Актуальность ответственности в уголовном праве за DoS и DDoS-атаки в сфере компьютерной информации Текст научной статьи по специальности «Право»

%

sisi®'

РИДИЧЕСКИЕ НАУКИ

УДК 34

АКТУАЛЬНОСТЬ ОТВЕТСТВЕННОСТИ В УГОЛОВНОМ ПРАВЕ ЗА DOS И DDOS-АТАКИ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

RELEVANCE OF LIABILITY FOR DOS AND DDOS ATTACKS IN CRIMINAL LAW IN THE FIELD OF COMPUTER INFORMATION

© Вестов Фёдор Александрович

Fedor A. Vestov

кандидат юридических наук, доцент, профессор кафедры уголовного, экологического права и криминологии, Саратовский национальный исследовательский государственный университет им. Н. Г. Чернышевского (г. Саратов).

PhD (Law), Associate Professor, Professor of the Department of Criminal and Ecological Law and of Criminology, Saratov National Research State University named after N. G. Chernyshevsky (Saratov).

И vestovfa@mail.ru

© Шамьенов Наиль Рушанович

Nail R. Shamienov

магистрант кафедры уголовного, экологического права и криминологии, Саратовский национальный исследовательский государственный университет им. Н. Г. Чернышевского (г. Саратов).

undergraduate Department of criminal, environmental law and criminology, Saratov National Research State University named after N. G. Chernyshevsky (Saratov).

shamenov.ru@mail.ru

И

Аннотация. В представленной статье раскрывается сущность компьютерныхDoSиDDoS-атак, говориться о технических особенностях исполнения данной разновидности преступлений, включённых в главу 28 УК РФ, рассматриваются проблемные вопросы квалификации новых способов правонарушений в Интернет и их разграничения со сходными составами.

Ключевые слова: компьютернаяинформа-ция, компьютерные преступления, сетевые атаки, DoS-атаки, квалификация.

Abstract. The article reveals the essence of computer DoSandDDoSattacks, discusses the technical features of the execution of this type of crime included in Chapter 28 of the criminal code of the Russian Federation, discusses the problematic issues of qualification of new ways of offenses on the Internet and their differentia tion with similar compositions.

Key words: computer information, computer crimes, network attacks, DoS attacks, qualification.

В современных условиях развития правового государства в России, важнейшее значение имеет защита конституционных прав и свобод гражданина, в том числе и интернет пространстве, за что предусмотрена уголовная ответственность [1]. В этой сфере появляются все новые способы совершения компьютерных преступлений, наносящих урон различного характера, той или иной сфере жизнедеятельности человека. В ряде случаев правоохранительным органам сложно квалифицировать совершённое

деяние [2]. Мы остановимся на характеристике отдельных способов в этой сфере.

БоБ и ББоБ-атаки как разновидность компьютерных атак стали обычным явлением в цифровой среде два десятилетия назад, и отечественное законодательство выработало практику привлечения к уголовной ответственности по ст. 272 «Неправомерный доступ к компьютерной информации» или ст. 273 «Создание, использование и распространение вредонос-

■^mi

SISK^'

ных компьютерных программ» УК РФ за данные виды атак.

Однако, существует масса вариантов совершения DoS-атак, когда представляется невозможным квалификация преступного деяния по действующему составу 272 или 273 статьи УК РФ. В реальности, диспозиции норм 28 Главы УК РФ не охватывают весь перечень многообразия форм совершения преступлений в сфере компьютерной информации, поскольку техническая сторона исполнения DDoS-атак расходится с составом преступления.

Под DoS-атакой понимается атака на вычислительную систему с целью довести её до отказа, путём создание таких условий, когда пользователи лишены возможности получить доступ к запрашиваемым электронным ресурсам, либо этот доступ становится для них затруднённым[6]. Отчего и название атаки «DoS» - «Denial of Service», что означает «отказ в обслуживании».

Наиболее характерным проявлением DoS-атаки является «flooding» - «наводнение» канала связи или конкретного сетевого устройства (сервера или компьютера) огромным количеством сетевых запросов (часто однообразных), что приводит к отказу системы из-за перегрузки каналов связи. Поскольку атакуемый сервер вынужден отвечать на сетевые запросы своими пакетами данных в нём, и имеет ограниченные потоковые ресурсы обработки и передачи данных, то он не успевает это делать, в результате чего его шкала пропускной способности заполняется, и обычные пользователи не могут обратиться к информации, хранящейся на сервере, из-за его перегруженности.

