Информационно-компьютерная криминалистическая модель преступления, связанного с нарушением правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования сети «Интернет» и сети связи общего пользования: теоретико-прогностический подход

Бесплатный доступ

В статье описаны элементы информационнокомпьютерной криминалистической модели преступления в сфере компьютерной информации, детализировано их содержание на примере преступного деяния, связанного с нарушением правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационнотелекоммуникационной сети «Интернет» и сети связи общего пользования. Анализ выявленных элементов с учетом современного развития информационных технологий и теоретикопрогностического подхода позволил сделать вывод о возможности формирования на их основе цифрового двойника рассматриваемого преступления в виде его цифровой копии, что позволит в последующем оптимизировать эффективность расследования. Цифровой двойник преступления, построенный на основе предлагаемой современным реалиям криминалистической характеристики, будет представлять собой виртуальную модель, отражающую состояние и динамику реального преступного деяния.

Еще

Преступления в сфере компьютерной информации, компьютерные преступления, информационная модель преступления, информационнокомпьютерная криминалистическая модель, цифровая модель преступления, криминалистическая характеристика преступлений, алгоритмы расследования, компьютерная криминалистика, искусственный интеллект

Еще

Короткий адрес: https://sciup.org/142244943

IDR: 142244943   |   DOI: 10.33184/vest-law-bsu-2025.26.18

Текст научной статьи Информационно-компьютерная криминалистическая модель преступления, связанного с нарушением правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования сети «Интернет» и сети связи общего пользования: теоретико-прогностический подход

Уфимский университет науки и технологий, Уфа, Россия, ,

University of Science and Technologies, Ufa, Russia, ,

Введение. В условиях массовой цифровизации определение ответственности в области неправомерного использования глобальной сети «Интернет» и других информационно-телекоммуникационных сетей (далее – ИТС) представляется достаточно значимым. Так, ответственность за нарушение правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории РФ ИТС «Интернет» и сети связи общего пользования предусмотрена ст. 274.2 УК РФ, в соответствие с ч. 1 которой обязательным признаком является ранее наступившая административная ответственность за деяние, предусмотренное ч. 2 ст. 13.42 КоАП РФ (подразумевая повторное нарушение).

Уголовно-правовые нормы, закрепленные ст. 274.2 УК РФ, направлены на охрану суверенного киберпространства от информационных посягательств путем установления ответственности для тех лиц, которые должны обеспечивать устойчивость, безопасность и целостность российской информационной инфраструктуры [1, c. 180]. Под техническим средством противодействия угрозам устойчивости, безопасности и целостности функционирования ИТС «Интернет» и сети связи общего пользования (далее - ТСПУ) понимаются устройства управления маршрутизацией трафика и обеспечения непрерывности его передачи. При этом под угрозами безопасности ТСПУ понимаются, например, несанкционированное проникновение в программное обеспечение и технические средства сетей связи, умышленные дестабилизирующие воздействия (внутренние или внешние), ведущие к сбоям в работе сетей связи, распространение информации, запрещённой к свободному доступу согласно действующему законодательству и пр.

Угрозой целостности функционирования ТСПУ может являться нарушение способности взаимодействия сетей связи, при котором становятся невозможными соединение и передача информации между пользователями взаимодействующих сетей и доступ пользователей к контенту сети «Интернет»1. Объективную сторону преступления образуют правила, изложенные в Постановлении

Правительства РФ от 12 февраля 2020 года № 1262 1 , а объектом является среда с функционирующими в ней ИТС «Интернет» и сетями связи общего пользования. Субъектом преступлений, предусмотренных ч. 1 ст. 274.2 УК РФ, является юридическое (должностное) лицо, либо индивидуальный предприниматель, подвергнутые административному наказанию за деяние, предусмотренное ч. 2 ст.13.42 КоАП РФ [2, c. 39]. Указанное преступление может совершаться ввиду прямого умысла или по неосторожности.

По мере развития информационных технологий число атак на информационную инфраструктуру Российской Федерации неуклонно растёт3 2 , что выражается воздействиями на официальные государственные сайты, ресурсы, корпорации и ведомства. Указанные преступления носят системный и многовекторный характер, причиняя существенный ущерб как государству, так и отдельно взятым гражданам страны. Закономерной реакцией на сложившуюся ситуацию стала разработка систем мониторинга сетей связи общего пользования, например, успешно функционируют система контроля состояния идентификационных модулей информационной системы «ПАК КСИМ», обеспечивающая мониторинг соблюдения операторами связи требований по идентификации абонентов, национальная система доменных имен, обеспечивающая доступность отечественных интернет-ресурсов в случае искажения или недоступности информации в глобальной системе регистрации доменов и безопасного их преобразования в IP-адреса, автономная система IP-сетей и маршрутизаторов, управляемых операторами, информационная система «Антифрод», позволяющая выявлять подменные номера и др.4 3 . Отдельно стоит отметить появление требований предоставления доступа к сети «Интернет» только при наличии у операторов связи ТСПУ, а также заблаговременного согласования схем пропуска трафика через них5 4 .

