Киберпреступность как угроза национальной безопасности

Информационная безопасность является одной из составляющих национальной безопасности.

Стратегией национальной безопасности Российской Федерации рост числа преступлений, совершаемых с использованием информационно-коммуникационных технологий, рассматривается как одна из угроз национальной безопасности, а их предупреждение, выявление, пресечение является стратегическим национальным приоритетом (п. 42)1.

Как показывает статистика, количество преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, в последние годы значительно увеличилось. По данным ГИАЦ МВД России, таких преступлений было зарегистрировано: в 2019 г. — 294 409 (рост на 68,5%), в 2020 г. — 510 396 (рост на 73,4%), в 2021 г. — 517 722 (рост на 1,4%)2.

Преступления с использованием IT-технологий в основной массе совершаются в кредитнофинансовой сфере и влекут для государства большой экономический ущерб, который, по оценке

СТАТЬИ

Банка России, способен спровоцировать финансовый кризис. Так, к основным рискам в данной сфере Банк России относит финансовые потери клиентов, отдельных финансовых организаций, нарушение операционной надежности и непрерывности предоставления финансовых услуг, развитие системного кризиса в результате кибератак в значимых для финансового рынка организа-циях3. Предпочтительными становятся финансовые услуги государств с более высоким уровнем киберустойчивости финансовых организаций, например таких, как США, Великобритания, Канада, Сингапур, Япония, Австралия, Австрия, Новая Зеландия, Малайзия.

По данным Банка России, в 2020 г. количество операций без согласия клиента увеличилось на 34,0% (773 008 операций против 576 897 операций за 2019 г.). Объем таких операций вырос на 52,2%, составив 9777,3 млн руб. (в 2019 г. — 6425,8 млн руб.)4. В основном такие операции осуществлялись с использованием методов социальной инженерии.

Под угрозой кибератак находятся объекты критической информационной инфраструктуры и международная информационная безопасность.

Стратегическим, основополагающим документом в области обеспечения информационной безопасности является Доктрина информационной безопасности Российской Федерации, согласно которой «обеспечение информационной безопасности — осуществление взаимоувязанных правовых, организационных, оперативно-розыскных, разведывательных, контрразведывательных, научно-технических, информационно-аналитических, кадровых, экономических и иных мер по прогнозированию, обнаружению, сдерживанию, предотвращению, отражению информационных угроз и ликвидации последствий их проявления» (п. 2)5.

В соответствии с Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»6 создана Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Обеспечение функционирования Государственной системы возложено на Федеральную службу безопасности РФ, и создан Национальный координационный центр по компьютерным инцидентам.

Следует отметить, что в ряде государств приняты стратегии по кибербезопасности, что было рекомендовано Международным союзом электросвязи в Руководстве по разработке национальной стратегии кибербезопасности 2018 г. Стратегии кибербезопасности приняты в таких государствах, как США, Великобритания, Финляндия, Германия, Канада, Новая Зеландия, Индия. В государствах СНГ, например в Казахстане, принята Концепция кибербезопасности («Киберщит Казахстана») (утв. Постановлением Правительства Республики Казахстан от 30 июня 2017 г. № 407). В Кыргызстане принята Стратегия кибербезопасности Кыргызской Республики на 2019–2023 гг. (утв. Пост. Правительства Кыргызской Республики от 24 июля 2019 г. № 369).

Вопросы обеспечения информационной безопасности, в том числе международной информационной безопасности, в настоящее время в числе приоритетных в международном сотрудничестве государств.

Однако международная правовая основа регулирования противодействия совершению преступлений в сфере кибертехнологий только создается. Более интенсивно сотрудничество государств в этой области осуществляется на региональном уровне.

В рамках Совета Европы непосредственно на противодействие киберпреступности направлена Конвенция о преступности в сфере компьютерной информации от 23 ноября 2001 г.7 Данную Конвенцию ратифицировали 66 государств, в том числе из не членов Совета Европы — Израиль, США и Япония. В числе государств СНГ данную Конвенцию ратифицировали Азербайджанская Республика, Республика Армения и Республика Молдова.

Россия не подписала эту Конвенцию, усмотрев в положениях п. «b» ст. 32 о возможности трансграничного доступа к хранящимся компьютерным данным без согласия другого государства, по сути, вмешательство в юрисдикцию и нарушение прав и законных интересов граждан и юридических лиц.

СТАТЬИ

В ООН резолюцией Генеральной Ассамблеи 74/247 от 27 декабря 2019 г. был учрежден Специальный комитет по разработке всеобъемлющей международной конвенции о противодействии использованию информационно-коммуникационных технологий в преступных целях.

По инициативе России 26 мая 2021 г. на 75-й сессии Генеральная Ассамблея ООН приняла резолюцию 75/282 «Противодействие использованию информационно-коммуникационных технологий в преступных целях». Согласно данной резолюции Специальный комитет должен представить Генеральной Ассамблее ООН проект конвенции на ее 78-й сессии8.