DDoS-атака «Distributed Denial of Service» - дословно означает «распределённый отказ в обслуживании». Такая атака осуществляется, как правило, на хорошо защищённые сервера, и характеризуется большим количеством участвующих в ней устройств. Характерной особенностью DDoS-атаки является её форма, когда с помощью специальных программ сканируется сеть на предмет различных уязвимостей, за счёт которых внедряются «троянские программы» в сторонние компьютеры. Что, впрочем, зачастую является виной самих владельцев, которые самонадеянно блуждают по ссылкам сети интернет и скачивают нелегальные взломы или нелицензированные и непроверенные версии различных программ. После чего, в час «X», все «заражённые» компьютеры начинают

самостоятельно, без ведома своих владельцев, отправлять запросы на атакуемый сервер. В результате, DDoS-атака приводит к блокированию информации размещённой на атакуемом сервере, что лишает доступа к информации: обычных пользователей, владельцев серверов, обладателей заблокированной информации (авторов, разместивших информацию).

Вместе с тем, анализ судебной практики позволяет выявить определённые проблемы в квалификации совершённых деяний. Дело в том, что при осуществлении DDoS-атаки на Интернет-ресурс неправомерного доступа к компьютерной информации по смыслу статьи 272 УК РФ не происходит. Обращение к компьютерной информации, что находится в открытом доступе, а к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен, является по умолчанию правомерным и не ограничено лимитированным количеством обращений к ней. Иными словами, если одно и тоже лицо открывает один и тот же сайт в сети Интернет одновременно с помощью различных устройств, когда каждый из них имеет свой IP-адрес, то с технической точки зрения, ресурс открывается сразу для множества пользователей, и это не значит, что доступ к компьютерной информации неправомерен.

При DDoS-атаке, неправомерный доступ осуществляется не к упавшему от перегрузки «потерпевшему» серверу, а именно к информации хранящейся на «заражённых» компьютерах - ставших частью сети ботне-та - поскольку в них внедряется вредоносная программа типа «троянский конь». Здесь особенность в том, что «заражённый» компьютер становится частью ботнета, приобретая роль «зомби». Ботнет - «botnet» произошёл от англ. слов robot и network (робот и сеть) - что означает компьютерную сеть из нескольких хостов (устройств) с запущенными ботами (автономным ПО). Поэтому такие устройства чаще называют «компьютер-зомби». Сама конфиденциальная информация, принадлежащая их пользователям, от этого никак не страдает. Сами пользователи в подавляющем большинстве случаев даже не подозревают, что с помощью их устройства проводится DDoS-атака. Исходящий воруемый трафик считается ничтожным, а модификация информации на «компьютерах-зомби» слишком незначительной, чтобы признавать её общественно опасной. Ведь она состоит лишь в том, что на сторонний компьютер устанавливается «троянская программа», которая занимается, по сути, спамом запросов. Внедрённый «троян» выполняет только функцию по направлению запросов на конечный атакуемый сервер и не наносит никакого вреда файлам, хранящимся на «заражённом» компьютере.

То есть, здесь, получается ситуация, когда неправомерный доступ осуществляется к одному ресурсу (обычному пользователю подцепившему

%

SIS4Ü'

троян), а блокирование компьютерной информации происходит совсем на другом информационном ресурсе (который перегружен запросами со стороны «заражённых» пользователей). Таким образом, по статье 272 УК РФ не могут быть квалифицированы ни сами многочисленные запросы на атакуемый ресурс, ввиду отсутствия неправомерности доступа, ни «заражение» компьютеров, становящихся частью ботнета, ввиду отсутствия общественно-опасных последствий.

Поскольку ныне отсутствует уголовно-правовая норма, прямо запрещающая осуществление DDoS-атак, то попытка квалификации DDoS-атак по статье 273 УК РФ является наиболее логичной, но крайне спорной. Дело в том, что вредоносное ПО используется, но для квалификации деяния по статье 273 УК РФ необходимо, чтобы программа была предназначена для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации. Неточность квалификации в данном случае в том, что внедряемый в компьютеры «троянский конь», делающий пользователя частью ботнета - не наносит вреда информации хранящихся на самом компьютере. Блокирование информации на стороннем атакуемом сервере происходит не в результате воздействия на неё этого вредоносного ПО, а в результате большого количества запросов, отправляемых на атакуемый ресурс.

