Malware – преступление и наказание

Большинство преступлений, совершаемых в Интернете, так или иначе связаны с использованием вредоносного программного обеспечения. Поскольку такие действия являются преимущественно общественно-опасными, создание вредоносных программ и их эксплуатация влекут за собой определенные уголовно-правовые последствия. В связи с этим, необходимым становится анализ действующего законодательства в этой сфере и его соответствие текущему уровню развития общественных отношений.

Отмечу, что целью этой статьи является рассмотрение вредоносного программного обеспечения в первую очередь с точки зрения уголовно-правовой ответственности за ее создание и использование в Украине; выявление определенных неточностей регулирования такой ответственности и возможные пути их устранения.

Определение понятия.

Согласно общепринятому подходу, вредоносная программа (вредоносное программное обеспечение; malware, malicious software — «злонамеренное программное обеспечение») –  любое программное обеспечение, целью которого является получение несанкционированного доступа к вычислительным ресурсам ЭВМ, либо информации хранимой на ЭВМ, для причинения вреда путем копирования, искажения или удаления информации, или же изменения прав доступа к информации. Может проявляться в виде исполняемого кода, скрипта, активного контента или иного программного обеспечения.

Ключевым моментом является получение «несанкционированного» доступа к ресурсам и/или информации без ведома пользователя или владельца системы. На уровне международных актов в сфере информационной безопасности, в частности  в Директиве ЕС об атаках на информационные системы, эпитет «неправомерный» (см. несанкционированный) рассматривается как доступ/вмешательство/перехват данных, который осуществляется лицом, не уполномоченным собственником или другим правообладателем системы или ее части, либо не допускается в соответствии с национальным законодательством (стран-участниц ЕС — прим.)

Кроме того, такое вмешательство характеризуется «злым умыслом» – умыслом (по нашему законодательству – исключительно прямым) направленным на нарушение работы компьютера или получение доступа к информации. По этому критерию возможно разграничение вредоносного ПО от дефектного ПО, которое может причинить неумышленный вред вследствие ошибок, которые не были исправлены до выпуска программы. Дефектное ПО является легальным.

Таким образом,  malware – это наиболее широкий термин, который употребляется для различных форм зловредного программного обеспечения, создание и применение которых является противоправным, характеризуется умыслом на нанесения вреда и не санкционировано субъектом, на которого направлена атака.

В Уголовном кодексе Украины предусмотрена отдельная статья (ст. 361-1 УК), устанавливающая ответственность за создание с целью использования, распространения или сбыта, а также  распространение или сбыт вредоносных программных или технических средств, предназначенных для несанкционированного вмешательства в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи .

На уровне подзаконных нормативных актов термин «программное средство» определяется как:

а) 2000 год – взаимосвязанная совокупность программ, процедур, правил, документов и данных, касающихся функционирования вычислительной системы (что является, по сути, определением программного обеспечения); [Постанова КМУ Про затвердження Порядку локалізації програмних продуктів (програмних засобів) для виконання Національної програми нформатизації від 16.11.1998 № 1815 ]

б) 2009 год – как компьютерная программа, взаимосвязанная совокупность компьютерных программ, процедур, правил, документации и данных (комбинация  понимания ПС как обособленной программы, и как ПО) [Постанова КМУ Про затвердження загальних вимог до програмних продуктів, які закуповуються та створюються на замовлення державних органів від 12.08.2009 № 869 ].

Соответственно, под программным средством понимается как одна компьютерная программа, так и программное обеспечение в целом.

Согласно Закону «Об авторском праве и смежных правах» компьютерная программа — это набор инструкций в виде слов, цифр, кода, схем, символов или в любом другом виде, выраженные в форме, пригодной для считывания компьютером, которые приводят его в действие для достижения определенной цели или результата (это понятие охватывает как операционную систему, так и прикладную программу, выраженные в исходном или объектном кодах).

При таком подходе из объема предмета преступления, предусмотренного ст. 361-1 УК по формальным признакам «выпадает» один из наиболее доступных и распространенных способов взлома сайтов – SQL инъекция.  Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или значения Cookie) произвольного SQL кода.

Если сайт уязвим и выполняет такие инъекции, то это может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.

SQL инъекция не является компьтерной программой, а только модифицированным запросом к базе данных , которая может быть возможна из-за некорректной обработки входных данных, используемых в SQL-запросах, в частности, из-за отсутствия фильтрации входящих параметров.

Однако, поскольку объектом посягательства являются компьютерная информация и право cобственности на нее, то очевидно, что такое действие не «выпадает» из уголовно-правового регулирования в целом, и при надлежащей мере общественной опасности и размере причиненного ущерба должно быть квалифицировано  по ч. 1 или ч. 2 ст. 361 УК.

