Преступления против информационной безопасности: краткий

реклама
Н. Ф. Ахраменка
ПРЕСТУПЛЕНИЯ ПРОТИВ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ: КРАТКИЙ РЕЕСТР ПРОБЛЕМ
Информатизация как глобальный социально-экономический и научно-технический процесс оказалась связанной с негативными социальными издержками, к числу которых относится и компьютерная
преступность. Криминализация в ст. 212, 216, 349–355 Уголовного
кодекса Республики Беларусь (в дальнейшем – УК) некоторых видов
общественно опасного поведения, совершаемого с использованием
современных информационных и компьютерных технологий либо
путем воздействия на них, явилась реакцией отечественного законодателя на их появление и рост. За шесть лет, прошедших с момента
введения УК в действие, адаптационный синдром утих, тенденции,
характерные для этого вида преступности в стране, в основном проявились. Данные МВД констатируют, что последнее время в Беларуси
регистрируется около двух сотен компьютерных преступлений в год1.
Из них свыше 80 % составляют посягательства на информационную
безопасность. Таким образом, основной массив отечественной компьютерной преступности обусловлен деяниями, совершаемыми путем
воздействия на компьютерную информацию и компьютерную технику.
Из этого следуют, по крайней мере, два вывода. Во-первых, столь
незначительное количество зарегистрированных компьютерных преступлений в период активно идущей информатизации и компьютеризации белорусского общества свидетельствует о наличии существенных проблем у правоприменительных органов по регистрации, расследованию, раскрытию и квалификации этого вида преступлений.
Во-вторых, в условиях повсеместного внедрения информационных
технологий во все наиболее значимые сферы жизнедеятельности общества доля преступлений, совершаемых с их использованием, в
структуре компьютерной преступности должна превалировать. Фиксируемое уголовной статистикой обратное соотношение дает основание для постановки вопроса: успевает ли законодатель за процессом
информатизации?
Практика – это решающий критерий истины2. И если учесть, что в
истекшем 2005 г. к уголовной ответственности за совершение преступлений против информационной безопасности в Республике Беларусь
1
было привлечено 190 человек, а осуждено лишь два, становится очевидным – действующее законодательство проблему борьбы с компьютерной преступностью уголовно-правовыми методами не сняло, а лишь
создало иллюзию ее решения. На наш взгляд, такое положение является следствием недостаточной научной проработки и некритичного
включения в гл. 31 УК соответствующих норм в редакции ст. 286–292
Модельного Уголовного кодекса для государств – участников СНГ3.
Не претендуя на всесторонность анализа, остановимся на выявленных практикой к настоящему моменту спорных вопросах квалификации преступлений против информационной безопасности.
Рассмотрение составов преступлений гл. 31 УК показывает, что
включенными в нее нормами охраняются отношения, обеспечивающие гарантии непричинения существенного вреда нормальному
функционированию компьютерной техники, сохранности компьютерной информации. Хотя отечественный законодатель на настоящий
момент не определил понятие информационной безопасности, изучение соответствующих нормативных актов Российской Федерации,
проектов нормативных актов Республики Беларусь, Союзного государства, СНГ позволяет сделать вывод, что такая (компьютерная)
безопасность является лишь элементом информационной, ибо по своему содержанию гораздо ýже последней4. Соответственно, и посягательства на нее являются менее общественно опасными, что необходимо учитывать правоприменителю при определении меры уголовной
ответственности. Наименование главы 31 УК в связи с этим следует
привести в соответствие с содержанием охраняемых ее нормами общественных отношений, изложив его, к примеру, в такой редакции:
«Преступления против компьютерной безопасности».
