Уголовное законодательство в области «компьютерной
преступности»:
средство поддержания правопорядка или «Malleus Maleficarum»[i]?
Середа С.А. (serge_sereda@hotmail.com)
В последнее время в российской правоприменительной практике наметилась
тенденция по применению статей 272 УК РФ («Неправомерный доступ к
компьютерной информации») и 273 УК РФ («Создание, использование и
распространение вредоносных программ для ЭВМ») в делах, связанных со
злоупотреблением возможностями вычислительной техники, а также с нарушением
исключительных прав на авторские произведения (чаще всего – на
программы для ЭВМ). При этом происходит расширение действия ст.ст. 272, 273
УК РФ на случаи доступа к компьютерной информации, происходящие в рамках
компьютерной системы, находящейся в собственности самогό обвиняемого в
неправомерном доступе, что, по нашему мнению, является некорректным.
Рассмотрению указанной проблемы посвящён настоящий материал.
Как показывают данные правоприменительной практики [6], наиболее спорные судебные дела
посвящены трём основным видам правонарушений: «взлом
программ»[ii]; рассылка
«спама»; неправомерное пользование услугами компьютерных (чаще
всего – доступом в Интернет) и мобильных телефонных («
клонирование» аппаратов) сетей.
Ни одно из перечисленных правонарушений не подпадает целиком под действие
трёх статей Главы 28 УК РФ, посвящённой «преступлениям в сфере
компьютерной информации». Для решения этого вопроса представители
правоохранительных органов применяют практику отыскания в правонарушении
действий, подпадающих под состав преступления по статьям 272, 273 или 274 УК
РФ, и формулирования обвинения соответствующим образом.
В частности, до последнего времени правонарушителей за «взлом»
программ для ЭВМ привлекают по ст. 272 «Неправомерный доступ к
компьютерной информации». Состав преступления в соответствии с ней
образует «неправомерный доступ к охраняемой законом компьютерной
информации, то есть информации на машинном носителе, в
электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это
деяние повлекло уничтожение, блокирование, модификацию либо копирование
информации, нарушение работы ЭВМ, системы ЭВМ или их сети».
Следовательно, для обвинения по данной статье необходимо доказать два факта:
- факт неправомерного доступа к охраняемой законом компьютерной
информации;
- факт уничтожения, блокирования, модификации либо копирования
информации, нарушения работы ЭВМ, системы ЭВМ или их сети.
Первый факт сейчас принято доказывать на основании того, что программа для
ЭВМ является компьютерной информацией (что не соответствует ст. 2 ФЗ
«Об информации, информатизации и защите информации» [1]), а также того,
что доступ к программе для ЭВМ является неправомерным, если при его
осуществлении нарушаются исключительные авторские права на неё (что не
соответствует п.2 ст. 1 ФЗ «Об информации, информатизации и защите
информации»).
Второй факт доказывается на основании того, что модификация или
воспроизведение программы для ЭВМ признаётся модификацией или копированием
компьютерной информации.
Дополнительной причиной такой расширительной трактовки понятия
«неправомерный доступ» является отсутствие явного упоминания прав
собственности на «машинный носитель, электронно-вычислительную машину,
систему ЭВМ или их сеть», содержащих компьютерную информацию. Исходя из
практики защиты информации, доступ является неправомерным, только если
«уничтожение, блокирование, модификация либо копирование
информации» осуществляется на носителе или в информационной системе, не
принадлежащей лицу, осуществляющему доступ. Если же доступ осуществляется в
рамках информационной системы, которая находится в собственности или владении
лица, осуществляющего доступ, то подобное действие всегда будет правомерным.
Эта позиция подтверждается и определением несанкционированного доступа,
приведённым в РД Гостехкомиссии РФ "Защита от НСД. Термины и
определения": «несанкционированный доступ к информации –
доступ к информации, нарушающий правила разграничения доступа с использованием
штатных средств, предоставляемых средствами вычислительной техники или
автоматизированными системами».
Описанная же расширительная трактовка статьи 272 УК РФ приводит к следующим
противоречиям:
Доступ в своей же собственной компьютерной системе к любому файлу,
содержащему авторское произведение, может трактоваться как неправомерный, если
«уничтожение, блокирование, модификация либо копирование
информации» не согласовано с обладателем авторских прав на указанное
произведение. Учитывая, что под «уничтожение, блокирование, модификацию
либо копирование информации» подпадает, в том числе, и архивация файлов
и их перемещение на другой носитель (например, оптический диск) и даже
рецензирование статей, представленных в цифровом виде, уголовной
ответственности должна подлежать львиная доля современных пользователей ЭВМ.
