Преступления в сфере компьютерной информации

Оглавление
Введение
1.Общая характеристика преступлений в сфере компьютерной информации
1.1.Объект преступления
1.2.Предмет преступления
1.3.Объективная сторона преступления
1.4.Субъективная сторона преступления
2.Уголовно-правовая характеристика преступлений в сфере компьютерной информации
2.1.Квалификация преступлений в сфере компьютерной информации
2.2.Ответственность за преступления в компьютерной сфере
2.3.Законодательный опыт стран СНГ в борьбе с преступлениями в сфере компьютерной информации
Заключение
Библиографический список

Преступления в сфере компьютерной информации

Исключение - преступления, связанные с нарушением правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК). Так, за период 2001 - 2005 гг. их было зарегистрировано 140, а осужден только 1 человек.
Как показывает практика, квалификация преступлений, совершаемых в сфере компьютерной информации, представляет определенные трудности. Особенно при оценке неправомерного доступа к компьютерной информации как самого распространенного общественно опасного деяния в рассматриваемой сфере (78,3% от общего числа «компьютерных» преступлений за 2001 г., 91,8% - за 2002 г., 90,7% - 2003 г., 88,2% - 2004 г., 79,3% - за первое полугодие 2005 г.).
Объективная сторона преступления, предусмотренного ст. 272 УК, выражается в «неправомерном доступе к охраняемой законом компьютерной информации». Представляется, что неправомерным доступом следует считать также и доступ к информационным ресурсам сети Интернет без согласия собственника или иного законного владельца информации, если это привело к уничтожению, блокированию, модификации или копированию информации, при обязательном условии отсутствия у лица права доступа к ней.
Однако, по нашему мнению, неправильно квалифицировать действия лица как неправомерный доступ к информации, если оно использует чужое сетевое имя и пароль доступа, поскольку основной массив информации в глобальной сети носит открытый характер, информация не запрещена к копированию. Таким образом, уголовно наказуемым данное деяние будет только при условии доступа к информации, охраняемой законом.
Например, нормы ст. 183 УК должны применяться, если виновный, имея умысел на собирание сведений, составляющих коммерческую тайну, при помощи незаконно полученных реквизитов доступа осуществляет копирование информации (баз данных, служебной документации и т.п.) с внутренней локальной сети коммерческой организации. При этом собирание сведений, составляющих коммерческую тайну, должно быть совершено с прямым умыслом, т.е. виновный знает, что его действия направлены на получение сведений, составляющих коммерческую тайну, что искомая информация заведомо обладает всеми признаками коммерческой тайны и желает собрать именно такую информацию. Для обоснования сказанного обратимся к примеру.
Органы предварительного следствия предъявили обвинение по ч. 1 ст. 272, ч. 1 ст. 273 и ч. 1 ст. 183 УК инженеру-электронщику завода «Электроприбор» К., в служебные обязанности которого входила настройка серверов, подключение рабочих станций к локальной сети и регистрация пользователей.
Согласно материалам дела, К. совершил неправомерный доступ к компьютерной информации, не имея соответствующего разрешения для работы с ней, посредством служебной ЭВМ, получив доступ к файловым системам в локальной сети, осуществил несанкционированное копирование на ЭВМ файлов, содержащих информацию об именах пользователей и паролях локальной сети завода.
К. имел право использовать только сетевые ресурсы, предоставленные ему для выполнения служебных обязанностей. Доступ же к базам данных отдела кадров, экономического отдела был ограничен четко определенным кругом лиц, к которому К. не относился, т.е. доступа на законных основаниях к указанной информации не имел.
Приговором суда К. был признан виновным по ч. 1 ст. 272 и ч. 1 ст. 273 УК. Суд счел ч. 1 ст. 183 вмененной излишне, исключил ее из обвинения и оправдал К. по ней за отсутствием в действиях состава преступления, поскольку умысел К. на сбор информации, составляющей коммерческую тайну, в ходе судебного следствия подтверждения не нашел.
Поскольку современные информационные системы характеризуются четким разграничением права доступа к содержащимся в них данным, то пользователи, имеющие правомерный доступ к компьютерной информации, подразделяются в зависимости от тех операций, которые им разрешено совершать, - от просмотра информации до права вносить изменения в массивы данных или даже непосредственно в программу. Некоторые данные доступны исключительно для определенной группы пользователей.
Неправомерный доступ к компьютерной информации должен вменяться в вину наряду с теми преступлениями, ради совершения которых такой доступ осуществляется26. Поэтому, если лицо осуществляет неправомерный доступ к информации, а также собирание информации с целью ее последующего разглашения либо незаконного использования, его действия квалифицируются по совокупности ч. 1 ст. 272 и ч. 1 ст. 183 УК. В этой связи представляется целесообразным дополнить ст. 183, расширив перечень способов совершения данного преступления. В новой редакции ее ч. 1 могла бы выглядеть следующим образом:
«Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, путем перехвата в средствах связи, незаконного доступа к охраняемой законом компьютерной информации, использования специальных технических средств, а равно иным незаконным способом - наказывается...».
