ТСОИ и в целом любой системы обработки информации.

Проблему защиты информации усугубляет бурное развитие мобильных технологий. Исследования аналитиков в области информационной безопасности говорят о безответственности людей в обращении со своими мобильными устройствами. Именно этот тип утечек приводит к серьезным убыткам пользователей гаджетов[38].

Благодаря высоким коммуникационным возможностям современные мобильные устройства получают все большее распространение.

Функции почты, управление контактами, Интернет, создание документации делает современные портативные устройства незаменимыми помощниками. Наличие bluetooth, IrDA, Wi-Fi – все это идеально подходит для массового использования. Вследствие резкого роста «мобильного потенциала» общества существенно повышается риск утечки информации. Подавляющее большинство (более 70%) пользователей хранят на мобильном устройстве конфиденциальные данные, причем как свои, так и своего работодателя. И при этом 17% пользователей хотя бы раз теряли мобильный телефон, карманный персональный компьютер (КПК), смартфон, а то и ноутбук. Организации, служащие которых применяют мобильные устройства, входят в группу повышенного риска.

Около 90% компаний сегодня не в состоянии предотвратить неавторизованное подключение мобильных накопителей к корпоративной сети, при этом только половина компаний осознает существующий риск утечек. Инциденты по утечке корпоративной информации случаются все чаще и чаще, носят глобальный характер. От потери данных страдают банки, сотовые операторы, хостинг-провайдеры, малый бизнес и большие корпорации, коммерческие фирмы и государственные учреждения - все эти организации зафиксировали массу утечек в 2006 году. Многие из этих компаний теперь могут стать жертвой мошенников, лишиться всех сбережений и навсегда испортить кредитную историю.

Из года в год убытки от утечек конфиденциальной информации растут на 20-25%, по оценкам специалистов по ИБ в 2006 году только в США потеряли более 60-65 млрд. долларов вследствие утечек приватных сведений. По прогнозам, совокупные потери мировой экономики из-за кражи коммерческих секретов достигнут в 2008 году 1 трлн. долларов.

Нельзя не отметить и то, что в последнее время недобросовестные конкуренты стали прибегать к услугам должностных лиц правоохранительных и контролирующих органов, которые, используя имеющиеся у них властные полномочия и оперативно-технические возможности, получают информацию о деятельности коммерческих структур. Так, в Калининграде было возбуждено уголовное дело в отношении сотрудника уголовного розыска и работника таможни, которые пытались передать коммерческой организации электронную базу конфиденциальных данных Калининградской таможни[39].Фактам тайного хищения информации, совершенных при разных обстоятельствах, сопутствует лишь одно общее обстоятельство – «отсутствие свободного доступа на законном основании», которое собственник должен обеспечивать самостоятельно, организуя защиту информации «от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации». При этом выбор способов осуществляется с учетом обеспечения рассмотренных выше целей комплексной защиты информации или защиты системы от воздействий разрушающей информации. К таким способам можно отнести:



- препятствие – создание на пути возникновения или распространения дестабилизирующего фактора определенного барьера, не позволяющего соответствующему фактору принять опасные размеры;

- управление, определение и выработка на каждом шагу функционирования системы обработки информации управляющих воздействий на элементы системы, в результате которых будет обеспечено решение одной или нескольких задач защиты информации;

- маскировка преобразования информации, исключающая или существенно затрудняющая доступ к ней злоумышленников;

- регламентация – способ защиты информации, состоящий в разработке и реализации в процессе функционирования системы обработки информации комплекса мероприятий, создающих условия обработки информации, существенно затрудняющих проявление и воздействие дестабилизирующих факторов;

- принуждение – способ защиты, обеспечивающий соблюдение пользователями и обслуживающим персоналом правил и условий обработки информации под угрозой материальной, административной или уголовной ответственности;

- побуждение – способ защиты информации, при котором пользователи и обслуживающий персонал систем обработки информации побуждаются (материально, морально, этически, психологически) к соблюдению всех правил ее обработки.

Как правило, перечисленные способы предотвращения угроз реализуются следующими видами защит:

- организационно-правовой защитой, основывающейся на реализации системы общегосударственных законодательных актов, нормативно-правовых актов отдельных министерств и ведомств, органов управления, а также на системе разработанных на их базе организационных, организационно-технических и иных мероприятий, используемых для защиты информации;

- технической (инженерно-технической) защитой, основывающейся на использовании технических устройств, узлов, блоков, элементов, систем, как в виде отдельных средств, так и встроенных в процессе единого технологического цикла создания средств обработки информации, сооружений и т.д.;

- программно-аппаратной защитой, предполагающей использование программного обеспечения ЭВТ, комплексов и систем, а также аппаратных устройств, встроенных в состав технических средств и систем обработки информации.

Контрольные вопросы

1. Что называется сообщением?

2. Что называется сигналом?

3. Какие сообщения называются аналоговыми, а какие – дискретными?

4. Что называется линией связи, каналом связи, интерфейсом?

5. Что такое «компьютер»?

6. Что такое «файл»?

7. На какие классы подразделяется программное обеспечение компьютеров?

8. Какие основные составляющие можно выделить в информационных технологиях?

9. Перечислите и охарактеризуйте основные виды связи.

10. Перечислите и охарактеризуйте основные виды каналов связи.

11. Какие виды запоминающих устройств используются в компьютерах?

12. Какие существуют способы организации межкомпьютерной связи?

13. Каковы основные аспекты уязвимости информации?

14. Назовите основные виды угроз информационной безопасности.

15. Какие цели должны преследовать подсистемы защиты информации?

16. Перечислите способы предотвращения угроз информационной безопасности.

ГЛАВА 3. ПОНЯТИЕ И СУЩНОСТЬ ПРЕСТУПЛЕНИЙ В СФЕРЕ

ВЫСОКИХ ТЕХНОЛОГИЙ

3.1 Понятие компьютерного преступления

В рамках общепризнанного понимания в российской и зарубежной науке международного уголовного права установлено деление международных преступных деяний на международные преступления и преступления международного характера. «В то время как международные преступления затрагивают интересы всего мирового сообщества и подлежат юрисдикции Международного уголовного суда, преступления международного характера касаются ряда отдельных государств и в рамках принципа двойной подсудности подпадают под регулятивное действие института выдачи (экстрадиции). Здесь вопрос решается на основе принципа или выдай или накажи и принципа или выдай или суди»[40].

Характер новации в системе международного уголовного права приобрели так называемые «компьютерные преступления», которые подпадают по всем меркам под понятие «преступление международного характера».

Компьютеризация – явление социально значимое. Однако значимость компьютеризации можно рассматривать с разных сторон. Признание компьютеризации как социально-значимого явления ставит перед нами задачу выявления тех последствий, которые сопутствуют данному феномену. И как не раз случалось в истории, когда научные достижения пользовались не только во благо, но и во вред, новая сфера деятельности человечества не стала исключением.

Существует несколько точек зрения о возникновении «компьютерной преступности». Так, по данным американского ученого Д.Б. Паркера, преступность, «связанная с системой электронной обработки данных, возникла одновременно с появлением компьютерной техники около 1940 г. Эта преступность получила название «компьютерной преступности, или злоупотребления компьютерами».

Ряд источников утверждают, что терминологическое понятие «компьютерная преступность» появилось в 50-е годы, когда были выявлены первые преступления с использованием ЭВМ. А если быть точнее, в 1958 году, когда произошло первое в мире зарегистрированное компьютерное преступление.

В 1983 году в Париже группой экспертов ОЭСР было дано криминологическое определение компьютерного преступления, под которым понималось любое незаконное, неэтичное или неразрешенное поведение, затрагивающее автоматизированную обработку и/или передачу данных.

В результате интенсивных исследований, проведенных в разных странах, обоснованным представляется заключение о выделении самостоятельного вида преступлений, обобщенно называемого компьютерными преступлениями.

