Компьютерная преступность и компьютерная безопасность
§1 Компьютерная преступность
Ещё совсем недавно ни в одном из уголовных кодексов союзных республик невозможно было найти главу под названием «Компьютерные преступления».
Таким образом компьютерных преступлений, как преступлений специфических в юридическом смысле не существовало.
Уголовный Кодекс Российской Федерации (далее УК РФ), введённый в действие с 1-го января 1997 года содержит главу №28 «Преступления в сфере компьютерной информации»
Понятие компьютерной информации определено в комментируемой статье.
Предметом компьютерной информации являются информационные ресурсы, которые в статье Федерального закона от 20 февраля 1995 года «Об информации, информатизации и защите информации» рассматриваются как отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах, в частности в банках данных. Эти ресурсы согласно статье 2 Закона содержат сведения о лицах, предметах, событиях, процессах, населении независимо от формы их представления. В законе далее даётся полная расшифровка их содержания.
Уголовно-правовая защита компьютерной информации в российском уголовном законодательстве введена впервые. Ранее, 23 сентября 1992 года, был принят закон «О правовой охране программ для электронно-вычислительных машин и баз данных»[1] и 20 февраля 1995 года – федеральный закон «Об информации, информатизации и защите информации»[2]. В этих законах предусмотрен комплекс мер по защите ЭВМ, баз данных, сетей и в целом компьютерной информации. В статье 20 Закона от 23 сентября 1992 года содержалось положение о том, что выпуск под своим именем чужой программы для ЭВМ или базы данных, либо незаконное воспроизведение или распространение таких произведений влечёт за собой уголовную ответственность в соответствии с законом. Однако соответствующие уголовно- правовые нормы тогда не были приняты. Очевидно, посчитали достаточной статью 141 УК РСФСР, хотя она ответственности за упомянутые деяния не предусматривала. Эти вопросы, по моему мнению, решены в статьях 146 и 147
УК (смотри комментарии к этим статьям).
Включение статьи 272, как и статей 273 и 274 УК, в раздел о преступлениях, посягающих на общественную безопасность и общественный порядок, определяет объект рассматриваемых преступлений. Но это был бы слишком общий подход. Конкретно эти преступления направлены против той части установленного порядка общественных отношений, который регулирует изготовление, использование, распространение и защиту компьютерной информации. Выяснение данного обстоятельства важно для того, чтобы отличить преступления, предусмотренные статьями 272-274 УК РФ, от других преступлений, связанных с использованием ЭВМ, системы ЭВМ и их сети для совершения других преступлений.
В тех случаях, когда компьютерная аппаратура является предметом преступлений против собственности, соответственно её хищение, уничтожение или повреждение подлежит квалификации по статьям 158-168 УК РФ. Но дело в том, что информационная структура (программы и информация) не может быть предметом преступлений против собственности, поскольку машинная информация не отвечает ни одному из критериев предмета преступлений против собственности, в частности не обладает физическим признаком. Что касается компьютера как орудия преступления, то его следует рассматривать в ряду таких средств, как оружие или транспортные средства. В этом смысле использование компьютера имеет прикладное значение при совершении преступления, например хищение денежных средств или сокрытие налогов. Такие действия не рассматриваются в качестве самостоятельных преступлений, а подлежат квалификации по другим статьям УК РФ в соответствии с объектом посягательства [3].
Попытаемся кратко обрисовать явление, которое как социологическая категория получило название «Компьютерная преступность». Компьютерные преступления условно можно разделить на две больших категории – преступления, связанные с вмешательством в работу компьютеров, и, преступления, использующие компьютеры как необходимые технические средства.
Перечислим основные виды преступлений, связанных с вмешательством в работу компьютеров.
1. Неправомерный доступ к компьютерной информации (статья 272), хранящейся в компьютере.
Под неправомерным доступом к охраняемой законом компьютерной информации следует понимать самовольное получение информации без разрешения её собственника или владельца. В связи с тем, что речь идёт об охраняемой законом информации, неправомерность доступа к ней потребителя характеризуется ещё и нарушением установленного порядка доступа к этой информации. Если нарушен установленный порядок доступа к охраняемой законом информации, согласие её собственника или владельца не исключает, по моему мнению, неправомерности доступа к ней.
Собственником информационных ресурсов, информационных систем, технологии и средств их обеспечения является субъект, в полном объёме реализующий права владения, пользования, распоряжения указанными объектами.