Насыщенность правовых норм техническими терминами, отсутствие легального толкования последних не способствуют единому подходу к квалификации деяний, подпадающих под признаки составов
преступлений, предусмотренных анализируемой главой. Так, предметом преступления при несанкционированном доступе к компьютерной информации (ч. 1 ст. 349 УК) является информация, хранящаяся в
компьютерной системе, сети или на машинных носителях. В научной
литературе не встречается разночтений в толковании понятия «машинный носитель». А вот отличия между раскрываемыми в комментарии к УК понятиями «компьютерная система» и «компьютерная
сеть» трудноразличимы. Так, под сетями ЭВМ предлагается понимать
компьютеры, объединенные между собой линиями электросвязи, а
2
под системой ЭВМ – комплексы, в которых хотя бы одна ЭВМ является элементом системы либо несколько ЭВМ составляют систему5. В
полном противоречии с приведенным толкованием находится используемое другими белорусскими исследователями понимание компьютерной системы как локальной ЭВМ, персонального компьютера,
сервера или рабочей станции с периферийными устройствами6. Компьютерная информация, существующая физически в виде последовательности либо набора импульсов, сигналов, потенциалов и тому подобных состояний, обращается в указанных материальных объектах
(фиксируется, накапливается, хранится, актуализируется, обрабатывается, передается). Идентификация компьютерной информации в рамках логических операций возможна при совершении любого из указанных действий с ней. Криминализация законодателем несанкционированного доступа только к хранящейся компьютерной информации представляется поэтому ограничительной, поскольку оставляет
вне поля уголовно-правовой защиты иные возможные ее состояния. В
связи с этим слово «хранимой» (применительно к информации) из
диспозиции ст. 349 УК следует исключить. Другое дело, если законодатель хотел ограничиться защитой именно хранимой компьютерной
информации. В таком случае исключать следует слова «в компьютерной системе, сети», поскольку хранится информация на материальных
носителях в одном или нескольких устройствах компьютера. Компьютерные устройства связи и сетевые устройства являются средой распространения компьютерной информации, они не хранят, а только
перемещают ее7. Поскольку охранительный потенциал первого варианта является более существенным, он и представляется более предпочтительным.
Диспозиция ст. 349 УК указывает на то, что обращаемая в ЭВМ,
компьютерных системах, сетях информация должна быть защищенной от несанкционированного доступа. Под такой защитой понимается «деятельность, направленная на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации»8. Следовательно, не подлежащая защите компьютерная информация предметом несанкционированного доступа, модификации,
компьютерного саботажа, неправомерного завладения (ст. 349–352
УК) быть не может.
3
Один из ключевых терминов гл. 31 УК «несанкционированный
доступ к компьютерной информации», на наш взгляд, определен не
совсем удачно – сам через себя. В части 1 ст. 349 УК законодатель
предписывает понимать под несанкционированным доступом «несанкционированный доступ (выделено нами. – Н. Ф.) к информации,
хранящейся в компьютерной системе, сети или на машинных носителях, сопровождающийся нарушением системы защиты» (в дальнейшем – НСД к компьютерной информации)9. Ранее уже указывалось,
что такой доступ возможен не только к хранящейся, но и к обращаемой любым иным способом компьютерной информации. Государственный стандарт Республики Беларусь устанавливает, что несанкционированным доступом является «деятельность, направленная на получение защищаемой информации заинтересованным субъектом с
нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации»10.
Поскольку доступ к компьютерной информации подразумевает
«любую форму проникновения к ней, ознакомление лица с данными,
содержащимися в сети, системе или на машинных носителях»11, то
результатом действий по его осуществлению будет успешное преодоление системы защиты, получение возможности совершения с компьютерной информацией действий по усмотрению злоумышленника.
