CC BY
813
УДК 343.2/.7
К.Н. Евдокимов
актуальные вопросы совершенствования уголовно-правовых средств борьбы с компьютерными преступлениями
В статье автор проводит анализ наиболее актуальных проблем, с которыми сталкивается правоприменитель при квалификации компьютерных преступлений, и вносит предложения по совершенствованию действующего уголовного законодательства.
Ключевые слова: компьютерная преступность, преступления в сфере компьютерной информации, неправомерный доступ к компьютерной информации, программы для ЭВМ, вредоносные компьютерные программы.
Применение современных информационных технологий в банковской, торговой, промышленной, научной, образовательной, культурной и других сферах общественной жизни детерминировали существование компьютерной преступности в Российской Федерации, ее динамический рост и качественное обновление, что создает новые угрозы для развития российского общества и государства.
Так, согласно последнему отчету международной компании «Лаборатория Касперского», в 2014 году ее программные продукты заблокировали 6 167 233 068 вредоносных атак на компьютеры и мобильные устройства пользователей. Кроме того, решения «Лаборатории Касперского» отразили 1 432 660 467 атак, проводившихся с 9 766 119 хостов (интернет-ресурсов), размещенных в разных странах мира. При этом 44% атак проводились с веб-ресурсов, расположенных в США и Германии. Также в 2014 году было задетектировано 123 054 503 новых уникальных вредоносных объектов (скрипты, эксплойты, исполняемые файлы и т.д.).
Вместе с тем, по данным «Лаборатории Кас-перского», Российская Федерация занимает 1-е место в мире по количеству атакованных вредоносными программами пользователей мобильных устройств (45,7%); банковских пользователей, атакованных вирусами-троянцами (87,75%); количеству инфицированных через сеть «Интернет» компьютеров (53,81% пользователей) [1].
Кроме того, компьютерные преступления наносят колоссальный ущерб российской экономике.
По оценкам аналитиков международной компании Group-IB, объем рынка киберпреступности в РФ и странах СНГ за второе полугодие 2014 - первое полугодие 2015 года составил почти 4 млрд рублей. В том числе, хищения в интернет-банкинге у юридических лиц - 1 912 320 000 рублей, целевые атаки на банки - 638 000 000 рублей, обналичивание похищаемых средств - 1 192 239 900 рублей. Примерный ущерб от одного хищения в интернет-банкинге у юридических лиц составил 480 000 рублей, а у физических лиц - 76 500 рублей [2].
По данным исследования «2014 Cost of CyberCrime Study», проведенного компанией Ponemon Institute при поддержке HP Enterprise Security, среднегодовой ущерб российской организации от киберпреступлений в 2014 году достиг $3,3 млн [3].
Между тем, по данным ГИАЦ МВД России, общее количество преступлений в сфере компьютерной информации (зарегистрированных в текущем периоде), предусмотренных ст. 272 и ст. 273, 274 УК РФ, в 2009г. составило соответственно 9489 и 2097, 4; в 2010 г. - 6132 и 1010, 0; в 2011 г.
- 2005 и 693, 0; в 2012 г. - 1930 и 889, 1; в 2013 г.
- 1799 и 764, 0; в 2014 г. - 1151 и 585, 3 [4].
Таким образом, за последние шесть лет количество выявленных преступлений в сфере компьютерной информации сократилось более чем в 6,5 раз, с 11590 до 1739 уголовных дел, что не может не настораживать. Поскольку аналитические отчеты экспертов в сфере информацион-
Евдокимов Константин Николаевич, кандидат юридических наук, доцент, доцент кафедры государственно-правовых дисциплин Иркутского юридического института (филиала) Академии Генеральной прокуратуры РФ e-mail: kons-evdokimov@yandex.ru © Евдокимов К.Н., 2016 Статья получена: 12.11.2015
ной безопасности («Доктор Web», «Лаборатория Касперского», Symantec, Group-IB и др.) говорят не столько об улучшении и усилении борьбы правоохранительных органов с преступлениями данного вида, сколько о том, что в данной сфере наблюдается качественная трансформация компьютерной преступности, выраженная в приобретении последней высоколатентного и организованного характера.
