Жизнь в виртуальной реальности зачастую вытесняет реальное существование. Практически каждый человек текущего поколения знаком с социальными сетями, электронной почтой и любыми другими интернет ресурсами.
К сожалению, не многие задумываются о безопасности своих данных, не соблюдают и даже не подразумевают о правилах пользования аккаунтами в сети. А в это время злоумышленники не прочь получить неправомерный доступ к таким данным.
- Понятие «неправомерный доступ»
- Состав преступления
- Квалифицирующие признаки состава преступления
- Есть ли вообще какая-то ответственность за исследование и взлом чужой программы, сервиса, сети?
- О каких законах идет речь?
- В каких случаях багхантер понесет ответственность?
- Следствие и судебная практика
- Что взламывают хакеры
- Особенности борьбы с неправомерным доступом к компьютерной информации в других странах
- Как исследователю снизить риски привлечения к ответственности?
- Взломали email
Понятие «неправомерный доступ»
Под неправомерным доступом к компьютерной информации понимается незаконное, тайное получение и использование возможности проникновения к информационному источнику, позволяющее произвести копирование, модификацию, уничтожение или блокирование сведений собственника с целью осуществления дальнейшего манипулирования.
Как правило, доступ злоумышленнику открывается в обход всех возможных средств защиты данных посредством проникновения в компьютерную систему с использованием специальных программ.
Целесообразно уточнить, что ограничение не может произойти в отношении:
- Нормативно-правовых актов, устанавливающих для граждан права, свободы и обязанности.
- Сведений, составляющих правовую основу деятельности организаций, объединений, государственных органов.
- Данных по расходованию бюджетных средств органами власти.
- Информации, ориентированной на широкий круг пользователей, накапливающейся в музейных коллекциях, архивных и библиотечных фондах.
- Другие сведения, просматривание которых открыто федеральными законами.
Справедливо можно заметить, что защиты со стороны государства требует не только конфиденциальные данные и персональные материалы, но и общедоступные сведения, изменение которых силами взломщиков может привести к серьёзным негативным последствиям для безопасности общества.
Состав преступления
Как и любое преступное деяние, незаконное проникновение в компьютерную информацию имеет свой состав преступления.
Предмет преступления – компьютерные базы данных, доступ к которым ограничен на законодательном уровне.
Целесообразно обозначить категории сведений, которые имеют определённый режим охраны: информация, представляющая собой государственную тайну, и конфиденциальные данные.
Конфиденциальные данные представлены:
- персональными сведениями, позволяющими установить личность гражданина, получить информацию о его личной жизни;
- служебными данными и сведениями, сопутствующими деятельности органов следствия и судебной системы;
- материалами, связанными с деятельностью специалистов разных профессий (врачи, нотариусы, адвокаты);
- тайной переписки и переговоров по мобильным устройствам;
- сведениями, составляющими коммерческую тайну предприятия;
- информацией об изобретениях до официального опубликования сведений.
Объектом преступного посягательства считаются общественные отношения, направленные на предоставление правомерного доступа к охраняемой законом информации, на её создание, использование, обработку, преобразование или использование.
Комментарии к статье конкретизируют информацию об этих отношениях, выделяют определённые категории объектов, на которые производится хакерская атака: личные права граждан, интересы собственности. В случае использования служебного положения при совершении сотрудником незаконного доступа к компьютерным данным происходит посягательство на общественные отношения, охраняющие интересы государственной службы (ч. 3 ст. 272 УК РФ).
В качестве объективной стороны предстают причинно-следственные связи между человеком, совершающим противоправное деяние, его деструктивной деятельностью и наступающими последствиями. Такую взаимосвязь формируют деяния, направленные на неправомерное вмешательство в сведения, изучение которых ограничено для широкого круга лиц.
Последствием этого вмешательства становятся:
- Копирование информации – перенос обнаруженных сведений из источника на какой-либо носитель, запечатление сведений при фотосъёмке, переписывание на бумагу, чтение с дисплея компьютера при условии сохранения в источнике исходных данных.