Компьютерное преступление как уголовно-правовое понятие – это предусмотренное уголовным законом виновное нарушение чужих прав и интересов в отношении автоматизированных систем обработки данных, совершенное во вред подлежащим правовой охране правам и интересам физических и юридических лиц, общества и государства.

Первое преступление подобного рода в СССР было зарегистрировано в 1979 году в Вильнюсе. Ущерб государству от хищения составил 78584 руб. Данный факт занесен в международный реестр правонарушений подобного рода и явился своеобразной отправной точкой в развитии нового вида преступлений в нашей стране.

На данный момент не существует общепризнанного определения таких преступлений, а сам термин «компьютерное преступление» носит операционный характер.

Вместе с тем исследователи выделяют три категории явлений, относимых к этому понятию:

- злоупотребление компьютером – ряд мероприятий с использованием компьютера для извлечения выгоды, которые нанесли или могли нанести ущерб;

- прямое незаконное использование компьютеров в совершении преступления;

- любое незаконное действие, для успешного осуществления которого необходимо знание компьютерной техники.

Наряду с этим в практический оборот введен термин «киберпреступность», охватывающий любое преступление, которое может совершаться с помощью компьютерной системы (сети) или в рамках компьютерной системы (сети). В принципе он охватывает любое преступление, которое может быть совершено в электронной среде. Как результат анализа ООН, существуют две категории киберпреступлений:

а) киберпреступление в узком смысле: любое противоправное деяние, осуществляемое посредством электронных операций, целью которого является преодоление защиты компьютерных систем и обрабатываемых ими данных;

б) киберпреступление в широком смысле: любое противоправное деяние, совершаемое посредством или в связи с компьютерной системой или сетью, включая такие преступления, как незаконное хранение, предложение или распространение информации посредством компьютерной системы или сети.

3.2 Субъекты компьютерных преступлений

Обстановка совершения преступлений в сфере компьютерной информации характеризуется рядом существенных факторов. Для нее характерно несовпадение между местом совершения противоправных действий и местом наступления общественно опасных последствий. Рассматриваемые преступления совершаются, как правило, в специфически интеллектуальной области профессиональной деятельности и с использованием специализированного оборудования. Все эти преступления обычно совершаются в условиях различных нарушений установленного порядка работы с ЭВМ, о которых лицам становится известно в ходе их соответствующей профессиональной подготовки. Для правонарушителей в данной области обычно достаточно ясен механизм возможных нарушений правил пользования информационными ресурсами и связь с событиями, повлекшими наступление криминального результата.

Следовательно, относительно объекта преступного посягательства двух мнений быть не может – им, естественно, является информация, а действия преступника следует рассматривать как покушение на информационные отношения общества.

Субъекты данных преступлений нередко владеют специальными навыками не только в области управления ЭВМ и ее устройствами, но и специальными знаниями в области обработки информации в информационных системах в целом. При этом для корыстных преступлений, связанных с использованием информационных систем, характерны и специальные познания в соответствующих финансовых и иных информационных технологиях. Для нарушений правил эксплуатации ЭВМ и действий с ВЦ характерны специальные познания в узкой предметной профессиональной области устройств ЭВМ и программного обеспечения.

Лица, совершающие компьютерные преступления, могут быть объединены в три большие группы:

а) лица, не связанные трудовыми отношениями с организацией жертвой, но имеющие некоторые связи с нею;

б) сотрудники организации, занимающие ответственные посты;

в) сотрудники – пользователи ЭВМ, злоупотребляющие своим положением.

Кроме того, субъекты компьютерных преступлений могут различаться как по уровню их профессиональной подготовки, так и по социальному положению.

В частности, выделяют следующие их виды[41] :

а) «хакеры» – лица, рассматривающие защиту компьютерных систем как личный вызов и взламывающие их для получения полного доступа к системе и удовлетворения собственных амбиций;

б) «шпионы» – лица, взламывающие компьютеры для получения информации, которую можно использовать в политических, военных и экономических целях;

в) «террористы» – лица, взламывающие информационные системы для создания эффекта опасности, который можно использовать в целях политического воздействия;

г) «корыстные преступники» – лица, вторгающиеся в информационные системы для получения личных имущественных или неимущественных выгод;

д) «вандалы» – лица, взламывающие информационные системы для их разрушения;

е) психически больные лица, страдающие новым видом психических заболеваний – информационными болезнями или компьютерными фобиями.

Западные специалисты подразделяют представляющий опасность персонал на категории в соответствии со сферами деятельности[42] :

  1. Операционные преступления. Совершаются операторами ЭВМ, операторами периферийных устройств ввода информации в ЭВМ и операторами, обслуживающими линии телекоммуникации.
  2. Преступления, основанные на использовании программного обеспечения, обычно совершаются лицами, в чьем ведении находятся библиотеки программ; системными программистами; прикладными программистами; хорошо подготовленными пользователями.
  3. Для аппаратурной части компьютерных систем опасность совершения преступлений представляют: инженеры системщики, инженеры по терминальным устройствам, инженеры-связисты, инженеры-электронщики.
  4. Определенную угрозу совершения компьютерных преступлений представляют и сотрудники, занимающиеся организационной работой: управлением компьютерной сетью; руководством операторами; управлением базами данных; руководством работой по программному обеспечению.
  5. Определенную угрозу могут представлять также разного рода клерки, работники службы безопасности, работники, контролирующие функционирование ЭВМ.

Особую опасность могут представлять специалисты в случае вхождения ими в сговор с руководителями подразделений и служб самой коммерческой структуры или связанных с ней систем, а также с организованными преступными группами, поскольку в этих случаях причиняемый ущерб от совершенных преступлений и тяжесть последствий значительно увеличиваются.

Например, около 90% злоупотреблений в финансовой сфере, связанных с нарушениями в области информационной безопасности, происходит при прямом или косвенном участии действующих или бывших работников банков. При этом на преступный путь часто становятся самые квалифицированные, обладающие максимальными правами в автоматизированных системах категории банковских служащих – системные администраторы и другие сотрудники служб автоматизации банков.

3.3. Особенности квалификации преступлений в сфере компьютерной

информации

Анализируя динамику преступности в сфере высоких технологий, специалисты прогнозируют рост организованной преступности, связанной с использованием в корыстных целях различных электронных средств, входящих в состав телекоммуникационных систем. При этом предполагается, что в ближайшее время различные учреждения и организации все больше в производственной и коммерческой деятельности ориентируются на применение новых информационных технологий.

По мере развития компьютерных технологий и сетей у преступных групп и сообществ возникает желание обогатиться в нетрадиционной области. Виды преступной деятельности, в которой компьютерная информация выступает в качестве орудия совершения преступления или предмета преступного посягательства, настолько разнообразны, что компьютерная преступность по новому уголовному законодательству Российской Федерации стала объектом исследования многих юридических наук, в частности, криминологии, криминалистики, оперативно-розыскной деятельности. Однако по-прежнему существует много проблем как в квалификации, так и в расследовании компьютерных преступлений.





В настоящее время большая часть преступлений, подпадающих под категорию компьютерных, объединены законодателем в отдельную главу 28 УК РФ «Преступления в сфере компьютерной информации».

По статистическим данным МВД России, в 1997 г. было зарегистрировано 7 преступлений в сфере компьютерной информации, в 1998 г. – 66 преступлений, в 1999 г. – 294 преступления, в 2000 г. – 800, в 2001 г. – 1379, в 2002 г. – 2143, в 2003 г. – 4914, в 2004 г. – 7268, в 2005 г. – 14810 преступлений. В 2006 году было некоторое снижение количества преступлений в сфере компьютерной информации – 8889 преступлений, но, тем не менее, уровень остается высоким.

Исходя из статистики видно, что общее количество преступлений в сфере компьютерной информации имеет тенденцию к росту. И так происходит не только в России, но и во всем мире, поэтому можно уверенно прогнозировать продолжение роста компьютерной преступности и ее дальнейшее качественное развитие в обозримом будущем.