Но непосредственное восприятие, чтение ее законодатель не криминализировал. Иные же общественно опасные последствия НСД к
компьютерной информации, указанные в ч. 1 ст. 349 УК, находиться в
причинной связи с ним не могут, ибо доступ уже окончен. Для причинения указанного в законе вреда злоумышленнику потребуется совершить иные, следующие по времени за несанкционированным доступом действия, которые и приведут к изменению, уничтожению,
блокированию информации, выводу из строя компьютерного оборудования либо причинения иного существенного вреда (ч. 1 ст. 349
УК), или повлекут крушение, аварию, катастрофу, несчастные случаи
с людьми, иные тяжкие последствия (ч. 3 ст. 249 УК). Но оцениваться
они уже будут самостоятельно, как модификация компьютерной информации, компьютерный саботаж, нарушение правил эксплуатации
компьютерной системы или сети в зависимости от конкретных обстоятельств.
В части 2 ст. 349 УК законодатель криминализировал НСД к компьютерной информации, совершенный из корыстной или иной лич4
ной заинтересованности, либо группой лиц по предварительному сговору, либо лицом, имеющим доступ к компьютерной системе или сети. По отношению к части первой этой же статьи данный состав квалифицирующим не является, а выступает как самостоятельный. Он
сконструирован как формальный и характеризуется умышленной, а не
неосторожной формой вины. Напомним, что рассматриваемые действия, не повлекшие указанных в ч. 1 ст. 349 УК последствий, являются
не преступлением, а правонарушением. Привлечение к ответственности (при наличии оснований и условий) возможно по ст. 22.6 «Несанкционированный доступ к компьютерной информации» принятого, но пока не введенного в действие Кодекса об административных
правонарушениях Республики Беларусь. Общественная опасность
такого доступа, пусть и совершенного при наличии указанных в уголовном законе обстоятельств, на наш взгляд, не достигает уровня вредоносности преступления, поскольку причиняет малозначительный
вред охраняемым общественным отношениям. В случаях, когда рассматриваемый несанкционированный доступ является лишь этапом
умышленного создания условий для совершения конкретного преступления, он самостоятельного значения не имеет и будет охватываться
признаками состава вменяемого злоумышленнику преступления. К
тому же под квалифицирующий признак «лицом, имеющим доступ к
компьютерной системе или сети» подпадает любой пользователь как
глобальных, так и локальных информационных сетей и систем. Таким
образом, криминализация рассматриваемого доступа даже при наличии указанных в ч. 1 ст. 349 УК отягчающих обстоятельств представляется необоснованной.
Указанные противоречия в законодательном описании объективной стороны составов преступлений, в которых НСД к компьютерной
информации выступает в качестве действия, на наш взгляд, исключает возможность применения ст. 349 УК на практике в этой части.
Проанализированные составы из диспозиции частей 1–3 указанной
статьи следует исключить. А вот криминализация самовольного пользования (без разрешения на то собственника, владельца или законного
пользователя) электронной вычислительной техникой, средствами
связи компьютеризированной системы, компьютерной сети, повлекшего по неосторожности последствия, указанные в ч. 3 ст. 349 УК,
представляется правильной и должна быть сохранена. В целях обеспечения соответствия наименования статьи содержанию нормы загла5
вие ее может быть изложено в редакции «Самовольное пользование
компьютерной техникой».
В части 1 ст. 350 УК законодатель определил модификацию компьютерной информации как изменение информации, хранящейся в
компьютерной системе, сети или на машинных носителях, либо внесение заведомо ложной информации, причинившие существенный
вред при отсутствии признаков преступления против собственности.
Буквальное толкование понятия модификации компьютерной информации (в бинарной связи действие – последствие) исключает его применение в иных статьях УК, в которых под модификацией понимается лишь ее изменение, обновление12. В силу этого в качестве способа
причинения имущественного ущерба без признаков хищения в ст. 216
УК наряду с обманом, злоупотреблением доверием следует указать и
изменение, внесение заведомо ложной компьютерной информации
(но не модификацию ее). В статьях же 354, 355 УК изменение (а не
модификация) компьютерной информации должно быть включено в
число общественно опасных последствий разработки, использования
либо распространения вредоносных программ, нарушения правил
эксплуатации компьютерной системы или сети.
