Публикация научных статей.
Вход на сайт
E-mail:
Пароль:
Запомнить
Регистрация/
Забыли пароль?

Научные направления

Поделиться:
Разделы: Правоведение, Юриспруденция
Размещена 07.08.2024. Последняя правка: 30.07.2024.
Просмотров - 340

Преступления в сфере компьютерной информации: проблемы квалификации

Гимадиева Илюзя Раисовна

Казанский Инновационный Университет (и.м. В. Г. Тимирясова)

Студент

Латыпова Эльвира Юрьевна, кандидат юридических наук, доцент кафедры уголовного права и процесса, Частное образовательное учреждение высшего образования «Казанский инновационный университет имени В.Г. Тимирясова (ИЭУП)»


Аннотация:
Статья посвящена проблемам квалификации преступлений в сфере компьютерной информации. Рассматриваются трудности, возникающие при определении состава данных преступлений и их разграничении с другими видами киберпреступлений. Особое внимание уделено анализу существующих правовых норм и необходимости их совершенствования для адекватной правоприменительной практики.


Abstract:
The article addresses the issues of qualifying crimes in the field of computer information. It examines the challenges in defining the elements of these crimes and distinguishing them from other types of cybercrime. Special attention is given to the analysis of existing legal norms and the need for their improvement to ensure adequate law enforcement practices.


Ключевые слова:
преступления в сфере компьютерной информации; компьютерная безопасность; киберпреступность; квалификация преступлений

Keywords:
crimes in the field of computer information; computer crimes; computer security; cybercrime; crime qualification


УДК 34.096

Введение. Преступления в сфере компьютерной информации представляют собой динамично развивающееся направление преступной деятельности, что обусловливает необходимость совершенствования правовых норм, регулирующих их квалификацию.

Актуальность проблемы преступлений в сфере компьютерной информации обусловлена тем, что преступления в сфере компьютерной информации представляют собой серьезную угрозу для экономической стабильности, национальной безопасности и общественного порядка в Российской Федерации. В условиях стремительного развития информационных технологий и цифровизации практически всех сфер жизни, проблема квалификации таких преступлений становится все более актуальной. Преступники разрабатывают новые методы и инструменты для совершения противоправных действий, что значительно усложняет их выявление и расследование. Стремительное развитие технологий зачастую опережает законодательные инициативы, создавая пробелы в правовом регулировании и усложняя борьбу с киберпреступностью. Примером может служить кибератака на Сбербанк в 2020 году, в результате которой произошла утечка данных клиентов, также демонстрирует уязвимость даже крупных и защищенных организаций перед лицом современных киберугроз. Или другой пример – в 2020 году произошла кибератака на российскую энергетическую компанию «Интер РАО», в результате которой были похищены конфиденциальные данные и нанесен значительный ущерб. Приведенные примеры демонстрируют, что киберпреступления наносят значительный экономический ущерб, создают угрозу национальной безопасности, подтверждая необходимость совершенствования законодательства в области компьютерной информации и разработки эффективных механизмов их применения на практике.

Целью статьи является выявление и анализ проблем квалификации преступлений в сфере компьютерной информации, а также разработка рекомендаций по совершенствованию правовых норм для обеспечения адекватной правоприменительной практики в условиях стремительного роста киберпреступности.

Задачами статьи являются:

  1. Провести анализ текущего состояния преступлений в сфере компьютерной информации и выявить основные тенденции их роста и развития.
  2. Определить проблемы и трудности, возникающие при квалификации преступлений в сфере компьютерной информации.
  3. Исследовать существующие правовые нормы, регулирующие квалификацию данных преступлений, и выявить их недостатки.
  4. Сравнить российское законодательство в сфере компьютерных преступлений с международной практикой и определить возможные направления для его совершенствования.
  5. Разработать рекомендации по улучшению правовых норм и правоприменительной практики для более эффективного противодействия киберпреступности.
  6. Оценить перспективы внесения изменений в Уголовный кодекс Российской Федерации и другие нормативные акты для адаптации к современным вызовам кибербезопасности.