Это в свою очередь, по мнению автора, значительно затрудняет эффективное выявление и расследование указанных преступных деяний, а также определяет тенденцию к снижению количества зарегистрированных в РФ уголовных дел о компьютерных преступлениях.
Следует также отметить, что сокращается количество не только выявленных, но и раскрытых преступлений. Так, например, если из находившихся в производстве в 2010 году 1066 уголовных дел (возбужденных по ст. 273 УК РФ) направлено в суд 914, то в 2011 году из 754 уголовных дел в суд направлено 558; в 2012 году соответственно из 953 уголовных дел направлено в суд только 664, а в 2013 году из 860 уголовных дел направлено в суд 575; в 2014 году из 665 уголовных дел в суд направлено 344 [4].
По мнению автора, основной причиной сокращения количества направленных в суд уголовных дел по преступлениям в сфере компьютерной информации является снижение качества предварительного следствия, в т.ч. ошибки следователей при уголовно-правовой квалификации преступного деяния на стадии возбуждения уголовного дела [5, с. 255].
Вместе с тем вопросы уголовно-правовой квалификации компьютерных преступлений в последнее время стали предметом обсуждения российского научного сообщества [6, с. 24-19; 7, с. 12-16; 8, с. 61-64; 9, с. 27, 32].
Однако, несмотря на научную разработанность данной проблемы, на практике, при квалификации преступлений в сфере компьютерной информации правоприменитель часто сталкивается с затруднениями технико-юридического характера.
Так, например, у следователя или судьи возникает проблема при уяснении некоторых понятий, содержащихся в диспозициях ст. 272-274 УК РФ, а именно: «компьютерная программа», «несанкционированное уничтожение, блокирование, модификация, копирование компьютерной информации», «нейтрализация средств защиты компьютерной информации», «средства хранения, обработки или передачи охраняемой компьютерной информации». Это связано с тем, что указанные технико-юридические термины законодательно нигде не определены. Поэтому, как
правило, судьи, прокуроры, следователи вынуждены обращаться к текстам комментариев Уголовного кодекса РФ. Однако в отсутствие разъяснений пленума Верховного Суда РФ выводы авторов комментариев УК РФ носят часто субъективный и взаимопротиворечивый характер. Это, к сожалению, негативно влияет на единообразие судебной практики по уголовным делам о преступлениях в сфере компьютерной информации.
Кроме того, при квалификации деяний, предусмотренных ст. 272-274 УК РФ возникает ряд вопросов, требующих конкретного толкования для правоприменителя Верховным Судом Российской Федерации.
Например, будет ли являться уничтожением компьютерной информации деяние, при котором информация была изначально уничтожена, но спустя определенное время частично или полностью восстановлена специалистами? Как квалифицировать уничтожение компьютерной информации сильным электромагнитным или высокочастотным излучением, не повлекшим уничтожение самого носителя информации? Будут ли являться незаконным копированием компьютерной информации действия преступника при получении копии путем распечатывания информации на принтере, фотографирования или видеосъемки изображения монитора компьютера? Будет ли являться созданием вредоносной компьютерной программы написание вредоносного кода «вирус -мейкером» на бумажном носителе?
Наконец, как квалифицировать несанкционированное ознакомление с компьютерной информацией, когда преступник, визуально запомнив конфиденциальные сведения (например, персональные данные лица; информацию о содержании коммерческой сделки и сторонах договора; сведения об усыновлении (удочерении), врачебную тайну и т.д.), впоследствии переносит их на другой материальный носитель информации, создав ее копию (написав на листе бумаги, введя информацию в память своего компьютера или иного компьютерного устройства: айфона, смартфона, планшетного компьютера, коммуникатора и т.п.).
По мнению автора, описанные деяния и последствия носят противоправный характер и должны учитываться при квалификации преступлений в сфере компьютерной информации.
