В декабре был принят так называемый третий президентский пакет по либерализации уголовного законодательства, который изменил и те статьи УК, которые предусматривают ответственность за киберпреступления. Корреспондент "Право.Ru" побеседовал с Сергеем Грудиновым, экспертом по компьютерной преступности, замгендиректора по правовым вопросам компании Group-IB. Но речь пошла не только о новеллах в законодательстве, но и о правоприменительной практике, сравнительной "популярности" киберпреступлений и интересных особенностях поведения правообладателей.
- Как вы оцениваете эти изменения в УК?
- До их внесения в статьях главы 28, посвященной преступлениям в сфере компьютерной информации, отсутствовали необходимые квалифицирующие признаки. Это приводило к тому, что мера ответственности была одинаковая за совершенно разные по степени общественной опасности и наступившим последствиям деяния.
Можно привести наглядный пример. Одно лицо продает на рынке диск, на котором находятся вредоносные компьютерные программы. А другое лицо — распространяет вредоносные компьютерные программы в интернете и таким образом создает бот-сеть, состоящую из зараженных компьютеров. В первом случае лицо может и не знать, что его товар несет угрозу. Во втором случае нарушитель действует преднамеренно, так как знает, что создаваемая им бот-сеть в дальнейшем будет использоваться для совершения других преступлений. Например, для хищения денежных средств с банковских счетов или осуществления DDoS-атак. Однако оба они, по сути, совершают одно и тоже деяние — распространяют вредоносное программное обеспечение. Следовательно, должны понести одну и ту же уголовную ответственность — [лишиться свободы] на срок до 3 лет со штрафом в размере до 200000 руб. или в размере заработной платы или иного дохода за период до 18 месяцев.
Теперь поправками в УК введены дополнительные квалифицирующие признаки состава преступления, позволяющие разделять меру ответственности за совершенные деяния. Также удалены такие понятия, как ЭВМ, системы ЭВМ и их сети, что позволяет более широко применять статьи УК. Введена мера ответственности за совершение компьютерных преступлений, причинивших крупный ущерб или совершенных из корыстной заинтересованности.
И эти изменения мы поддерживаем. Мы всегда говорили о том, что в статьях 28-й главы УК необходимо расширять квалифицирующие признаки и так же учитывать размер нанесенного ущерба.
- На профессиональных форумах в интернете есть много достаточно едких замечаний по поводу депутатов, которые допустили серьезные ляпы в законе в специальных вопросах.
- Действительно некоторые изменения вызывают вопросы. Претензии есть даже к основному определению – "компьютерная информация", под которой сейчас понимаются сведения, представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. Но что такое электрический сигнал? Электрический ток тоже можно воспринимать как форму электрического сигнала. Существуют рыбы и растения, которые общаются с помощью различных форм электрических сигналов. Но мы же не можем говорить, что они обмениваются компьютерной информацией. У нас даже есть шутка по этому поводу: если вас ударило током — не бойтесь, это вам передали компьютерную информацию.
Второй момент, который заставляет задуматься — появление в статье 273 УК РФ "Создание, использование и распространение вредоносных компьютерных программ" понятия "иная компьютерная информация". Здесь это понятие подразумевает вредоносное программное обеспечение. На наш взгляд, это технически не совсем грамотно. Любой "вредонос" представляет собой программу, исполняемый файл, который осуществляет какие-либо действия с компьютерной информацией. Компьютерная информация сама по себе не может повлиять на другую компьютерную информацию. Под "иной информацией" в данном случае автор поправок в главу 28 подразумевал так называемые "кейгены", "кряки" и "таблетки", распространяемые злоумышленниками для нейтрализации средств защиты компьютерной информации. Отсюда следует, что каждый пользователь, сознательно распространяющий через торрент-трекеры или файлообменники лицензионное ПО и средство взлома его защиты, подлежит привлечению к уголовной ответственности. В таком ключе встает вопрос об ответственности тех лиц, которые занимаются исследованием вредоносного программного обеспечения, например, для создания антивирусных средств защиты. Получается, что в настоящее время данные лица подлежат уголовной ответственности. На наш взгляд необходимо расширить квалифицирующие признаки в данной части.
Третье, в Уголовном кодексе так и не появилась часть необходимого понятийного аппарата, например, определение вредоносных программ. В 273-й статье УК предусматривается уголовное наказание за создание, распространение компьютерных программ, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации. Но не стоит забывать о то, что существуют программы, которые осуществляют операции, не санкционированные пользователем (например, операционные системы и антивирусные программы), но вредоносными их никто не назовет. На наш взгляд, в уголовном законодательстве должны быть даны более конкретные определения вредоносности программы.