Если режим доступа к компьютерной информации определяется не собственником
(владельцем) информационной системы или информационного ресурса, а
обладателем авторских прав на произведение, представленное в виде
компьютерной информации (что явно противоречит п.3 ст.17 ФЗ «Об
информации, информатизации и защите информации»), то автор оказывается
вправе осуществлять доступ к экземплярам своего произведения во всех
информационных системах, которые содержат его авторское произведение в
цифровой форме, или, как минимум, контролировать доступ к ним.
При атаке на информационную систему, выразившейся в модификации её
программного обеспечения, пострадавшей стороной следует считать не
собственника (владельца) информационной системы (ресурса), а владельца
исключительных авторских прав на модифицированные компьютерные программы (т.к.
по современному законодательству даже у законного пользователя программы для
ЭВМ нет права на её модификацию, а, следовательно, оно не может быть
нарушено).
Описанная выше логика применяется сегодня и для отнесения программ для ЭВМ
к вредоносным. Так, Управление «К» считает вредоносными все
программы, предназначенные для модификации кода компьютерных программ[iii], а также
программы-эмуляторы аппаратных средств, используемых для обеспечения защиты
программ от копирования[iv].
В то же время, не вполне ясно, как квалифицировать подобные правонарушения
после внесения изменений в законодательство об авторском праве. По нашему
мнению, появление специальной правовой характеристики для данного вида
злоупотреблений является доказательства неправомерности применения к ним ст.
273 УК. Однако, с учётом современных реалий, не исключен вариант
применения ст. 146 и ст. 273 по совокупности.
Расширительная трактовка вредоносности компьютерных программ (по признаку
нарушения с их помощью исключительных прав авторов компьютерных программ или
иных произведений в цифровой форме) позволяет отнести к вредоносным средства
модификации двоичных файлов, средства упаковки и шифрации исполняемых файлов,
средства создания криптографически закрытых и (или) сжатых физических и
логических дисков, загрузчики исполняемых файлов, входящие в состав
операционных систем, средства оптимизации оперативной и виртуальной памяти,
средства синтеза речи, средства конверсии файлов из одного формата в другой,
антивирусные средства, средства редактирования текстов, редактирования и
просмотра графики и видео и ещё целый ряд широко распространённых и
повседневно применяемых программных средств.
В то же время, системы технической защиты программных продуктов с
«агрессивным поведением»[v], совершенно точно подходящим под понятие
«несанкционированное уничтожение, блокирование, модификация либо
копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети»,
не считаются чем-то, нарушающим закон, а их авторы – создателями и
распространителями вредоносного программного обеспечения.
Одним из самых показательных дел, связанных с массовой рассылкой
нежелательных сообщений («спама»), является «дело
Челябинского спамера» [4], осуждённого по ст.
273 УК РФ. Существо дела заключается в том, что
«спамером» была написана программа на языке Perl, позволяющая
отсылать на мобильные телефоны сообщения в формате SMS через Интернет-шлюз
мобильного оператора. Указанные программу обвиняемый использовал для массовой
рассылки сообщений нецензурного содержания абонентам мобильной сети. Рассылка
указанных сообщений была признана «несанкционированным копированием
информации» (в мобильные телефоны абонентов) и «нарушением работы
ЭВМ, системы ЭВМ или их сети» (т.к. Интернет-сервис отправки
SMS-сообщений в течение нескольких часов был перегружен), а программа,
позволяющая его выполнять, соответственно, «вредоносной».
