До тех пор, пока не будет принят закон о защите информации и компьютерных преступлениях, эффективно бороться с правонарушениями в этой области будет невозможно

Принятие специального законодательства в отношении преступных действий, связанных с компьютеризацией, даст ряд положительных результатов.

Во-первых, правоохранительные органы получат единообразное средство уголовного преследования лиц, использующих вычислительную технику в преступных целях.

Во-вторых, наличие законодательства, направленного на пресечение компьютерных преступлений, будет способствовать ограничению распространения этого вида преступления.

В-третьих, в будущем облегчит работу юридическим фирмам, которые хотели бы взять на себя охрану прав клиентов-владельцев ЭВМ.

В-четвертых, принятие закона приведет к тому, что данные о компьютерных преступлениях будут концентрироваться в одном каком-то органе, что позволит не только иметь подробную статистику, но и создаст базу для научного анализа компьютерных преступлений.

В пользу законодательства, направленного на борьбу с компьютерными преступлениями говорит и тот факт, что государство опирается на вычислительную технику, а выведение ее из строя грозит серьезными последствиями во многих областях деятельности: экономической, финансовой, военной и многих других.

Особенностью западного компьютерного права является то, что, как правило, оно формируется по прецеденту и представляет собой в основном законодательные акты прямого действия, принимаемые на государственном (Великобритания, Франция, Германия) или федеративном и региональном уровнях (США).

Ответственность за правонарушения при работе с информацией, компьютерами и компьютерной информацией устанавливается

В США:

Законом о безопасности компьютерных систем 1987 г.;

Актом о злоупотреблениях с использованием ЭВМ 1986 г.;

Законопроектом об искоренении компьютерного вируса 1988 г.;

Законом о свободе информации;

Законом о соблюдении тайн 1974 г.;

Законом о финансовых тайнах;

Законом о справедливых кредитах;

Законом о защите вычислительных средств небольших фирм и образовании 1984 г.

В Канаде:

Законом о компьютерных и информационных преступлениях («Билль» С-18) 1985 г. Во Франции:

Законом об информатике, картотеках и свободах 1978 г. В Великобритании:

Законом о защите информации 1984 г.

В ФРГ:

Законом о дальнейшем развитии электронной обработки и о защите данных 1990 г.;

Законом о хозяйственной преступности 1986 г.;

Германским Уголовным кодексом 1986 г.;

Германским Гражданским кодексом;

Законом об авторском праве;

Федеральным законом о защите данных 1978 г.

Федеральный закон ФРГ об охране данных обязывает учреждения и организации принимать необходимые технические и организационные меры по обеспечению сохранности указанных в законе данных. Действие закона не распространяется на широко известные или передаваемые устно сведения о том или ином лице, а также данные, хранящиеся в специальных актах и делах, доступ к которым строго ограничен.

Не подлежат охране данные, собираемые и обрабатываемые в целях их последующей публикации, показа или огласки средствами кино, радио и прессы. Порядок обращения с информацией в данной области регламентируется специальными законами.

В соответствии с законом об охране данных, объектом охраны являются содержащиеся в картотеках и памяти ЭВМ сведения, затрагивающие личные интересы граждан, и, будучи введенными в ЭВМ, легко могут быть доступны третьим лицам.

Национальный совет Австрии принял закон о неразглашении персональных данных. В нем указывается, что каждый гражданин имеет право требовать сохранения в тайне касающихся его личности данных. Если эти данные обрабатываются с помощью автоматизированных средств, он имеет право на исправление неточностей и на изъятие данных, собранных и обработанных недоступными методами. Разглашение тайны относительно хранящихся персональных данных и неправомочное вмешательство в их обработку может повлечь за собой наказание с лишением свободы сроком до одного года.

При всем различии национальных законодательств в них имеется ряд общих моментов.

1. Практически во всех странах законодательно установлена ответственность за нарушение порядка обработки и использования персональных данных.

2. Информационные (компьютерные) преступления расцениваются как представляющие особую опасность для граждан, государства и общества в целом; характеризуются значительно более жесткими мерами наказания, чем аналогичные преступления, совершенные без использования компьютерной техники.

3. Квалифицируются как преступления также действия, создающие только предпосылки к нанесению ущерба, например попытка проникновения в систему, внедрение программы-вируса и т.д.

Российское законодательство по защите информационных технологий предусматривает ответственность за совершение преступлений и правонарушений при работе с информацией, выраженной документально (бланк и пр.). Достаточно детально разработан вопрос установления ответственности за разглашение сведений, составляющих государственную и военную тайну.