Следует отметить, что динамика роста может иметь более удручающий характер, если учесть, что подобные преступления – емкое понятие, оно охватывает и правонарушения, которые являются логическим продолжением преступлений, перечисленных в главе 28 УК РФ и многих других, например, связанных с нарушением законов, устанавливающих правоотношения в производственных сферах, базирующихся на информационных технологиях. В связи с этим уместно вспомнить, что еще более пятнадцати лет тому назад международными экспертами по информационным технологиям было предложено понимать под компьютерными преступлениями любое незаконное поведение, связанное с автоматизированной обработкой или передачей данных.

Наличие компьютерной информации потенциально связано с ее утечкой, разрушением, риском противоправного использования, изъятия или дополнением необъективной информацией. Преступник, совершая свои действия, посягает на права и интересы граждан, предприятий, учреждений, организаций в областях ответственного хранения, обладания, авторства, а также использования автоматизированных систем.

На сегодняшний день в юридической практике доминирует подход, предполагающий квалификацию лишь предметов преступного посягательства (гл. 28 УК РФ): компьютерная информация, средства ее защиты, программное обеспечение и компьютерные технологии. В случаях, когда они сопровождаются совершением других, сопутствующих им преступлений, с иным предметом преступного посягательства, уголовная ответственность наступает по правилам идеальной совокупности[43]. По нашему мнению, такой подход не совсем точно отражает значение компьютерных технологий в совершении преступлений. Статистика и основанный на ее данных анализ уголовных дел убедительно свидетельствует, что при совершении ряда других преступлений активно и весьма эффективно используются информационные технологии.

Так, по данным Следственного комитета МВД России, с начала 90-х годов значительную распространенность и повышенную общественную опасность получили различного рода хищения, совершаемые с применением подложных электронных идентификаторов, модификации данных фискальной памяти систем учета платежей, кредитных карточек, по технической функции являющихся носителями охраняемой законом компьютерной информации. Тем не менее, как свидетельствует Хвоевский С.А., до сих пор существует мнение, что их «трудно отнести к неправомерному доступу к компьютерной информации, так как непонятно, действительно ли речь идет об охраняемой законом компьютерной информации... Среди них наибольшее число вопросов вызывают «взломы» систем спутникового телевидения и изменение фискальной памяти контрольно-кассовых машин»[44].

В 1996 году за подделку кредитных (пластиковых) карт «к уголовной ответственности было привлечено 25 человек, совершивших 300 хищений денежных средств с использованием пластиковых кредитных карточек и поддельных слипов на сумму 600 тыс. долларов. Стоит отметить, что при проведении экспертизы названных платежных документов специалисты были удивлены столь высоким качественным уровнем их подделки»[45].

С технической точки зрения, большее удивление вызывает квалификация преступления, как «подделка платежных документов», когда в действительности (в терминах действующих законов)[46] на основе «несанкционированного доступа» к «персональным данным» совершалось дублирование «машинных носителей информации», входящих в «информационно-телекоммуникационную сеть» расчетно-банковской информационной системы. Если в последствии дубликат банковской карты использован для нарушения «правил обращения с компьютерной информацией, установленных собственником или владельцем информации», то происходит хищение денежных средств собственника.

В действительности злоумышленник получил тайный доступ к информации, находящейся на пластиковой карте, скопировал реквизиты карты и данные, записанные на носителе. Выяснив идентификационный пароль, вошел в банковскую информационную систему и снял со счета денежные средства потерпевшего. При этом расшифровка данных, записанных на карте, производится с помощью специального адаптера, подключенного к компьютеру, оснащенного специальным программным обеспечением. Печать клонируемой карты и внесение информационных кодов данных производится с помощью специального оборудования, работающего под микропроцессорным управлением.

Иначе говоря, злоумышленник заранее запланировал хищение денежных средств, подготовил технические средства (орудие преступления) и сознательно совершил преступление. Таким образом, умысел в совершении кражи денежных средств банковской платежной системы присутствует только в области информационных технологий и в плоскости модификации компьютерной информации. При этом лишь компьютер, выполняющий операции управления периферийным оборудованием «чист перед законом»[47], остальное программное и аппаратное обеспечение преступной технологии свидетельствует не только об умысле, но и о преступном сговоре с производителями указанного технологического оборудования. Сам компьютер служил лишь технологическим звеном реализации преступного деяния и хранителем следов этой деятельности.

Таким образом, на основании терминов законодательства можно говорить о применении в отношении данного преступления целого ряда статей действующего УК, например:

- Статья 272. Неправомерный доступ к компьютерной информации;

- Статья 187. Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов;

- Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети;

- Статья 158. Кража;

- Статья 69. Назначение наказания по совокупности преступлений.

Стоит отметить, что при необходимости можно добавить термин «база данных»[48] и соответствующую квалификацию правонарушений связанных с неправомерным доступом и к ней. Это вполне возможно, так как в зависимости от конкретной технологии, применяемой в различных банковских сетях, пластиковые карты могут представлять собой и возобновляемый (при каждой транзакции) массив данных о счете, и комбинацию микропроцессора с электронным хранилищем данных, и хранилище электронных данных о зарегистрированном клиенте.

Подобные размышления возможны и на этапе расследования подобных преступлений. Отсутствие четкой законодательной терминологии вызывает не только серьезные затруднения в документировании преступной деятельности, но и в выявлении преступников, требует специального толкования экспертов, привлечения специалистов в области вычислительной техники, новейших средств электросвязи и защиты конфиденциальной информации.

К примеру, в настоящее время в МВД России функционируют департаменты и отделы по борьбе с преступлениями в банковской и финансовой системах; по борьбе с преступлениями в сфере высоких технологий; по борьбе с преступлениями в сфере телекоммуникаций и компьютерной информации; однако, до сих пор идут научные дискуссии и практические терзания по вопросу «что такое высокие технологии».

В законодательстве, регулирующем сферу информационных технологий выделены 11 информационных процессов, защищаемых от преступных посягательств:

- создание и обработка информации;

- сбор и поиск информации (в т.ч. доступ к ней);

- накопление и хранение информации;

- защита информации;

- распространение и предоставление информации;

- непредставление информации;

- копирование информации;

- уничтожение информации;

- изменение (модификация) информации;

- хищение, изъятие и утрата информации;

- блокирование информации.

Тем не менее, многие противозаконные действия, совершаемые в указанных ситуациях (совершенные путем кражи, вымогательства, мошенничества или злоупотребления служебным положением) с трудом вписываются в них, так как многие (особенно технические) термины в законодательстве отсутствуют или имеют двусмысленное значение.

Приведем пример. Одной из основных задач на этапе проведения оперативно-розыскных мероприятий (ОРМ) является документирование фактов преступных действий. Исходя из нового закона «Об информации, информационных технологиях и о защите информации» «…документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель».

Если учесть, что в России «документированием называется процесс создания документов по установленным правилам»[49], а под документами понимается ряд «материальных объектов, используемых для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в том числе в преобразованном виде»[50], то в России различается 10 видов документов[51], из них в оперативно-разыскной деятельности используется 4:

Аудиовизуальный документ – это документ, содержащий изобразительную и звуковую информацию, созданный видео- или кинематографическим способом.

Фотодокумент – это изобразительный документ, созданный фотографическим способом.

Фонодокумент – это документ, содержащий звуковую информацию, зафиксированную любой системой звукозаписи.

Документ на машинном носителе – это документ, созданный с использованием носителей и способов записи, обеспечивающих обработку его информации электронно-вычислительной машиной.

Государственный стандарт определил термины, однако в юридической практике редко встретишь подобное толкование документа и безусловное признание их юридического значения. Тем более это касается «установленных правил». Так, давно назрел вопрос о так называемых правилах документирования в оперативно-розыскной деятельности, отменен устаревший приказ о порядке применения технических средств при проведении оперативно-розыскных мероприятий (ОРМ), однако новая инструкция с учетом современного технического развития до сих пор не разработана.