В заключение хотелось бы обратить внимание законодателей, что при буквальном изучении статьи 272 УК РФ следует, что за преступление описанное в части 1, предусмотрено наказание в виде лишения свободы сроком до 2 лет. При этом отягчающие квалифицирующие признаки части 2 этой статьи обозначают наказание в виде лишения свободы на срок до шести месяцев. Конечно, налицо очевидная описка, но часто на практике буква закона превалирует над его духом.
- А привлекалось ли экспертное сообщество к обсуждению внесенных изменений?
- Нет. При подготовке и принятии этих новелл экспертные сообщества не привлекались, хотя в таком случае была бы возможность избежать всех этих пробелов. Сейчас мы вместе с Российской ассоциацией электронных коммуникаций готовим открытое письмо в законодательные органы о том, что необходима доработка и внесение изменений в главу 28 УК.
Ранее мы уже готовили законопроект, в котором предлагалось внесение новых составов преступлений и новых квалифицирующих признаков. Дело в том, что в нашем УК отсутствует ряд составов преступлений, которые в мировом сообществе уже общепризнаны как отдельные киберпреступления. Речь идет, например, о компьютерных атаках и рассылке спама. Сейчас у нас есть административная ответственность за рассылку рекламных сообщений, однако спам — это не только реклама, он может быть связан с распространением контрафактной продукции и вредоносных программ. К сожалению, законодательные органы не принимают во внимание суть всей проблемы — с 2000 года законопроект о спаме безуспешно пытаются внести на рассмотрение в Госдуму.
Сейчас проект закона о противодействии спаму обсуждается комиссией по информационной безопасности и киберпреступности РАЭК, членом которой я являюсь. Подчеркну, что провайдеры и операторы связи заинтересованы в переменах, поскольку тоже несут существенный репутационный ущерб от этих деяний.
- Наше законодательство сильно уступает зарубежному?
- Несмотря на всю критику, нельзя сказать, что наше законодательство отстает от западного. В России используются те же технологии и правовые механизмы, как и на Западе. Девять составов преступлений, которые в большинстве стран признаны как киберпреступления, у нас отражены в трех статьях главы 28 при совокупности с другими составами
Вспомним о нератифицированной Россией Будапештской конвенции по борьбе с преступлениями в киберпространстве, которая была разработана более 10 лет назад. Поскольку она выделяет определенные составы преступлений, то уже перестает соответствовать требованиям современности, так как появились новые виды киберугроз, которые не существовали на момент ее подписания. Нашему УК РФ модернизация не требуется в такой степени.
В первую очередь проблема у нас кроется в слабости правоприменительной практики и недостаточности профессиональных знаний в компьютерной сфере у большинства сотрудников правоохранительной и судебной систем, за исключением ряда специализированных подразделений и отдельных судей.
Есть такая тенденция — по делам, связанным с компьютерными преступлениями, в основном назначаются условные наказания. Уголовное наказание в виде лишения свободы применяют в связи с наличием совокупности составов преступлений в сфере компьютерной информации и таких, например, как преступления против несовершеннолетних, хранение наркотических средств. Но все это косвенно связано с информационными технологиями.
Сфера информационных технологий достаточно узка, профилированных органов очень мало. Из-за этого потерпевшие от киберпреступников обычно приходят в территориальные органы внутренних дел, сотрудники которых зачастую не знают, будет ли это деяния являться преступлением и как его квалифицировать. Нередко сотрудники правоохранительных органов задают вопросы: "Что такое сервер, что такое хостер, сайт, интернет-ресурс, IP-адрес?". В итоге недостаток этих знаний накладывает отпечаток на процесс расследования компьютерных преступлений.
В то же время в специализированых органах очень мало сотрудников. Этот факт тревожит на фоне тотального перехода преступности из реального мира в киберпространство. Большинство преступлений, которые совершались в реальности, перешли в виртуальный мир. Отмечу, что в рамках той же Будапештской конвенции в Европе проводятся мероприятия по целевому государственному и частному обучению судей, прокурорских работников, органов полиции. У нас, к сожалению, это проводится только локально специализированными экспертными организациями, а государственной целевой программы нет.
- Только ли отсутствие грамотных сотрудников затрудняет процедуру возбуждения и расследования этих дел?