Научная новизна данного исследования заключается в комплексном и системном подходе к анализу проблем квалификации преступлений в сфере компьютерной информации в условиях динамичного развития информационных технологий и киберугроз. В отличие от предыдущих исследований, данный труд акцентирует внимание на недостатках и противоречиях существующих правовых норм, а также на необходимости их адаптации к современным реалиям киберпространства. В статье проводится детальный анализ различных типов киберпреступлений, их составов и особенностей, что позволяет выявить не только общие проблемы, но и специфические трудности, возникающие в практике правоприменения.

Результаты исследования. Преступления в области компьютерной информации регулируются главой 28 Уголовного кодекса Российской Федерации (далее – УК РФ) «Преступления в сфере компьютерной информации» [14]. Исследование текущего уровня преступности в России демонстрирует, что количество зарегистрированных правонарушений, совершенных с использованием информационно-телекоммуникационных технологий, постоянно увеличивается. Согласно данным МВД, за первое полугодие 2024 года было зафиксировано 152,4 тысячи преступлений, связанных с использованием компьютерной информации, что на 22,7 процента больше по сравнению с аналогичным периодом прошлого года. Наиболее часто такие правонарушения совершаются в интернете (115,3 тысячи случаев), по телефону (66,1 тысяча случаев) и с использованием банковских карт (30,4 тысячи случаев). Почти половина всех зарегистрированных киберпреступлений относится к категории тяжких и особо тяжких (81,9 тысячи) [12]. Приведенная статистика четко демонстрирует значительное увеличение уровня преступности в данной сфере, что подтверждает тенденцию, наблюдаемую на протяжении последних нескольких лет. Необходимо отметить, что преступления в области компьютерной информации обладают высокой степенью латентности, что означает, что фактическое количество таких преступлений значительно превосходит данные статистики. Одним из факторов, способствующих скрытности, является нежелание пострадавших обращаться в правоохранительные органы. Вместо этого они предпочитают использовать альтернативные методы защиты прав, такие как восстановление учетных записей через администраторов [13, с 26].

Практика применения уголовно-правовых норм демонстрирует, что процесс квалификации преступлений в сфере компьютерной информации сопровождается значительными сложностями. Так, уголовная ответственность по ст. 272 УК РФ наступает в случае несанкционированного доступа к компьютерной информации. Преступление считается завершенным с момента уничтожения, блокирования (ограничения доступа к информации), изменения (модификации) или копирования (на внешний носитель) информации.

Под компьютерной информацией понимаются «сведения (сообщения, данные), представленные в виде электрических сигналов, независимо от средств их хранения, обработки и передачи» [11, с. 190]. Для данного преступления характерна умышленная форма вины относительно совершенных действий и неосторожная форма вины по отношению к последствиям. Это связано с тем, что лицо не может заранее предвидеть, какой ущерб может возникнуть в результате его действий, и, соответственно, не может желать наступления таких последствий.

При квалификации деяний по ст. 272 УК РФ возникает проблема отсутствия общепринятого толкования термина «охраняемая законом информация». Некоторые суды, следуя рекомендациям Генпрокуратуры России, считают, что «неправомерные действия с открытой (общедоступной) информацией не подпадают под действие ст. 272 УК РФ» [2]. Однако существует судебная практика по делам, связанным с неправомерным доступом к общедоступной информации в сети Интернет. В таких случаях суды ссылаются на то, что виновное лицо осуществило неправомерные действия в отношении информации, охраняемой Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», согласно ст. 16 которого «защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации» [16]. Таким образом, статья 272 УК РФ может применяться не только в отношении информации, имеющей особый статус и секретность, но и для обеспечения надлежащей уголовно-правовой защиты общедоступной информации.