Существующее законодательство позволяет классифицировать и установить ответственность за различные формы преступлений и правонарушений, связанных с информацией, представленной в виде сведений или документов. К ним относятся:

• особо опасные государственные преступления (измена Родине, шпионаж, диверсия, разглашение государственной тайны, утрата документов, содержащих государственную или служебную тайну);

• корыстные преступления (хищение, грабеж, разбой, присвоение, подлог, подделка);

• преступления, совершенные по неосторожности или халатности (уничтожение, повреждение, утеря);

• хозяйственные преступления (выпуск недоброкачественной продукции).

Всего в УК РФ в настоящее время содержится 22 нормы, предусматривающие ответственность за перечисленные преступления. Рядом статей АК РФ также устанавливается административная ответственность за правонарушения, не представляющие собой большой общественной опасности.

Очевидно, что правоохранительное законодательство в области информационной безопасности должно максимально базироваться на существующих нормах уголовного и административного права. Однако в законодательстве до настоящего времени не нашли отражения две обширные темы, непосредственно связанные с обработкой информации и обеспечением прав личности.

Во-первых, не установлена ответственность за нарушение прав личности путем незаконного сбора персональных данных, их обработки, разглашения и отказа источнику в доступе к ним.

Во-вторых, отсутствуют разделы, устанавливающие ответственность субъектов отношений, возникающих на основе использования новых информационных технологий.

В то же время обработка информации с использованием новых информационных технологий имеет ряд существенных особенностей. К ним относятся:

• существование информации и программ в виде нематериальной «электронной копии»;

• возможность неограниченного, скрытого и бесследного доступа посторонних лиц к «электронной копии» информации и программ с целью их хищения (копирования), модификации или уничтожения;

• возможность введения в ЭВМ не оговоренных технологией программных средств, в том числе и вирусного характера, что само по себе представляет серьезную угрозу.

Как утверждают специалисты, для решения задачи установления ответственности за злоупотребления с использованием компьютерной техники целесообразно:

1. Распространить на информацию и программы для ЭВМ, представленные в форме «Электронной копии», свойства объекта имущественного права, т.е. признать их объектом права собственности и товарным продуктом.

2. Установить правовой режим информации, предусматривающий ее обязательное документирование (как механизм признания информации объектом права собственности).

3. Признать противоправными умышленные деяния, подпадающие под категории «нарушение норм защиты», «хищение» (копирование),»несанкционированный доступ» и «разработка», а также - распространение компьютерных вирусов» вне зависимости от последствий, к которым они привели.

4. Установить ответственность администрации за непринятие мер безопасности, приведшее к совершению компьютерных преступлений.

Ан ализ субъектов информационных отношений показывает, что среди них выделяются следующие категории лиц:

• владельцы информационных систем;

• персонал информационных систем;

• собственники информации;

• источники информации;

• пользователи;

• посторонние лица.

В среде традиционной обработки информации все указанные категории можно разделить на две группы: лица, которым разрешен доступ к информации, и лица, которым такой доступ не разрешен. Правонарушения и преступления могут быть совершены:

• по неосторожности (по некомпетентности);

• по халатности;

• умышленно.

При классификации правонарушений и преступлений следует руководствоваться также: их высокой общественной опасностью, что требует классифицировать даже те действия, которые не нанесли ущерба, но создали предпосылки для его нанесения нарушение технологии обработки, нарушение норм защищенности, непринятие должных мер по организации защиты); степенью ущерба. При этом ущерб от совершенного преступления может выражаться в форме:

• упущенной выгоды;

• прямых финансовых потерь;

• морального ущерба.

Иногда задача оценки информации в стоимостном выражении крайне проблематична и часто напрямую не может быть решена, например при возникновении угроз информационным системам, обрабатывающим секретную информацию. В этом случае ответственность устанавливается по аналогии с действующими нормами уголовного права.

Анализ показывает, что в целом можно выделить следующие критерии состава злоупотреблений в сфере обработки информации:

1. Нарушение правил регистрации информационных систем и перечней обрабатываемой информации.

2. Нарушение правил сбора информации, а именно: получение информации без разрешения и сбор ее сверх разрешенного перечня.

3. Хранение персональной информации сверх установленного срока.

4. Ненадлежащее хранение информации.

5. Передача третьим лицам сведений, составляющих коммерческую тайну, или персональных сведений-

6. Несвоевременное информирование населения о событиях, явлениях и фактах, могущих причинить вред их здоровью или нанести материальный ущерб.

