Противоправные посягательства в сфере компьютерного обеспечения деятельности банка
Преступления в сфере компьютерной информации являются одним из частных видов угроз информационной безопасности банка. Задачи их выявления, предупреждения и пресечения тесно переплетаются с проблемами обеспечения защиты конфиденциальности информации банка. Это объясняется тем, что сведения, составляющие банковскую, коммерческую и служебную тайну, хранятся не только на бумажных носителях, но и в компьютерных базах данных либо на отдельных носителях компьютерной информации.
Когда преступники посягают на информацию ограниченного доступа банка с целью неправомерного завладения сведениями, находящимися в электронно-вычислительной технике, то объекты противоправных посягательств (отношения по поводу защиты конфиденциальности информации и отношения в сфере защиты компьютерной информации) частично совпадают и взаимно дополняют друг друга. Определенный вред информации ограниченного доступа способны причинить и другие формы незаконного вмешательства в информационные ресурсы и информационные системы, посягающие на безопасность самих компьютерных систем и их программного обеспечения.
По конечным целям, которые преследуют преступные посягательства в сфере компьютерной информации банка, их можно условно объединить в два основных вида. Цель первая – завладение имуществом банка путем воздействия на информацию. Мотивы деяний – корысть. Цель вторая – причинение ущерба банку путем разрушения его инфраструктуры и нарушения порядка управления деятельностью банка. Мотивы деяний – корысть (устранение конкурента), месть, хулиганские мотивы. Все виды преступных посягательств в сфере компьютерной информации совершаются с прямым умыслом. Мотивы случайных проникновений в защищенную информационную систему банка (любопытство, самоутверждение и т.д.) в данном случае не рассматриваются из-за их "непрофильности" и малочисленности.
Основными целями защиты информационных ресурсов и информационных систем банка являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности; сохранение конфиденциальности документированной информации в соответствии с законодательством.
Уголовно-правовая ответственность за преступные посягательства на отношения в сфере использования компьютерной информации установлена ст. 272 "Неправомерный доступ к компьютерной информации", ст. 273 "Создание, использование и распространение вредоносных компьютерных программ" и ст. 274 "Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей" УК РФ.
Неправомерный доступ к компьютерной информации (ст. 272 УК РФ). Статья защищает права собственника (обладателя) компьютерной системы на неприкосновенность находящейся в ней информации.
Указанная норма устанавливает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации. При этом под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
Под блокированием в данном случае принято понимать невозможность доступа к информации со стороны законного пользователя. Модификация представляет собой внесение изменений, искажающих ОГЛАВЛЕНИЕ информации вопреки интересам ее законного пользователя. Копирование заключается в незаконном воспроизведении оригинала с целью его получения незаконным пользователем.
С точки зрения закона неправомерным признается доступ к закрытому информационному массиву постороннего, т.е. лица, не являющегося законным пользователем и не имеющего разрешения собственника на ознакомление с указанными данными.
Способы неправомерного доступа к охраняемой законом компьютерной информации. Для осуществления неправомерного доступа к охраняемой компьютерной информации правонарушителям приходится преодолевать технические и программные меры защиты. В этих целях они используют похищенные программные и аппаратные ключи и средства криптографической защиты, получая таким образом доступ к компьютеру от имени других лиц; внедряют в объект информатизации программные или технические средства, позволяющие обойти средства защиты и получить возможность копирования информации или несанкционированной работы в информационном массиве; перехватывают информацию из средств вычислительной техники, пользуясь радиоэлектронными средствами; подключают аппаратуру записи к каналам связи; похищают накопители компьютерной памяти, в которых хранится информация, магнитные или бумажные носители информации.
Обязательным элементом преступления, предусмотренного ст. 272 УК РФ, является наступление вредных последствий (уничтожение, модификация, блокирование или копирование информации).
Субъектом преступления является лицо, достигшее 16-ти лет, в том числе и законный пользователь компьютерной сети, не имеющий допуска к работе с информацией определенной категории.
Максимальное наказание за совершение преступления, предусмотренного ч. 1 ст. 272 УК РФ, – лишение свободы на срок до двух лет.
Часть 2 ст. 272 УК РФ предусматривает ответственность за указанные деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности. При этом крупным ущербом в ст. 272 и других статьях гл. 28 УК РФ признается ущерб, сумма которого превышает 1 млн руб.
