Перспективы совершенствования уголовно-правовых норм, предусматривающих ответственность за создание, использование и распространение вредоносных компьютерных программ

Ключевым элементом состава преступления, предусмотренного в ст. 273 УК РФ, его предметом является вредоносная компьютерная программа. Законодатель, принимая УК РФ в 1996 г., а также внося изменения в редакцию ст. 273 УК РФ в 2011 г., не посчитал нужным дать официальное уголовно-правовое определение вредоносной компьютерной программы, обозначив лишь направление их использования – «для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации»1. В науке в настоящий момент также не существует единого мнения относительно толкования данного понятия.

В отечественном законодательстве был принят и до сих пор действует ГОСТ от 1 февраля 2008 г. Р 50922–2006 «Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения», согласно п. 2.6.5 которого вредоносная программа предназначена для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы2.

Обращаясь к иным подзаконным нормативным актам, следует выделить Постановление Правительства Российской Федерации от 31 декабря 2021 г. № 2607 «Об утверждении правил оказания телематических услуг связи». Согласно п. 2 указанных правил, под вредоносным программным обеспечением понимается целенаправленно приводящее к нарушению законных прав абонента и (или) пользователя программное обеспечение, используемое в том числе в сборе, обработке или передаче с абонентского терминала информации без согласия абонента и (или) пользователя либо способное привести к ухудшению параметров функционирования абонентского терминала или сети связи3. Как можно судить из приведенной формулировки, позиция Правительства РФ заключается в более широком толковании сущности вредоносных компьютерных программ в отличие от представленного в иных нормативно-правовых актах и документах.

Позиция судебных органов отражена в Постановлении Пленума ВС РФ от 15 декабря 2022 г. № 37, согласно которому создание вредоносных компьютерных программ или иной вредоносной компьютерной информации представляет собой деятельность, направленную на разработку, подготовку программ (в том числе путем внесения изменений в существующие программы) или иной компьютерной информации, предназначенных для несанкционированного доступа, т. е. совершаемого без согласия обладателя информации лицом, не наделенным необходимыми для такого доступа полномочиями, либо в нарушение установленного нормативными правовыми актами порядка уничтожения, блокирования, модифицирования, копирования компьютерной информации или нейтрализации средств ее защиты4. Анализируя акт судебного толкования, можно заключить, что подход к пониманию сущности и направленности вредоносной компьютерной программы уже, чем в Постановлении Правительства РФ № 2607, и не учитывает возможность ухудшения параметров функционирования, сбор и обработку информации с компьютерного устройства пользователя.

В уголовно-правовой науке можно встретить различные версии определения вредоносной компьютерной программы. Так, Е.А. Русскевич трактует ее как специально написанную программу, которая после получения управления имеет возможность совершать различные несанкционированные действия, причинять вред в виде уничтожения, блокирования, модификации или копирования информации5.

• Е .А. Маслакова придерживается традиционной формально-определенной законодателем позиции, согласно которой ключевой критерий, характеризующий вредоносную программу, – это возможность несанкционированного собственником уничтожения, блокирования, модификации либо копирования компьютерной информации⁶. М.А. Ефремова дополнительно выделяет в качестве главного критерия вредоносной компьютерной программы скрытое от владельца/пользо-вателя воздействие на персональное компьютерное устройство, в результате чего он не знает о наличии такой программы и соответственно – о ее действиях (2015: 101).

Е.Р. Россинская и И.А. Рядовский оценивают понятие вредоносной компьютерной программы как собирательную дефиницию, говоря о необходимости вычленения объективных свойств компьютерной программы, что позволит идентифицировать ее как вредоносную (2020: 700). Данная позиция, на наш взгляд, представляет значительный интерес, так как любая компьютерная программа – это логически выстроенный, математический алгоритм, который может выполнять только определенные, предусмотренные создателем действия. Безусловно, в последние годы точные науки совершили прорыв в области компьютерных технологий с появлением программ, работающих по принципу нейросетей и искусственного интеллекта. Следовательно, возникают и новые типы вредоносного программного обеспечения, меняются способы и цели его внедрения и последующего воздействия на персональные компьютерные устройства.