- Модификация информации – тайное внесение изменений в сведения, возможность совершать это действие принадлежит только лицами с правом доступа для исправления ошибок.
- Блокирование информации – создание условий, при которых существенно затрудняется либо вовсе прекращается доступ к сведениям, нарушается установленный режим планомерной работы организации или предприятия.
- Уничтожение информации – стирание данных из памяти ЭВМ, копирование и переименование файла при этом исключаются.
Вследствие этих видов вмешательства происходит программный сбой в работе ЭВМ, некорректное отображение информации в системе, а также более негативные последствия для других лиц, вплоть до физической угрозы гражданам и безопасности общества.
Субъектом преступного деяния выступает лицо, достигшее возраста 16 лет, способное давать отчёт своим действиям.
Субъективная сторона – категория, относящая к противоправной деятельности субъекта, характеризуется наличием прямого или косвенного умысла.
Квалифицирующие признаки состава преступления
В ч. 2 272 статья УК РФ говорит о квалифицирующих признаках преступления, ориентированных на причинение крупного ущерба с корыстной заинтересованностью.
Стоит обратить внимание на понятие «крупный ущерб», в нём усматриваются прямые имущественные потери суммой более миллиона рублей, утрата возможных приобретений в силу имевшейся выгоды. Правонарушение при этом совершается человеком, имеющим особый интерес к получению вознаграждения за осуществление неправомерного деяния.
Читайте также: Уголовно-правовая характеристика незаконного получения кредита
Примером, иллюстрирующим корыстную заинтересованность преступника, является случай из судебной практики Белгородского областного суда. По ч. 2 ст. 272 УК РФ данным судом был осуждён С., совершивший 7 преступлений, связанных с осуществлением незаконного доступа к компьютерной информации. Получив возможность воспользоваться мобильным номером П., с помощью сервиса «Мобильный банк» С. самовольно произвёл кражу денежных средств с банковского счёта. Похищенные деньги С. потратил на личные нужды. Таким образом, деяние было квалифицировано как копирование и модификация сведений с умыслом похитить денежные средства. Подобная ситуация может произойти с любым клиентом банка, передавшим свои регистрационные данные личного кабинета пользователя «Мобильный банк» недобросовестному менеджеру-консультанту кредитно-финансового учреждения.
Ч. 3 ст. 272 УК РФ сообщает о трёх особо квалифицирующих признаках, а именно совершение преступного деяния для получения неправомерного доступа к охраняемым законом сведениям:
- Группой лиц по предварительному сговору.
- Группой, организованной для совершения противоправного деяния.
- Гражданином посредством превышения полномочий на службе.
Если нелегальный вход был произведён группой лиц по предварительному сговору, роли участвующих субъектов должны быть чётко обозначены, в деле участвуют исполнитель и соисполнители. Группа признаётся организованной, если она сформировалась предварительно ради достижения определённых целей.
Для ситуации с лицом, находящимся на службе, характерно существование доступа к охраняемой законом компьютерной информации при осуществлении должностных обязанностей. Преступлением будет признаваться осознанное нарушение порядка деятельности, утверждённого служебным контрактом или дополнительными соглашениями.
В качестве иллюстрирующего примера можно привести приговор Тюменского областного суда по ч. 4 п. «а» ст. 290, ч. 2 ст. 272 УК РФ в отношении гражданина С., который, являясь администратором сети, имея приоритетный доступ к сведениям, уничтожил записи о нарушениях статей КоАП РФ отдельными гражданами, а также о лишениях этих граждан права управления транспортными средствами. Неправомерные действия С. осуществлял по просьбе В., получавшего денежные вознаграждения от заинтересованных лиц. История получила продолжение при рассмотрении дела Верховным Судом РФ, но оправдания подсудимых не произошло.
Два особо квалифицирующих признака присутствуют в ч. 4 ст. 272 УК РФ, речь идёт о наступлении тяжких последствий в результате нелегальных действий злоумышленника, а также о возможности их наступления: причинение особо крупного ущерба, причинение смерти одному человеку, тяжкого вреда здоровью нескольким гражданам, развитие экологической катастрофы, возникновение аварий.