Кроме того, полагаем целесообразным дополнить главу № 28 УК РФ статьей 272. 1 «Незаконное завладение носителем компьютерной информации с целью осуществления неправомерного доступа к компьютерной информации», предусмотрев наказание до двух лет лишения свободы. Данное авторское предложение осно-
вано на том, что преступник, тайно, открыто или обманным путем завладев носителем компьютерной информации, например, флэш-картой или DVD-диском, для последующего извлечения и использования информации, избегает уголовной ответственности в силу малозначительности совершенного деяния. Учитывая, что стоимость вышеуказанных носителей информации не превышает тысячи рублей, это грозит виновному (в лучшем случае) наступлением административной ответственности по ст. 7. 27 КоАП РФ (мелкое хищение) и наказанием до 15 суток административного ареста. При этом виновное лицо получает доступ к компьютерной информации, представляющей большую ценность для ее обладателя, чем сам носитель информации.
При квалификации преступных действий, предусмотренных ст. 273 УК РФ, следует отметить неудачную юридическую конструкцию ч. 1 ст. 273 УК РФ, в диспозиции которой указывается на «создание, распространение или использование компьютерных программ ... заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации». Указание законодателем на создание, использование и распространение вредоносных компьютерных программ во множественном числе по смыслу статьи можно трактовать как то, что правоприменитель не вправе привлекать к уголовной ответственности лицо, которое создало, использовало или распространило одну вредоносную компьютерную программу.
Также, по мнению автора, нецелесообразным является исключение из диспозиции ст. 273 УК РФ такого преступного действия, как «внесение изменений в существующие программы». Данный вопрос приобретает актуальность в связи с тем, что в последние годы создаются уже не отдельные вредоносные программы, а целые семейства компьютерных вирусов, имеющих в основе однотипный цифровой код, либо лицензионные программы в результате модификаций приобретают вредоносный характер.
Так, например, вирусмейкеры Джеффри Ли Парсон (США) и Димитрий Чобан (Румыния) модифицировали компьютерный вирус «Blaster», который нанес в 2003-2005 годах ущерб от 2 до10 млрд долларов владельцам и пользователям компьютеров в США и странах Европы. Однако, по их признанию, они не создавали вредоносную компьютерную программу «Blaster», а произвели ее модификацию, внеся изменения в существующую вредоносную компьютерную програм-
му, получив тем самым компьютерные вирусы «Blaster.B» и «Blaster.F» [10].
Думается, что с уголовно-правовой точки зрения, постановление пленума Верховного Суда РФ могло бы устранить сомнения в части, считать ли подобные действия модификацией, т.е. внесением изменений в существующую вредоносную компьютерную программу (информацию), либо созданием новой вредоносной компьютерной программы (информации).
По нашему мнению, в данном случае виновное лицо должно нести ответственность в равной степени как за модификацию, так и за создание новой разновидности вредоносной программы.
Кроме того, считаем логичным в число преступных действий, закрепленных в ч. 1 ст. 273 УК РФ, включить такое деяние, как приобретение компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
Свою позицию обосновываем тем фактом, что подавляющее большинство преступников, использующих вредоносные компьютерные программы, не являются их создателями, а приобретают их для преступных целей у представителей хакерского сообщества на специализированных сайтах, форумах или веб-страницах. При этом вредоносные компьютерные программы опасны для общества так же, как и оружие, наркотики, сильнодействующие или психотропные вещества, взрывчатые вещества, за приобретение которых предусмотрена уголовная ответственность. Поэтому, по мнению автора, лица, приобретающие компьютерные вирусы, должны нести уголовную ответственность наравне с лицами, их создающими и распространяющими.
Данная точка зрения ранее уже высказывалась рядом авторов [11, с. 98; 12, с. 86], но законодательного закрепления не нашла.
Вызывает определенное недоумение также установление законодателем в ч. 2 ст. 272, 273, ч. 1 ст. 274 УК РФ уголовной ответственности за причинение крупного ущерба в сумме, превышающей один миллион рублей.
