Преступления в сфере компьютерной информации: технический взгляд на квалификацию и признаки состава преступления

За последние полтора десятка лет интерес к так называемым «компьютерным преступлениям» не ослабевает. Первая активность, проявленная в данном направлении российскими законодательными органами, была, в основном, спровоцирована мировой статистикой, однако в дальнейшем неуклонный рост числа преступлений в информационной сфере в российской практике привлек к ним обоснованное внимание сначала правоохранительных органов, а затем прессы и широкой общественности.

В современной жизни границы распространения и применения информационных технологий чрезвычайно велики и продолжают расти. Различные вычислительные устройства и сетевые технологии активно используются не только на абсолютном большинстве предприятий, но и в быту для обработки и передачи данных самых разных направленностей и уровней конфиденциальности. Естественно, что такие условия применения вызывают и ряд проблем, связанных с сопутствующей большой протяженностью и структурной сложностью соответствующих технологических решений, с необходимостью анализа, контроля и защиты сетевого трафика. Чрезвычайно динамичное развитие информационных технологий привело к тому, что в электронной форме обрабатываются гигантские объемы критически важных данных, компрометация которых может привести к нарушению персональных или коммерческих интересов, значительным материальным убыткам и даже угрозе национальной безопасности. Естественно, что при этом происходит быстрое развитие компьютерной преступности, причем динамика такова, что законотвор- ческая практика и методики, используемые правоохранительными органами, физически не способны реагировать на изменения своевременно. Законодательство настолько статично, что законопроект устаревает за время его подготовки.

В качестве примера можно привести грядущие поправки к ГК РФ и, в частности, широко обсуждаемые поправки к статье 1233, которую предлагается дополнить пунктом 6 о так называемых «свободных лицензиях». Фактически, это нововведение необходимое и давно ожидаемое, однако некоторые связанные с ним положения, в частности, необходимость заявлять о «возможности безвозмездно использовать . . результат интеллектуальной деятельности … путем размещения заявления на официальном сайте федерального органа исполнительной власти по интеллектуальной собственности» [1] не выдерживает никакой критики. Приведенная модель неприменима к множеству современных успешных и широко используемых на условиях свободных лицензий проектов, таких как Wikipedia, Firefox, множество дистрибутивов ОС Linux, разрабатываемых большим сообществом в режиме мелких правок. Их легальное функционирование в Российской Федерации и удобство тысяч пользователей ставится возможным принятием описанных поправок под вопрос.

Между тем бурная «гонка вооружений» между специалистами по взлому компьютерных систем и специалистами по защите информации не мешает некоторым образом формализовать этот процесс. Руководящие документы также быстро устаревают, и многие из них давно потеряли актуальность (например, требования РД «Средства вычислительной техники. За- щита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» уже давно неактуальны, однако активно используются, в том числе - для целей сертификации защищенных систем), однако ключевые понятия и подходы построены с максимальной возможной полнотой, таким образом, что способны полноценно описывать любую реализуемую на сегодня автоматизированную систему. С другой стороны, даже такие основополагающие документы, как 28 глава УК РФ, теряют актуальность настолько быстро, что попытки привести их в соответствие с условиями реальной действительности производятся постоянно но, на наш взгляд, неизменно безуспешны.

В частности, очередная серьезная поправка в главу 28 УК РФ введена федеральным законом от 7 декабря 2011 года № 420-ФЗ. Несмотря на значительное изменение текста главы и полную смену понятийного аппарата, закон не устранил всех неточностей и даже ввел некоторые новые. Так, компьютерная информация определяется новым законом как «сведения (сообщения, данные), представленные в форме электрических сигналов» [2], что является явно ограниченной формулировкой, поскольку в сетях передачи данных сегодня активно используются также радиоканалы и оптоволоконные линии, да и превалирующими на рынке являются магнитные и оптические носители информации.

