http://osp.aanet.ru/cw/1997/08/068.htm
Computerworld, 1997. – № 8.
Новый Уголовный Кодекс
о хакерах и любителях компьютерных вирусов
Марина Карелина
Преступления, совершенные с помощью компьютеров, стали актуальны в России сравнительно недавно. Известное дело Левина о хищении из "Сити-банка", нарушения в работе компьютерных систем больниц и банков в результате внедрения компьютерных вирусов, приведшие к тяжким последствиям, - все это заставило законодателей серьезно задуматься об ответственности за подобные преступления.
Вступивший в действие с 1 января 1997 года Уголовный Кодекс РФ впервые содержит раздел, имеющий непосредственное отношение к компьютерам и информационным технологиям. В 28-й главе, которая называется "Преступления против компьютерной информации", определены действия в этой области, которые теперь признаются преступными. Конечно, компьютер и раньше мог фигурировать в связи с совершением различных преступлений - например его могли украсть с целью продажи, но это обычная кража, и "компьютерная" составляющая здесь не будет играть никакой роли. Для суда в данном случае компьютер представляет собой только имущество, у которого есть определенная стоимость. Наступление ответственности, предусмотренной в 28-й главе УК, предполагает в качестве обязательного элемента состава преступления проведение с данными определенных операций, в результате которых информация может быть уничтожена, причем под уничтожением в этом случае понимается удаление информации с носителя при полной невозможности ее восстановления; блокирование, в результате которого доступ к информации либо к компьютерной системе ограничивается или закрывается; модификация информации, то есть внесение изменений в программы, базы данных или текстовую информацию. Операции с данными могут заключаться и в несанкционированном копировании, не повлекшем за собой изменения первоначальной информации, но связанном с неправомерным доступом (статья 272), созданием и функционированием вредоносных программ (статья 273) или нарушением правил эксплуатации ЭВМ (статья 274).
В соответствии со статьей 2 закона "Об информации, информатизации и защите информации" под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Применительно к данной главе УК РФ под компьютерной информацией понимаются не сами сведения, а форма их представления в машиночитаемом виде, то есть совокупность символов, зафиксированная в памяти компьютера, либо на машинном носителе (дискете, оптическом или магнитооптическом диске, магнитной ленте либо ином материальном носителе). При определенных условиях и физические поля могут быть носителями информации.
Итак, в соответствии с новым УК уголовно-наказуемыми являются следующие действия с компьютерной информацией: неправомерный
доступ к компьютерной информации, создание и использование вредоносных программ для ЭВМ и нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Неправомерный доступ к компьютерной информации
В статье 272 предусмотрена ответственность за неправомерный доступ к компьютерной информации, под которым понимается доступ к охраняемой законом информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если он может привести к уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети.
Данное преступление состоит в проникновении в компьютерную систему с помощью специальных технических или программных средств, позволяющих преодолеть установленные системы защиты, незаконного использования действующих паролей или кодов для проникновения в компьютер. Кроме того, под неправомерным доступом имеется в виду совершение иных действий в целях проникновения в систему или сеть под видом законного пользователя и хищение носителей информации, при условии, что были приняты меры их охраны, если это деяние повлекло за собой уничтожение или блокирование информации.
Под охраняемой законом информацией в статье 272 понимается информация, для которой в специальных законах установлен режим ее правовой защиты, в частности государственная, служебная, банковская и коммерческая тайна, персональные данные (два последних закона находятся в стадии рассмотрения в Госдуме) и т.д. Таким образом, в этой статье идет речь об информации, для которой на законном основании может быть установлен режим защиты.
По смыслу этой статьи неправомерным признается доступ к компьютерной информации лица, не обладающего правами на получение данной информации и работу с ней либо с компьютерной системой. Причем в отношении этой информации или системы должны приниматься специальные меры защиты, ограничивающие круг лиц, имеющих к ней доступ. Например, информационные системы государственных органов по общему правилу являются системами ограниченного доступа, и лицо, незаконно проникшее в эти системы, может быть привлечено к уголовной ответственности за несанкционированный доступ. Таким же образом охраняются и банковские системы, поэтому любители "гулять" в чужих сетях должны четко понимать, что с первого января 1997 года это хобби может привести к весьма неприятным последствиям. Отныне хакеры в соответствии с 272-й статьей УК РФ наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда, или в размере заработной платы либо иного дохода за период от двух до пяти месяцев. Кроме того, суд, исходя из обстоятельств дела, может принять решение о назначении исправительных работ на срок от шести месяцев до одного года либо лишении свободы на срок до двух лет.