Здесь важно отметить, что диспозиция ст. 361-1 УК в принципе не предусматривает вариант «использования вредоносного программного средства», а только «создание с целью использования», «распространение» или «сбыт» такого ПО. Таким образом, непосредственное использование субъектом им же созданной вредоносной программы и получение с ее помощью несанкционированного доступа к информации или нарушение работы компьютера образует совокупность преступлений (ст. 371-1 и ст. 371 УК).

Российский законодатель выбрал несколько другой, более широкий, подход: ст. 273 УК РФ предусматривает ответственность за создание, распространение или использование компьютерных программ либо иной компьютерной информации (под это определение попадает в том числе SQL инъекция), заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.

«Использование» в УК РФ практически тождественно «распространению» в УК Украины:введение этих программ в ЭВМ, систему ЭВМ или их сеть («закладка» в ПО), самовоспроизведение, а также продажа, обмен, дарение или безвозмездная передача другим лицам.

В то же время, в УК РФ предусмотрена ответственность за неправомерный доступ только к охраняемой законом компьютерной информации (для которой в специальных законах установлен специальный режим ее правовой защиты, например – государственная, служебная и коммерческая тайна, персональные данные и т. д.). Это определенным образом сужает круг уголовно-наказуемых посягательств, по сравнению с нашим законодательством, однако, в целом отражает общественную опасность несанкционированного доступа конкретно к такому виду информации.

Видится, что оба подхода в принципе «покрывают» весь массив общественно-правовых отношений, возникающих вокруг создания и использования вредоносных программ и проявляются в схожих последствиях для субъектов преступлений.

Обращу внимание на то, что согласно ч.1 ст.477 Уголовного процессуального кодекса Украины, уголовное производство касательно несанкционированного вмешательства в работу ЭОМ (ч.1 ст. 361 УК) без отягощающих обстоятельств осуществляется в форме частного обвинения. Это означает, что открыть уголовное производство следователь или прокурор могут исключительно на основании заявления потерпевшего. Конечно, это оправданно с точки зрения характера объекта преступления (право собственности на информацию) и его принадлежности к частной сфере. Однако, лично у меня возникает вопрос, в полной ли мере это отвечает уровню общественной опасности деяния, особенно беря во внимание активное технологическое развитие этой сферы и потенциальную угрозу, которую это действие в себе несет. «Лазейкой» в регулировании можно назвать тот факт, что одним из отягощающих обстоятельств является «значительный ущерб», который в том случае если он заключается в причинении материального ущерба достигает 60 900, 00 грн (до конца 2015 года). Возможность инкриминирования нематериального ущерба (оценочное понятие) для правоохранительных органов остается рычагом влияния на эту сферу общественных отношений.

Определение понятия «вредоносный» также представляет интерес, так как оно является обязательной характеристикой программного средства как предмета  преступления. По мнению Верховного суда Украины (высказанном в обобщении судебной практики по рассмотрению дел, предусмотренных Разделом 16 УК) вредоносный — способный обеспечить несанкционированный доступ к информации, а также изменить, уничтожить, повредить,  заблокировать информацию — компьютерную или ту, которая передается по сетям электросвязи.

В Соглашении о сотрудничестве государств-участников СНГ в борьбе с преступлениями в сфере компьютерной информации подписанном от 01.06.2001 вредоносная программа – созданная или существующая программа со специально внесенными изменениями, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети.

Видится, что в таком определении отображен непосредственный объект посягательства — отношения в сфере компьютерной информации права собственности на нее, однако отсутствие терминологической последовательности, легального определения понятия «вредоносности» в тексте закона, а также отсутствие четких критериев отнесения программы к вредоносной может привести к разности толкований положений уголовного кодекса. В целом, для того, чтобы утверждение о вредоносности программы имело юридическую силу, необходимо проведение программно-технической экспертизы с соблюдением всех установленных действующим законодательством формальностей.

Следующим проблемным моментом явлется «несанкционированность вмешательства» в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи. Напомню, что  несанкционированный в международном праве — тот, который осуществляется лицом, не уполномоченным собственником или другим правообладателем системы или ее части, либо не допускается в соответствии с национальным законодательством. В нашем законодательстве легальное определение «несанкционированности» вмешательства, которое в полной мере бы подходило под толкование диспозиции статьи, отсутствует. К примеру, в контексте вмешательства в работу телекоммуникационных сетей несанкционироанный — тот, который приводит к утечке информации (однако, при таком понимании происходит неоправданная дубляция характеристик в ст. 361 и 361-1 УК). В целом, для нас характерно понимание несанкционированных действий как тех, которые проводятся с нарушением порядка доступа к информации; другими словами – доступ к информации лица, которое не имеет на это прав

В данном контексте необходимо затронуть тему белого (этического) хакинга. Термин “этический хакинг” также известен, как тестирование на проникновение (пентестинг). Этический хакер — эксперт, который ищет уязвимости в системе безопасности, которыми может воспользоваться злоумышленник, от имени и по заказу владельцев такой системы. Для проверки системы безопасности, этические хакеры используют те же методы и средства, что и злоумышленники, но при этом этические хакеры обязаны сообщать найденных уязвимостях.