7. Превышение пределов компетенции учетной деятельности, допущение неполных учетных записей ифальсификации данных.

8. Предоставление заинтересованным лицам заведомо неточной информации.

9. Нарушение установленного порядка обеспечения безопасности информации.

10. Нарушение правил и технологии безопасной обработки информации.

11. Нарушение норм защищенности информации, установленных Законом.

12. Нарушение правил доступа к информации или к техническим средствам.

13. Нарушение механизма защиты информации и проникновение в систему.

14. Обход средств защиты и проникновение в систему.

15. Хищение информации с использованием:

а) технических средств,

б) доступа к носителям данных.

16. Несанкционированное уничтожение данных в информационных системах.

17. Несанкционированная модификация данных в информационных системах.

18. Искажение (модификация) программного обеспечения.

19. Перехват электромагнитных, акустических или оптических излучений.

20. Перехват информации, передаваемой по пиниям связи путем подключения к ним дистанционного (бесконтактного) съема или любыми другими известными способами.

21. Изготовление и распространение заведомо непригодного ПО.

22. Распространение компьютерных вирусов.

23. Разглашение парольно-ключевой информации.

24. Несанкционированное ознакомление (попытка) с защищаемыми данными.

25. Несанкционированное копирование (хищение).

26. Внесение в программную среду не оговоренных изменений, в том числе и вирусного характера.

Анализ уголовных дел и иной доступной информации показал, что механизм совершения преступления в целом состоит в следующем:

• преступники имели отношение к разработке программного обеспечения и эксплуатации компьютерной техники;

• использовали указанные возможности для несанкционированного дописывания в массивы «операционного дня» необходимой им информации;

• несанкционированный доступ осуществлялся в течение короткого времени (до 1 минуты) под видом законного пользователя с неизвестного терминала, имеющего телекоммуникационную связь с единой сетью ЭВМ;

• для дальнейших операций была заранее разработана и внедрена специальная программа, которая в пользу каких-либо лиц (юридических или физических, реальных и вымышленных) открыла технологические счета, имеющие первоначально нулевой остаток, в РКЦ были дополнительно внедрены для дальнейшей обработки и рассылки по нужным адресам бумажные носители - фальшивые платежные поручения с поддельными печатями РКЦ, якобы прошедшие там обработку;

• для усложнения бухгалтерского контроля под предлогом произошедшего, якобы, сбоя программы не выдавались необходимые документы: контрольные и оборотные ведомости по балансовым счетам, а также ведомость остатков в разрезе кодов валют за день перерасчета (как это реально случилось с одним крупным российским банком);

• получение со счетов наличными осуществлялось в заранее разработанном порядке и без следов.

Возможность осуществления преступных деяний в областях автоматизации производства и бухгалтерского учета заключалась прежде всего в слабой готовности противостоять мошенничеству, неумении осуществить систему разделения доступа, обновления паролей, ключевых слов и т.д.

Наиболее опасными субъектами компьютерных мошенничеств являются так называемые хакеры, крекеры и представители групп, занимающихся промышленным шпионажем. В этой связи, как рекомендуют специалисты по безопасности, особое внимание следует обращать на вновь принимаемых сотрудников-специалистов в области компьютерной техники, программирования и защиты компьютерной информации.

Известны случаи, когда отдельные хакеры в целях личного обогащения пытались устроиться на работу в информационные службы крупных коммерческих структур. Но наибольшую опасность могут представлять такие специалисты в сговоре с руководителями подразделений и служб самой коммерческой структуры или связанных с ней систем, а также с организованными преступными группами; в этих случаях причиняемый ущерб и тяжесть последствий значительно увеличиваются.

Стали использовать компьютеры в преступных целях и сами руководители коммерческих и банковских структур для нанесения финансового ущерба государству. Так, в 1994 г. президент одного из сибирских коммерческих банков дал прямое указание оператору банка о внесении изменений в программное обеспечение системы электронных платежей через РКЦ. В результате банк незаконно получил 510 млн. руб.

Необходимо также учитывать, что по мере освоения компьютерной техники усложняется и механизм ее использования в различных правонарушениях. Увеличивается число преступлений «со взломом». В общем виде используемая компьютерными преступниками методика «взлома» или несанкционированного доступа сводится к двум разновидностям:

• «Взлом изнутри» преступник имеет физический доступ к терминалу, с которого доступна интересующая его информация, и может определенное время работать на нем без постороннего контроля.