Повсеместное внедрение цифровых технологий фактически поставило крест на использовании аналоговых средств в области подготовки и функционирования средств массовой информации, звукозаписи, кино- и фотосъемки, видео- и звукозаписи. Прогресс неумолим, но достижения одних часто приводят к стремлению присвоить плоды чужого труда, пусть в виртуальном, но зато весьма прибыльном пространстве, тем более, что пробелы в законодательстве делают подобные деяния практически недоказуемыми и ставят перед криминалистами новые сложные задачи по оценке достоверности информационных ресурсов и соответствующих цифровых носителей этой информации.

Другой проблемой является явная тенденция заменить простые термины юридической казуистикой, например, персональные данные, как «информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения….»[52], при этом законодательно допускается лишь три законные реализации доступа к ним:

- согласие субъекта персональных данных на проведение «обработки персональных данных», то есть ОРМ;

- обработка персональных данных отнесена к сведениям, составляющим государственную тайну;

- обработка персональных данных необходима в связи с осуществлением правосудия.

Таким образом, основаниями для проведения оперативно-розыскных мероприятий (т.е. сбора и обработки персональных данных), соблюдая федеральные законы «О персональных данных» и «Об информации, информационных технологиях и о защите информации», остались:

- наличие возбужденного уголовного дела;

- поручения следователя, органа дознания, указания прокурора или определения суда по уголовным делам, находящимся в их производстве;

- постановления о применении мер безопасности в отношении защищаемых лиц, в порядке, предусмотренном законодательством Российской Федерации;

- запросы международных правоохранительных организаций и правоохранительных органов иностранных государств в соответствии с международными договорами Российской Федерации.

Излишняя регламентация термина, не отражая физического (материального) смысла понятий, сузила область применения законов «Об оперативно-розыскной деятельности», «О связи», отдельные ведомственные нормативные акты ОВД. Вместе с тем многие неясные, а порой спорные вопросы практического исполнения закона «Об оперативно-розыскной деятельности» требуют совсем другой коррекции. Новые технологии должны по-новому описываться, не вызывая кривотолков и разночтений.

Например, мероприятия по проведению прослушивания телефонных переговоров должны четко определять, что данное действие связано с фиксацией электрического сигнала связи низкочастотной телефонной линии. Любая другая технология контроля передачи звуковых сообщений (ADSL-коммутация, IP-телефония, частотное или временное уплотнение канала связи, канал сотовой связи) связана с декодированием канала и поэтому должна быть отнесена к мероприятию по контролю технических каналов связи.

Аудио-контроль при проведении ОРМ – это процесс фиксации звуковых колебаний упругой среды в зоне распространения интересующего разговора на материальный носитель. При непрописанности данных объективных ситуаций порой возникают непреодолимые препятствия для использования результатов, полученных с немалым трудом, в качестве доказательства вины.

Иллюстрацией необходимости пересмотра технических аспектов, упоминаемых в законодательстве, может служить недавний случай, произошедший в г. Уфе в 2006 году. Результатом доказательства найма «исполнителя» для совершения убийства служила магнитофонная запись разговора по сотовому телефону стандарта GSM, произведенная в салоне личного автомобиля оперативного работника с ведома «исполнителя». Защита опротестовала данное доказательство, мотивируя тем, что на прослушивание телефонных переговоров не было предписания следователя. Казус заключается не только в том, что канал связи GSM является абсолютно техническим по сути, но и в том, что к контролю канала телефонной связи оперативные работники умышленно не обращались для обеспечения конспиративности.

В плане предложений по совершенствованию законодательства в сфере борьбы с преступлениями в области высоких технологий можно рекомендовать введение терминов и разъяснений по присущим им особенностям не только в ведомственных инструкциях, но и на законодательном уровне. Это не только избавит от необходимости привлекать экспертов для определения таких понятий, как сотовый телефон (обращение имеет место), но и упростит работу как сотрудников оперативных подразделений, так и следственных и судебных органов.

Так, сфера высоких технологий характеризуется как взаимосвязанное множество физических принципов действия, алгоритмических подходов и соответствующих технических решений, обеспечивающих реализацию потребностей человека методами компьютерного управления и процессами, недоступными для непосредственного контроля органами чувств человека.

В такой постановке использование «неконтролируемых» органами чувств человека технологических процессов вполне логично объясняет причины и необходимость введения ограничений всех видов (лицензионных, сертификационных, аттестационных и т.п.), налагаемых на их использование и функциональные возможности.

Для конкретизации и однозначной квалификации правонарушений в сфере высоких технологий необходимо законодательно определить понятийный аппарат, например, в предлагаемом ниже контексте.

Информация – это события или опосредованные факты реальной действительности, отраженные в человеческом сознании.

Информационный сигнал – представление отдельных свойств, событий или фактов в виде изменения физических параметров среды распространения (хранения).

Формализованные данные – это материальное отражение информационного сигнала.

Цифровая информация – это формализованные данные, представленные в виде последовательности двоичных символов.

Компьютер – это программируемое электронное устройство, способное обрабатывать данные и производить вычисления, а также выполнять другие задачи манипулирования символами[53].

Компьютерная информация – это цифровая информация, описывающая принадлежность, пространственно-временные и информационные характеристики информационного сигнала.

Микропроцессор (процессор) – устройство математической обработки данных и управления внешними устройствами, содержащее набор фиксированных операций преобразования поступающих управляющих и обрабатываемых данных.

Машинные носители компьютерной информации – это электронные цифровые запоминающие устройства.

Компьютерные сети – каналы связи, организованные между ЭВМ для обмена компьютерной информацией.

Протокол обмена – соглашение о форме взаимодействия информационными сигналами с целью обеспечения доступности, целостности и конфиденциальности информационных систем.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу.

Под целостностью подразумевается актуальность и непротиворечивость информации.

Конфиденциальность – это защита от несанкционированного доступа к информации.

Документированная информация – это зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Даже неполный перечень предлагаемых терминов уже позволяет уточнить умысел, преступное действие и последствия его совершения в каждом из компонентов компьютерной информационной системы. По аналогии с перечнем правонарушений, уже включенных в государственное уголовное законодательство, более подробное членение и толкование компонентов информационных систем позволяет, в частности, наиболее адекватно разработать:

1) терминологический аппарат, позволяющий однозначно трактовать объекты, субъекты, факты и последствия преступной деятельности в сфере высоких технологий;

2) критерии правомерности и допустимости проведения отдельных следственных действий с целью выявления доказательств совершения компьютерного преступления (преступления в сфере высоких технологий);

3) условия возможности оценки полученной информации в качестве доказательственной;

4) тактику проведения следственных действий, проводимых при расследовании дел данной категории;

5) характер уголовно-правовой оценки противодействия расследованию, совершенного способом, аналогичным способу совершения преступления (как повторность преступного деяния, или как воспрепятствование расследованию).

3.4 Проблемы уголовно-правовой квалификации преступлений в сфере

высоких технологий

Российское законодательство, предусматривающее ответственность за совершение преступлений в сфере высоких технологий, включает:

1) Уголовный кодекс РФ;

2) Закон РФ «О милиции» ст.10 и ст.11;

3) Федеральные законы РФ:

- «О связи»;

- «Об информации, информационных технологиях и о защите информации»;

- «О персональных данных»;

- «Об электронно-цифровой подписи»;

- «О коммерческой тайне»;

- «О государственной тайне»;

- «О Безопасности»;

4) Кодекс РФ об административных правонарушениях (административные правонарушения в области связи и информации);

5) Гражданский кодекс РФ. Часть 4 (отношения в области авторского права);

6) Постановления правительства Российской Федерации:

- № 30 от 15 января 1993 г. «Об упорядочении использования радиоэлектронных средств (высокочастотных устройств) на территории Российской Федерации»;

- №157 от 25 февраля 2000 г. «О внесении изменений и дополнений в особые условия приобретения радиоэлектронных средств и высокочастотных устройств»;

- № 770 от 1 июля 1996 г. «Об утверждении положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и перечня видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности»;

