ЛЕКЦИЯ

ПРАВОВЫЕ МЕРЫ БОРЬБЫ С КОМПЬЮТЕРНОЙ ПРЕСТУПНОСТЬЮ

Правовые меры по борьбе с компьютерной преступностью. Уголовное законодательство РФ о преступлениях в сфере компьютерной информации. Правовая защита компьютерных технологий за рубежом.

К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие соответствующих международных. Только в последние годы появились работы по проблемам правовой борьбы с компьютерной преступностью, (в частности, это работы Ю. Батурина, М. Карелиной, В. Вехова) и совсем недавно отечественное законодательство встало на путь борьбы с компьютерной преступностью. И поэтому, представляется весьма важным расширить правовую и законодательную информированность специалистов и должностных лиц, заинтересованных в борьбе с компьютерными преступлениями.

Правовое регулирование в области информационных правоотношений осуществляется рядом сравнительно новых актов, в том числе и федеральными законами:

Законом Российской Федерации от 23 сентября 1992 года №3523-I "О правовой охране программ для электронных вычислительных машин и баз данных";

При этом неправомерный доступ к компьютерной информации квалифицируется как преступление при следующих условиях:

- если компьютерная информация охраняется законом, т.е. представлена на машинном носителе, в ЭВМ или их сети;

- если неправомерный доступ к компьютерной информации повлек уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ). Эти действия наказываются штрафом, либо исправительными работами, либо лишением свободы на срок до двух лет. Те же действия, совершенные с использованием служебного положения, влекут за собой наказание в более крупном размере (ст. 272 ч. 2 УК РФ). Эта норма означает, что посторонние хакеры несут меньшую уголовную ответственность, чем сотрудники фирмы или лица, допущенные к компьютерной информации фирмы на основании договора.

Следует обратить внимание владельцев компьютерной информации на то обстоятельство, что среди условий квалификации неправомерного доступа к компьютерной информации в качестве преступления в УК РФ приведен исчерпывающий перечень негативных последствий, принимаемых во внимание при квалификации несанкционированного доступа в качестве преступления. Это означает, что несмотря на то, что доступ может быть неправомерным, но если он не повлек за собой перечисленных в вышеупомянутой статье УК РФ последствий, такой доступ к компьютерной информации не может считаться преступлением.

Новый УК РФ вводит в оборот новое понятие: “вредоносные программы”. Под вредоносными программами для ЭВМ понимаются программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, а также приводящие к нарушению работы ЭВМ, системы ЭВМ или их сети (ст. 273 УК РФ). Уголовному наказанию подлежат действия, связанные не только с созданием вредоносных программ, но и с изменением уже существующих программ во вредоносные (имеется в виду заражение вирусом), а также использование и распространение этих вредоносных программ или их машинных носителей. В зависимости от тяжести последствий такие преступления наказываются лишением свободы на срок до трех лет либо до семи лет (ст. 273 ч.1 и ч.2 УК РФ).

К разряду преступлений отнесено также нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию компьютерной информации в случае, если причинен существенный вред или, по неосторожности, тяжкие последствия (ст. 274 УК РФ). УК не дает разъяснений того, что понимается под существенным вредом или тяжкими последствиями, равно как и не дает разъяснений, чему или кому причинен вред: информации, бизнесу, репутации фирмы или гражданина. Очевидно, ответы на эти вопросы даст лишь судебная практика. Между тем уже сегодня можно и нужно обеспечить серьезный подход к вопросам защиты компьютерной информации.

Организационно-правовая система защиты информации в обязательном порядке должна включать в себя не только применение технических средств защиты информации, но в первую очередь правовых мер урегулирования отношений с работниками фирмы, допущенными к работе с компьютерной информацией, в частности с информацией вообще. Неоформленные вовремя или неправильно оформленные правовые отношения с работниками в вопросах обеспечения сохранности информации могут впоследствии явиться основанием для отказа в приеме искового заявления в суд.

Статья 272 УК РФ предусматривает ответственность за неправомерный доступ к компьютерной информации (информации на машинном носителе, в ЭВМ или сети ЭВМ), если это повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы вычислительных систем. Данная статья защищает право владельца на неприкосновенность информации в системе. Владельцем информационной вычислительной системы может быть любое лицо, правомерно пользующееся услугами по обработке информации как собственник вычислительной системы (ЭВМ, сети ЭВМ) или как лицо, приобретшее право использования компьютера. Статья состоит из двух частей. В первой части наиболее серьезное воздействие к преступнику состоит в лишении свободы до двух лет. Если же преступление совершается группой лиц либо с использованием своего служебного положения, наказание ужесточается и срок лишения свободы увеличивается до 5 лет.

Незаконный доступ - преступление трудно доказуемое. Латентность, то есть скрытость таких преступлений чрезвычайно высока. Но даже узнав о взломе не всякая фирма - провайдер рискнет сообщить в милицию. Признать факт взлома - повредить репутации компании, гарантирующей клиенту неприкосновенность его сайтов.

Создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК)

Статья предусматривает уголовную ответственность за создание программ для ЭВМ или их модификацию, заведомо приводящее к несанкционированному уничтожению, блокированию и модификации, либо копированию информации, нарушению работы информационных систем, а равно использование таких программ или машинных носителей с такими программами. Эта статья защищает права владельца компьютерной системы на неприкосновенность находящейся в ней информации. Под созданием вредоносных программам в смысле ст. 273 УК РФ понимаются программы специально разработанные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены, определенные в документации на программу. Наиболее распространенными видами вредоносных программ являются широко известные компьютерные вирусы и логические бомбы.