Владельцем информационных ресурсов, информационных систем, технологий и средств, их обеспечения является субъект, осуществляющий владение и пользование указанными объектами и реализующий права распоряжения в пределах, установленных законом.
Пользователем (потребителем) информации является субъект, обращающийся к информации.
Неправомерный доступ осуществляется, как правило, с использованием чужого имени, фиктивных документов, изменением физических адресов, технических устройств, использованием информации, оставшейся после решения задач, модификации программного и информационного обеспечения, хищение носителя информации, установкой аппаратуры записи, подключаемой к каналам передачи данных, нарушением средств или систем защиты информации.
Хакеры, «электронные корсары», «компьютерные пираты» – так называют людей, осуществляющих несанкционированный доступ в чужие информационные сети для забавы. Набирая наудачу один номер за другим, они терпеливо дожидаются пока на другом конце провода не отзовется чужой компьютер. После этого телефон подключается к приёмник сигналов в собственной ЭВМ, и связь установлена. Если теперь угадать код (а слова, которые служат паролем часто банальны), то можно внедриться в чужую компьютерную систему.
Несанкционированный доступ к файлам законного пользователя осуществляется также нахождением слабых мест в защите системы. Однажды обнаружив их, нарушитель может не спеша исследовать содержащуюся в системе информацию, копировать её, возвращаться к ней много раз, как покупатель рассматривает товары на витрине.
Программисты иногда допускают ошибки в программах, которые не удаётся обнаружить в процессе отладки. Авторы больших, сложных программ могут не заметить некоторых слабостей логики. Уязвимые места иногда обнаруживаются и в электронных цепях. Все эти небрежности, ошибки приводят к появлению
«брешей».
Обычно они всё-таки выявляются при проверке, редактировании, отладке программы, но абсолютно избавится от них невозможно.
Бывает, что некто проникает в компьютерную систему, выдавая себя за законного пользователя системы, которые не обладают свойствами аутентичной идентификации (например по физиологическим характеристикам: по отпечаткам пальцев, по рисунку сетчатки глаза, голосу и т. п.), оказываются без защиты против этого приёма. Самый простейший путь его осуществления: - получить коды и другие идентифицирующие шифры законных пользователей. Это может делаться:
. Приобретением (обычно подкупом персонала) списка пользователей со всей необходимой информацией;
. Обнаружением такого документа в организациях, где не налажен достаточный контроль за их хранением;
. Подслушиванием через телефонные линии.
Иногда случается, как например, с ошибочными телефонными звонками, что пользователь с удалённого терминала подключается к чьей-то системе, будучи абсолютно уверенным, что он работает с той системой, с какой и намеревался.
Владелец системы, к которой произошло фактическое подключение, формируя правдоподобные отклики, может поддерживать это заблуждение в течении определённого времени и таким образом получить некоторую информацию, в частности коды.
В любом компьютерном центре имеется особая программа, применяемая как системный инструмент в случае возникновения сбоев или других отклонений в работе ЭВМ, своеобразный аналог приспособлений, помещаемых в транспорте под надписью «разбить стекло в случае аварии». Такая программа – мощный и опасный инструмент в руках злоумышленника.
Несанкционированный доступ может осуществляться в результате системной поломки. Например, если некоторые файлы пользователя остаются открытыми, он может получить доступ к не принадлежащим ему частям банка данных. Всё происходит так словно клиент банка, войдя в выделенную ему в хранилище комнату, замечает, что у хранилища нет одной стены. В таком случае он может проникнуть в чужие сейфы и похитить всё, что в них хранится.
Ответственность по статье 272 УК РФ наступает в том случае, если деяние повлекло указанные в части 1 этой статьи последствия.
Под уничтожением информации следует понимать её утрату при невозможности её восстановления.
Блокирование информации – это невозможность её использования при сохранности такой информации.
Модификация информации означает изменение её содержания по сравнению с той информацией, которая первоначально (до совершения деяния) была в распоряжении собственника или законного пользователя.
Под копированием информации следует понимать её переписывание, а также иное тиражирование при сохранении оригинала. Представляется, что копирование может означать и её разглашение.
Нарушение работы ЭВМ, системы ЭВМ или их сети может выразиться в их произвольном отключении, в отказе выдать информацию, в выдаче искажённой информации при сохранении целостности ЭВМ, системы ЭВМ и их сети.