CC BY
172
ISSN 1995-5731
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. ПРАВОВЫЕ ПРОБЛЕМЫ И ПУТИ ИХ РЕШЕНИЯ
Правовые проблемы информационной безопасности (ИБ) являются составной частью проблемы законодательства и правоприменения в сфере информационных технологий (ИТ). Рассмотрим общие закономерности применения и оценки информационных объектов в правовой сфере.
Анализ современного состояния законодательства и правоприменительной практики в сфере информационных технологий показывает наличие как минимум четырех концептуальных проблем, без решения которых трудно говорить об эффективной деятельности в указанной сфере.
Проблема первая. Понятийный аппарат К сожалению, далеко не всеми осознается важность выработки единого понятийного аппарата в правовом поле ИТ.
Для того, чтобы решать какие-либо проблемы на качественном уровне, необходимо договориться об общем языке обсуждения. До тех пор, пока собеседники вкладывают разное содержание в одинаковые термины, любой разговор беспредметен.
Без точной и общепризнанной правовой трактовки терминов и понятий ИТ, употребляемых в законах и иных нормативных документах, невозможно их практическое применение, единообразная и корректная квалификация правонарушений в данной сфере.
Для начала раскроем само понятие информация. Может ли информация быть объектом права, а следовательно, объектом пра-вообладания, защиты и т.п.? Строго говоря, нет. Попытаемся сформулировать «гуманитарное» понятие информации на основе управленческого, кибернетического подхода, но без использования специальной терминологии (изоморфизм, гомоморфизм, множества, энтропия и пр.).
Информация - продукт сопоставления неким субъектом управления некоторых сведений (данных, сигналов) извне и собственных знаний, в результате чего этот субъект может принять некое решение1.
Из данного определения очевидно, что сведения и информация - понятия отнюдь не равнозначные. Наличие сведений без осознания их субъектом - еще далеко не информация. Сведения о том, что «индекс RTF на межбанковской валютной бирже упал на 8 пунктов», - отнюдь еще не информация (а для большинства населения - даже не сведения, некий «шумовой фон»!). Только конкретный субъект (физическое или юридическое лицо), обладающий знаниями биржевого сленга, имеющий средства или «голубые фишки», анализирующий свои бизнес-планы и личные намерения, в состоянии принять, используя данные сведения, соответствующее решение: продавать-покупать-ничего не делать.
Между тем, практически во всех нормативных документах, где речь идет, о сведениях (данных), некорректно применяется термин информация, понимаемая в качестве синонима указанных терминов, что, на взгляд автора, вносит неоправданную путаницу в понятийный аппарат. Например, в ФЗ «Об информации, информационных технологиях и защите информации» содержится следующее определение: информация - сведения (сообщения, данные) независимо от формы их представления2.
Исходя из сказанного, в дальнейшем при использовании термина информация будем понимать - сведения (данные).
В серьезных уточнениях нуждаются и многие иные термины, используемые в области ИТ и в российском законодательстве. Особенно такие, как машинный носитель и ЭВМ (компьютер). Эти понятия являются ключевыми в диспозиции ст. 272 УК РФ. От их трактовки, собственно, зависит сама квалификация деяния: подпадает ли оно под указанную статью?
Что такое компьютер (ЭВМ)? Для определенного упрощения будем полагать эти термины равнозначными, хотя, по мнению
1 При этом остается открытым весьма спорный вопрос: может ли быть этим субъектом компьютер?
2 ФЗ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации».
автора, это далеко не так3. Правоприменительная практика уже сталкивается с подобной проблемой.
В 2003 году4 городской суд Пролетарского района столицы Мордовии г. Саранска осудил Андрея Эрзяйкина на один год лишения свободы условно по ст. 273 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ».
Следствием установлено, что программа, созданная Эрзяйкиным, позволяла изменять и обнулять данные по выручке, которые хранились в фискальной памяти контрольно-кассовых машин, изменять дату, количество покупок.
Адвокат подсудимого Сергей Пронча-тов строил защиту на утверждении, что термин «ЭВМ» не применим к кассовому аппарату. Однако суд признал доводы защитника несостоятельными. Вопрос же о том, является ли кассовый аппарат компьютером (ЭВМ), так и остался открытым.