Несостоятельность утверждения о несанкционированном копировании информации в
мобильные телефоны абонентов посредством отправки сообщений формата SMS
является тот факт, что «несанкционированность» объясняется
нецензурным характером сообщений, т.е. смысловой составляющей компьютерной
информации, которая никак не влияет на характер деяния, предусмотренного
ст. 273 УК РФ. Иными словами, признав отправку SMS нецензурного содержания
актом несанкционированного копирования информации, суд признал таковым
отправку сообщения формата SMS любого содержания. Неправомерность же
отнесения написанной обвиняемым программы к вредоносным по причине нарушения
с её помощью работы ЭВМ, системы ЭВМ или их сети вытекает из того, что в
формулировке самой статьи указано «создание программ для ЭВМ, заведомо
приводящих к несанкционированному нарушению работы ЭВМ, системы ЭВМ». В
рассматриваемом случае отсутствует факт создания программы заведомо
приводящей к блокированию сервиса по отправке SMS через Интернет: программа
была написана для массовой рассылки сообщений, а не для реализации атаки на
«отказ в обслуживании». В противном случае, в категорию
вредоносных попадают и все клиенты электронной почты, позволяющие
осуществлять массовую рассылку сообщений, которая может вызвать перегрузку
произвольного почтового сервера.
Отмеченное выше отсутствие явного упоминания о связи между правами
собственности на информационную систему (ресурс) и правомочностью доступа
используется и при квалификации по ст. 272 УК РФ дел, связанных с
разглашением компьютерной информации, составляющей коммерческую тайну. Так,
копирование собственником (владельцем) информационной системы хранящейся в
ней компьютерной информации, составляющей коммерческую тайну иного лица (не
являющегося пользователем системы), приведшее к её разглашению,
квалифицируется не только по ст. 183, но и по ст. 272 УК РФ. В качестве
доказательной базы верности применения ст. 272 УК РФ указывается тот
факт, что информация является конфиденциальной, вследствие чего доступ к ней
может быть санкционирован только её собственником (владельцем), что позволяет
говорить о неправомерности доступа, а поскольку информация является
компьютерной, то вменение ст. 272 считается обоснованным.
Данная логическая цепь используется для привлечения к уголовной
ответственности по ст. 272 УК РФ лиц, создающих «клонированные»
телефонные аппараты в сетях стандарта CDMA. В этом случае пара
«электронный серийный номер (ESN) + номер абонента сети (MIN)»
считается информацией, составляющей коммерческую тайну оператора мобильной
сети (или вообще его собственностью[vi]), а копирование этой информации в память
другого телефонного аппарата – несанкционированным. По нашему мнению,
несанкционированным такое копирование можно назвать лишь в том случае, если
указанная информация будет скопирована в телефонный аппарат непосредственно
из защищённой базы данных оператора мобильной сети, расположенной в
принадлежащей ему информационной системе, либо из памяти «
клонируемого» телефонного аппарата, без санкции его владельца. В иных
случаях, да и то не во всех, можно говорить лишь о разглашении информации,
составляющей коммерческую тайну. Очевидно, что неправомерный доступ к
информации может быть причиной разглашения информации, составляющей
государственную, коммерческую или иную тайну. В то же время, обратное
утверждение, о том, что действия, осуществлённые в рамках собственной
компьютерной системы и приведшие к разглашению тайны, сами следует
квалифицировать, как неправомерный доступ, представляется нам некорректным и
противоречащим основным положениям теории информационной безопасности
[7].
Что касается мошенничества при пользовании услугами доступа к сети
Интернет, то при невозможности доказать использование обвиняемым троянских
программ для несанкционированного копирования реквизитов для идентификации и
аутентификации легального пользователя, чтобы (совершенно правомерно) привлечь
его по ст. 273 УК РФ, нередко ему вменяют совершение преступления,
подпадающего под действие ст. 272 УК РФ. Для этого мошенническое пользование
услугами доступа к сети Интернет квалифицируют как неправомерный доступ к
сети ЭВМ, повлекший модификацию компьютерной информации[vii], выразившуюся в изменении статистической
информации об объеме оказанных услуг, хранящейся на сервере их поставщика.
Точно такое же определение дают и при мошенническом пользовании услугами
мобильных телефонных сетей (в частности, упоминается «модификация
технической и биллинговой информации, содержащейся в центральном
контроллере» мобильной сети[viii]). Не смотря на то, что суд неоднократно
принимал решения о признании вины по сформулированному указанным образом
обвинению, применение в подобной ситуации ст. 272 УК РФ нельзя признать
правомерным. Наличие описанного состава преступления может быть признано лишь
в том случае, если обвиняемый непосредственно сам осуществил модификацию
статистической («биллинговой») информации в ЭВМ поставщика услуг,
осуществив к ней неправомерный доступ. В описанных же случаях,
непосредственного изменения информации в компьютерной системе поставщика услуг
обвиняемым не проводилось (и подобной цели не ставилось): изменение данных
производилось самой автоматизированной системой учёта в штатном режиме. Если
же признать любые действия, «вводящие в заблуждение»
автоматизированные системы учёта, несанкционированным уничтожением,
копированием или модификацией информации, то по ст. 272 необходимо проводить
и подделку кредитных карт, и отключение в «браузере» Интернет
опций «allow cookies» и «allow referrer logging», и
даже позирование перед цифровой системой видеонаблюдения с изменённой
внешностью (например, в парике и с приклеенными усами).