Признание НСД к компьютерной информации квалифицирующим
признаком модификации компьютерной информации правомерно,
ибо характеризует повышенную общественную опасность личности
преступника, однако ставит в привилегированное положение лиц,
имеющих доступ к компьютерной системе или сети на законных основаниях (по службе, работе, в силу договора и др.). Используя связанные с этим возможности, таким субъектам гораздо проще совершить неправомерное изменение, внесение заведомо ложной информации. Для них рассматриваемая норма фактически является поощрительной. В целях соблюдения принципа справедливости ч. 2 ст. 350
УК следует дополнить признаком «а равно лицом, имеющим доступ к
такой системе или сети».
В научной литературе высказано мнение, что у компьютерного
саботажа непосредственным объектом преступления являются общественные отношения, обеспечивающие нормальное функционирование ЭВМ, компьютерных систем, сетей13. При его совершении умышленно уничтожаются, блокируются, приводятся в непригодное состояние компьютерная информация или программа, выводится из
строя компьютерное оборудование либо разрушается компьютерная
система, сеть или машинный носитель. Указанные предметы преступ6
ления являются объектами права собственности в сфере информатизации14, в отношении которых их собственник в полном объеме реализует полномочия владения, пользования, распоряжения. При совершении компьютерного саботажа этим отношениям собственности
всегда причиняется вред. Сложностей с разграничением анализируемого состава и состава, предусмотренного ст. 218 УК «Умышленное
уничтожение или повреждение имущества», не возникает, поскольку
следственно-судебная практика придерживается правила квалификации, согласно которому «в случаях конкуренции общей и специальной норм применяется специальная норма»15. Однако обязательным
дополнительным объектом компьютерного саботажа следует признать
отношения собственности. В связи с этим последствия компьютерного саботажа, указанные в ч. 1 ст. 351 УК, необходимо конкретизировать указанием на существенность причиняемого при его совершении
вреда. Этот критерий, хотя и оценочный, поможет, на наш взгляд, исключить распространенные пока случаи формального, догматического подхода, позволяющего причинение любого из альтернативно перечисленных последствий без учета размера причиненного ущерба
считать достаточным для констатации наличия состава компьютерного саботажа (при условии установления иных его признаков).
Поскольку общественная опасность по содержанию объективносубъективная категория, определяемая совокупностью всех обязательных элементов состава преступления, важно отметить, что с
субъективной стороны компьютерный саботаж может быть совершен
только с прямым или косвенным умыслом. Содержание умысла
включает сознание и предвидение всех фактических обстоятельств,
которые соответствуют признакам его и определены в законе. Применительно к рассматриваемому составу это – предметы преступного
посягательства (компьютерная информация, программа, система,
сеть, компьютерное оборудование, машинный носитель) и общественно опасные последствия (уничтожение, блокирование, приведение
в непригодное состояние, вывод из строя, разрушение, иной существенный вред). Понимание их должно указывать на то, что виновное
лицо сознавало, что своими действиями посягает именно на нормальное функционирование компьютерной техники, сохранность информации, а не на отношения собственности. На наш взгляд, диспозиция
ч. 1 ст. 351 УК может быть дополнена прямым указанием на это обстоятельство посредством включения в нее слов «при отсутствии признаков преступления против собственности», как это сделано законодателем в отношении модификации компьютерной информации.
7
Квалифицированный компьютерный саботаж по характеру и степени общественной опасности относится к тяжким преступлениям, за
его совершение предусмотрено наказание в виде лишения свободы на
срок от трех до десяти лет. Учитывая, что ЭВМ, компьютерные системы, как правило, являются элементами более глобальных структур,
виновный при этом может и не осознавать, каким конкретно компьютерным носителям, системам, сетям, какому компьютерному оборудованию его действия, сопряженные с несанкционированным доступом, могут причинить вред, каков будет при этом характер тяжких
последствий. Посему позиция законодателя, безальтернативно предусмотревшего в качестве наказания только лишение свободы, представляется спорной в силу противоречия ее принципам экономии уголовной репрессии и гуманизма. На наш взгляд, цели уголовной ответственности могут быть достигнуты и применением более мягкого наказания – ограничения свободы (разумеется, исходя при этом из
принципа индивидуализации наказания). Для исключения возможности использования в будущем лицом прав, полномочий по своей служебной должности, профессиональной или иной деятельности для
совершения преступления санкция нормы должна предусматривать и
возможность лишения виновного права занимать определенные
должности или заниматься определенной деятельностью.