Однако состав ч. 1 ст. 273 УК РФ является формальным, поэтому для признания деяния оконченным преступлением не требуется наступление последствий. «Троянский конь» сам по себе является вредоносной программой, который делает из обычных, но заражённых пользователей, посредников в осуществлении блокирования доступа к информации размещённой на определённым общедоступном сервере, при том, что само блокирование доступа происходит не за счёт программы, а за счёт переизбытка легальных запросов пользователей, которые, в свою очередь, осуществляют эти запросы без ведома для себя. В таком случае, если квалифицировать DDoS-атаку по статье 273 УК РФ, то вред, нанесённый потерпевшему сетевому сервису останется вне уголовно-правовой оценки - что недопустимо. В таком случае, мы вовсе наблюдаем пример, когда вменяют не совершение DDoS-атаки, а ввиду технического исполнения: создание, распространение и использование троянских программ. В таких примерах совершения DDoS-атак важно то, что исполнитель использует не собственные вычислительные и хостинговые ресурсы, а чужие. Важно то, что его программы предназначены быть посредником атак, указателем для «заражённых», а не самостоятельно совершать атаки, что в настоящем - лежит за рамками, должной с технической стороны исполнения, уголовно-правовой оценки 28 Главы УК РФ.

И хотя в настоящее время, судебная практика идёт по пути вменения организаторам DDoS-атак статьи 273 УК РФ, то есть использования вредоносных компьютерных программ, - судами в основном даётся оценка именно по использованию вредоносной программы, однако никак не квалифицируются действия по «заражению» компьютеров [4], которые затем и отправляют сетевые запросы, устраивая DDoS-атаку.

Также следует отметить, что не подлежат уголовному преследованию действия, похожие на DDoS-атаку и имеющие аналогичную цель, но осуществляемые без применения вредоносных программ. Речь идёт о слэшдот-эффекте «Slashdot effect» - когда размещаются ссылки в различных Интернет-ресурсах, с целью резкого повышения посещаемости конкретного сайта, в результате чего сервер перестаёт справляться с потоком запросов от новых легальных пользователей. Часто падение возможностей таких серверов связано с изначальной низкой производительностью сервера, поэтому атаковать такой ресурс возможно без применения «троянов», просто отправляя на атакуемый сервер массивные пакеты данных в большом количестве. Такая атака больше похожа на спонтанный флешмоб, который блокирует доступ к ресурсу и не может как-либо быть квалифицирован с точки зрения уголовного законодательства РФ. Впрочем, крайне сложно урегулировать законом данный вид атак, поскольку предложение перейти на предлагаемый сайт не может быть противоправным. Это обуславливает имеющиеся трудности у силовых структур, реализовывать принципы уголовного права в правовом государстве [5], а именно: законность, что предусматривает, наряду с другими требованиями, привлечение к уголовной ответственности лица, лишь тогда, когда деяние является противоправным. То есть, привлекать лицо к уголовной ответственности по аналогии запрещено законом; принцип вины, то есть лицо должно осознавать, что совершаемое им деяние является уголовно наказуемым, а не проступком или морально осуждаемым окружающими лицами. Не может человек быть привлечён к уголовной ответственности в рамках объективного вменения; такая ситуация, естественно не может соответствовать требованиям справедливости.

Таким образом, имеется необходимость дополнить Главу 28 УК РФ нормами, предусматривающими ответственность за компьютерные DoS и DDoS-атаки в различных технических исполнениях. Сформулировав диспозицию одной из статей следующим образом: «компьютерная атака, то есть целенаправленное информационное воздействие на вычислительную систему с помощью троянских программ и сетей ботнет, направленное на нарушение её функционирования и повлёкшее лишение пользователей возможности получения доступа к запрашиваемому электронному ресурсу». С принятием

этой нормы, в случае, если такая атака осуществляется с помощью вредоносных программ, то их использование охватывается предложенным выше составом и не будет требовать дополнительной квалификации по статье 273 УК РФ, являясь способом совершения

преступления. Введение нового состава позволит правоохранительным органам реализовать принципы уголовного права при квалификации совершённого преступления [6].

Материалы поступили в редакцию 12.02.2020 г.

Библиографический список (References)

1. Сафарли, Э. А. Общая характеристика преступлений в сфере компьютерной информации / Э. А. Сафарли, Ф. А. Вестов // Информационные технологии Сибири : сб.матер. междунар. научно-практ. конфер. - ЗападноСибирский научный центр, 2016. -С. 97-99. - ISBN 978-5-9908668-2-9.