Таким образом, в условиях становления информационного общества обеспечение устойчивости, безопасности и целостности функционирования на территории РФ ИТС «Интернет» и сети связи общего пользования приобретает особую актуальность. Установление уголовной ответственности за несоблюдение требований, касающихся эксплуатации ТСПУ, обусловлено необходимостью надлежащего исполнения поставщиками услуг связи обязанностей по внедрению и использованию соответствующих технических решений. Основным предназначением ТСПУ является защита сегмента сети «Интернет» от угроз в виде распространения противоправного контента, утечки конфиденциальной информации и использования сетевых ресурсов для дестабилизации ситуации внутри страны, блокирования VPN-сервисов, а также анализа интер-нет-трафика пользователей и принятие решения о его пропуске, ограничении скорости или блокировке (для запрещённых ресурсов).

Учение о криминалистической характеристике преступления состоит из общей части, включающей понятие, структуру и взаимосвязи ее элементов, а также особенной, содержащей криминалистические характеристики отдельных категорий преступлений, выстраиваемых на основе изучения материалов уголовных дел, комплексного анализа и обобщения судебной и следственной практики [3, c. 589]. Обоснование дополнения структуры криминалистической характеристики преступлений может быть исключительно на основе эмпирических данных. По этой причине для нарушений правил централизованного управления ТС и противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации ИТС «Интернет» и сети связи общего пользования возможно построение лишь общей криминалистической характеристики преступления, что обусловлено отсутствием на текущий момент судебной практики по применению данной новеллы. Указанный факт может свидетельствовать либо о высокой степени уголовно-правовой охраны рассматриваемых процессов, либо о недостаточной правоприменительной активности в данной сфере. Кроме того, отсутствие практики применения указанной нормы существенно осложняет проведение анализа взаимосвязанности предлагаемых элементов криминалистической характеристики преступлений в сфере компьютерной информации и, соответственно, ограничивает возможность построения информационной модели (цифрового двойника преступления) [4, c. 3].

По этой причине анализ элементов рассматриваемого преступного деяния возможен лишь на основе теоретико-прогностического подхода с учетом современного развития информационных технологий.

При явной необходимости уголовно-правовой охраны киберпространства от информационных посягательств имеются исследования, которые подчерки- вают отсутствие обоснованности и оправданности введения в УК РФ рассматриваемой статьи [5, c. 130]. Так, при условии отнесения объекта преступления к объектам критической информационной инфраструктуры, деяния по нарушению правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации ИТС «Интернет» и сети связи общего пользования могут быть квалифицированы как по ч. 3 ст. 274.1 УК РФ, а в случае, если объект не категорирован как критическая информационная инфраструктура - по ст. 274 УК РФ. По этой причине элементы криминалистической характеристики рассматриваемого преступления частично могут повторять составляющие характеристики преступлений по ст. ст. 274 и 274.1 УК РФ, что, отчасти обусловлено их родовой принадлежностью. Стоит так же отметить, что в ст. 151 УПК РФ отсутствуют указания о подследственности уголовных дел о преступлениях, предусмотренных статьей 274.2 УК РФ.

Способ совершения преступления. К основным преднамеренным способам совершения преступления, связанного с нарушением правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории РФ ИТС «Интернет» и сети связи общего пользования можно отнести воздействия в отношении:

  • -    устойчивости функционирования сети «Интернет» и сети связи общего пользования в виде нарушения их работоспособности, при неисправности их фрагмента, а также в условиях внешних дестабилизирующих воздействий, что может привести к невозможности доступа к услугам связи из-за перегрузки узла, а также неспособности оказания услуг владельцам критически важных объектов;