В тех случаях, когда неправомерный доступ к компьютерной информации совершен группой лиц по предварительному сговору или организованной группой, либо лицом, использовавшим свое служебное положение, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, что рассматривается законодателем как основание для более серьезной ответственности, размер штрафа увеличивается: от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев. В этом случае могут назначаться исправительные работы на срок от одного года до двух лет, арест на срок от трех до шести месяцев или же лишение свободы на срок до пяти лет.
Совершить данное преступление можно только умышленно. Допустим, в результате неправомерного доступа к системе ЭВМ, управляющей процессами, связанными с повышенной опасностью, например системе управления атомной станцией, была нарушена работа реактора, что привело к тяжким последствиям. Уголовная ответственность в этом случае наступает, если лицо предвидело возможность серьезных последствий, но без достаточных к тому оснований самонадеянно рассчитывало на их предотвращение, или в случае, если лицо не предвидело, но должно было и могло предвидеть возможность наступления этих последствий. В целом такое преступление признается совершенным умышленно.
Субъектами данного преступления в основном могут быть лица, имеющие опыт работы с компьютерной техникой, поэтому в силу профессиональных знаний они обязаны предвидеть возможные последствия уничтожения, блокирования, модификации информации либо нарушения работы ЭВМ, системы ЭВМ и их сети. По общему правилу субъектами преступления, предусмотренного статьей 272, может быть любое лицо, достигшее шестнадцатилетнего возраста, однако часть вторая рассматривает случаи, когда преступление совершено субъектом с использованием служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети. Под доступом в данном случае понимается фактическая возможность использовать ЭВМ при отсутствии права на работу с защищенной информацией. Например, инженер по ремонту компьютерной техники имеет доступ к ЭВМ в силу служебных обязанностей, но вносить какие-либо изменения в информацию, находящуюся в памяти ЭВМ, не имеет права.
Создание, использование
и распространение вредоносных программ для ЭВМ
Широкое применение компьютерной техники, развитие телекоммуникаций и легкость доступа к информации, находящейся в сетях, делают любой компьютер потенциально подверженным вирусам и иным программам, присутствие которых явно нежелательно. В УК эти программы определены как "вредоносные".
Под "вредоносными" в статье 273 УК РФ понимаются программы, специально созданные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение определенных в документации на программу операций. Наиболее распространенными видами вредоносных программ являются "компьютерные вирусы" и "логические бомбы".
"Компьютерные вирусы" - это программы, которые умеют воспроизводить себя в нескольких экземплярах, модифицировать (изменять) программу, к которой они присоединились, и тем самым нарушать ее нормальное функционирование.
"Логические бомбы" - это умышленное встраивание в код программы недокументированного фрагмента, частично или полностью выводящего из строя программу либо систему ЭВМ при определенных заранее условиях (например при наступлении заданного времени).
Принципиальное отличие логических бомб от компьютерных вирусов состоит в том, что они изначально являются частью конкретной программы и не переходят в другие, а компьютерные вирусы - это динамичные программы, они могут распространяться и по сетям.
Преступным является сам факт создания программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а также использование либо распространение таких программ. В данном случае под использованием программы понимается выпуск ее в свет, воспроизведение, распространение и т.д.
Данные действия не связаны с какими-либо последствиями, уголовная ответственность возникает уже в результате создания программы, независимо от того, использовалась она или нет. Согласно статье 273 наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности. Однако следует учитывать, что использование подобных программ не всегда уголовно наказуемо. Это относится, в частности, к деятельности организаций, осуществляющих разработку антивирусных программ и имеющих лицензию на деятельность по защите информации, выданную Государственной технической комиссией при Президенте.