2. Вестов, Ф. А. Правовая культура субъектов правоохранительной деятельности при выявлении и расследования преступлений / Ф. А. Вестов, Е. О. Глухова, О. Ф. Фаст // Правовая культура. - 2017. - №3 (30). - С. 32-37.

- ISSN 1992-5867.

3. Родивилин, И. П. Уголовно-правовое противодействие незаконному ограничению доступа к компьютерной информации в сети Интернет / И. П. Родивилин, А. А. Шаевич // Криминалистические чтения на Байкале - 2015 : материалы Междунар. науч.-практ. конф. -Иркутск, 2015. - С. 275-278. - ISBN 978-5-9624-1216-0.

4. Репецкая, А. Л. Незаконное ограничение доступа к компьютерной информации в сети Интернет: уголовно-правовой аспект / А. Л. Репецкая, И. П. Родивилин // Библиотека уголовного права и криминологии. - 2016.

- № 3 (15). - С. 79-84. - ISSN 2500-4255.

5. Вестов, Ф. А. Институт правового государства и роль в нём силовых структур / Ф. А. Вестов, О. Ф. Фаст // Конституционные проблемы народовластия в современном мире : матер. VI Междунар. конституционного форума, посвящённого 105-летию Саратовского государственного университета имени Н. Г. Чернышевского. - 2015. - С. 40-44.

6. Вестов, Ф. А. Правоохранительные органы и политико-правовые механизмы защиты личности в Российском интернете / Ф. А. Вестов, Е. О. Глухова, О. Ф. Фаст // Известия саратовского университета Новая серия. Социология. Политология. - Вып. 2. - 2017. -Т. 17.

- № 3. - С. 337-340. - ISSN 1818-9601.

1. Safarli, Je. A., Vestov F. A. (2016). Obshhaja harakteristika prestuplenij v sfere kompjuternoj informacii [General characteristics of crimes in the field of computer information]. Informacionnye tehnologii Sibiri : sb.mater. mezhdunar. nauchno-prakt. konfer. Zapadno-Sibirskij nauchnyj centr, P. 97-99. ISBN 978-5-9908668-2-9.

2. Vestov, F. A., Gluhova, E. O., Fast, O. F. (2017). Pravovaja kul'tura sub#ektov pravoohranitel'noj dejatel'nosti pri vyjavlenii i rassledovanija prestuplenij [Legal culture of law enforcement subjects in the detection and investigation of crimes]. Pravovaja kul'tura. No3 (30). P. 32-37. ISSN 1992-5867.

3. Rodivilin, I. P., Shaevich, A. A. (2015).

Ugolovno-pravovoe protivodejstvie nezakonnomu ogranicheniju dostupa k kompjuternoj informacii v seti Internet [Criminal-legal counteraction to illegal restriction of access to computer information on the Internet]. Kriminalisticheskie chtenija na Bajkale - 2015 : materialy Mezhdunar. nauch.-prakt. konf. Irkutsk. P. 275-278. ISBN 978-59624-1216-0.

4. Repeckaja, A. L., Rodivilin, I. P. (2016).

Nezakonnoe ogranichenie dostupa k kompjuternoj informacii v seti Internet: ugolovno-pravovoj aspekt [Illegal restriction of access to computer information on the Internet: criminal-legal aspect]. Biblioteka ugolovnogo prava i kriminologii. No 3 15). P. 79-84. ISSN 2500-4255.

5. Vestov, F. A., Fast, O. F. (2015). Institut pravovogo gosudarstva i rol' v njom silovyh struktur [Institute of the rule of law and the role of power structures in it]. Konstitucionnye problemy narodovlastija v sovremennom mire : mater. VI Mezhdunar. konstitucionnogo foruma, posvjashhjonnogo 105-letiju Saratovskogo gosudarstvennogo universiteta imeni N. G. Chernyshevskogo. P. 40-44.

6. Vestov, F. A., Gluhova, E. O., Fast, O. F. (2017). Pravoohranitel'nye organy i politiko-pravovye mehanizmy zashhity lichnosti v Rossijskom internete [Law enforcement agencies and political and legal mechanisms for protecting the individual in the Russian Internet]. Izvestija saratovskogo universiteta Novaja serija. Sociologija. Politologija. V. 17. No 3. P. 337-340. ISSN 1818-9601.