При неправомерном завладении компьютерной информацией
(ст. 352 УК) предметом преступления является информация, хранящаяся в компьютерной системе, сети или на машинных носителях,
либо информация, передаваемая с использованием средств компьютерной связи. Поскольку современные компьютерные технологии позволяют осуществить неправомерное завладение компьютерной информацией на любом этапе ее обращения, криминализация копирования лишь хранящейся в компьютерной системе, сети или на машинных носителях информации не позволяет признать противоправным
неправомерное завладение ею в состояниях фиксации, накапливания,
актуализации, обработки. Поэтому ограничение, определенное на
данный момент уголовным законом («хранящаяся в компьютерной
системе, сети или на машинных носителях»), должно быть снято, а в
качестве предмета преступления следует указать компьютерную информацию вне зависимости от формы обращения. Перехват ее, как
способ совершения рассматриваемого преступления, возможен не
только во время передачи компьютерной информации с использованием средств компьютерной связи. Для его осуществления могут
8
быть использованы контактные или бесконтактные подключения соответствующих технических средств к работающим электронным
устройствам, введения в средства компьютерной техники программно-аппаратных закладок, улавливание побочного электромагнитного
излучения и наводок, съем информации с принтера и клавиатуры по
акустическому каналу и пр.16 Поскольку и указанный в диспозиции
ст. 352 УК перехват компьютерной информации, и приведенные примеры иных видов перехвата понятием «иного неправомерного завладения компьютерной информацией» охватываются, то только его и
следовало бы сохранить в качестве описания способа совершения
преступления, избежав тем самым использования неполных и неточных технических терминов.
Криминализируя изготовление либо сбыт специальных средств
для получения неправомерного доступа к компьютерной системе или
сети (ст. 353 УК), законодатель впервые употребил понятие неправомерного доступа. Ни в одной из иных статей главы 31 УК оно больше
не встречается, зато используется в уголовных кодексах стран СНГ:
Азербайджана, Грузии, Киргизии, России, Таджикистана, Туркмении17. По своему содержанию понятие неправомерного аналогично
понятию несанкционированного доступа, которым оперирует законодатель Республики Беларусь, да еще Республики Узбекистан. Определение доступа как несанкционированного отражает организационную
сторону его осуществления (как не утвержденного высшей инстанцией, не разрешенного). Поскольку определение доступа как неправомерного характеризует его сущностный признак (как не опирающегося на право, не основанного на нем), оно представляется более предпочтительным. При совершении преступлений группой лиц вполне
возможны ситуации, когда разрешение на доступ может и быть, но
такая санкция будет неправомерной.
Конструируя объективную сторону разработки, использования,
распространения вредоносных программ, законодатель проявил избыточность правового регулирования. Такой способ совершения этого
преступления (ч. 1 ст. 354 УК), как «разработка специальных вирусных программ», является видом разработки компьютерных программ
(либо внесения изменений в существующие программы) с целью несанкционированного блокирования, модификации или копирования
информации в компьютерной системе, сети или на машинных носителях. Поэтому, как справедливо указывают белорусские исследовате9
ли, он «не должен фигурировать в перечне однородных действий, являющихся родовыми понятиями, который изложен в ч. 1 ст. 354»18.