• «Взлом извне»: преступник не имеет непосредственного доступа к компьютерной системе,но имеетвозможность проникнуть (обычно посредством удаленного доступа через сети) в защищенную систему для внедрения специальных программ, проведения манипуляций с обрабатываемой или хранящейся в системе информацией или осуществления других противозаконных действий.

Анализ подобных деяний свидетельствует, что разовые преступления по проникновению в системы со своих или соседних рабочих мест постепенно перерастают в сетевые компьютерные преступления путем «взлома» защитных систем организаций.

Оценка потерь от компьютерных преступлений, которые несет экономика в развитых странах Запада, составляет гигантские цифры - миллиарды долларов. Стоит напомнить, что Европа не имеет столь высокого уровня уголовных преступлений, как Россия, однако развитие технического прогресса прямо пропорционально бурному росту компьютерных мошенничеств.

Одно из первых криминальных использований компьютерной техники в СССР относится к 1979 г., когда в Вильнюсе было похищено свыше 78 тыс. руб., а в последние годы компьютеры применялись уже не только для хищений и разного рода мошенничеств, но и для изготовления поддельных денежных знаков, различных банковских платежных документов, кредитных, дебитных карт, различного рода карт-систем (для таксофонов, спутникового телевидения, сотовых радиотелефонов и пр.). В РФ отмечены случаи компьютерного хулиганства со значительным ущербом (заражение ЭВМ Игналинской АЭС вирусными программами в 1993 г.).

Наиболее известные случаи из компьютерной криминалистики:

1. Август 1994 г. Группа лиц, используя компьютерную связь, похитила в Мытищинском отделении «Уникомбанка» 150 тыс. дол.

2. Февраль 1995 г. Одно из отделений Московского Сбербанка РФ. Не установленные лица совершили несанкционированный доступ в систему передачи платежных документов из отделения банка в ОПЕРУ. Преступники, безусловно, хорошо знавшие технологию обработки данных «операционного дня» по всем филиалам отделения и их передачи для произведения расчетов, изготовили повторное сообщение, предварительно включив в общую сумму платежей дополнительную сумму в 2 млрд. руб., планируемую для хищения. Данное повторное сообщение было передано через некоторое время после первого сеанса. Во втором сеансе было передано на один (ложный) документ больше и на указанную сумму. Поскольку протокол связи с ОПЕРУ построен так, что каждый новый сеанс замешает данные предыдущего, то в ОПЕРУ были приняты последние документы и проведены по корсчету отделения. Для успешного завершения преступления были выведены из строя модемная связь отделения банка и сетевой компьютер повреждением кабеля связи с АТС; в связи с этим электронная выписка не была получена вовремя. Замечено, что несанкционированный вход осуществлен с не установленного места вне сети банка. Первичная передача данных произведена по сети «Искра», повторная - по сети «Инфотел». Хищение денежных средств предотвращено в результате обнаружения в коммерческом банке, куда был перечислены 2 млрд. руб., фальшивого платежного поручения.

3. Июль 1995 г. Ленинградское отделение Сбербанка г. Калининграда. Не установленные лица, используя систему международных денежных переводов «Вестерн Юнион» несанкционированно вошли в банковскую систему извне, внесли произвольные записи на сумму 100 тыс. дол. Ввели необходимые реквизиты для их перечисления и последующего обналичивания. В связи с установленными ограничениями сумм выплат, указанное количество валютных средств было распределено на суммы по 50 тыс. дол., которые переадресованы на счета банков Литвы, расположенных в двух городах, где и были сняты неким гражданином по предъявленному загранпаспорту.

4. Несколько слов о «деле Левина». По классификации Интерпола оно квалифицируется как «транснациональное сетевое компьютерное преступление». «Дело» явилось первым зарегистрированным случаем в России, по которому правоохранительными органами велась разработка.

В связи с тем, что данное преступление является на сегодня в своем роде уникальным, оно представляет большой общественный интерес. В то же время многие обстоятельства до конца не установлены, и информация по «делу» достаточно противоречива. Однако соответствующие специалисты подготовили анализ основных моментов «дела».

Владимир Левин работал в одной из фирм Санкт-Петербурга, которая занималась распространением и обслуживанием компьютерной техники. В составе группы лиц Левин, используя телекоммуникационные линии связи, несанкционированно входил в систему управления наличными фондами Ситибанка и вводил команды о переводе с различных счетов этого финансового учреждения на необходимые счета различных сумм денег.