Стоит обратить внимание на то, что субъект не всегда осознаёт общественную опасность своих действий, вполне вероятно, что он рассчитывает предотвратить наступление негативных последствий либо не может оценить их масштаб.
Есть ли вообще какая-то ответственность за исследование и взлом чужой программы, сервиса, сети?
Если говорить про действующие российские законы, то да, есть. Когда исследователь тестирует чужой продукт на предмет уязвимостей или проникает в чужую сеть без ведома и согласия владельца, его действия могут быть расценены как неправомерные. И последствием таких действий может стать наступление ответственности различного рода: гражданско-правовой, административной и уголовной.
О каких законах идет речь?
В большей степени исследование уязвимостей (а также возможная ответственность в случае совершения противоправных деяний) касается тех законов, которые перечислены ниже. Обрати внимание, что это не весь список: в этой статье не затрагиваются вопросы, связанные с персональными данными, охраняемой законом тайной (государственной, врачебной, банковской и так далее) и некоторые другие вопросы. Пока что мы поговорим о следующих трех законах:
- Гражданский кодекс;
- Кодекс об административных правонарушениях;
- Уголовный кодекс.
В каких случаях багхантер понесет ответственность?
Все зависит от конкретных обстоятельств дела, а также от последствий, возникших после конкретного исследования (тестирования, взлома). В зависимости от них и будет определяться, являются ли такие действия багхантера правонарушением или нет, преступлением или нет, подлежит ли он привлечению к ответственности соответствующего рода или нет.
Следствие и судебная практика
Вопросы разграничения незаконного проникновения в компьютерную информацию от иных составов преступлений – основная проблема, возникающая в повседневной практике следователя. Далеко не всегда ст. 272 УК РФ – единственная норма, устанавливающая уголовную ответственность за конкретное нарушение закона. Чаще всего правонарушения формируют собой целый комплекс противоправных действий.
Неудивительно, что из-за специфики нарушений закона в сфере компьютерных технологий возникают сложности при определении подследственности, на стадии возбуждения уголовного дела и в процессе его расследования. Впоследствии ошибки, допущенные следователем, могут затруднить раскрытие нарушения закона и стать основой для вынесения ошибочного решения судом.
Анализируя следственную практику в сфере информационных технологий, можно установить, что обычно злоумышленников интересуют:
- конфиденциальные материалы социальных сетей;
- личные сведения из виртуальных дневников;
- переписка из электронной почты.
Довольно часто к неправомерному получению информации прибегают сотрудники, уволенные из организаций по каким-либо причинам.
Например, Октябрьским районным судом города Архангельска осуждён бывший генеральный директор – глава компании. После увольнения С., испытывая неприязнь к новому руководству и владея данными учётной записи администратора сайта организации, произвёл уничтожение и модификацию рекламной презентации на ресурсе. С. удалил контактные данные компаний-партнёров, сведения с контактными данными организации, добавил изображения, создающие негативный облик руководства.
Категория рассматриваемых дел, связанная с нелегальной возможностью взламывать страницы пользователей в социальных сетях или электронной почты, является довольно актуальной для сегодняшнего дня. Не стоит забывать, что норма ст. 23 Конституции РФ гарантирует каждому гражданину право на неприкосновенность частной жизни, а также обеспечение тайны переписки, а норма ст. 272 УК РФ предусматривает ответственность за взлом страницы в социальной сети, личного кабинета пользователя или электронной почты.
Читайте также: Какая статья предусматривается за незаконное удержание паспорта и других документов
Так, посредством завладения логином и паролем к персональной странице гражданки Л. в социальной сети на сервере ООО «ВКонтакте» подсудимый Л. незаконно совершил доступ к информации на странице, ознакомился с личной перепиской гражданки Л., которая представляет тайну её личной жизни. Л. совершил копирование чужой информации из соц. сети на свой персональный компьютер. Приговором Тайшетского городского суда Иркутской области гражданин З. был осуждён на исправительные работы с удержанием части заработка в пользу государства, квалифицированы его действия были по ч. 1 ст. 138 УК РФ и по ч. 1 ст. 272 УК РФ.