Письмом от 30 июля 2021 г. Россия направила в Генеральную Ассамблею ООН проект Конвенции Организации Объединенных Наций о противодействии использованию информационно-коммуникационных технологий в преступных целях. Проект этой Конвенции включен в резолюцию Генеральной Ассамблеи ООН 75/980, принятой на 75-й сессии 10 августа 2021 г.9

Терминология в области обеспечения кибербезопасности определена в двух межгосударственных стандартах — Международной организации по стандартизации (International Organization for Standardization, ISO) и Международного союза электросвязи (International Telecommunication Union, ITU).

В Международном стандарте «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по кибербезопасности» (ISO/IEC 27032:2012 Information Technology — Security Techniques — Guidelines for Cybersecurity) содержатся термины: «кибербезопасность», «киберпреступление», «киберпространство», «киберзащищенность»10.

Кибербезопасность — «сохранение конфиденциальности, целостности и доступности информации в киберпространстве».

Киберпреступление — «преступная деятельность, при которой сервисы или приложения киберпространства являются орудием или целью преступления или при которой само киберпространство является источником, инструментом, целью или местом преступления».

Киберпространство — «сложная среда, возникающая в результате взаимодействия людей, программного обеспечения и сервисов в сети Интернет посредством связанных с ней технологических устройств и сетей, не существующая в физической форме».

Киберзащищенность — «состояние защищенности от физических, социальных, духовных, финансовых, политических, эмоциональных, профессиональных, психологических, образовательных или иных негативных последствий, наступивших в результате отказов, повреждений, ошибок, инцидентов, несчастных случаев и прочих событий в киберпространстве, рассматриваемых как нежелательные».

Международным союзом электросвязи утверждена рекомендация МСЭ-Т X.1205 (04/2008) «Серия X: Сети передачи данных, взаимосвязь открытых систем и безопасность. Безопасность электросвязи». В данной рекомендации определены термины «киберсреда», «кибербезопасность»11.

Киберсреда «включает пользователей, сети, устройства, всё программное обеспечение, процессы, сохраненную или транзитную информацию, приложения, услуги и системы, которые могут быть прямо или косвенно соединены с сетями».

Кибербезопасность — «это набор средств, стратегии, принципы обеспечения безопасности, гарантии безопасности, руководящие принципы, подходы к управлению рисками, действия, профессиональная подготовка, практический опыт, страхование и технологии, которые могут быть использованы для защиты киберсреды, ресурсов организации и пользователя. Ресурсы организации и пользователя включают подсоединенные компьютерные устройства, персонал, инфраструктуру, приложения, услуги, системы электросвязи и всю совокупность переданной и/или сохраненной информации в киберсреде. Кибербезопасность состоит в попытке достижения и сохранения свойств

СТАТЬИ

безопасности у ресурсов организации или пользователя, направленных против соответствующих угроз безопасности в киберсреде. Общие задачи обеспечения безопасности включают следующее:

• •    доступность;

• •    целостность, которая может включать аутентичность и неотказуемость;

• •    конфиденциальность».

В Конвенции о преступности в сфере компьютерной информации от 23 ноября 2001 г. к киберпреступлениям отнесены: 1) преступления против конфиденциальности, целостности и доступности компьютерных данных и систем (противозаконный доступ, неправомерный перехват, воздействие на данные, воздействие на функционирование системы, противозаконное использование устройств); 2) преступления, связанные с использованием компьютерных средств (подлог с использованием компьютерных технологий, мошенничество с использованием компьютерных технологий); 3) преступления, связанные с содержанием данных (преступления, связанные с детской порнографией); 4) преступления, связанные с нарушением авторского права и смежных прав (ст. 2–10).

В проекте Конвенции ООН о противодействии использованию информационно-коммуникационных технологий в преступных целях, внесенном Россией в Генеральную Ассамблею ООН 30 июля 2021 г., указаны следующие преступления: неправомерный доступ к цифровой информации; неправомерный перехват; неправомерное воздействие на цифровую информацию; нарушение функционирования информационно-коммуникационных сетей; создание, использование и распространение вредоносных программ; неправомерное воздействие на критическую информационную инфраструктуру; несанкционированный доступ к персональным данным; незаконный оборот устройств; хищение с использованием ИКТ; преступления, связанные с изготовлением и оборотом материалов или предметов с порнографическими изображениями несовершеннолетних, совершенные с использованием ИКТ; склонение к самоубийству или доведению до его совершения; преступления, связанные с вовлечением несовершеннолетних в совершение противоправных действий, опасных для их жизни и здоровья; создание и использование цифровой информации для введения пользователя в заблуждение; подстрекательство к подрывной или вооруженной деятельности; преступления, связанные с террористической деятельностью; преступления, связанные с экстремистской деятельностью; преступления, связанные с распространением наркотических средств и психотропных веществ; преступления, связанные с незаконным оборотом оружия; реабилитация нацизма, оправдание геноцида или преступлений против мира и человечности; незаконное распространение фальсифицированных лекарственных средств и медицинских изделий; использование ИКТ для совершения деяний, признанных преступлениями в соответствии с международным правом; нарушение авторских и смежных прав с использованием ИКТ (ст. 6–27).