Лаборатория Касперского на сегодняшний день выделяет следующие типы вредоносного программного обеспечения1: рекламные программы, шпионские программы, программы-вымогатели, троянские программы, черви, вирусы. Данный перечень вредоносного программного обеспечения не является исчерпывающим, в него можно включить программы-гибриды с различными функциями, ботнет-программы (слежение за пользователем). Важным критерием при определении компьютерной программы служит ее заведомая направленность на противоправные с уголовно-правовой точки зрения действия, так как некоторые программы, например, создаются для осуществления удаленного доступа или работы с информацией, но в легальных целях (дистанционной консультации программиста в случае проблемы с персональным компьютером при невозможности его транспортировки).

На официальном уровне принят и действует ГОСТ Р 57429–2017 «Судебная компьютернотехническая экспертиза. Термины и определения»2, который также содержит классификацию вредоносных компьютерных программ, пусть и в усеченном виде в сравнении с представленной Лабораторией Касперского: компьютерный вирус, троянская программа, червь.

Анализируя основные виды и направленность вредоносных компьютерных программ, можно классифицировать их деятельность следующим образом:

• –    манипуляции с информацией, содержащейся на персональном компьютерном устройстве (уничтожение, повреждение, ознакомление, копирование, анализ и т. д.);

• –    слежение за персональным компьютерным устройством, в том числе за перемещением пользователя;

• –    получение удаленного доступа к устройству и последующее фактическое выведение персонального компьютерного устройства из строя, препятствование его непосредственному функционированию;

• –    использование чужого компьютерного устройства для удаленного доступа к третьему персональному устройству в целях сокрытия совершения другого преступления без ведома владельца;

• –    сокрытие осуществления всех неправомерных действий от непосредственного пользователя.

Состав анализируемой уголовно-правовой нормы содержит альтернативный предмет преступления – иная компьютерная информация, заведомо предназначенная для несанкционированного обладателем компьютерной информации ее уничтожения, блокирования, модификации, копирования или нейтрализации ее средств защиты. Относительно понятия «иная компьютерная информация» в научном сообществе также нет единства мнения. Профессор А.И. Чучаев определяет ее как базы данных, файлы с командами, которые сами по себе не являются компьютерными командами, не могут причинить вред, но при взаимодействии с ними способны проявлять негативные свойства (2022: 1223).

Ф.Б. Гребенкин, анализируя содержание термина «иная компьютерная информация», определяет ее как любую информацию со встроенными в нее вредоносными программными кодами (Гребенкин, Коврижных, 2017: 72).

А.В. Бриллиантов трактует сущность рассматриваемого понятия несколько иначе, а именно как различные инструкции или описание способов несанкционированного уничтожения, блокирования, модификации компьютерной информации (2016: 654).

В судебной практике привлечение лиц к уголовной ответственности за распространение или использование иной компьютерной информации встречается достаточно редко. Тем не менее рассмотрим некоторые из случаев (Галушин, Лапина, 2020). В 2013 г. в Красноярске было осуждено лицо за использование и распространение иной компьютерной информации, заведомо созданной для нейтрализации средств защиты компьютерной информации. Примечательно, что в данном случае имелась совокупность преступлений по ч. 1 ст. 273, ч. 2 ст. 146 УК РФ. Первоначально лицо нарушило авторские права, неправомерно скачав программы корпорации Microsoft и Adobe, а впоследствии, желая реализовать эти программы посредством продажи третьим лицам, осуществил копирование иной компьютерной информации, а именно файл readme.txt, содержащий серийный номер от версии программы с типом лицензии VL, являющийся иной компьютерной информацией, позволяющий произвести установку без покупки официальной версии продукта; для установки программного обеспечения Adobe Photoshop CS6 Extended (Rus) скопировал файл readme.txt, содержащий описание способа установки программы, не предусмотренный правообладателем; а также скопировал файл adobe.photoshop.cs6.patch.exe, отключающий активацию программного продукта, являющегося иной компьютерной информацией1.