- № 643 от 5 июня 1994 г. «О порядке изготовления, приобретения, ввоза в Российской Федерации радиоэлектронных средств (высокочастотных устройств)»;

- № 832 от 17 июля 1996 г. «Об утверждении особых условий приобретения радиоэлектронных средств и высокочастотных устройств»;

- № 909 от 7 августа 1998 г. «О внесении изменений и дополнений в особые условия приобретения радиоэлектронных средств и высокочастотных устройств»;

- № 1235 от 26 сентября 1997 г. «Об утверждении правил оказания услуг телефонной связи»;

Административные правонарушения в области связи и информации (см. Кодекс РФ об административных правонарушениях):

- Статья 7.12. «Нарушение авторских и смежных прав, изобретательских и патентных прав»;

- Статья 13.1. «Самовольные установка или эксплуатация узла проводного вещания»;

- Статья 13.2. «Самовольное подключение к сети электрической связи оконечного оборудования»;

- Статья 13.3. «Самовольные проектирование, строительство, изготовление, приобретение, установка или эксплуатация радиоэлектронных средств и (или) высокочастотных устройств»;

- Статья 13.4. «Нарушение правил проектирования, строительства, установки, регистрации или эксплуатации радиоэлектронных средств и (или) высокочастотных устройств»;

- Статья 13.6. «Использование несертифицированных средств связи либо предоставление несертифицированных услуг связи»;

- Статья 13.7. «Несоблюдение установленных правил и норм, регулирующих порядок проектирования, строительства и эксплуатации сетей и сооружений связи»;

- Статья 13.8. «Изготовление, реализация или эксплуатация технических средств, не соответствующих стандартам или нормам, регулирующим допустимые уровни индустриальных радиопомех»;

- Статья 13.9. «Самовольные строительство или эксплуатация сооружений связи»;

- Статья 13.12. «Нарушение правил защиты информации»;

- Статья 13.13. «Незаконная деятельность в области защиты информации»;

- Статья 13.15. «Злоупотребление свободой массовой информации»;

- Статья 13.18. «Воспрепятствование уверенному приему радио- и телепрограмм»;

- Статья 20.23. «Нарушение правил производства, хранения, продажи и приобретения специальных технических средств, предназначенных для негласного получения информации»;

- Статья 20.24. «Незаконное использование специальных технических средств, предназначенных для негласного получения информации, в частной детективной или охранной деятельности».

Такие дела отличаются широким разнообразием, однако условно их можно разделить на несколько групп.

1. Неправомерный доступ к сетевым ресурсам. Неправомерный доступ в компьютерную сеть, чужой компьютер, базу данных или к любой другой охраняемой законом компьютерной информации является серьезным правонарушением. Подобного рода преступлений очень много. Как показала практика, достать чужие пароли способен даже подросток, при этом искушение бесплатно воспользоваться сервисом связи очень велико.

2. Создание, использование и распространение вредоносных программ для ЭВМ и нарушение правил эксплуатации ЭВМ. Такого рода дела встречаются довольно редко, но факты случаются. В 2006 году в г. Челябинск по этой статье был осужден студент вуза, который послал 10 тысячам абонентов сети сообщение с нецензурной бранью. За эту нелепую шутку студент получил год условно и 3 тысячи рублей штрафа.

3. Защита неприкосновенности личной жизни, тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

4. Незаконный оборот специальных технических средств. Пресечение незаконного оборота специальных технических средств, использование которых невозможно без специального разрешения, каких много: всевозможные прослушивающие устройства, системы скрытого видеонаблюдения и т.п.

5. Незаконный доступ к ресурсам оператора связи. Незаконный доступ к операторам и ресурсам связи, в том числе сотовой, международной и междугородней, до сих пор встречается довольно часто. Мошенники действуют предельно просто: заходят в подъезд, подключаются к чужим телефонным клеммам.

6. Преступления, посягающие на интеллектуальную собственность. Это является важным направлением в борьбе с «пиратами», точнее, преступлениями, посягающими на интеллектуальную собственность (авторское право).

7. Распространение запрещенной информации. Борьба с распространителями порнографии и пиратских дисков не только на прилавках магазинов, но и в Интернете. Владельцев подобных интернет-ресурсов вынуждают закрыть сайт, а российским хостинг-компаниям запрещено размещать и поддерживать ресурсы подобного характера.

8. Борьба с кардингом. Профилактика и пресечение краж баз данных кредитных карт с полной информацией о владельце, отмывания денег и получения незаконно купленного товара.

9. Выявление и пресечение взлома и нарушения работы интернет-сайтов. Уголовных дел по факту взлома интернет-сайтов в России пока не так много, однако, появилась новая тенденция – интернет-шантаж. Хакеры, используя огромные мощности, 24 часа в сутки атакуют известные интернет-ресурсы, тем самым препятствуя его полноценной работе. За прекращение атаки шантажисты, как это водится, требуют денежное вознаграждение.

Контрольные вопросы

1. Что такое компьютерное преступление?

2. Каковы субъекты компьютерных преступлений?

3. Каковы особенности квалификации преступлений в сфере компьютерной информации?

4. Какие нормативно-правовые акты предусматривают ответственность за совершение преступлений сфере высоких технологий?

ГЛАВА 4. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ КЛАССИФИКАЦИИ

ПРЕСТУПЛЕНИЙ В СФЕРЕ ВЫСОКИХ ТЕХНОЛОГИЙ


4.1 Обзор отечественного и международного опыта

4.1.1 Международная классификация

Обращение к российской истории разработки уголовно-правовых норм ответственности в сфере компьютерных преступлений показывает, что они возникали в ходе постоянной борьбы мнений и не сумели отразить всю специфику регулируемых правоотношений. Опубликованные проекты УК РФ содержали более совершенные и более детальные уголовно-правовые нормы[54].

Названные проблемы уже привели к ряду затруднений с квалификацией некоторых преступных деяний[55]. Например, расширение возможностей отечественных информационных сетей, облегчение их подключения к сети Интернет привели к появлению и распространению в Российском сегменте как порнографических, так и экстремистских материалов. При этом рассылке подлежат не сами материалы, а лишь электронные адреса (указатели) на серверы, где хранятся порнографические изображения и материалы. В связи с этим названные деяния «в чистом виде» не подпадают ни под одну из статей главы 28, ни под диспозицию ст. 242 «Незаконное распространение порнографических материалов или предметов» и т.п.

Серьезные проблемы возникают с квалификацией действий, связанных с неправомочным использованием чужих идентификационных номеров в системах сотовой связи. Особенность данной ситуации заключается в том, что эти идентификационные номера свободно передаются через эфир и могут быть получены практически любым лицом, имеющим необходимый набор технических средств, причем этот набор может быть приобретен на вполне законных основаниях и за умеренную плату.

Весьма значительный опыт уголовно-правовой классификации преступлений в сфере компьютерной информации накоплен в ведущих промышленно развитых государствах мира, который вылился в появление так называемых «Минимального списка нарушений» и «Необязательного списка нарушений», разработанных государствами-участниками Европейского сообщества и официально оформленных как «Руководство Интерпола по компьютерной преступности». Так, «Минимальный список нарушений» содержит восемь основных видов компьютерных преступлений: компьютерное мошенничество, подделка компьютерной информации, повреждение данных ЭВМ или программ ЭВМ, компьютерный саботаж, несанкционированный доступ, несанкционированный перехват данных, несанкционированное использование защищенных компьютерных программ, несанкционированное воспроизведение схем.

«Необязательный список» включает в себя четыре вида компьютерных преступлений: изменение данных ЭВМ или программ ЭВМ, компьютерный шпионаж, неразрешенное использование ЭВМ, неразрешенное использование защищенной программы ЭВМ.