Нередко составу преступления по ст. 272 УК РФ сопутствует нарушение нормы ч. 2 ст. 128.1 УК РФ, а именно клевета, выражающаяся в распространении информации, порочащей честь и достоинство гражданина.
В Удмуртской Республике в Завьяловском районном суде было рассмотрено уголовное дело в отношении гражданки Е., обвиняемой в нарушении закона с наказанием за нарушение вышеуказанными правовыми нормами. Гражданка Е. получила возможность зайти в электронную почту гражданки К., произвела модификацию информации на фоновом изображении электронной страницы К. Подсудимой были размещены фотографии потерпевшей для широкого круга пользователей, а также ложные сообщения об оказании гражданкой К. услуг сексуального характера за вознаграждение. Впоследствии в ходе судебного разбирательства произошло примирение сторон: потерпевшей К. удалось простить обиду, уголовное дело в отношении Е. было прекращено постановлением суда.
Что взламывают хакеры
Один из самых часто встречающихся видов взлома в компьютерной среде — это проникновение в чужую электронную почту, которая обычно есть у всех пользователей, так как ее необходимо иметь для регистрации на сайтах и в приложениях на смартфоне.
Доступ к ней может означать и доступ к прочим ресурсам гражданина, поэтому она так часто становится предметом преступления. Это же относится и к почте предприятий, которая является общей для всех сотрудников, а значит, и более легкой добычей для правонарушителей.
Чаще всего взламывают чужую электронную почту.
Иногда это делается с целью последующего вымогательства денег, если преступники нашли какую-то личную информацию гражданина или получили доступ к секретам компании.
Нередко следствием взлома электронной почты является и проникновение в чужие социальные сети. Попадая в аккаунт пользователя, злоумышленник получает доступ к его личной жизни, фотографиям и сведениям, которые тот хотел бы оставить без распространения.
Еще очень популярны взломы сайтов или блогов. Это совершается либо в корыстных целях (шантаж), либо чтобы просто поглумиться над владельцем сайта.
Особенности борьбы с неправомерным доступом к компьютерной информации в других странах
На сегодняшний день киберпреступления не имеют определённых границ. Взломщики говорят на разных языках, исповедуют свои религии, относятся к различным культурам. К сожалению, опыт международного сотрудничества в рассматриваемой сфере недостаточно налажен. Если в пределах одной страны возникают коллизии права, то во взаимоотношениях между странами объективно сложнее прийти к общему знаменателю. Относительно проще взаимодействовать России со странами Содружества Независимых Государств.
Параметры этого сотрудничества складываются на основе существующих международных договорённостей, а также в правовых аспектах.
После принятия в 2001 году Соглашения о сотрудничестве государств СНГ были определены правонарушения, подлежащие уголовной ответственности:
- Осуществление неправомерного доступа к компьютерным данным и манипуляции со сведениями.
- Создание вирусных программ и их распространение.
- Действия лица, привёдшие к блокированию, модификации, уничтожению, копированию охраняемой законом информации, как следствие – причинение тяжких последствий, создание угрозы обществу и государственным основам.
- Незаконное использование материалов с нарушением авторских прав.
С течением времени масштаб классификаций составов преступлений в сфере компьютерной информации значительно расширился, уходя от классических типов завладения доступом к компьютерным данным, нарушения правил обработки и хранения данных, хакинга, создания, распространения вредоносного ПО. В Молдове их количество составляет 10 разновидностей, в Беларуси – 7, в Азербайджане – 5. Подобные нововведения в сфере уголовного права можно оценить исключительно положительно, они фактически реализуются принцип справедливости.