В качестве другого случая из судебной практики можно привести приговор Кировского районного суда г. Красноярска от 24 марта 2017 г. в отношении лица, совершившего преступление, предусмотренное в ч. 2 ст. 273 УК РФ. Лицо «скопировало с сайта модифицированные файлы kSys2.dll, materials.exe и plmisc.dll для нейтрализации защиты программы “Аскон Компас-3D V16”, которые позволяют использовать программное обеспечение без покупки официальной версии продукта, что нарушает условия установки и использования программы. Указанную компьютерную информацию вместе с программным продуктом “Аскон Компас-3D V16” Ледовских В.В. 01.12.2016 г. записал на имеющийся у него съемный оптический носитель. В дальнейшем, реализуя свой преступный умысел, он продал эти файлы третьему лицу»2.

На практике видно, что иная компьютерная информация сама по себе не является вредоносной, также она является не программой, а текстовым файлом, представленным в форме электронного кода. Однако ее неправомерное использование или изменение может привести к нейтрализации средств защиты компьютерной информации, нарушению авторского права, конфиденциальности данных. Поэтому ключевым отличием вредоносной компьютерной программы от иной компьютерной информации в качестве предмета совершения преступления служит критерий заведомой вредоносности программы. При этом сама программа должна быть изначально задумана и создана как вредоносная.

Создание вредоносной компьютерной программы представляется продолжительным процессом и является оконченным с момента фактической готовности программы к ее непосредственному использованию. Действия по ее разработке можно охарактеризовать как написание программы на языке программирования для дальнейшего применения на электронном устройстве, способном к восприятию и обработке компьютерной информации.

Анализируя перспективы развития данной уголовно-правовой нормы, стоит солидаризироваться с мнением ученых, отмечающих необходимость изменения юридической конструкции ч. 1 ст. 273 УК РФ, порождающей уголовную ответственность за альтернативные действия, связанные с вредоносными компьютерными программами во множественном числе. Следуя формально-юридической логике, правоприменитель не имеет возможность осуществлять привлечение к уголовной ответственности за однократное альтернативное действие3. На наш взгляд, подобная формулировка представляет собой серьезную логическую ошибку, требующую коррекции.

Еще одним существенным упущением является отсутствие уголовной ответственности за покупку, приобретение или получение вредоносных компьютерных программ. Общественная опасность такой программы, заведомо предназначенной для совершения неправомерных действий, на сегодняшний день очевидна. Поэтому лицо, приобретающее ее, следует подозревать в подготовке к совершению преступления, предусмотренного в ст. 273 УК РФ, так как другого прямого назначения у указанных программ нет.

Учитывая, что Уголовный кодекс РФ является, по сути, единственным источником уголовного права, что видно из содержания ст. 1 УК РФ, следует законодательно закрепить понятие вредоносной компьютерной программы в целях совершенствования процесса квалификации и расследования преступления. На основе анализа различных подходов к толкованию вредоносной компьютерной программы предложим авторское определение – программа, созданная на языке программирования и заведомо предназначенная для неправомерного доступа к компьютерным устройствам и воздействия на них в целях уничтожения, повреждения, модификации, копирования компьютерной информации, ознакомления с ней, слежения за компьютерным устройством, ограничения доступа к информационно-телекоммуникационным ресурсам в сети Интернет, нейтрализации средств защиты компьютерной информации.

С учетом результатов анализа предлагаем следующие изменения в действующую редакцию ст. 273 УК РФ.

Статья 273. Создание, использование, распространение и приобретение вредоносной компьютерной программы и иной компьютерной информации.

• 1.    Создание, использование, распространение и приобретение вредоносной компьютерной программы и иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, повреждения, блокирования, модификации, копирования компьютерной информации, а равно и ознакомления с ней, слежения за компьютерным устройством, ограничения доступа к информационно-телекоммуникационным ресурсам в сети Интернет, нейтрализации средств защиты компьютерной информации, –

• 2.    Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору, организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, –

• 3.    Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, –

наказываются…

наказываются…

наказываются…