Причем для привлечения к ответственности по ст.273 УК РФ не обязательно наступление каких-либо отрицательных последствий для владельца информации, достаточен сам факт создания программ или внесение изменений в существующие программы, заведомо приводящих к негативным последствиям, перечисленным в статье. Так что тем, кто шлифует свое мастерство программиста, создавая различные виды вирусов, стоит всерьез задуматься. Эти действия не являются уголовно наказуемыми в том случае, когда происходят в организации, которая занимается разработкой антивирусных программ. Если ваша фамилия - не Касперский, лучше не экспериментировать. Санкция статьи 273 УК РФ предусматривает наказание в виде лишения свободы сроком до 3 лет, а в случае наступления тяжких последствий по неосторожности -- до 7 лет.

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст.274 УК)

Эта статья устанавливает ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ним, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации, если это деяние причинило существенный вред. Уголовных дел по этой статье в Ростовской области, по нашим сведениям, не возбуждалось.

Например, есть Закон о средствах массовой информации, статья 24 которого гласит, что информация, которая распространяется средствами массовой информации через телекоммуникационные сети (под это понятие подходит интернет), регулируется по аналогии с телевидением и радиовещанием. Но вследствие специфики интернета, классические нормы, которыми регулируется деятельность обычных средств массовой информации, часто совершенно не применимы в силу своего характера к регулированию именно интернетовских СМИ. Представьте, как можно применить к какому-нибудь сайту требование закона о том, что "распространение специализированных программ эротического характера без кодирования сигнала допускается с 23 до 4 часов по местному времени"? Если сайт находится во Владивостоке, а "зритель" - в Ростове, по какому времени считать? И таких случаев очень много. К тому же нет однозначного ответа на вопрос, кто же, собственно, должен осуществлять это регулирование.

Методика предупреждения преступлений является важной составной частью методологии криминалистики и включается в общее понятие методики борьбы с отдельными видами преступлений, к которым относятся и компьютерные преступления.

Между тем многие работники органов внутренних дел и прежде всего следственных аппаратов, непосредственно осуществляющих борьбу с преступностью, слабо подготовлены профессионально для осуществления достаточно трудоемких и сложных мероприятий по предупреждению компьютерных преступлений.

Это в значительной степени обусловлено тем, что в настоящее время не существует сколько-нибудь конкретных и полных по содержанию методологических разработок по организации и тактике предупреждения преступлений рассматриваемой категории. Надо принять во внимание и специфичность и новизну компьютерных преступлений, выраженных, в частности, в повышенной трудности их выявления, раскрытия и расследования.

На основе данных, полученных в ходе анализа отечественной и зарубежной специальной литературы и публикаций в периодической печати по вопросам теории и практики борьбы с компьютерной преступностью, можно выделить три основные группы мер предупреждения компьютерных преступлений:

1) правовые;

2) организационно-технические;

3) криминалистические.1

Рассмотрим их более подробно.

К правовым мерам предупреждения компьютерных преступлений в первую очередь относятся нормы законодательства, устанавливающие уголовную ответственность за указанные выше противоправные деяния.

История развития законодательства зарубежных стран в этом направлении показывает, что впервые подобный шаг был предпринят законодательными собраниями американских штатов Флорида и Аризона уже в 1978 году. Принятый закон назывался “Computer crime act of 1978” и был первым в мире специальным законом, устанавливающим уголовную ответственность за компьютерные преступления. Затем практически во всех штатах США (в 45 штатах) были приняты аналогичные специальные законодательства.

Эти правовые акты стали фундаментом для дальнейшего развития законодательства в целях осуществления мер предупреждения компьютерных преступлений.

Отечественное законодательство движется в этом направлении очень робкими шагами.

Первым из них по праву можно считать издание 22 октября 1992 года двух Указов Президента РФ “О правовой охране программ для ЭВМ и баз данных” и “О правовой охране топологий интегральных микросхем”, регламентирующих порядок установления и правовую защиту авторских прав на программные средства компьютерной техники и топологии интегральных микросхем с 1 января 1994 года.

Вторым прогрессивным шагом является принятие Государственной Думой и Федеральным Собранием сразу двух законов: 20 января - “О связи” и 25 января 1995 г. “Об информации, информатизации и защите информации”. Данные нормативные акты дают юридическое определение основных компонентов информационной технологии как объектов правовой охраны; устанавливают и закрепляют права и обязанности собственника на эти объекты; определяют правовой режим функционирования средств информационных технологий; определяют категории доступа определенных субъектов к конкретным видам информации; устанавливают категории секретности данных и информации.

Решающим законодательным шагом можно считать принятие в июне 1996 года Уголовного Кодекса Российской Федерации и выделяющего информацию в качестве объекта уголовно-правовой охраны.

Этим актом отечественное уголовное законодательство приводится в соответствие с общепринятыми международными правовыми нормами развитых в этом отношении зарубежных стран.

Между тем общеизвестно, что одними правовыми мерами не всегда удается достичь желаемого результата в деле предупреждения преступлений.

Тогда следующим этапом становится применение мер организационно-технического характера для защиты СКТ от противоправных посягательств на них.