Часть 3 ст. 272 УК РФ устанавливает ответственность за совершение указанных преступлений группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения; ч. 4 – за наступление тяжких последствий или создание угрозы их наступления. Максимальное наказание за совершение преступления, предусмотренного ч. 3 ст. 272 УК РФ, – лишение свободы на срок до пяти лет, а ч. 4 – па срок до семи лет.
Создание, использование и распространение вредоносных компьютерных программ (ст. 273 УК РФ). Нормы, установленные данной статьей, защищают права собственника (обладателя) компьютерной системы на неприкосновенность порядка ее функционирования и сохранности находящейся в ней информации.
Действия преступника заключаются в создании, распространении или использовании компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
Компьютерная программа представляет собой упорядоченную последовательность команд, предназначенных для управления конкретными компонентами системы обработки данных. Совокупность программ и документации к ним образует программное обеспечение (синоним – математическое обеспечение).
Под созданием вредоносных программ, в смысле ст. 273 УК РФ понимается создание программ-вирусов, способных внедряться в другие программы, копировать их (размножаться), а также выполнять другие задания, приводящие к последствиям, перечисленным в диспозиции этой статьи.
Опасность вредоносной программы-вируса заключается в возможности полного или частичного вывода из строя информационных ресурсов и информационных систем, в нарушении порядка функционирования банка (и других организаций).
Специалисты в области защиты компьютерной информации различают несколько основных видов вредоносных программ-вирусов. К последним относятся программы: сканирования системы защиты объекта посягательства и содержимого памяти компьютера; подборщики паролей и генераторы номеров кредитных карт, "логические бомбы", срабатывающие в определенных условиях и разрушающие частично или полностью компьютерную систему, "троянские", уничтожающие компьютерные программы и распространяющиеся по коммуникационным сетям. Число программ-вирусов и география их противоправного применения непрерывно растет. Об этом свидетельствуют публикации в специальных изданиях и сообщения хакеров – взломщиков защиты компьютерных сетей, помещаемые ими в Интернете.
Пример. В ноябре 2011 г. Генеральная прокуратура РФ сообщила о направлении в суд уголовного дела по обвинению москвичей С. и Г. в совершении преступлений, предусмотренных ст. 159 (мошенничество), ст. 272 (неправомерный доступ к компьютерной информации), ч. 3 ст. 30, ч. 2 ст. 159 (покушение на мошенничество) УК РФ. Кроме того, Г. обвинялся по ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ). Обвиняемые, используя вредоносные программы, совершили под различными псевдонимами неправомерный доступ к охраняемой законом компьютерной информации – данным о счетах и паролях 41 клиента двух кредитных организаций. Затем, пользуясь указанными данными, они несанкционированно списали с целью хищения со счетов клиентов кредитных организаций денежные средства на общую сумму более 10 млн руб.[1]
Наказуемым согласно ст. 273 УК РФ является сам факт создания программ-вирусов или внесения изменений в нормальное функционирование существующих программ, заведомо приводящих к указанным выше негативным последствиям (вне зависимости от реального наступления последних)[2].
По смыслу статьи программы-вирусы создаются именно как вредоносные. Поэтому не является наказуемым факт создания программы-вируса вследствие ошибки. Также не влечет ответственности умышленное создание программы-вируса для последующей разработки способов антивирусной защиты.
Под использованием вредоносных программ-вирусов принято понимать их внедрение в программное обеспечение электронно-вычислительной техники, записи на материальный носитель (в том числе на бумажный), распространение по сетям, передачу другим лицам и иные действия по их введению в оборот в целях наступления вредных последствий, предусмотренных ст. 273 УК РФ.
Распространением программы-вируса признается ознакомление с ней других лиц либо передача им программы в любой материальной форме (магнитной записи, записи на бумажном носителе и т.п.).
Преступление, предусмотренное ч. 1 ст. 273 УК РФ, может быть совершено только умышленно. Максимальное наказание за совершение деяния, предусмотренного ч. 1 этой статьи, – лишение свободы до четырех лет со штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев.