  • -    безопасности функционирования сети «Интернет» и сети связи общего пользования (несанкционированный доступ к техническим средствам и программному обеспечению сети связи, преднамеренные дестабилизирующие внутренние или внешние воздействия, при которых нарушается функционирование сети, а также воздействия, связанные с распространением в сети «Интернет» информации, доступ к которой подлежит ограничению), что может привести к: нарушению информационной безопасности автоматизированных систем управления сетями связи, точками обмена трафиком, технических средств и программного обеспечения центра мониторинга и управления сетью связи в составе радиочастотной службы, ТСПУ, национальной системы доменных имен, а также критической информационной инфраструктуры РФ; предоставлению доступа к ограниченным в соответствии с законодательством РФ ресурсам в сети «Интернет» или противодействию такому ограничению; осуществлению атак и воздействий (как преднамеренных, так и непреднамеренных) на технические средства и сети связи; нарушению доступности информационных ресурсов органов государственной власти в сети «Интернет» для

граждан; подмене абонентских номеров при осуществлении соединения, поступающего из-за пределов РФ; предоставлению доступа к информации в сети «Интернет» с возможностью получения услуг связи в нарушение законодательства РФ, передачи данных в сервисах обмена мгновенными сообщениями без их идентификации и пр.;

  • -    целостности функционирования на территории РФ сети «Интернет» и сети связи общего пользования, что может привести к нарушению способности взаимодействия сетей связи, невозможности соединений и обмена информацией между пользователями.

Кроме указанных, в общем случае к способам совершения указанного преступного деяния можно отнести предоставление недостоверных сведений для определения состава ТСПУ [6, с. 45], их комплектации и мест подключения, несанкционированное отключение или изменение настроек систем фильтрации трафика, внесение изменений в конфигурацию оборудования, нарушающее работу систем информационной безопасности, использование вредоносного программного обеспечения для обхода или блокировки систем защиты информации, противодействие осуществлению дистанционного управления ТСПУ, допущение аппаратного, программного и физического воздействия неуполномоченных лиц на функционирование ТСПУ, несоблюдение регламентов управления сетью, необеспечение сохранности ТСПУ и защиты их от несанкционированного доступа, физическое вмешательство в работу серверов или маршрутизаторов и пр.

К основным непреднамеренным способам совершения рассматриваемого преступления можно отнести воздействия, которые приводят к невозможности доступа к услугам связи из-за аварий или технологической перегрузки узла связи, а также внешних дестабилизирующих воздействий природного и техногенного характера. Средствами совершения рассматриваемого преступления могут являться непосредственно ТСПУ, а также, например, информационные системы, функционирующие у операторов связи, персональные компьютеры и эксплуатируемые с ними и без них материальные носители (жесткие и оптические диски, USB-накопители, карты памяти и пр.).

Основными способами сокрытия следов совершения преступления могут выступить: подмена учетных записей; очищение журналов событий в системах управления сетью; физическое уничтожение носителей информации; использование средств анонимизации с целью маскировки доступа к системам управления сетью связи; фальсификация отчетов о технических сбоях.

Типичными следами совершения преступления могут являться записи о несанкционированных входах в систему управления сетью, аномалии в сетевом трафике, события в журналах сетевых подключений, MAC-идентификаторы сетевых устройств, серийные номера жестких дисков, SSD, USB-носителей, а также физические следы в виде поврежденного оборудования, следов несанкционированного доступа в местах расположения ТСПУ и пр.

Вероятными местами нахождения следов совершения преступления являются журналы функционирования специализированных систем управления и систем мониторинга киберинцидентами, протоколирующие аномальные события в работе оборудования, ошибки, сбои, фиксацию параметров нагрузки, журналы записей об административных операциях, конфигурационных изменениях, взаимодействии пользователей с системой. По физическому расположению - серверные, дата-центры, где размещены системы управления сетью, ТСПУ и сетевые устройства. Распространенность (серийность) преступного деяния может быть выявлена центром мониторинга и управления сетью связи в составе радиочастотной службы6 1 .

Обстановка совершения преступления. Обстановка совершения преступления предполагает непосредственный доступ к объекту посягательства (преимущественно в момент отсутствия сотрудников), так и удаленный с использованием программно-аппаратных средств.

Местом совершения рассматриваемого вида преступления может являться место реализации преступного умысла по месту расположения оператора связи (серверные помещения операторов связи, удаленные рабочие места администраторов) или локация, где фактически располагалось оборудование, посредством которого реализован преступный план. В ближайшее время местом (средой) совершения рассматриваемых деяний с большей долей вероятности выступит киберпространство ввиду его распространенности среди обслуживающих ТСПУ организаций, реже ‒ блокчейн (распределенные реестры) [7, c. 129], либо гибридные инфраструктуры.

Временем совершения преступления признается время окончания преступного деяния. Время нарушения правил централизованного управления ТСПУ может устанавливаться достаточно точно, поскольку инциденты безопасности могут протоколироваться системами мониторинга и управления сетями и может определяться, например, периодом проведения технических работ или загрузки обновлений, когда сетевая активность воспринимается как штатная.