При этом, например, размер крупного ущерба в ч. 1, 2 ст. 146 за причинение вреда авторским или смежным правам установлен в сто тысяч рублей, а за преступления против собственности (ст. 158, 159, 163, 167 УК РФ) в размере, превышающем двести пятьдесят тысяч рублей. Таким образом, по мнению автора, размер крупного ущерба при совершении преступлений в сфере компьютерной
информации явно завышен, что также негативно влияет на борьбу с преступлениями в сфере компьютерной информации.
Кроме того, компьютерная информация, технические средства ее обработки, носители информации могут находиться в собственности физических лиц. Поэтому, по нашему мнению, представляется целесообразным учесть имущественные права и интересы потерпевшего, дополнив диспозицию ст. 272, 273 УК РФ новым квалифицирующим признаком: «с причинением значительного ущерба гражданину...».
С учетом вышесказанного, считаем целесообразным снизить крупный размер вреда, причиненного преступлением в сфере компьютерной информации, и изложить примечание к ст. 272 УК РФ в следующей редакции: «1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
2. Значительный ущерб гражданину в статьях настоящей главы определяется с учетом его имущественного положения, но не может составлять менее двух тысяч пятисот рублей.
3. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает сто тысяч рублей».
Это позволит привести ст. 272-274 УК РФ в соответствие с остальными уголовно-правовыми нормами по вопросу о сумме ущерба, причиненного преступным деянием, устранив в данном случае возникшую коллизию в размерах причиненного вреда.
Продолжая анализ проблем при квалификации преступлений в сфере компьютерной информации, нельзя не остановиться на мотивах и целях преступления.
Необходимо отметить, что в действующей редакции ч. 3 ст. 272 УК РФ и ч. 2 ст. 273 УК РФ в качестве квалифицирующего признака преступления закреплен корыстный мотив: «Деяния, ... совершенные из корыстной заинтересованности». Это положительный шаг в совершенствовании уголовной ответственности за преступные деяния данного вида, т.к., по мнению большинства опрошенных работников правоохранительных органов (74%), корыстный мотив присутствует не менее чем в 90% случаев совершения преступлений в сфере компьютерной информации [13, с. 27].
Однако считаем целесообразным дополнить диспозиции статей 272, 273 УК РФ новым квалифицирующим признаком: «С целью скрыть другое преступление или облегчить его совершение», поскольку преступления в сфере компьютерной ин-
формации часто выступают способом совершения множества других преступных деяний (хищений денежных средств, нарушения авторских и смежных прав, сбыта наркотических веществ, умышленного уничтожения или повреждения имущества, шпионажа, государственной измены и т.д.).
Анализ научных трудов [14, с. 115, 116; 15, с. 58], посвященных совершенствованию уголовной ответственности за преступления в сфере компьютерной информации, подтверждает позицию автора об учете вышеуказанных целей для всесторонней и полной квалификации рассматриваемых преступных деяний.
Нельзя не учитывать и политические мотивы (цели) совершения преступлений в сфере компьютерной информации, которые, по мнению автора, вызваны: 1) развитием хактивистского движения как политического протестного движения против государственного контроля в глобальной информационной сети «Интернет»; 2) причинением вреда государственным интересам, деятельности механизма государственной власти Российской Федерации вооруженными силами враждебных стран путем использования вредоносных компьютерных программ в качестве информационного оружия; 3) деятельностью спецслужб иностранных государств в отношении российских органов власти, учреждений, предприятий для получения информации геополитического, военно-технического, дипломатического и иного стратегического характера, т.е. «кибершпионаж»; 4) неправомерным использованием вредоносных компьютерных программ и компьютерных технологий в период предвыборных компаний для дискредитации кандидатов на выборные должности в органы государственной власти и местного самоуправления.