Статья 273 УК РФ предусматривает ответственность за создание, использование и распространение вредоносных компьютерных программ. Под уголовно наказуемыми деяниями понимаются: создание, то есть написание хотя бы одной копии программы или информации; распространение, то есть передача программы или носителя третьим лицам; использование, то есть внедрение программы в компьютер или компьютерную сеть, независимо от того, повлекло ли это какие-либо последствия. Учитывая, что практически каждый сталкивался с использованием против него вредоносных программ, данная норма является одной из наиболее часто применяемых в группе преступлений в сфере компьютерной информации. Так, в 2017 году атаки вирусов WannaCry и Petya на информационную инфраструктуру ряда государств, включая Россию, нанесли значительный ущерб – от вируса пострадало более 500 тысяч компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям в более чем 150 странах мира [8].

Е.А. Русскевич подчеркивает, что для квалификации преступлений по статье 273 УК РФ необходимо учитывать, что в правовой науке до сих пор не сложилось единообразного понимания термина «вредоносная программа», что создает затруднения при определении, является ли конкретное программное обеспечение вредоносным [7, с. 155]. Частично содержание этого термина раскрывается в различных нормативных документах, например, в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения». Согласно пункту 2.6.5 этого стандарта, вредоносная программа — это программа, предназначенная для несанкционированного доступа к информации и/или воздействия на информацию или ресурсы информационной системы [1, п. 2.6.5]. Однако основное отличие вредоносных программ от другого программного обеспечения, которое также может выполнять функции копирования, уничтожения или изменения информации, заключается в том, что все действия вредоносных программ происходят без ведома пользователя и скрытно от него. Пользователь, как правило, даже не осознает наличие такой программы на своем устройстве [6, с. 47]. Тем не менее, это определение несовершенно, поскольку не охватывает шпионские вирусы, основная цель которых заключается в сборе данных о пользователях, а не в копировании или изменении информации. Поэтому более логичным представляется определение вредоносной программы как кода или его части, специально созданных для выполнения или содействия выполнению несанкционированных действий в информационной системе, которые могут нанести ущерб. Также возникают сложности при квалификации таких деяний, как использование нелицензионного программного обеспечения, использование легального программного обеспечения злоумышленниками, распространение информации о вирусах или их размещение в общедоступных сетях без непосредственного применения [3, с. 39].

Установление уголовной ответственности по статье 274 УК РФ за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, правил доступа к ИТС, направлено на предотвращение невыполнения пользователями своих обязанностей, что может повлиять на сохранность компьютерной информации. Субъективная сторона преступления умышленную и неосторожную формы вины, при этом специальным субъектом является лицо, обязанное соблюдать соответствующие правила. Диспозиция ст. 274 УК РФ является бланкетной, отсылая к конкретным положениям, устанавливающим правила эксплуатации оборудования, обработки и передачи информации и прочие аспекты. К действиям, подпадающим под ст. 274 УК РФ, можно отнести, например, нарушение запрета на подключение служебного оборудования к сети Интернет; предоставление посторонним лицам доступа к средствам хранения, обработки или передачи охраняемой компьютерной информации; отключение средств антивирусной защиты и другие деяния. Преступное бездействие может проявляться в несоблюдении или умышленном игнорировании установленных правил, обеспечивающих надлежащую работу средств хранения, обработки или передачи охраняемой компьютерной информации. Законодатель исключает уголовную ответственность, если деяния, указанные в ст. 274 УК РФ, не повлекли за собой значительного ущерба, тяжких последствий или угрозы их наступления.

Введение статьи 274.1 УК РФ «Неправомерное воздействие на объекты критической информационной инфраструктуры Российской Федерации» вызвано хакерскими атаками на государственные и ведомственные ресурсы. Например, «… с 2019 года по март 2020 года были зафиксированы крупные атаки на сайт Сбербанка, результатом которых стало опубликование персональных данных нескольких миллионов пользователей» [4]. Эта норма является специальной по отношению к ст. 272, 273 и 274 УК РФ, а также бланкетной, отсылающей к Федеральному закону от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [15]. Предметом преступления являются компьютерная информация, программы, заведомо предназначенные для совершения компьютерных атак на объекты критической информационной инфраструктуры. Если лицу по независящим от него обстоятельствам не удалось причинить вред, содеянное квалифицируется как покушение на преступление по ч. 3 ст. 30, ч.1 ст. 274 УК РФ.