Одной из наиболее распространенных из существующих классификаций преступлений в сфере компьютерной информации является кодификатор компьютерных преступлений Генерального секретариата Интерпола, который был положен в основу автоматизированной информационно-поисковой системы, созданной в начале 90-х гг. В соответствии с названным кодификатором все коды, характеризующие компьютерные преступления, имеют идентификатор, начинающийся с латинской буквы Q[56] :

1. QA – несанкционированный доступ и перехват:

1) QAH – «Компьютерный абордаж» (hacking). Доступ в компьютер или сеть без права на то. Этот вид компьютерных преступлений обычно используется преступниками для проникновения в чужие информационные сети.

2) QAI – «Перехват» (interception). Перехват при помощи технических средств, без права на то. Перехват информации осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного подслушивания являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи.

К данному виду компьютерных преступлений также относится электромагнитный перехват (electromagnetic pickup). Современные технические средства позволяют получать информацию без непосредственного подключения к компьютерной системе: ее перехват осуществляется за счет излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Все это можно осуществлять, находясь на достаточном удалении от объекта перехвата.

Для характеристики методов несанкционированного доступа и перехвата информации рассмотрим используемую специфическую терминологию.

«Жучок» (bugging). Характеризует установку микрофона в компьютере с целью перехвата разговоров обслуживающего персонала.

«Откачивание данных» (data leakage). Отражает возможность сбора информации, необходимой для получения основных данных в частности о технологии ее прохождения в системе.

«Уборка мусора» (scavening). Характеризует поиск данных, оставленных пользователем после работы на компьютере. Этот способ имеет два варианта – физический и электронный. В физическом варианте он может сводиться к осмотру мусорных корзин и сбору брошенных в них распечаток, деловой переписки и прочих технологических отходов. Электродный вариант требует исследования данных, оставленных в памяти ЭВМ.

«За дураком» (piggbacking). Состоит в несанкционированном проникновении в пространственные (охраняемые помещения) либо в электронные (программные) закрытые зоны.

«За хвост» (between the lines entry). Заключается в несанкционированном негласном подключении к линии электросвязи законного пользователя в момент его работы в сети ЭВМ. Когда ничего не подозревающий пользователь заканчивает работу и отключает свою ЭВМ от сети, негласно подключенный компьютер преступника продолжает работу в сети по его идентификаторам (паролю доступа в сеть).

«Неспешный выбор» (browsing). В этом случае несанкционированный доступ к базам данных и файлам законного пользователя осуществляется путем нахождения слабых мест в защите систем ЭВМ. Однажды обнаружив их, правонарушитель может спокойно читать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимости.

«Поиск бреши» (trapdoor entry). Используются ошибки или неудачи в логике построения программы. Обнаруженные бреши могут эксплуатироваться неоднократно.

«Люк» (trapdoor). Является развитием предыдущего алгоритма преступления. В найденной «бреши» программа «разрывается» и туда встраиваются определенное коды управляющих команд. По мере необходимости «люк» открывается, а встроенные команды автоматически обеспечивают несанкционированный доступ к данным;

«Маскарад» (masquerading). В этом случае злоумышленник с использованием необходимых средств проникает в компьютерную систему, выдавая себя за законного пользователя.

«Мистификация» (spoofing). Используется при случайном подключении «чужой» системы. Правонарушитель, формируя правдоподобные отклики, может поддерживать заблуждение ошибочно подключившегося пользователя в течение какого-то промежутка времени и получать некоторую полезную для него конфиденциальную информацию, например коды доступа в сеть ЭВМ либо сведения, позволяющие идентифицировать пользователя.

3) QAT – «Кража времени». Заключается в неоплате услуг доступа в систему или сеть ЭВМ.

4) QAZ – прочие виды несанкционированного доступа и перехвата.

2. QD – изменение компьютерных данных:

1) QDL/QDT –изменение компьютерных данных без права на то путем внедрения троянской программы.

Логическая бомба (logic bomb) – тайное встраивание в программу для ЭВМ потерпевшего вредоносной программы для ЭВМ (программного модуля), которая должна сработать лишь однажды при наступлении определенных логических условий. При этом «бомба» автоматически ликвидируется при окончании исполнения заданного преступником вредоносного алгоритма.

Троянский конь (trojan horse). Заключается в тайном введении в чужое программное обеспечение вредоносной программы для ЭВМ, которая позволяют негласно осуществлять иные, не планировавшиеся разработчиком программы функции. Эти средства совершения преступления используют для негласного добывания конфиденциальных сведений, например, логина и пароля доступа в сеть ЭВМ «Интернет».

Троянская матрешка – автоматический конструктор для создания вредоносных программ для ЭВМ по заданному преступником алгоритму. Она камуфлируется под обычные программы для ЭВМ (новые версии известных программ, обновления, демонстрационные версии программных продуктов и т.д.). При попадании в программную среду компьютера потерпевшего автоматически срабатывает алгоритм, по которому начинают создаваться модули, из которых впоследствии будет создана вредоносная программа для ЭВМ. После их создания и «привязки» к системному программному обеспечению первоначальная программа – «мать» самоуничтожается. Одновременно с этим запускается алгоритм построения собственно вредоносной программы. После ее создания, модули опять же «привязывают» ее к системным программам и самоликвидируются. Такие циклы могут повторяться многократно (количество «реинкарнаций» определяется преступником), как матрешки, встроенные друг в друга.

2) QDV – «Вирус» (virus). Вредоносная программа для ЭВМ, которая заведомо приводит к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, их системы или сети без предварительного предупреждения пользователя о характере действия программы и не запрашивающая его разрешения на реализацию программой своего назначения (ст. 273 УК РФ).

3) QDW – «Червь» (worm). Саморазмножающийся и самораспространяющийся вирус, который специально создан для функционирования в сети ЭВМ. В отличие от обычного вируса, распространяемого в виде отдельного файла данных, эта вредоносная программа для ЭВМ хранит свои модули на нескольких компьютерах – рабочих станциях сети. При уничтожении одного или нескольких модулей на соответствующем числе рабочих станций она автоматически воссоздает их после каждого подключения «вылеченного» компьютера к сети – как разрезанный на части дождевой червь отращивает новые, недостающие участки тела. Червь, помимо своего оригинального алгоритма, может являться «средством передвижения» (распространения) обычных вирусов, троянских коней и матрешек, а также логических бомб.

4) QDZ – прочие виды изменения данных.

3. QF – компьютерное мошенничество (computer fraud):

1) QFC – компьютерные мошенничества, связанные с хищением наличных денег из банкоматов.

2) QFF – компьютерные подделки: мошенничества и хищения из компьютерных систем путем создания поддельных устройств (пластиковых карт, сотовых «двойников» и пр.).

3) QFG – мошенничества и хищения, связанные с игровыми автоматами.

4) QFM – манипуляции с программами ввода-вывода: мошенничества и хищения посредством неверного ввода или вывода в компьютерные системы или из них путем манипуляции программами.

В этот вид компьютерных преступлений включается метод «Подмены данных (кода)» (data diddling, code change), который обычно осуществляется при вводе-выводе данных. Это простейший и потому очень часто применяемый способ. Для совершения своих преступных деяний современный компьютерный преступник широко использует «нетрадиционные» методы. Обычно компьютерное преступление начинается с искажения входных данных или изъятия важных входных документов. Таким образом можно заставить ЭВМ оплачивать несостоявшиеся услуги, переводить платежи и не имевшие место закупки, формировать ложный курс на бирже и т.д.

5) QFP – компьютерные мошенничества и хищения, связанные с платежными средствами. К этому виду относятся самые распространенные компьютерные преступления, связанные с хищением денежных средств, которые составляют около 45% всех преступлений, связанных с использованием ЭВМ.

6) QFT – телефонное мошенничество (фрикинг): доступ к телекоммуникационным услугам путем посягательства на протоколы и процедуры компьютеров, обслуживающих системы электросвязи.

7) QFZ – прочие компьютерные мошенничества.

4. QR – незаконное копирование («пиратство»):

1) QRG/QRS – незаконное копирование, распространение или опубликование компьютерных игр и другого программного обеспечения, защищенного законом об авторском праве и смежных правах (контрафактной продукции).