Поэтому для более эффективного противодействия преступлениям в сфере компьютерной информации автор предлагает дополнить диспозиции ч. 3 ст. 272, ч. 2 ст. 273, ч. 2 ст. 274 УК РФ новым квалифицирующим признаком: «То же деяние, совершенное по политическим мотивам либо с целью устрашения населения или воздействия на принятие решения органами государственной власти и (или) местного самоуправления, воспрепятствования нормальной деятельности средств массовой информации, органов государственной власти и (или) местного самоуправления, государственных и (или) муниципальных предприятий, учреждений», установив уголовное наказание до 10 лет лишения свободы.
Данное предложение, по мнению автора, обусловлено повышенной общественной опасностью «киберсаботажа», «кибершпионажа», «ки-бертерроризма», «кибервандализма» и прочих
компьютерных преступлений политической направленности. При этом автор полагает необходимым также внести изменения в ст. 151 УПК РФ и отнести преступления, предусмотренные
ч. 3, 4 ст. 272, ч. 2, 3 ст. 273, ч. 2 ст. 274 УК РФ, к подследственности органов ФСБ РФ, поскольку данные составы преступлений угрожают национальной безопасности России.
список литературы
1. Kaspersky Security Bulletin 2014. Основная статистика за 2014 год. URL: https://securelist.ru/ files/2014/12/Kaspersky-Security-Bulletin-2014-RU.pdf (дата обращения: 30.10.2015).
2. Тенденции развития преступности в области высоких технологий 2015. URL: http://report2015.group-ib.ru/ (дата обращения: 30.10.2015).
3. URL: http://www.octree.co.uk/Documents/2014-Global-Report-on-the-Cost-of-Cybercrime.pdf (дата обращения: 05.05.2015).
4. Ф-615 кн.1. Преступления в сфере компьютерной информации. Сводный и сборник по России за январь-декабрь 2010-2014 гг. URL: http://mvd.ru (дата обращения: 09.03.2015).
5. Евдокимов К.Н. Актуальные вопросы совершенствования уголовной ответственности за совершение преступлений в сфере компьютерной информации // Проблемы современного российского законодательства: материалы III Всероссийской научно-практической конференции (Иркутск, 3 декабря 2014 г.). Иркутск; М.: РПА Минюста России, 2015.
6. Евдокимов К.Н. Актуальные вопросы уголовно-правовой квалификации преступлений в сфере компьютерной информации // Российский следователь. 2015. № 10.
7. Ефремова М.А. К вопросу об уголовной ответственности за создание, распространение и использование вредоносных компьютерных программ // Информационное право. 2015. № 3.
8. Родивилин И.П. Проблемы квалификации преступлений в сфере компьютерной информации, совершаемых с использованием дистанционного управления банковским счетом и их предупреждение // Пролог. 2014. № 2 (6).
9. Степановегиянц В.Г. Проблемы разграничения неправомерного доступа к компьютерной информации со смежными составами // Право и кибербезопасность. 2014. № 2.
10. URL: https://ru.wikipedia.org/wiki/Blaster_(компьютерный_червь) (дата обращения: 07.10.2014).
11. Максимов В.Ю. Незаконное обращение с вредоносными программами для ЭВМ: проблемы криминализации, дифференциации ответственности и индивидуализации наказания: дис. ... канд. юрид. наук. Краснодар: РГБ, 1998. 168 с.
12. Маслакова Е.А. Незаконный оборот вредоносных компьютерных программ: уголовно-правовые и криминологические аспекты: дис. ... канд. юрид. наук. Орел: РГБ, 2008. 198 с.
13. Чекунов И.Г. Некоторые особенности квалификации преступлений в сфере компьютерной информации // Российский следователь. 2012. № 3.
14. Малыковцев М.М. Уголовная ответственность за создание, использование и распространение вредоносных программ для ЭВМ: дис. ... канд. юрид. наук. М.: РГБ, 2007. 186 с
15. Менжега М.М. Криминалистические проблемы расследования создания, использования и распространения вредоносных программ для ЭВМ: дис. ... канд. юрид. наук. Саратов: РГБ, 2005. 238 с.