В настоящее время рост преступлений в сфере компьютерной информации наблюдается не только по указанным составам, но и в рамках иных разделов УК РФ при совершении деяний с использованием ИТТ, таких как мошенничество, организация азартных игр, пропаганда террористической деятельности и другие. Данная ситуация обусловила необходимость дальнейшего внесения поправок в уголовное законодательство для расширения перечня составов преступлений, совершаемых в электронной среде. В уголовной науке сформировалась точка зрения о необходимости:

  1. «Введения способов совершения преступлений, таких как «с использованием компьютерных средств» или «с применением информационных технологий».
  2. Создания отдельного раздела в УК РФ, полностью посвященного компьютерным преступлениям. Однако это может нарушить системность уголовного закона и оставить нерешенным вопрос об определенности перечня компьютерных преступлений» [10, с 117].

Что касается первого пункта, законодатель уже частично предпринял меры. Так, введена статья «Мошенничество в сфере компьютерной информации», что значительно упростило квалификацию таких деяний, поскольку ранее их приходилось квалифицировать по совокупности статей «Мошенничество» и «Неправомерный доступ к компьютерной информации». Судебная практика подтверждает необходимость такой квалификации. Например, в приговоре Автозаводского районного суда города Тольятти Самарской области от 5 июля 2019 года по делу № 1-227/2019, было установлено, что Зволь П.В. путем мошенничества в сфере компьютерной информации похитил денежные средства ПАО «МегаФон» на сумму 500 699 рублей 97 копеек. Суд отметил, что мошенничество, совершенное с использованием компьютерной информации, включая неправомерный доступ к ней или применение вредоносных программ, требует дополнительной квалификации по статьям 272, 273 или 274.1 УК РФ. В результате суд квалифицировал действия Зволя П.В. по части 1 статьи 159.6 УК РФ как мошенничество в сфере компьютерной информации и по части 3 статьи 272 УК РФ как неправомерный доступ к охраняемой законом компьютерной информации [5].

В ответ на стремительное увеличение преступлений в сфере компьютерной информации и вызовы, связанные с киберпреступностью, было предпринято множество успешных мер для защиты компьютерной информации от киберугроз. Так, в ответ на растущие киберугрозы Центральный банк России инициировал ряд мер по усилению кибербезопасности в финансовом секторе:

1. Внедрение системы ФинЦЕРТ, которая занимается мониторингом и анализом киберугроз, а также координацией действий по их нейтрализации среди российских банков. Внедрение системы ФинЦЕРТ (Финансовый компьютерный центр реагирования на инциденты), специализирующейся на мониторинге и анализе киберугроз, а также координации действий по их нейтрализации среди российских банков, представляет собой значимый шаг в укреплении кибербезопасности финансового сектора. ФинЦЕРТ функционирует под эгидой Центрального банка Российской Федерации и выполняет ключевые задачи по защите банковской инфраструктуры от различных видов киберугроз, включая фишинг, вирусные атаки, взломы и несанкционированный доступ к данным.

Основные функции ФинЦЕРТ включают сбор и анализ информации о кибератаках, выявление новых угроз и уязвимостей, а также оперативное информирование банковских организаций о потенциальных и текущих инцидентах. Система обеспечивает централизованное управление и координацию ответных мер, что позволяет минимизировать последствия кибератак и повышать уровень защиты данных и финансовых ресурсов.

2. Обязательное выполнение банками требований по безопасности, включая внедрение передовых технологий защиты данных и регулярное проведение аудитов безопасности:

  1. Многоуровневая система шифрования.