На дворе 2007 год, а уже в начале века появились и получили широкое распространение объекты, весьма отличные от «привычного» ПК, но, по сути, являющиеся таковыми. Как, например, назвать устройство со следующими параметрами: терминал WA3050 от Sagem, сочетающий функции карманного компьютера и сотового телефона стандарта GSM, распознающий рукописный текст, поставляемый с комплектом ПО (Word, Excel, Outlook, Internet Explorer), имеющий ИК-порт, USB-порт, устройство громкой связи, цифровой диктофон и МР3-плеер? Кстати, весит этот «монстр» около 150 г.5.
По мнению автора, в настоящее время целесообразно принять, хотя бы условно, некое самое обобщенное понятие компьютера, под которое должны подпадать любые автома-
3 См., напр., работы автора: Совершенствование уголовной ответственности за преступления, сопряженные с компьютерными технологиями // Уголовное право. 2003. №3. (расширенный вариант см.: http://home. microsoft.com/intl/ru (в соавт.); Понятия и термины в информатике. Проблемы понимания / Мат. межвуз. конф. «Проблемы системного подхода при изучении естественно научных дисциплин слушателями гуманитарных специальностей». Саратов, 2004; Терминологические проблемы преподавания информатики в юридическом вузе / Мат. XIII междунар. конф. «Информатизация и информационная безопасность правоохранительных органов». М., 2004.
4 РИА «Новости», 27.02.2003.
5 Компьютерные решения. 2001. №8. С.1._
тизированные устройства от микропроцессора круиз-контроля в автомобиле до современной программируемой стиральной машины.
Это определение можно представить в следующем виде:
Компьютер - техническое устройство, предназначенное для ввода, хранения, обработки, передачи и выдачи информации
независимо от конкретного технологиче-
6
ского исполнения .
Весьма важен для квалификации деяния ИТ-термин «машинный носитель», входящий в диспозицию ст. 272 УК РФ. Если документ не является таковым, то квалификация деяния по указанной статье вообще невозможна.
Итак, «носитель информации - физическое лицо или материальный объект, в том числе физические поля, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов»7. А что такое машинный носитель? На обыденном уровне это воспринимается как некое перечисление носителей, известных автору того или иного нормативного документа: жесткие диски, дискеты, CD, DVD-диски, ^В-устройства и т.п. Вряд ли кто-то согласится считать таким носителем лист бумаги с печатным текстом. А почему, собственно, нет?
Современные компьютерные технологии по существу стерли грань между машинным носителем информации и «немашинным». Информация с листа бумаги и с дискеты одинаково легко вводится в компьютер. Просто при этом используются различные технические устройства ввода. В первом случае - сканер, во втором - дисковод.
Таким образом, машинный носитель информации - это носитель информации (в смысле указанного ГОСТа), ввод данных с которого в компьютер возможен в автоматическом режиме.
Возможно, что использовать указанное определение следует применительно к конкретному компьютеру, обладающему определенными техническими характеристиками. В частности, вполне возможен вариант, когда этот компьютер оснащен анализатором речи. Будет ли в этом случае голос машинным но-
6 При таком определении ЭВМ - один из частных случаев компьютера, который может быть реализован на биотехнологиях, нанотехнологиях и пр.
7 См.: напр., ГОСТ Р50922-96; Закон РФ «О государственной тайне»._
сителем (по определению ГОСТ голос - носитель информации - физическое поле!)? С другой стороны, считать ли 5-дюймовую дискету машинным носителем? Вроде, бесспорно, но где Вы сейчас найдете компьютер с таким дисководом? У автора лежат несколько коробок с такими дискетами. Вряд ли он когда-нибудь узнает, что на них было. А уж о том, где в настоящее время можно «прочитать» перфоленту, перфокарту или магнитную ленту для ЭВМ «Минск-22», можно не спрашивать. Об этом уместно бы помнить сторонникам и «реализаторам» концепции перевода всех архивов России в цифровой вид. Дело благое, но как бы не забыть своевременно их перезаписывать!
В диспозиции ст.ст. 272-274 УК РФ имеется ряд иных понятий, трактовка которых тоже весьма спорна. В частности, как понимать термины: блокирование, уничтожение, модификация, копирование информации? Особенно сложно с понятием копирование. В частности, будет ли таковым ее чтение (которое, кстати, по непонятным причинам вообще не упомянуто в данных статьях)? Если вспомнить определение носителя по ГОСТ, то скорее всего - да. Чтение - перенос с одного носителя на другой, то есть по сути - копирование. По духу и букве текстов УК и Комментариев - безусловно, нет.