Оборотной стороной обсуждаемой проблемы являются искажение смысла законов и их заведомая нелогичность, вносимые в безуспешных попытках обеспечить максимальную юридическую полноту и общность. При этом надо заметить, что такой подход не решает уже имеющихся проблем неоднозначной трактовки, а только, опять же, порождает новые, что часто значительно усложняет работу следствия. Обращаясь к той же редакции главы 28 УК РФ, мы видим, что давняя проблема законодательства, приводящая к весьма неоднозначной квалификации обширного ряда преступлений, совершаемых с применением компьютерных систем и систем передачи данных, но не яв- ляющихся чисто компьютерными, не решена. Значительная брешь осталась в вопросе квалификации различных видов компьютерного и сетевого мошенничества, взломов банкоматов и терминалов оплаты и прочих подобных преступлений, которые зачастую приходится квалифицировать по целому набору статей.

С другой стороны, в статью 273 УК РФ в качестве квалифицирующего признака включено «создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для нейтрализации средств защиты компьютерной информации» [2], то есть, в том числе, норму статьи 48.1. ЗоАП РФ. Это положение не только еще больше размывает формулировку закона и вызывает путаницу, но и приводит к явному несоответствию наказания и тяжести преступления. В соответствии с новой нормой, в компетенции следователя приравнять друг другу автора программного обеспечения для взлома систем компьютерной защиты любой сложности, твердо осознающего свои действия и зарабатывающего таким преступным путем на жизнь, и человека, использующего полученную им неизвестным путем программу для обхода технических средств защиты авторских прав. Налицо явное несоответствие всех признаков объективной и субъективной сторон преступлений, которые могут быть квалифицированы по одной статье.

С нашей точки зрения, надежным решением в сложившейся ситуации может стать изменение самого подхода к формированию законодательства. Использование в качестве основы понятийного аппарата, используемого в сфере защиты информации, позволит не только значительно замедлить процесс устаревания законодательства и повысить его актуальность, но и приведет к его унификации, а значит, к большей интеграции юридического аспекта основных процедур защиты информации с техническим и наоборот. Конечно, все это актуально при условии активного использования услуг технических кон- сультантов в ходе разработки любой документации.

Так, сформулированы и успешно используются критерии защищенности информации [3]:

• 1.    Конфиденциальность – обеспечение доступа к информации только авторизиро-ванным пользователям;

• 2.    Целостность – обеспечение достоверности и полноты информации и методов ее обработки;

• 3.    Доступность – обеспечение доступа к информации и связанным с ней активам авторизированных пользователей по мере необходимости.

По нашему мнению, именно факт посягательства на любой из этих критериев безопасности информации на защищаемом объекте следует использовать в качестве основы для формулирования признаков состава преступления в сфере компьютерной информации. Используя такой подход, даже в рамках имеющихся трех статей 28 главы УК РФ можно значительно повысить актуальность текста, облегчить классификацию преступлений и привязать ее к конкретным инцидентам, регистрируемым специализированным программным обеспечением или оборудованием.

К примеру, статья 273 УК РФ, с точки зрения такой логики формулирования положений законодательства, может быть оформлена так: «Создание и распространение специализированного программно-аппаратного обеспечения, заведомо предназначенного для нарушения конфиденциальности, целостности или доступности компьютерной информации или компьютерных программно-аппаратных комплексов».

Такое определение, на наш взгляд, позволит эффективно отличать собственно компьютерных преступников от правонарушителей, совершающих преступления, не относящиеся непосредственно к преступлениям в сфере компьютерной информации, однако совершаемых с применением компьютерных систем и сетей передачи данных.

Понятно, что это лишь оторванный от практики пример и подход к законодательству в данной ситуации должен быть системным. Кроме того, подобный подход к формированию законодательства не может быть введен сиюминутно. Для этого необходимо наличие в законодательных органах некоторого штата консультантов, будет необходима некоторая переподготовка специалистов на местах, в следственных, судебных органах, важен также учет изменений в программах образования юридических вузов. Без дополнительной, хотя бы поверхностной подготовки юридических специалистов по техническим аспектам компьютерных преступлений – компьютерным технологиям, защите информации – польза подобных нововведений сведется к нулю.

С другой стороны, это значительно упростит работу технических специалистов в области защиты информации, а в перспективе – и следственных органов, поскольку средства защиты компьютерных систем будут предоставлять информацию об инцидентах в тех же критериях, что описаны в квалифицирующих признаках, повысится общий уровень технической и юридической грамотности. Что, в итоге, способно привести к значительному повышению эффективности работы всех служб и систем, ответственных за пресечение и расследование компьютерных преступлений.