По вопросу понятия киберпреступности в уголовно-правовой науке имеются разные точки зрения, определение ее как «компьютерная преступность», «интернет-преступность», «цифровая преступность», «высокотехнологичная преступность», «технотронная преступность»12.

В целом киберпреступность представляет собой совокупность киберпреступлений.

В соответствии с Международным стандартом «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по кибербезопасности» (ISO/IEC 27032:2012) киберпреступление — это преступление, полностью совершенное в киберпространстве.

По мнению В. Ф. Джафарли, «киберпреступление — это совокупность объективных и субъективных факторов, характеризующихся посягательствами на специфичный основной (сфера инновационных информационно-коммуникационных технологий) и дополнительные объекты, предметом посягательства (чужие электронные ресурсы), а также реализуемых путем использования кибертехнологий (средств) и дистанционным способом основных общественно опасных действий и желаемых последствий, происходящих и наступающих исключительно в киберпространстве (обстановка и место преступления), во время сеанса связи злоумышленника с ИКТ-устройством»13.

• В. Ф. Джафарли классифицировал все преступления, совершаемые с использованием информационно-коммуникационных технологий, на три группы: 1) «киберпреступления, основные действия и последствия которых происходят исключительно в киберпространстве, причем ИКТ-компонент формально установлен в конкретной норме»; 2) «киберпреступления, основные действия и последствия которых могут происходить исключительно в киберпространстве, причем ИКТ-компонент формально не отражен в конкретной норме»; 3) «преступления, действия в которых в той или иной

мере связаны с использованием ИКТ-средств»14. По этой классификации к киберпреступлениям относятся только две первые группы.

СТАТЬИ

Таким образом, в действующем Уголовном кодексе РФ 1996 г.15 к киберпреступлениям можно отнести преступления, предусмотренные гл. 28 «Преступления в сфере компьютерной информации» (ст. 272–274.1), а также предусмотренные, например, п. «г» ч. 3 ст. 158 (кража с банковского счета, а равно в отношении электронных денежных средств), ст. 159.3 (мошенничество с использованием электронных средств платежа), ст. 159.6 (мошенничество в сфере компьютерной информации) и ст. 163 (вымогательство), ст. 165 (причинение имущественного ущерба путем обмана или злоупотребления доверием), ст. 135 (развратные действия), ст. 242.1 (изготовление и оборот материалов с порнографическими изображениями несовершеннолетних), если они совершены с использованием ИКТ.

В заключение определим дальнейшие направления по совершенствованию государственной политики в области противодействия киберпреступности.

Для более эффективного противодействия киберпреступности в России, с учетом международного опыта, представляется целесообразным принять Стратегию кибербезопасности.

Кроме того, настоятельно необходимым видится принятие Федерального закона «О противодействии киберпреступности». В настоящее время в рамках Содружества Независимых Государств осуществляется разработка проекта модельного закона «О борьбе с киберпреступностью». Принятие данного модельного закона позволит создать единый правовой механизм противодействия киберпреступности в национальном законодательстве государств — участников СНГ, в том числе в России.

К основным направлениям государственной политики в области противодействия киберпреступности, с учетом положительного зарубежного опыта, по мнению автора, следует отнести следующие: 1) обеспечение безопасности критической информационной инфраструктуры; 2) совершенствование организации деятельности правоохранительных органов; 3) совершенствование системы подготовки и переподготовки сотрудников правоохранительных органов, судей; 4) обеспечение безопасности персональных данных; 5) повышение уровня защищенности информационной инфраструктуры организаций финансово-банковской системы; 6) развитие культуры информационной безопасности и кибергигиены клиентов — потребителей банковских услуг; 7) взаимодействие государственных органов с интернет-провайдерами и операторами сотовой связи; 8) правовая охрана авторских прав на программы для ЭВМ и базы данных и смежных прав; 9) взаимодействие государственных органов с институтами гражданского общества, физическими и юридическими лицами; 10) мониторинг применения законодательства в области противодействия киберпреступности; 11) повышение уровня правовой грамотности и правосознания граждан, создание атмосферы нетерпимости к совершению киберпреступлений; 12) укрепление международного сотрудничества с иностранными государствами, их правоохранительными органами, специальными службами, судебными органами, а также с международными организациями в области противодействия киберпреступности.