Есть и другие терминологические неувязки. Не совсем ясно, что подразумевается, например, под словосочетанием «система ЭВМ». В современном понимании речь идет о сети (скорее всего, как следует из контекста, о локальной вычислительной сети -ЛВС). В этом случае заключительные слова диспозиции ст.ст. 272, 273 «или их сети» являются повтором. С другой стороны, сеть тоже можно назвать системой ЭВМ. В любом случае желательно соблюсти единство терминов.
Такого рода неточностей можно привести достаточно много, однако их трактовка не оказывает особого влияния на квалификацию деяний. Главные понятия и термины, точная и однозначная трактовка которых насущно необходима, рассмотрены выше: информация, компьютер, машинный носитель.
Проблема вторая.
Информация как объект права
С учетом сделанных выше оговорок, попытаемся сформулировать некоторые особенности информации как объекта права. Де-
ло в том, что информация существенно отличается от тех материальных объектов, с которыми «привыкла» иметь дело традиционная криминалистика и иные правовые науки.
Перечислим некоторые особенности информации, делающие ее уникальным правовым объектом.
1. Как уже сказано, это неоднозначность понятия. В общественном сознании, законодательстве и иных источниках информация трактуется тождественно сведениям или данным. Как показано выше, это не совсем так. Сведения (данные) существуют объективно. Информация возникает только у субъекта, сопоставляющего сведения и свои знания для принятия управленческого решения.
2. Информация не может существовать «сама по себе», она не отделима от носителя. ГОСТ и Законодатель определяют в качестве носителя физические лица и материальные объекты (в том числе физические поля). При относительной простоте данного определения многое остается неясным. Насколько материальны физические поля (например, науке до сих пор не известна физическая природа гравитационного поля)? Не понятно, к какой категории носителей можно отнести живых существ - собаку, попугая, которые, безусловно, могут быть носителями информации (в т.ч. криминалистически значимой), но не являются ни физическими лицами, ни «материальными объектами»?
3. Не определена природа отчуждения информации. К ней не применимо понятие хищения, традиционно связанное с материальными объектами. Украденная (скопированная) информация остается и у ее собственника (владельца). Он продолжает ею пользоваться и распоряжаться.
4. У информации (особенно компьютерной) отсутствует понятие: подлинник — копия, которое является важным признаком для квалификации ряда правонарушений.
5 Сложность определения цены (стоимости). Как известно, материальные объекты имеют цену производства и потребительскую стоимость, которые весьма тесно связаны между собой, отличаясь, как правило, на норму прибыли (кроме предметов искусства, объектов коллекционирования и т.п.). Информация по своей сути обладает только потребительской, то есть определяемой субъектом стоимостью. При этом в случае кражи
(копирования) ее цена может как уменьшаться, так и возрастать8.
6. Недостаточная разработанность этических норм в информационной сфере, и практически полное их отсутствие в обыденной жизни. В общественном сознании преступления, где объектом является информация, зачастую не являются таковыми. Человек, который никогда не посягнет на чужую (материальную!) собственность, без малейшего угрызения совести будет использовать, например, контрафактную программу.
7. И, наконец, о главном - о субъекте преступлений такого рода, который отнюдь не всегда оценивает свои действия как противоправные. Точнее - имеет свои воззрения по этому вопросу.
Следует отметить, что это не просто издержки морали отдельных личностей, это новая субкультура, новая идеология значительной массы людей. В настоящее время в мире существует около миллиарда пользователей «всемирной паутины». Предположим, что хотя бы 10% из них разделяют «Манифест хакера» или «Декларацию независимости киберпространства». (Согласно некоторым исследованиям, таких лиц значительно больше)9. Вот некоторые основополагающие идеи этих документов: «Вся информация должна быть доступной», «Мы творим мир, где кто угодно и где угодно может высказывать свои мнения ... не испытывая страха, что его принудят к молчанию или согласию с мнением большинства», «Ваши правовые понятия собственности, выражение личности, передвижения и контекста к нам не прило-жимы»!
Здесь выражен новый массовый взгляд на право на информацию. Если на минуту встать на эту точку зрения, то нельзя не увидеть определенной логики в вопросах, которые ставят сторонники «открытого информационного мира»:
- почему чиновник решает, что можно, а чего мне нельзя знать?
- почему я не могу иметь доступ к любой книге, опубликованной в Интернете?
- что такое, например, тайна вклада и нужна ли она честному человеку?
8 Данные, сведения безусловно имеют цену производства, но не информация.
9 «Дело Склярова» показало распространенность таких воззрений и их возрастающее влияние._
- открытия, изобретения должны принадлежать всему человечеству или некоему собственнику (за использование бинома Ньютона почему-то никто не платит!)?