Личность преступника. Субъект рассматриваемого преступления специальный и определяется должностным лицом, понятие которого сформулировано в примечании к ст. 274.2 УК РФ - это лицо, постоянно, временно либо по специальному полномочию выполняющее управленческие, организационнораспорядительные или административно-хозяйственные функции в коммерческой или иной организации, а равно индивидуальный предприниматель, подвергнутое административному наказанию за соответствующие деяния, предусмотренные КоАП РФ. Нарушение правил предполагает несоблюдение требо- ваний установленных нормативных правовых предписаний, в связи с чем для выявления признаков состава преступления необходимо установить перечень локальных актов, которые определяют порядок функционирования ТСПУ.

Рассматриваемое преступное деяние может совершаться действующими или бывшими сотрудниками организаций [8, c. 184], системными администраторами функционирующих у оператора систем связи, что является большим преимуществом в сравнении с иными преступлениями в сфере компьютерной информации, по которым личность преступника, в большей мере, является неустановленной [9, c. 107].

Личность потерпевшего и / или предмет посягательства. Предметом рассматриваемого преступного деяния являются непосредственно ТСПУ. Однако перечень указанных технических средств в открытом доступе отсутствует, поскольку, согласно разъяснениям радиочастотной службы, сведения о данных устройствах составляют коммерческую тайну [10, с. 663].

К лицам, участвующим в централизованном управлении ТСПУ, относятся операторы связи, собственники или владельцы сетей связи, точек обмена трафиком, линий связи, пересекающих государственную границу РФ, организаторы распространения информации в сети «Интернет», а также провайдеры хостинга. Так, в российском сегменте по состоянию на декабрь 2024 года насчитывалось 10 897 сетей вида «IPv4» и 2 232 сети вида «IPv», принадлежащих операторам связи, большая часть из которых выделена ПАО «Ростелеком», ПАО «Вым-плком», АО «ЭР-Телеком Холдинг», ПАО «МегаФон», ПАО «МТС», АО «Компания ТрансТелеКом» и ООО «Новотелеком», среди провайдеров хостинга функционировало 480 организаций, из которых 418 – юридические лица и 62 – индивидуальные предприниматели, а также 5 875 автономных систем IP-сетей и маршрутизаторов, управляемых операторами, имеющими единую политику маршрутизации с сетью «Интернет»7 1 . Централизованное управление сетью связи общего пользования осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.

По факту совершенного преступного деяния потерпевшая сторона должна провести организационно-технические мероприятия по восстановлению работоспособности сети связи общего пользования, изменению конфигурации технических средств, применению средств защиты информации, обеспечению резервирования линий и каналов связи, а также принять меры по предупре- ждению возникновения угроз и оповещению о наличии угроз и принимаемых мерах противодействия им.

Отдельно стоит отметить, что большинство преступлений в сфере компьютерной информации могут совершаться одними и теми же способами, с использованием одних и тех же средств, которые во многом оставляют схожие следы. Однако объединение информационных моделей по видам компьютерных преступлений нецелесообразно, несмотря на единый для всех преступлений, объединенных главой 28 УК РФ, комплекс способов сокрытия следов, например, в виде использования средств анонимизации (VPN-сервисов и прокси-серверов) [11, c. 72] и т.п., поскольку чем уже уровень обобщения преступлений, тем конкретнее по ним данные и выше практическая ценность такой характеристики при расследовании.

Содержательный анализ элементов криминалистической характеристики преступления в сфере компьютерной информации с точки зрения системноструктурного, а также кибернетического подходов сможет послужить основой для описания криминалистической формулы преступного деяния в сфере компьютерной информации, выражающей зависимость между элементами ее криминалистической характеристики и объективных закономерностей, а также формирования информационной модели [12, c. 18] (цифрового двойника) преступления на основе наиболее значимых элементов криминалистической характеристики. Однако сформированный комплекс элементов криминалистической характеристики преступления может приобрести практическое значение лишь в случае выявления между его составляющими корреляционных связей и зависимостей, носящих закономерный характер [13, c. 222].

Современные технологии, основанные на методах обработки больших данных, математической статистики, искусственном интеллекте и алгоритмах машинного обучения [14, c. 120], могут предоставить возможность построении типовых криминалистических характеристик преступлений в виде цифровых моделей [15, c. 557], отображаемых в машиночитаемой форме и представленных сведениями о криминалистически значимых признаках и их корреляционных связях между математическими категориями, уравнениями или неравенствами. Модели такого рода могут использоваться как для получения знаний о преступлениях различных видов и использования их следователями [16, c. 171], так и для разработки специального программного обеспечения, сопровождающего следственную и судебно-экспертную деятельность.