Квалифицировать содеянное по совокупности ст. ст. 272 и 165 УК необходимо, если лицо путем обмана, имея умысел на причинение имущественного ущерба собственнику или иному владельцу информации, совершило неправомерный доступ к охраняемой законом информации. Например, в целях безвозмездного использования под чужими реквизитами осуществляет несанкционированные подключения к сети Интернет, достоверно зная, что пользование ресурсами и услугами информационной сети платное.
Стоимость работы автоматически относится на счет легального пользователя, которому блокируется доступ к компьютерной информации, содержащейся в сети, так как работу в сети в одно и то же время с одними и теми же реквизитами может осуществлять лишь один пользователь. Кроме того, искажается информация в базе учетно-статистических данных абонентов (информация о времени начала и продолжительности работы), т.е. причиняется материальный ущерб.
Законный пользователь заключает договор с фирмой-поставщиком интернет-услуг, поэтому реквизиты доступа (сетевое имя и пароль) в силу договора, а также п. 5 Перечня сведений конфиденциального характера, утвержденного Указом Президента РФ от 6 марта 1997 г. № 188, и ст. 139 ГК РФ являются конфиденциальной информацией. Лицо, копируя реквизиты доступа законного пользователя, осуществляет тем самым неправомерный доступ к охраняемой законом компьютерной информации и причиняет собственнику материальный ущерб.
Если же виновный для того, чтобы осуществить неправомерный доступ, использует специальные программы, позволяющие копировать из сети Интернет файлы, содержащие пароли и логины законных пользователей, получая при этом реквизиты доступа в сеть, то содеянное следует квалифицировать также и по соответствующей части ст. 273 УК, предусматривающей уголовную ответственность за использование вредоносных программ для ЭВМ.
Однако, как показывает анализ судебной практики, существует несколько подходов к квалификации рассматриваемых деяний. Так, действия виновного, использующего вредоносную программу для «взлома» паролей доступа в сеть Интернет, а затем совершающего неправомерные выходы в сеть, судами квалифицируются по-разному. Чаще всего - по совокупности ст. ст. 272 и 165 УК (80% приговоров); в 20% случаев, кроме указанных преступлений, виновные осуждены еще и по соответствующим частям ст. ст. 273 и 18327.
Действия лица, которое неправомерно работает в сети Интернет под незаконно полученными реквизитами, образуют идеальную совокупность преступлений в сфере компьютерной информации и преступлений против собственности, предусмотренных ст. ст. 272 и 165 УК. Однако квалификация действий виновного при незаконном доступе в сеть Интернет по ч. 1 ст. 165 УК, предусматривающей уголовную ответственность за причинение имущественного ущерба собственнику или иному владельцу путем обмана или злоупотребления доверием при отсутствии признаков хищения, весьма спорная. Например, в рамках одного уголовного дела одни и те же действия виновного квалифицированы судом как по ч. 1 ст. 272, так и по совокупности ч. 1 ст. 272 и ч. 1 ст. 165 УК. Встречаются и уголовные дела, где суд в описательно-мотивировочной части приговора наряду с обстоятельствами неправомерного доступа устанавливает также факт причинения имущественного ущерба собственнику информации, определяет его размер, а в резолютивной части действия подсудимого квалифицирует лишь по соответствующей части ст. 272 УК, фактически исключая ст. 165 из объема предъявленного органами предварительного следствия обвинения.
Таким образом, единообразия в судебно-следственной практике при квалификации неправомерного доступа к охраняемой законом компьютерной информации не прослеживается. В качестве одного из решений образовавшейся проблемы в правоприменении уголовного закона считаем целесообразным внести изменения в ст. 165 УК, изложив ее следующим образом:
«Статья 165. Причинение имущественного ущерба путем обмана, злоупотребления доверием или модификации охраняемой законом компьютерной информации
1. Причинение имущественного ущерба собственнику или иному владельцу имущества путем обмана или злоупотребления доверием либо путем модификации охраняемой законом компьютерной информации, при отсутствии признаков хищения или иного завладения чужим имуществом - наказывается...».
Необходимо отметить, что наиболее спорны в системе «компьютерных» преступлений нормы, содержащиеся в ст. 274 УК, предусматривающей ответственность за нарушение правил эксплуатации ЭВМ. Поскольку сегодня нет единых нормативных правил, определяющих порядок защиты информации, которые служили бы правовой основой для правильной квалификации содеянного, то она является «неработоспособной» (за 2001 - 2005 гг. осужден только 1 человек).