Вина в преступлении, описанном в диспозиции ст. 355 УК, определяется по отношению к последствиям. Сами же нарушения правил
эксплуатации компьютерной системы или сети могут быть совершены не только умышленно, но и по неосторожности. Учитывая, что
субъективное отношение к деянию в данном случае на характер его
общественной опасности не влияет, указание на него в диспозиции
ст. 355 УК является излишним.
Ввиду отсутствия законодательного определения понятия «информация особой ценности» и возможности ее стоимостного выражения, этот оценочный признак следовало бы конкретизировать величиной причиняемого ущерба (в крупном либо особо крупном размере).
Таким образом, на современном этапе правовая защита от компьютерных преступлений в Республике Беларусь не в полной мере соответствует реальной ситуации:
квалификация преступлений, посягающих на информационные и
компьютерные технологии по действующему уголовному законодательству Республики Беларусь (ст. 349–355 УК) в ряде случаев затруднена, неоднозначна, а то и невозможна;
посягательства, совершаемые с использованием информационных, компьютерных технологий, практически не криминализированы
(исключая ст. 212, 216 УК).
__________________________
1
http: // mvd-belarus.nsys.by/
Современный философский словарь / Под общ. ред. В. Е. Кемерова.
2-е изд., испр. и доп. Лондон, Франкфурт-на-Майне, Париж, Люксембург, Москва,
Минск, 1998. С. 693.
3
Модельный Уголовный кодекс для государств – участников СНГ. СПб.,
1995. С. 126–129.
4
См. Горохов А. С. О содержании понятий «информационная безопасность»,
«информационная война» и «информационное оружие» // Управление защитой
информации. Т. 8. 2004. № 2. С. 229–230.
5
См. Комментарий к Уголовному кодексу Республики Беларусь / Н. Ф. Ахраменка, Н. А. Бабий, А. В. Барков и др.; Под общ. ред. А. В. Баркова. Минск, 2003.
С. 931.
6
См., например, Козлов В. Е. Теория и практика борьбы с компьютерной
преступностью. М., 2002. С. 3.
7
См. Лосев В. В. Преступления против информационной безопасности: Методические рекомендации по курсу: «Уголовное право Республики Беларусь».
Брест, 2000. С. 25–26.
2
10
_____________________
8
Государственный стандарт Республики Беларусь СТБ ГОСТ Р 50922–2000:
Защита информации. Основные термины и определения. П. 7.
9
Уголовный кодекс Республики Беларусь. Минск: Национальный центр правовой информации Республики Беларусь, 1999. 214 с.
10
Государственный стандарт Республики Беларусь СТБ ГОСТ Р 50922–2000:
Защита информации. Основные термины и определения. П. 7.
11
Вопросы квалификации, регистрации и учета преступлений / Н. Ф. Ахраменка, Н. А. Бабий и др.; Под общ. ред. А. И. Лукашова. Минск, 2003. С. 230.
12
См. Комментарий к Уголовному кодексу Республики Беларусь. С. 943.
13
Ахраменка Н. Ф. Квалификация компьютерного саботажа по уголовному
законодательству Республики Беларусь // IX Международная конференция «Комплексная защита информации»: Материалы конф. Минск, 2005. С. 168.
14
Об информатизации: Закон Республики Беларусь от 6 сентября 1995 г.
№ 3850-XII // Ведомости Верховного Совета Республики Беларусь. 1995. № 33.
Ст. 428; Национальный реестр правовых актов Республики Беларусь. 2006.
№ 122. 2/1259.
15
Гаухман Л. Д. Квалификация преступлений: закон, теория, практика. М.,
2001. С. 294.
16
См. Козлов В. Е. Указ. соч. С. 14–36.
17
Компьютерные преступления в законодательстве стран СНГ // Управление
защитой информации. Т. 8. № 4. 2004. С. 483–494.
18
Лукашов А. И., Саркисова Э. А. Уголовное право Республики Беларусь:
сравнительный анализ и комментарий. Минск, 2000. С. 489.
Поступила 21 апреля 2006 г.
11
Скачать