– шифрование данных в состоянии покоя и в процессе передачи – использование алгоритмов шифрования, таких как AES (Advanced Encryption Standard), для защиты данных, хранящихся на серверах, и данных, передаваемых по сетям. Это гарантирует, что данные остаются конфиденциальными и целостными даже в случае их перехвата злоумышленниками;

– ассиметричное шифрование – применение публичных и приватных ключей для шифрования и дешифрования данных, что обеспечивает безопасность транзакций и обмена конфиденциальной информацией.

  1. Межсетевые экраны и системы обнаружения вторжений (IDS/IPS):

– межсетевые экраны (firewalls) – аппаратные или программные устройства, которые контролируют входящий и исходящий сетевой трафик, основываясь на заранее определенных правилах безопасности;

– системы обнаружения и предотвращения вторжений (IDS/IPS) – эти системы постоянно мониторят сетевой трафик на предмет подозрительных действий и могут автоматически предпринимать меры для предотвращения атак.

  1. Многофакторная аутентификация (MFA) – использование нескольких факторов аутентификации включает комбинацию чего-то, что пользователь знает (пароль), чего-то, что у него есть (смартфон или токен), и чего-то, что он представляет собой (биометрические данные, такие как отпечатки пальцев или сканирование лица).
  2. Системы управления информационной безопасностью (SIEM) – сбор и анализ логов событий – SIEM-системы собирают и анализируют данные из различных источников, таких как сетевые устройства, серверы и приложения, чтобы выявлять и реагировать на инциденты безопасности в реальном времени.
  3. Технологии изоляции и сегментации сети:

– сегментация сети – разделение внутренней сети на сегменты с различными уровнями безопасности для минимизации рисков и ограничение доступа к критически важным ресурсам;

– изоляция приложений – использование контейнеров и виртуальных машин для изоляции приложений и процессов, что снижает риск компрометации всей системы при атаке на отдельное приложение.

  1. Регулярные обновления и патчи программного обеспечения –внедрение систем автоматического обновления и патч-менеджмента, которые обеспечивают своевременное устранение уязвимостей в программном обеспечении и операционных системах.
  2. Системы резервного копирования и восстановления данных – регулярное создание резервных копий данных, что позволяет восстанавливать информацию в случае утраты или компрометации [9, с 86]

Внедрение этих передовых технологий позволяет банкам значительно повысить уровень защиты данных, минимизировать риски кибератак и обеспечить безопасность своих информационных систем. Примеры демонстрируют, что применение комплексных мер защиты, включая использование современных технологий, организационные изменения, обучение персонала, позволяет эффективно защищать компьютерную информацию от киберугроз. Успешная реализация таких мер помогает предотвратить атаки, минимизировать ущерб в случае их возникновения, обеспечивая надежную защиту данных и систем.

В результате проведенного исследования были выявлены основные проблемы, связанные с квалификацией преступлений в сфере компьютерной информации. Установлено, что существующее законодательство содержит значительные пробелы и противоречия, которые затрудняют правоприменение и снижают эффективность борьбы с киберпреступностью. В частности, анализ показал, что многие термины, используемые в законе, не имеют четких и однозначных определений, что приводит к различным интерпретациям и судебным ошибкам. Также выявлено, что существующие правовые нормы недостаточно адаптированы к новым видам киберугроз, таким как атаки на критическую информационную инфраструктуру и преступления с использованием искусственного интеллекта.

Исследование также показало, что опыт международного законодательства в сфере борьбы с киберпреступностью может быть полезен для совершенствования российской правовой системы. На основе анализа зарубежных практик были разработаны рекомендации по внесению изменений в Уголовный кодекс Российской Федерации, включая уточнение состава преступлений в сфере компьютерной информации и введение новых норм, направленных на усиление ответственности за киберпреступления. В частности, предложено уточнить определения таких понятий, как «неправомерный доступ к компьютерной информации» и «компьютерное мошенничество», а также ввести ответственность за подготовку и распространение вредоносного программного обеспечения. Таким образом, результаты исследования могут способствовать более эффективной борьбе с киберпреступностью и защите информационных ресурсов.