Интересной тенденцией развития уголовного законодательства стран СНГ является расширение числа субъектов преступления в сфере компьютерных технологий. Здесь присутствует единообразие положения физического лица, в отношении которого действует статья за взлом. Также в Молдове существует практика наказывать юридические лица, осуществившие незаконное вмешательство в компьютерную информацию и охраняемые государством сведения. Среди видов наказаний для организаций фигурируют штраф, преобразование, ликвидация юридического лица.
Целесообразно рассмотреть возможность такого нововведения в российском законодательстве при условии его доскональной проработки. Дополнение количества субъектов преступления в сфере информационной безопасности может привести к большей сложности при их изучении на стадии следствия, возникновению коррупционной составляющей и конфликта интересов.
Широкой регламентации требует субъективная сторона совершённого правонарушения в области незаконного доступа к охраняемым законом сведениям. Например, в Республике Беларусь рассматриваются уголовные дела, связанные с тайным просмотром информации, совершённые как умышленно, так и по неосторожности. В уголовном законодательстве Республики Армения за незаконный доступ к компьютерной информации, взлом, предусмотрена статья, регламентирующая правонарушение как неосторожное преступление. Умышленные посягательства здесь выражаются в иных действиях, связанных с изменением сведений, компьютерным саботажем или неправомерным завладением компьютерной информацией.
Как исследователю снизить риски привлечения к ответственности?
Ответственность может быть исключена в ситуациях, когда действия исследователя не нарушают нормы закона, права и законные интересы третьих лиц. Например, риски привлечения к ответственности можно снизить, когда исследование проводится с ведома и согласия владельца (правообладателя) исследуемого программного продукта. Это может быть письменное согласие с его стороны (двусторонний договор или иная письменная форма согласия, хотя бы электронная переписка), либо это может быть общим соглашением на ведение подобной деятельности (программа Bug Bounty как раз и будет такого рода соглашением). Главное, чтобы у исследователя были в распоряжении доказательства, подтверждающие согласие.
Помимо этого, исследование не должно причинять вред личности или имуществу иных третьих лиц, а также нарушать авторские права. Стоит также читать условия использования исследуемого продукта: в них могут содержаться положения, которые могут привести к дополнительным неприятностям для исследователя, если его привлекут к ответственности в судебном порядке. Эта рекомендация справедлива в том числе для программ Bug Bounty: ведь и они порой могут преподносить сюрпризы.
Ну и конечно, не стоит забывать, что все зависит именно от конкретных обстоятельств, поэтому в разных случаях ответы на одни и те же вопросы могут отличаться.
Взломали email
Одна из самых насущных проблем современного пользователя персонального компьютера – невозможность возобновить работу электронного почтового ящика. Чаще всего халатное отношение к подбору пароля приводит к взлому. Интерес к подобной незаконной деятельности проявляют несовершеннолетние дети, воспринимая подбор «ключа» как игру. Обычно очень скоро эта игровая практика открывает дверь в преступный мир, а ответственность за несанкционированное посещение чужой почты предусмотрена статьёй 272 УК РФ.
Наказанием лицу, желающему взломать чужой почтовый ящик, будет считаться:
- 200 тыс. рублей взыскания в виде штрафа;
- исправительные работы, назначенные сроком до 1 года;
- до 2 лет ограничения или лишения свободы, принудительных работ.
Отягчающие обстоятельства ч. 2 – ч. 4 правовой нормы дают ещё большие суммы и сроки наказаний.
Судебной практике известны случаи, когда наступает ответственность за взлом почты подсудимыми, по личным мотивам или за вознаграждение. Решением Пермского краевого суда было назначено наказание для правонарушителя, совершившего взлом почтового ящика путём подбора пароля. Из свидетельских показаний следствию стали известны действия преступника, его манипуляции с добытыми сведениями. С помощью провайдера удалось установить IP-адреса виновного лица, ПК был расположен в квартире его матери.
На самом деле установить местонахождения компьютера не всегда представляется возможным. Рассчитывать на помощь со стороны случайных свидетелей не стоит. Только самостоятельная защита своей информации в электронной почте, на страницах в социальных сетях, во внутренней памяти ЭВМ позволит гражданину не стать жертвой взломщиков.