Ответственность по ч. 2 ст. 273 УК РФ наступает за указанные в ч. 1 деяния, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности. Максимальное наказание по ч. 2 этой статьи – лишение свободы на срок до пяти лет со штрафом в размере от 100 тыс. до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Часть 3 ст. 273 УК РФ предусматривает наличие в деянии особо квалифицирующего признака в виде наступления тяжких последствий или создание угрозы их наступления. К тяжким последствиям можно отнести ущерб в виде хищения денежных средств банка, уничтожения его баз данных, дезорганизации работы банка и упущенную в связи с этим выгоду и т.п. По этой части суд может назначить максимальное наказание до семи лет лишения свободы.
Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274 УК РФ). Данная статья устанавливает ответственность за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.
Статья защищает права собственника (обладателя) указанных средств на безопасность их функционирования, которая обеспечивается соблюдением правил их эксплуатации.
Правила эксплуатации названных средств устанавливаются их собственником (владельцем) в виде соответствующего положения, инструкции, регламента и объявляются приказом, с которым в обязательном порядке должны быть ознакомлены все лица, имеющие к ним доступ.
Охраняемая компьютерная информация представляет собой информацию, в отношении которой установлен специальный режим ее правовой защиты.
Обязательным условием наступления уголовной ответственности по ст. 274 УК РФ является наличие причинной связи между допущенным нарушением правил эксплуатации и наступившими последствиями в виде уничтожения, блокирования, модификации либо копирования компьютерной информации, причинившими крупный ущерб.
Данное преступление может совершаться как умышленно, так и по неосторожности.
Максимальное наказание за совершение деяния, предусмотренного ч. 1 данной статьи, – лишение свободы па срок до двух лет.
Часть 2 ст. 274 УК РФ предусматривает наличие в деянии отягчающего (квалифицирующего) признака в виде наступления тяжких последствий или создания угрозы их наступления. Максимальное наказание за совершение деяния, предусмотренного ч. 2 данной статьи, – лишение свободы на срок до пяти лет.
Среди субъектов, совершающих противоправные посягательства на компьютерную информацию банка, следует выделить:
1) лиц, совершающих преступления с целью завладения денежными средствами или имуществом банка. Такие лица могут действовать в одиночку, однако чаще всего они объединяются в группы, численность которых доходит до 10 человек и более. Кроме специалистов в области компьютерной техники, такие группы включают в себя лиц, хорошо знакомых с банковским делом. Это объясняется тем, что для перевода денег из банка недостаточно проникнуть в его компьютерную систему. Необходимо также досконально знать детали специфически банковских технологий. Отражением процесса коммерциализации преступлений в компьютерной сфере стало также появление в Интернете предложений о продаже сведений, составляющих банковскую тайну, в первую очередь информации о владельцах банковских счетов и пластиковых картах;
2) лиц, добывающих компьютерную информацию ограниченного доступа или дезорганизующих работу компьютерных сетей банка по заказу конкурентов;
3) взломщиков (хакеров) – любителей, проникающих в защищаемые компьютерные системы из любопытства, с целью самоутверждения и т.п., в том числе для разрушения компьютерных систем из хулиганских и других некорыстных побуждений.
По отношению к объекту посягательства указанные лица могут быть посторонними, сотрудниками банка либо сотрудниками организации-партнера (подрядчика), в том числе представителями технического персонала компьютерной системы или сети, разработчиками системы и их руководителями, операторами, программистами, инженерами связи, специалистами по защите информации и др.
Целями противоправных посягательств в сфере компьютерной информации банка обычно являются:
1) незаконное завладение деньгами банка;
2) незаконный сбор информации в интересах организации-конкурента;
3) незаконный сбор информации с целью ее последующего сбыта;
4) разрушение информационных систем банка-конкурента в целях его удаления с рынка услуг либо ограничения его деятельности. Иногда эти задачи объединяются. Отечественной правоохранительной практике известен случай выполнения хакером заказа одной фирмы, в результате чего была скопирована определенная информация, а затем нанесен ущерб компьютерной системе конкурента (уничтожен веб-сайт и вся информация на сервере);
5) разрушение информационных систем банка из мести, совершаемые его работниками или бывшими работниками;
6) "взлом" веб-сайта с целью подмены подлинной информации и размещения сведений, порочащих деловую репутацию конкурента.