В качестве одного из решений предлагается определение примерного перечня правил эксплуатации ЭВМ, системы ЭВМ или их сети на уровне постановления Пленума Верховного Суда РФ. Полагаю, что подобные правила должны носить характер подзаконного нормативно-правового акта, издаваемого Правительством РФ, как, например, Правила дорожного движения РФ, которые утверждены Постановлением Правительства РФ.
2.2. Ответственность за преступления в компьютерной сфере
Рассмотрим ответственность за преступления в компьютерной сфере на примере ст. 274 УК РФ.
Статья 274 УК РФ устанавливает ответственность за нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации, если это деяние причинило существенный вред.
Общественная опасность рассматриваемого преступления состоит в том, что в результате его совершения наносится серьезный ущерб функционированию информационных коммуникаций, разрушаются информационные ресурсы, нарушается нормальная работа технологического оборудования.
В 1997 г. было зарегистрировано 11 преступлений, в 1998 г. - 1, в 1999 г. - 0, в 2000 г. - 44, в 2001 г. - 119, в 2002 г. - 8, в 2003 г. - 1, в 2004 г. - 11, в 2005 г. - 2 преступления.
Непосредственным объектом преступления является общественное отношение, обеспечивающее регламентированный порядок эксплуатации ЭВМ, систем ЭВМ или их сети.
Предметом рассматриваемого преступления являются электронно-вычислительные машины, системы электронно-вычислительных машин или их сети.
С объективной стороны преступление выражается в нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системам ЭВМ или их сети, повлекшем уничтожение, блокирование или модификацию охраняемой законом информации, если это деяние причинило существенный вред. При описании криминообразующих признаков законодатель использовал прием бланкетности, в соответствии с которым действие (бездействие) в диспозиции излагается в обобщенном виде - "нарушение правил". Конкретное содержание правил эксплуатации электронно-вычислительной техники устанавливается соответствующими нормативными актами государственных органов, непосредственно производителями ЭВМ, разработчиками программ, владельцами компьютерной системы. Такие правила также содержатся в международных договорах и соглашениях, заключенных РФ, нормативно-правовых актах РФ и субъектов РФ (законах, подзаконных актах). Эти правила могут быть предусмотрены: в общих требованиях по технике безопасности и эксплуатации оборудования либо специальных правилах, регламентирующих особые условия; в инструкциях по работе с ЭВМ, их периферийными устройствами и машинными носителями информации, разрабатываемых производителями; в соответствующих правилах, устанавливаемых собственником.
Для правильного определения признаков объективной стороны преступления необходимо установление конкретных нормативно-правовых актов, в которых регламентированы технические предписания (правила).
В частности, под такими правилами понимают: гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организации работы; техническая документация на приобретаемые компьютеры; конкретные, принимаемые в конкретном учреждении или организации, оформленные нормативно и подлежащие доведению до сведения соответствующих работников правила внутреннего распорядка; требование по сертификации компьютерных сетей и оборудования; должностные инструкции конкретных сотрудников; правила пользования компьютерными сетями28.
Положение о сертификации средств защиты информации, утвержденное Постановлением Правительства РФ от 26 июня 1995 г. N 608, регламентирует порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. В соответствии с ним технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации.
Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется - система сертификации).
Системы сертификации создаются Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации (далее именуются - федеральные органы по сертификации).
Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции.
Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны (далее именуется - Межведомственная комиссия).
В каждой системе сертификации разрабатывается и согласовывается с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
Изготовители производят (реализуют) средства защиты информации только при наличии сертификата; извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации; маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации; указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя; применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации; обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации; обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации; прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.
Изготовители должны иметь лицензию на соответствующий вид деятельности. Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации, к которой могут быть приложены схема проведения сертификации, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые средства защиты информации.
Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защиты информации, а при необходимости - решение о проведении и сроках предварительной проверки производства средств защиты информации.
Для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган по сертификации оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.
Основные схемы проведения сертификации средств защиты информации: для единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации; для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по специально разработанной программе. Срок действия сертификата не может превышать пяти лет.
Нарушение правил эксплуатации ЭВМ могут выражаться в двух формах: в несоблюдении установленных правил эксплуатации аппаратного обеспечения ЭВМ, систем ЭВМ или их сети либо в нарушении правил эксплуатации программного обеспечения, предусмотренного для работы ЭВМ, системы ЭВМ или их сети. Так, например, нарушения правил эксплуатации ЭВМ могут заключаться: в несоблюдении сроков технического обслуживания узлов и агрегатов; в некачественном проведении профилактических работ по обслуживанию ЭВМ и программ ЭВМ; в использовании несертифицированных программных средств; в ошибочных подключениях устройств, оборудования ЭВМ и т.д.