Проблемность этого аспекта состоит в том, что, поскольку состав преступления, предусмотренный ст. 361-1 УК является по своим характеристикам формальным, субъект должен нести уголовную ответственность с момента создания программы, которая потенциально «способна обеспечить несанкционированный доступ к информации» даже без наступления последствий в виде получения такого доступа. Конечно, суть в цели создания: если программа написана для проведения теста на проникновение в соответствии с заказом определенной компании, ответственность не должна наступать, поскольку доступ к информации будет санкционированным. Так, например, многие компании и организации (Adobe, Apple, Вконтакте, Банк Англии) регулярно оглашают о проведении открытых программ вознаграждений за уязвимости.  Один из наиболее полных перечней – The Bug Bounty List – представлен компанией  bugcrowd (https://bugcrowd.com/list-of-bug-bounty-programs).

Однако, кто мешает субъекту впоследствии перепродать такое программное обеспечение или использовать самостоятельно для получения несанкционированного доступа. В связи с этим возникает вопрос, какую форму выражения объективной стороны преступления следует выбрать (включается ли «создание» или только «сбыт» или «распространение») и что считать моментом окончания преступления.

Кроме того, в мире существует определенного рода бизнес по поиску и продаже уязвимостей. Так, например, французская компания Vupen уже несколько лет открыто продаёт эксплоиты разведывательным агентствам и государственным спецслужбам. На официальном сайте Vupen Security указано, что фирма предоставляет заказчикам «услуги по использованию эксплоитов в целях нападения» (offensive exploit services). Поскольку такая активность со стороны частных компаний или физических лиц подпадает под действие уголовного кодекса, остаётся лишь одно — заказчиками Vupen Security являются государственные агентства, правоохранительные органы и разведывательные службы, поскольку только они имеют право легально использовать такие эксплоиты.

Vupen — не единственный брокер эксплоитов на мировом рынке. Кроме неё, покупкой эксплоиов у независимых хакеров с целью перепродажи занимаются некоторые другие компании, в том числе Netragard, Endgame, Northrop Grumman и Raytheon. Также, отдельными лабораториями тестирования программного обеспечения могут проводиться интернет-аукционы, основным товаром которых являются уязвимости, найденные “продавцами” в программном обеспечении (пример: шведская компания WSLabi).

В Украине, очевидно, такие разработки в части написания программного обеспечения для поиска уязвимостей могут признаваться нелегальными и подлежать  уголовно-правовому преследованию.

Суть в том, что создание специальных программ, обладающих, в том числе и вредоносными свойствами (в их уголовно-правовом понимании), может являться одним из средств защиты информации, средством контроля эффективности защиты информации, а также одним из способов проведения специальных мероприятий при осуществлении контртеррористической операции.

Потому в научной литературе (как в украинской — Михайлина Т.В., так и в российской — Малыковцев М.М.) предлагается считать преступным лишь “незаконное” создание, использование, распространение или сбыт вредных программных или технических средств, поскольку такие действия не всегда представляют угрозу для общественных интересов. Кроме того, дополнить соответствующие нормативные документы случаями законного обращения с вредоносными программами. В целом, безусловно, я поддерживаю подобные инициативы и считаю, что они достаточно обоснованы, однако понимаю, что такой массив нормативных изменений вряд ли стоит ожидать в ближайшем будущем.

В качестве вывода хотелось бы отметить, что, на мой взгляд, уровень урегулированости Уголовным кодексом Украины ответственности за разработку и использование вредоносных программ не вполне отвечает текущему уровню развития отношений в сфере киберпреступности с одной стороны и информационной безопасности — с другой. Последние действующие изменения по существу в данный раздел УК вносились более 10 лет назад. В то же самое время, такое отсутствие внимания со стороны законодателя и правоохранительных органов позволяет Украине оставаться одним из наиболее востребованных в мире «поставщиков» как самого вредосного ПО, так и людей, которые могут и умеют его применять.

Автор: Казанец Алёна

ЮК Jurimex

Создано в рамках проекта BITLEX (bitlex.com.ua)