2) QRT – незаконное копирование топологии полупроводниковых изделий: копирование без права на то, защищенной законом топографии полупроводниковых изделий, коммерческая эксплуатация или импорт с этой целью без права на то, топографии или самого полупроводникового изделия, произведенного с использованием данной топографии.

3) QRZ – прочее незаконное копирование.

5. QS – компьютерный саботаж:

1) QSH – саботаж с использованием аппаратного обеспечения: ввод, изменение, стирание, подавление компьютерных данных или программ; вмешательство в работу компьютерных систем с намерением помешать функционированию компьютерной или телекоммуникационной системы.

2) QSS – компьютерный саботаж с программным обеспечением: стирание, повреждение, ухудшение или подавление компьютерных данных или программ без права на то.

3) QSZ – прочие виды саботажа.

6. QZ – прочие компьютерные преступления:

1) QZB – использование электронных досок объявлений (BBS) для хранения, обмена и распространения материалов, имеющих отношение к преступной деятельности.

2) QZE – хищение информации, составляющей коммерческую тайну: приобретение незаконными средствами или передача информации, представляющей коммерческую тайну без права на то или другого законного обоснования, с намерением причинить экономический ущерб или получить незаконные экономические преимущества.

3) QZS – использование компьютерных систем или сетей для хранения, обмена, распространения или перемещения информации конфиденциального характера.

4) QZZ – прочие компьютерные преступления.

В 1991 году данный кодификатор был интегрирован в автоматизированную систему поиска и в настоящее время доступен подразделениям Национальных центральных бюро Международной уголовной полиции «Интерпол» более чем в 120-ти странах мира.

Однако уголовно-правовое регулирование зарубежным законодательством вопросов уголовной ответственности за рассматриваемые преступления не в полной мере укладывается в рамки приведенных классификаций, также обстоит дело и в отечественном законодательстве. Законодательство об уголовной ответственности за эти преступления в различных странах мира существенно отличается друг от друга. Не во всех государствах законодательство в должной мере адаптировано к постоянно возрастающим потребностям усиления уголовно-правовой охраны правоотношений, связанных с использованием компьютерных технологий и информации.

Несмотря на кажущуюся логичность и стройность предложенной классификации, по некоторым мнениям подобные «системы классификации, в погоне за всеобщей универсальностью и гибкостью приобрели существенный недостаток. Ввод литеры «Z» привел к хаотическому (с точки зрения криминалистики) смешению уголовно-правовых начал и технических особенностей автоматизированной обработки информации, что, несомненно, приведет к существенным проблемам при формулировании частных целей и задач расследования преступлений в сфере компьютерной информации»[57].

Однако, в криминалистике «систему взаимообусловленных, подвижно детерминированных действий, направленных на подготовку, совершение и сокрытие преступления, связанных с использованием соответствующих орудий и средств, а также времени, места и других обстоятельств объективной обстановки совершения преступления»[58] называют «способом совершения преступления», что нисколько не противоречит ни приведенной классификации, ни криминалистической теории расследования преступлений в сфере информации[59].

Есть мнение, что «сложность в формулировке этого понятия существует как по причине невозможности выделения единого объекта преступного посягательства, так и множественности предметов преступных посягательств с точки зрения их уголовно-правовой охраны»[60], поэтому в поисках истинного юридического значения выражения «компьютерное преступление» многие ученные и практики разошлись во мнениях.

Так, по мнению В.В. Крылова, классификация информационных преступлений подразумевает их деление на противоправные действия по месту, занимаемому в системе ИТ:

а) с компьютерной информацией;

б) в области телекоммуникаций;

в) с информационным оборудованием;

г) с иной информацией[61].

В.А. Копылов подчеркивает значимость аспекта информационной безопасности и подразделяет информационные преступления с позиции интересов субъектов общественных правоотношений:

- «национальной безопасности (например, от распространения инструкций по изготовлению взрывчатых устройств, производству наркотиков, террористической деятельности, призывами к свержению власти);

- несовершеннолетних (оскорбительные формы маркетинга, насилие и порнография);

- человеческого достоинства (расовая дискриминация и расистские оскорбления);

- информации и информационных ресурсов (например, от неправомерного доступа, злонамеренного хакерства и т.п.);

- тайны личной жизни (несанкционированный доступ к персональным данным, электронные оскорбления);

- репутации («навешивание ярлыков», незаконная сравнительная реклама);

- интеллектуальной собственности (несанкционированное распространение защищенных авторским правом работ, например, программного обеспечения, музыки, неправомерное использование торговых марок в качестве доменных имен и т.п.)»[62].

Добавим от себя ряд существенных преступлений в отношении хозяйствующих субъектов в сфере информационных технологий:

- электронных платежных систем (компрометация клиентской базы, подделка кредитных карт, фальсификация электронных платежей, блокирование работы автоматизированных систем);

- средств автоматизированной маркировки (подделка или модификация кодов маркировки, принадлежности, дат и сроков реализации товара);

- фискальных систем тарификации и зачисления платежей (данных электронных кассовых аппаратов и счетчиков тарификации энергетических ресурсов);

- телекоммуникационных и телематических служб (обход тарификации услуг хостинга и телекоммуникационных сервисов обслуживания абонентов, подделка или модификация идентификационных признаков абонентов сетей связи).

Многие авторы подчеркивают проблемы классификации преступлений в сфере компьютерной информации в связи с невозможностью «выделения единого объекта преступного посягательства» и «множественности предметов преступных посягательств с точки зрения их уголовно-правовой охраны»[63]. Однако мы поддерживаем точку зрения А.П. Полежаева, согласно которой понятие «компьютерная преступность» охватывает преступления, совершаемые с помощью компьютеров, информационно-вычислительных систем и средств телекоммуникаций[64], а также согласны с мнением В.Н. Дранникова, выделяющим их, как «негативное социальное явление в сфере информационных отношений, состоящее из совокупности правонарушений в отношении … информации, … технологий и … систем (информационных) в целях достижения криминальных целей и субъектов, их совершающих»[65].

Поэтому, учитывая сложившееся в криминалистике определение понятия «способ совершения преступления», а также особенности среды совершения преступлений, основой криминалистической классификации преступлений в сфере информационных технологий является анализ объекта преступного посягательства – информации «как сложного многоуровневого объекта на основе выявления набора элементарных операций на каждом из его уровней»[66].

Существующая противоречивость мнений исходит из того, что многие авторы суть нового явления в уголовном праве пытаются понять через призму понятий уголовной науки. Но компьютерное преступление по своей сути очень специфично и своими корнями уходит вглубь профессиональной среды специалистов в области информационных технологий. Единственный путь для уголовно-правовой науки видится в том, чтобы на основе глубокого анализа правонарушений в различных видах информационных технологий пытаться смоделировать юридические понятия и в дальнейшем грамотно регулировать отношения в данной области.

В качестве базовых ИТ мы будем рассматривать четыре основных вида:

- технологии связи;

- технологии автоматизированной обработки информации;

- технологии электронных платежей;

- технологии производства мультимедийной продукции.

В качестве объектов преступного посягательства выделим следующие системообразующие виды:

- сервисы связи и управления;

- компьютерная информация;

- электронные идентификаторы.

Общепризнано, что действия, которые «совершаются по корыстным мотивам и в целях неосновательного обогащения за счет этого имущества, причем без использования субъектами своего служебного положения, не связаны с нарушением хозяйственных связей и отношений в сфере экономики»[67] называются преступлениями против собственности.

Предвидя возражения, которые могут возникнуть в связи с применением в сфере ИТ «вещного права», отметим, что законодательство РФ[68] рассматривает понятия «интеллектуальной собственности», «авторского права» и «права собственности на информацию» и как самостоятельные объекты гражданских прав, и отождествляя вещное и интеллектуальное право собственности на информацию. Еще большее противоречие вносят дефиниции законов о связи прав собственности на информацию в зависимости от прав собственности на материальный носитель.