Существенное отличие компьютерного вируса от вируса гриппа в том, что в первом случае всегда есть с кого спросить. Предполагается, что 273-я статья и угроза ответственности остановит любителей математических экспериментов с чужой информацией. Создание, использование или распространение вредоносных программ считается преступлением лишь в том случае, когда это делается умышленно, так как в соответствии со второй частью статьи 24 УК РФ деяние, совершенное по неосторожности, признается преступлением лишь в том случае, когда это специально предусмотрено соответствующей статьей Особенной части настоящего Кодекса. Например, если отключение систем жизнеобеспечения в реанимационном отделении больницы, в результате попадания вируса в управляющий компьютер, повлекло за собой смерть пациента. Автор вируса не предвидел подобных последствий, он, может быть, только хотел продемонстрировать свой интеллект, но трагический результат является основанием для привлечения к ответственности - и об этом надо помнить, ведь вирусная программа в современных условиях становится опасным оружием, а результат может наступить, когда автор уже забудет о своих экспериментах. В этом случае закон предусматривает лишение свободы на срок от трех до семи лет.
Если же тяжкие последствия не наступили и автору программы повезло, то ответственность будет значительно ниже - лишение свободы на срок до трех лет и штраф в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
Нарушение правил
эксплуатации ЭВМ, системы ЭВМ или их сети
Компьютерные системы в настоящее время все больше влияют на нашу жизнь, и выход их из строя может привести к катастрофическим последствиям, поэтому законом предусмотрена уголовная ответственность за нарушение правил эксплуатации компьютерной техники. Данная норма отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы с ЭВМ в ведомстве или организации.
Эти правила должны устанавливаться уполномоченным лицом, в противном случае каждый работающий с компьютером будет устанавливать свой порядок эксплуатации. Причем правила и инструкции по эксплуатации должны быть надлежащим образом оформлены, например, приказом руководителя организации, а те сотрудники, на которых может быть возложена ответственность в соответствии со статьей 274, должны быть с ними ознакомлены.
Применительно к данной статье под сетью понимается только внутренняя сеть ведомства или организации, на которую может распространяться его юрисдикция. В глобальных сетях типа Internet отсутствуют общие правила эксплуатации, их заменяют этические "Кодексы поведения", нарушения которых не могут служить основанием для привлечения к уголовной ответственности.
Данное преступление состоит в нарушении правил эксплуатации лицом, в силу должностных обязанностей имеющим доступ к ЭВМ, системе ЭВМ и их сети и обязанным соблюдать установленные правила, если его действия привели к уничтожению, блокированию или модификации охраняемой законом информации ЭВМ и нанесли вред.
Действия, предусмотренные в данной статье, характеризуют умышленное нарушение правил эксплуатации ЭВМ. В случае тяжких последствий ответственность по статье 274, наступает только если действия были совершены по неосторожности (умышленное нарушение правил эксплуатации, в результате которого наступили тяжкие последствия, рассматривается по другим статьям, а нарушение правил эксплуатации становится способом совершения преступления).
Действия специалиста больницы, использующего полученную по сетям программу без предварительной проверки на наличие компьютерного вируса (что говорит о преступной неосторожности), которые привели к отказу работы систем жизнеобеспечения и, в результате, к смерти больного, должны квалифицироваться по части 2 статьи 274 и наказываются лишением свободы на срок до четырех лет.
Если же действия, которые привели к нарушению работы жизненно важных компьютерных систем, совершены умышленно, и лицо, совершившее их, в силу своего служебного положения должно было учитывать возможные последствия, то данные действия должны квалифицироваться как покушение на убийство.
В данном преступлении очень важно установить связь между фактом нарушения правил эксплуатации и причиненным вредом. Кроме того, должно быть полностью доказано, что наступившие последствия являются результатом нарушения правил эксплуатации, а не программной ошибкой, либо действиями, предусмотренными в статьях 272 и 273 УК РФ.
Определение существенного вреда, причиненного в результате нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, будет устанавливаться судебной практикой в каждом конкретном случае, исходя из обстоятельств дела, однако очевидно, что существенный вред должен быть менее значительным, чем тяжкие последствия.
Действия по нарушению правил эксплуатации, не повлекшие за собой тяжкие последствия, наказываются лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
Марина Карелина - главный ученый секретарь Российской правовой академии. С ней можно связаться по электронной почте: [email protected]
Карелина М. Новый Уголовный Кодекс о хакерах и любителях компьютерных вирусов // Computerworld, 1997. – № 8. – < http://osp.aanet.ru/cw/1997/08/068.htm >.
|