- Тут много других моментов. Для примера, DDoS-атака может инициироваться не на территории России, либо наоборот ― потерпевшая сторона осуществляет хостинг своих ресурсов за рубежом. Получается, что фактический состав преступления есть, а его место совершения преступления не на территории России. В таких случаях у наших правоохранительных органов не хватает полномочий в расследовании подобных преступлений из-за отсутствия механизмов, которые бы позволяли им проводить оперативно-следственные мероприятия в тех странах, из которых происходят атаки.
Но [жаловаться] на отсутствие полномочий тоже не стоит. Проблематичным оказывается определение места проведения расследования преступления в любом случае, так как трудно оперативно определить место совершения или окончания преступления.
- Иногда встречаются сообщения о том, что управление "К" при помощи Group-IB раскрыло киберпреступление. Как вы взаимодействуете с правоохранителями помимо работы со своими клиентами?
- С правоохранительными органами мы сотрудничаем по нескольким ключевым направлениям. Во-первых, в рамках оказания коммерческих услуг нашим клиентам. Криминалисты Group-IB проводят только технические мероприятия по сбору и исследованию "цифровых доказательств", целью которых является установление личности предполагаемого злоумышленника. Нередки случаи, когда наши клиенты, получив такие сведения, хотят привлечь нарушителей информационной безопасности к ответственности и возместить полученный ущерб. В таком случаем работники нашей компании, могут представлять интересы пострадавшей стороны в правоохранительных и судебных органах. Наша задача объяснить полиции и суду, почему криминалисты пришли к тому или иному выводу.
Во-вторых, мы можем сотрудничать с правоохранительными органами напрямую в качестве экспертной организации. Так, когда речь идет о ряде преступлений, мы выделяем своих специалистов для участия в следственных или оперативных мероприятиях. Кроме того, проводим бесплатные исследования, в том числе по запросу судов, оказываем консультации, проводим занятия с сотрудниками отдельных правоохранительных органов.
- С какими проблемами вам чаще всего приходится работать?
- Если перечислять по степени "популярности", то первая проблема, с которой чаще всего приходят клиенты — это мошенничества в системах интернет-банкинга. Эти преступления являются на сегодняшний день самыми опасными, поскольку бывают случаи банкротства компаний из-за таких хищений, что негативно отражается на экономике страны в целом.
На втором месте — вопросы защиты брендов в сети Интернет. По этому направлению у нас сформирован большой пул клиентов, в основном западных компаний, которые активно заботятся о своей репутации и партнерах. Периодически к нам обращаются известные компании и рассказывают о том, что создаются лже-сайты, выдающие себя, например, за их официальный онлайн-магазин. Такой ресурс предлагает пользователям приобрести товары либо услуги по "уникальным", заниженным ценам. Покупатели массово переводят деньги, а после этого ресурс прекращает свою работу. Претензии от обманутых покупателей приходят уже к настоящему правообладателю. В свое время в подобную ситуацию попала компания, чей товарный знак и наименования достаточно известны как в России, так и за рубежом. Благодаря вмешательству юристов Group-IB мошенничество было пресечено, домен-нелегальный ресурс был снят с делегирования, сейчас идет разбирательство по поводу компенсации причиненного правообладателю ущерба.
DDoS-атаки я бы поставил на третье место, потому что они не так часто встречаются и обычно связаны с попытками получить конкурентные преимущества. Это нарушение часто носит сезонный характер. Например, в предновогодний период приходится сталкиваться с тем, что владельцы различных интернет-магазинов, продающих подарки, заказывают на черном ИТ-рынке атаки на своих конкурентов, чтобы лишить их возможности вести торговлю. Тоже самое происходит весной и осенью, но уже в сфере продаж шин или окон.
Следом идет в целом проблема мошенничества в интернете. Следующее — вопросы несанкционированного доступа к различным ресурсам (сайты, страницы в социальных сетях, электронные почтовые ящики и т.д.).
- Как обстоят дела с защитой контента в интернете, в частности в социальных сетях?
- В последнее время наметилась такая тенденция, что правообладатель, обнаружив незаконное размещение своего контента на каком-то сайте, не обращается к его администрации с просьбой удалить, а сразу собирает доказательственную информацию через нотариуса и идет в суд. Причем преимущественно иски подаются не к пользователю, который и разместил эту информацию, а непосредственно к ресурсу.
Правообладатели, по сути, сейчас не борются за то, чтобы их контент удалили, они наоборот выступают против его удаления. Это дает им шанс заработать. Между тем у ресурсов, где размещен контент, есть возможность вычислить нарушителя — например, социальные сети видят с какого IP-адреса он зашел, и могут собрать определенные данные. По-хорошему правообладатель, если желает защитить права, а не получить денег с интернет-провайдера, может обратиться к последнему за помощью.