Для построения цифровой модели преступления между элементами криминалистической характеристики преступлений необходимо выделение корреляционных связей, что удобнее всего осуществлять с применением мате- матических методов и алгоритмов искусственного интеллекта. При составлении криминалистических характеристик для наглядности могут использоваться схемы, отражающие элементы, связи системы расследуемого преступления или криминалистические формулы.

Например, основные закономерности общей системы преступления можно отобразить с помощью следующей криминалистической формулы [17, с. 59]:

[ ] - пределы совокупности, образующей целостный объект исследования, его элементы и связи;

Пр - преступление как сложная реальная система;

ОбНП - объект непосредственного посягательства;

С - субъект посягательства;

ДФз - физическая деятельность субъекта посягательства;

ДПс - психическая деятельность субъекта посягательства;

ФП - факты-последствия, результаты посягательства;

М - место посягательства;

В - время посягательства;

ОбОпПр - общественная опасность, противоправность посягательства;

  • & - знак, заменяющий союз «и»;

^ - знак, заменяющий слова «если, то»;

О - знак, обозначающий прямую и обратную связь;

СоцУслс - социальные условия жизни субъекта посягательства;

Обст Пр - обстановка посягательства;

Сбт1, 2, 3      -      события,     сопряженные     с     посягательством

(1 -предшествовавшие, 2 - сопутствующие, 3 - последовавшие).

Раскрыть содержание указанной формулы можно следующим образом: в случае совершения преступления существуют обусловленные обстановкой, социальными условиями и событиями (предшествовавшими, сопутствовавшими, последовавшими) посягательства, а также отображающиеся в них взаимосвязанные между собой структурные элементы рассматриваемого явления в виде объекта посягательства, субъекта, его физической и психической деятельности, фактов-последствий, места, времени посягательства, общественной опасности и противоправности содеянного.

Представленная формула в виде записи на символьном языке, выражающей зависимость между несколькими явлениями или процессами, показывает основные направления криминалистического поиска, и те объективные закономерности, которые позволяют оптимизировать расследование и предупреждение преступления. Выявление закономерностей отдельного вида или группы преступлений является предметом исследования частных криминалистических учений о преступлениях и методиках их расследования.

С учетом проведенного структурно-содержательного анализа закономерности системы преступления в сфере компьютерной информации, в частности, преступного деяния, связанного с нарушением правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации ИТС «Интернет» и сети связи общего пользования, можно будет отобразить следующим образом:

[ ] - пределы объекта исследования, его элементы и связи;

ПрСКИ - преступление как реальная система;

Л потерп /Пп личность потерпевшего и / или предмет посягательства;

Лпрест личность преступника;

ССП - способ совершения преступления (с описанием способа сокрытия следов Ссокр, типичных следов преступления Тслед, вероятных мест нахождения следов преступления Вмест, а также распространенности (серийности) преступного деяния Рп);

ОбстПр - обстановка совершения преступления (с указанием места совершения преступления М и времени совершения преступления В);

& - знак, заменяющий союз «и»;

^ - знак, заменяющий слова «если, то»;

О - знак, обозначающий прямую и обратную связь (отображения и обусловленности).

Заключение. Представленная формула преступления в виде записи на символьном языке показывает основные направления криминалистического поиска, но выражает лишь общую зависимость между элементами криминалистической характеристики. Определить корреляционные связи между указанными элементами позволит лишь детализация всех возможных способов со- вершения преступления (тактик преступников), средств (техник, используемых преступниками), оставляемых ими следов и пр. составляющих. Детализация способов совершения преступлений, в свою очередь, сформирует основу для построения цифровой модели преступления в сфере компьютерной информации (цифрового двойника преступления), которая позволит моделировать полную структуру преступной деятельности (подготовка, совершение и сокрытие преступления), а также ход его расследования в цифровом виде, на основе предварительно обученных алгоритмов искусственного интеллекта [18, с. 9], при этом анализируя возможные взаимосвязи путем сопоставления способов и средств совершения преступлений, оставляющих цифровые следы.

Таким образом, цифровой двойник преступления будет представлять собой виртуальную модель, отражающую состояние и динамику реального преступного деяния, позволяя исследовать различные сценарии его совершения, выявлять закономерности между его элементами криминалистической характеристики, а также прогнозировать ход следственных действий.

Статья научная