Заключение. Таким образом, квалификация преступлений в сфере компьютерной информации представляет собой сложную и многогранную задачу, требующую как совершенствования правовых норм, так и повышения уровня подготовки правоприменителей. Проблемы, связанные с отсутствием единообразного толкования терминов и недостаточной систематизацией правовых актов, создают значительные трудности при расследовании и судебном рассмотрении дел данной категории. Введение поправок в Уголовный кодекс РФ, адаптация существующих норм под современные реалии киберугроз, являются необходимыми шагами для эффективного противодействия преступлениям в электронной среде и обеспечения надежной защиты компьютерной информации.

Библиографический список:

1. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения // URL: http://docs.cntd.ru/document/1200058320 (дата обращения: 05.07.2024).
2. Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации (утв. Генпрокуратурой России) // URL: http://genproc.gov.ru (дата обращения: 03.07.2024).
3. Безрукова О.В. Преступления в сфере компьютерной информации: юридический анализ, проблемы квалификации // Эпомен. 2020. № 42. С. 28–39.
4. Персональные данные 60 млн клиентов Сбербанка утекли в сеть // Хабр. URL: https://habr.com/ru/news/t/469903/ (дата обращения: 05.07.2024).
5. Приговор Автозаводского районного суда г. Тольятти Самарской области от 5 июля 2019 г. по делу № 1-227/2019 // Автозаводский районный суд г. Тольятти. URL: https://avtozavodskysam.sudrf.ru/modules.php?name=sud_delo&nameop=case&_id=148510205& uid=1fce1d3c-8472-42cd b7f7- 04aa36bff989 (дата обращения: 05.07.2024).
6. Русскевич Е.А. Понятие вредоносной компьютерной программы // Актуальные проблемы российского права. 2018. №1. С. 47-54.
7. Русскевич Е.А. Уголовное право и «цифровая преступность»: проблемы и решения: монография. М.: ИНФРА-М, 2019. – 255 с.
8. Самые масштабные и значимые атаки компьютерных вирусов в мире. // Досье URL: https://tass.ru/info/4248876?ysclid=ly7n9cxb8h354004302 (дата обращения: 05.07.2024).
9. Семеко Г.В. Информационная безопасность в финансовом секторе: Киберпреступность и стратегия противодействия // Социальные новации. 2020. № 1. С. 82-89.
10. Талапина Э.В. Защита персональных данных в цифровую эпоху // Ин-та государства и права РАН. 2021, № 5. С. 117-126.
11. Чернякова А.В. Понятие и уголовно-правовое значение компьютерной информации // Право и государство: теория и практика. 2021. №1. С. 190-202.
12. Число киберпреступлений в России выросло почти на четверть // Парламентская газета. URL: https://www.pnp.ru/incident/chislo-kiberprestupleniy-v-rossii-vyroslo-pochti-na-chetvert.htmlhttps://www.pnp.ru/incident/chislo-kiberprestupleniy-v-rossii-vyroslo-pochti-na-chetvert.html (дата обращения 04.07.2024).
13. Шаблинский И.Г. Правовое регулирование информационных отношений в сфере обработки персональных данных: учебное пособие для вузов / И.Г. Шаблинский под ред. М.А. Федотова. 2-ое изд. перераб. и доп. М.: Юрайт, 2024. – 426 с.
14. Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ (ред. от 29.05.2024) // Собрание законодательства РФ. – 1996. – № 25. – Ст. 2954; 2023. – № 51. – Ст. 9164.
15. Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» // Собрание законодательства РФ. – 2017. – № 31 (Часть I). – Ст. 4736.
16. Федеральный закон от 27 июля 2006 г. № 149-ФЗ (ред. от 12.12.2023) «Об информации, информационных технологиях и о защите информации» // Собрание законодательства РФ. – 2006. – № 31 (Часть I). – Ст. 3448; 2023. – № 51. – Ст. 9161.




Комментарии пользователей:

Оставить комментарий


 
 

Вверх