В результате Левин в течение нескольких месяцев осуществил не менее сорока переводов на общую сумму свыше 10 млн. дол., из которых несколько сотен тысяч преступникам удалось похитить.

Несанкционированный вход в систему Ситибанка и ввод команд осуществлялся из офиса санкт-петербургской фирмы. Несмотря на большой период «работы» Левина, служба безопасности банка не смогла его вычислить сразу, хотя, подозревая о наличии проблемы, неоднократно вносила изменения в систему защиты, которую группа Левина все равно «взламывала».

География совершенного преступления охватывала страны, откуда изымались крупные суммы денег со счетов клиентов (Аргентина, Гонконг, Индонезия, Канада, Колумбия, Мексика, Новая Зеландия, Уругвай) и страны, куда деньги переводились и где похищались (Россия, Нидерланды, Швейцария, Израиль).

Приведенные примеры касаются использования компьютерной техники для хищений и мошеннических операций. Однако этим криминальное применение компьютеров не ограничивается.

В последние годы компьютеры применялись также для изготовления поддельных денежных знаков, различных банковских платежных документов - кредитных и дебитных карт, различного рода карт-систем.

Например, в июне 1995 г. в Таганроге (Ростовская обл.) была задержана преступная группа, изготовлявшая и распространявшая фальшивые купюры достоинством в 50 тыс. руб. Для их изготовления использовалась компьютерная техника с программным обеспечением и принтеры.

В 1995-1996 гг. в Москве и Санкт-Петербурге были задержаны несколько групп лиц, которые для совершения различных мошеннических операций использовали поддельные кредитные карты, изготовленные с помощью специального программного обеспечения.

Как указывают компетентные эксперты, наряду со «специалистами» в области компьютерной техники и программирования, в данной сфере незаконного бизнеса появляется все больше любителей. Последние умело производят декодирование паролевой системы защиты карты с последующим перепрограммированием имеющейся микросхемы («чипа») или установлением новой с записью необходимой информации для совершения мошенничества. После подобной модификации переделанные или вновь изготовленные поддельные пластиковые карты или другие их типы и виды реализуются среди недобросовестных клиентов.

Данный вид незаконного бизнеса уже получил широкое распространение, и теперь активно внедряется в России.

Таким образом, очевидно, что помимо традиционных мер безопасности в технической сфере (организационные, материальные, программные), необходимо вносить в повестку дня проблему соответствующей подготовки сотрудников служб безопасности. Речь идет прежде всего о подготовке специалистов в области компьютерной безопасности, основной функцией которых должно стать предупреждение, выявление и пресечение деятельности по нанесению информационного и финансового ущерба.

Привлекает внимание тот факт, что компьютерные преступления не исключены и в сфере деятельности самой полиции. Приведем примеры.

• Служащие Нью-Йоркской автоинспекции добавили больше тысячи имен в машинные списки на получение водительских прав. Эти имена принадлежали, в основном, эмигрантам, не владеющим английским языком. Водительские лицензии этим лицам выписываются на основе компьютерных списков. Работая в частных автошколах, служащие инспекции брали 200-400 дол. за каждое незаконно выданное удостоверение. В результате они получили 3 млн. дол. (См.:Computer fraund and Ssecurity Dulletin -1989. -N 5. -Р.4-6; Times, Мау 30. 1989. -Р.3.)

• Сотрудник налогового управления продал копию документации, основанной на секретной компьютерной логике. В этих документах описаны машинные методы, используемые в налоговом управлении для контроля деклараций о доходах налогоплательщиков. Знание этой информации позволяет налогоплательщикам избежать правильного обложения налогами.

• Офицера полиции штат. Массачусетс обвинили в продаже полицейских записей частному детективу. В г. Чикаго полицейский офицер предстал перед федеральным судом по обвинению в незаконном программировании компьютера, принадлежащего национальному центру уголовной информации ФБР, для получения информации в личных целях. '(См.:inforsystem, 1978, 26. N 6. Р.18.; Chriscian Seiene, 1979, 26. 03. Р.8.; Congressional Record - Senate, 1977,. Sept. 27 Р.1754.)

Эти примеры свидетельствуют о том, что вероятность компьютерных преступлении в самой политической среде требует подготовки профилактических мер по их предотвращению. По приблизительным данным ФБР, в США потери от преступлений, совершаемых с помощью вычислительной техники, составляют млрд. дол. ежегодно при этом средняя сумма одной кражи составляет 430 тыс. дол. Шансы найти преступника чрезвычайно малы: согласно оценкам, один случай из 25 тыс.