В отсутствии компромисса в законодательстве полагаем, что вправе предложить в отношении объектов преступлений в сфере информационных технологий квалифицировать правонарушения в соответствии с вызвавшими их побудительными причинами и наличием умысла.

В настоящее время, пожалуй, только Соединенные Штаты обладают набором законодательных актов, более или менее соответствующих современному положению дел. Например, в главе 47 18-го свода законов США есть 1029 статья «Мошенничество по отношению к средствам доступа», которая запрещает мошенническое использование поддельных средств доступа (идентификационных номеров, кредитных карт, номеров учетных записей, различных электронных идентификаторов). Под эту статью подпадают, в том числе, нарушения, связанные с использованием, производством, продажей или владением телекоммуникационным оборудованием, модифицированным или измененным для несанкционированного использования телекоммуникационных услуг, а также действия со сканирующими приемниками, оборудованием или программным обеспечением для модификации телекоммуникационной аппаратуры, направленные на достижение той же цели. Оба типа правонарушений караются штрафом в размере 50 000 долларов или в размере двукратной стоимости причиненного ущерба и/или до 15 лет тюремного заключения. При повторном совершении преступления наказание возрастает до 100 000 долл. и/или до 20 лет лишения свободы[69].

4.1.2 Классификация компьютерных преступлений в соответствии с

законодательством России

В соответствии с законодательством России компьютерные преступления классифицируются следующим образом: компьютерные преступления в сфере оборота компьютерной информации; в сфере телекоммуникаций; в сфере информационного оборудования; в сфере защиты охраняемой законом информации;

Рассмотрим данную классификацию более подробно.

1. Преступления в сфере оборота компьютерной информации:

а) неправомерный доступ к охраняемой законом компьютерной информации (ст. 272 УК РФ);

б) операции с вредоносными программами для ЭВМ (ст. 273 УК РФ);

в) нарушение авторских и смежных прав в отношении программ для ЭВМ и баз данных, а также иных объектов авторского и смежного права, находящихся в виде документов на машинном носителе (ст. 146 УК РФ);

г) незаконные изготовление в целях распространения или рекламирования, распространение, рекламирование порнографических материалов на машинных носителях, в системе или сети ЭВМ, а равно незаконная торговля ими (ст. 242 УК РФ).

д) изготовление и оборот материалов с порнографическими изображениями несовершеннолетних (ст. 242-1 УК РФ).

2. В сфере телекоммуникаций (ст. 138 УК РФ, ст. 159 УК РФ, ст. 183 УК РФ):

а) незаконное прослушивание телефонных переговоров и иных сообщений;

б) незаконный перехват и регистрация информации с технических каналов связи;

в) неправомерный контроль электронных почтовых сообщений и отправлений;

г) обман потребителей (мошенничество) и др.

Более подробно эту категорию преступлений рассмотрим в п.4.2.

3. В сфере информационного оборудования:

а) нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ);

б) незаконный оборот специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации (ч.ч. 2 и 3 ст. 138 УК РФ);

в) незаконный оборот специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения (изменения, уничтожения) информации с технических средств ее создания, обработки, хранения и передачи (ч.ч. 2 и 3 ст. 138 УК РФ);

г) незаконное изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт (ст. 187 УК РФ);

д) нарушение авторских прав в отношении топологий интегральных микросхем (ст. 146 УК РФ).

4. В сфере защиты охраняемой законом информации:

а) незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, в том числе персональных данных – любой информации, относящейся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст. 137 УК РФ);

б) разглашение охраняемой законом информации: государственной тайны (ст. 276 УК РФ; ст. 283 УК РФ); служебной тайны и профессиональной тайны (ст. 155 УК РФ; ст. 310 УК РФ; ст. 311 УК РФ; ст. 320 УК РФ);

в) незаконные собирание, разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну (ст. 183 УК РФ);

г) незаконные экспорт или передача иностранной организации или ее представителю научно-технической информации, которая может быть использована при создании вооружения и военной техники и в отношении которой установлен экспортный контроль (ст. 189 УК РФ).

5. В сфере информационных правоотношений:

а) распространение заведомо ложной информации (ст. 129 УК РФ; ст. 182 УК РФ);

б) неправомерный отказ в предоставлении или уклонение от предоставления информации (ст. 140 УК РФ; ст. 185.1 УК РФ; ст. 287 УК РФ);

в) сокрытие или искажение информации (ст. 237 УК РФ; ст. 198 УК РФ).

6. В сфере экономики и компьютерной информации:

а) мошенничество в сфере предоставления услуг электросвязи и доступа к информационным ресурсам сети «Интернет» (ст. ст. 165 и 272 УК РФ, 159 и 272 УК РФ, ст. 200 УК РФ);

б) мошенничество в сфере электронного перевода денежных средств (ст. ст. 159, 165, 187, 272 и 273 УК РФ);

в) незаконная деятельность в сфере предоставления услуг электросвязи и доступа к информационным ресурсам сети «Интернет» (ст. ст. 171, 171.1, 173, 178 УК РФ);

г) иные преступления, совершенные в сфере экономики и компьютерной информации (ст. ст. 169, 175, 186, 194, 198, 199 УК РФ).

Практика расследования преступлений, сопряженных с использованием компьютерных средств, свидетельствует о значительном преобладании количества уголовных дел по другим статьям УК РФ над делами, относящихся по своему составу к главе 28 УК РФ. К ним относятся преступления, предусмотренные:

ст. 129 – клевета (в случае размещения в сети Интернет заведомо ложных сведений, порочащих честь и достоинство определенного лица);

ст. 137 – нарушение неприкосновенности частной жизни (при размещении информации, которая относится к категории личной или семейной тайны);

ст. 138 – нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (здесь речь идет об уголовной ответственности за чтение чужих электронных писем).

ст. 146 – нарушение авторских и смежных прав (в части защиты авторских прав на программы для ЭВМ и баз данных);

ст. 159 – мошенничество;

ст. 165 – причинение имущественного ущерба путем обмана или злоупотребления доверием;

ст. 174 – легализация (отмывание) денежных средств или иного имущества, приобретенного незаконным путем (в случае, если преступник перевел деньги со счета зарубежного банка на свой счет в российском банке и получает по этому вкладу начисляемые проценты);

ст. 183 – незаконное получение или разглашение сведений, составляющих коммерческую или банковскую тайну (здесь под категорию коммерческой тайны подпадает список пользователей компьютерной системы с их паролями);

ст. 187 – изготовление и сбыт поддельных кредитных либо расчетных карт и иных платежных документов;

ст. 292 – служебный подлог. Проведение следственных действий по ряду статей УК РФ сопряжено с защитой безопасности интересов государства. Это, в первую очередь:

ст. 207 – заведомо ложное сообщение об акте терроризма (например, в случае ложного сообщения о заминированных объектах посредством сети Интернет);

ст. 276 – шпионаж;

ст. 283 – разглашение государственной тайны, устанавливает ответственность за предание огласке или распространение с нарушением установленного порядка (правил) сведений, составляющих государственную тайну, вследствие чего они становятся известны другим лицам (например, неограниченному числу пользователей Интернет).

4.2 Преступления в сфере телекоммуникаций

Как мы упоминали, не всякая информационная технология содержит в своем составе компьютер (хотя практика последних лет свидетельствует о тотальном внедрении цифровых технологий во все без исключения технические устройства). Тем не менее в сфере ИТ существует ряд особенностей, позволяющих приносить незаконную выгоду путем совершения преступлений, связанных с:

- с нарушением лицензионных ограничений на право изготовления, ввоза и продажи;

- с нарушением правил использования радиочастотного диапазона;

- с нарушением авторских прав;

- с незаконным доступом к охраняемой информации;

- с незаконным доступом к сервисам связи;

- с нарушением (блокированием) работы телекоммуникационных систем;

- с обманом потребителей.



Pages:     | 1 | 2 || 4 | 5 |   ...   | 6 |
 





<


 
2013 www.disus.ru - «Бесплатная научная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.