Описанные выше негативные примеры судебной практики, по нашему мнению,
свидетельствуют о наличии трёх проблем:
- Слабая проработка существующей законодательной базы, призванной
регулировать отношения, связанные с хранением и обработкой компьютерной
информации, и несоответствие многих правовых норм положениям теории
информационной безопасности.
- Недостаточная компетентность сотрудников правоохранительных органов,
занимающихся борьбой с «компьютерными» преступлениями или (и)
их заинтересованность в неправомерном осуждении правонарушителей по
«компьютерным» статьям (что, в свою очередь, образует состав
преступления по ст. 299 УК РФ «Привлечение заведомо
невиновного к уголовной ответственности»).
- Отсутствие адвокатов с достаточным уровнем «компьютерной»
подготовки, который бы позволил выявлять факты технически некорректно или
заведомо ложно сформулированных обвинений по статьям Главы 28 УК РФ.
Соответственно, улучшить существующее положение могут меры, направленные,
в первую очередь, на разрешение вышеописанных проблем, а также на
информирование общественности о текущей ситуации с правоприменением
уголовного кодекса РФ к «компьютерным преступлениям» и
предупреждение специалистов по автоматизированной обработке данных о реальной
опасности уголовного преследования за неправомерный доступ к компьютерной
информации, при выполнении действий, не подпадающими под понятие
«несанкционированный доступ», используемое в теории
информационной безопасности.
Литература:
- Богомолов, М.В. Уголовная ответственность за неправомерный доступ к
охраняемой законом компьютерной информации [Текст] / Максим Владимирович
Богомолов. – Красноярск, 2002. – Режим доступа к электрон.
дан.:
http://pu.boom.ru/book/anton-sergo-knigi.html.
- Волеводз, А.Г. Противодействие компьютерным преступлениям: правовые
основы международного сотрудничества. – М.: Юрлитинформ, 2002.
- Дикшев, И. Права вирмейкера как человека и гражданина [Электронный
ресурс] (
http://www.securitylab.ru/44101.html ).
- Протасов, П.В. Как бы осуждён как бы спамер // Компьютерра, 2004. №25
(
http://www.computerra.ru/offline/2004/549/ ).
- Расследование неправомерного доступа к компьютерной информации. Учебное
пособие. / Под ред. д.ю.н. проф Н.Г. Шурухнова. – М.: Московский
университет МВД России, 2004.
- Сорокин, А.В. Судебная практика по делам о преступлениях в сфере
компьютерной информации [Электронный ресурс] (
http://www.zaural.ru/procur/my_page.htm ).
- Черней, Г.А., Охрименко, С.А., Ляху, Ф.С. Безопасность автоматизированных
информационных систем. – Кишинёв, Ruxanda, 1996.
[i] «Молот ведьм» - лат.
[ii] с 28 июля 2004 в РФ официально
характеризуется, как «действия, направленные на снятие ограничений
использования произведений или объектов смежных прав, установленных путем
применения технических средств защиты авторского права и смежных прав»
и является нарушением авторских прав, т.е. подпадает под действие ст. 146 УК
РФ.
[iii] См., например,
http://www.zaural.ru/procur/delo10.htm.
[iv] См., например,
http://www.zaural.ru/procur/delo14.htm.
[v] например, популярная внешняя
система защиты
ASProtect Алексея
Солодовникова при обнаружении в оперативной памяти кода отладчика или
известной ей программы-монитора намеренно вызывает крах операционной
системы.
[vi] См., например,
http://www.livejournal.com/users/pvphome/113866.html.
[vii] См., например,
https://internet-law.ru/intlaw/crime/samara.htm.
[viii] См., например,
http://www.zaural.ru/procur/delo9.htm.