- почему фактически запрещена разработка и использование криптографических систем (то есть люди практически лишены права на тайну переписки)?
Такого рода вопросы, конечно, противоречат существующим правовым нормам, но не учитывать, что это мнение многих миллионов, тоже нельзя.
Проблема третья.
Правовые подходы к криминализации правонарушений в сфере компьютерных технологий
Самой серьезной проблемой остается именно криминализация деяний, сопряженных с компьютерными технологиями.
Обстоятельства сложились таким образом, что российский Законодатель предпочел «американский» путь кодификации правонарушений в указанной сфере. Собственно по этому пути пошло большинство государств в мире. Другое дело - оптимален ли такой подход.
Следует признаться, что автор долгое время был сторонником такого подхода. За несколько лет до принятия нового УК РФ (в 1992 г.) он был разработчиком IV главы Закона Республики Беларусь «Об информатизации». В частности, законопроект предусматривал правовую защиту от следующих посягательств на информацию и информационные технологии:
- разглашение информации, то есть придание ее огласке лицом, которому она стала известна в силу его служебных (производственных) обязанностей;
- хищение информации, то есть умышленные действия, направленные на изъятие любым способом данных из систем обработки; подлог в информации, то есть умышленное нарушение ее точности, достоверности;
- неправомерное закрытие (блокирование) информации, то есть умышленное действие, ведущее к недоступности данных для правомочных действий;
- утрата информации, то есть умышленное или неосторожное действие лица, которому были доверены данные в силу его полномочий, в результате которых, данные потеряны и стали (либо могли стать) достоянием посторонних лиц;
- порча информации, то есть умышленное либо неосторожное действие, приводящее к полному либо частичному уничтожению данных;
- нарушение работы систем обработки данных, то есть умышленное или неосторожное действие, препятствующее нормальному функционированию программных, технических средств или каналов связи.
Аналогичным путем создавалось уголовно-правовое регулирование в сфере компьютерной информации в России. Это отразилось, например, в проекте Закона РСФСР «Об ответственности за правонарушения при работе с информацией»10, который предполагал введение целого ряда новых составов преступлений, связанных с компьютерной информацией, и ряде других проектов. В результате мы имеем то, что имеем - гл. 28 УК РФ.
Введение в УК РФ гл. 28 - Преступления в сфере компьютерной информации, по мнению автора, проблемы не снимает, появляется лишь видимость ее решения. Данная глава представляется крайне несовершенной (отчасти это рассмотрено выше), а главное -в ней идет речь лишь о преступлениях, совершаемых в отношении средств компьютерной техники и информации, но не преступлениях, совершаемых с их использованием.
Между тем, как показывает судебная практика, в подавляющем большинстве случаев ИТ - не объект преступления, а инструмент, орудие его совершения. В результате - преступления, совершаемые с использованием современных ИТ, российским УК вообще не квалифицируются (и не учитываются!) в качестве компьютерных.
Может быть, продолжать следовать за законодательствами США и Великобритании, которые продолжают расширять перечень криминализируемых деяний в сфере ИТ?
Вот, например, британский «Закон о терроризме», считающий террористическими действия лиц, которые «серьезно нарушают работу какой-либо электронной системы или серьезно мешают ее работе»11. Аналогично выглядят антитеррористический закон США, известный как «Акт 2001 г.», и закон
10 См.: Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. М., 1998. С. 18; Проект Уголовного кодекса Российской Федерации // Российская газета. 1995. 25 янв.
11 [email protected]._
по повышению компьютерной безопасности (CSEA). Конгресс этим законом ввел в оборот новые понятия, расширяющие трактовку термина терроризм, создав новое законодательное понятие «кибертерроризм», к которому относятся «различные квалифицированные формы хакерства и нанесения ущерба защищенным компьютерным сетям граждан, юридических лиц и государственных ведомств ... включая ущерб, причиненный компьютерной системе, используемой государственным учреждением при . организации национальной обороны или обеспечении национальной безопасности» (ст. 814)12.
Насколько перспективен такой подход? Представляется, что он крайне ограничен. Если следовать указанной логике, то в ближайшее время придется вводить в УК РФ новые статьи, криминализирующие новые виды правонарушений: кибермошенничество, ки-берклевету, кибершпионаж, киберподделку, киберхалатность, киберсаботаж и т. д. до бесконечности, точнее, до исчерпания Уголовного кодекса.
Можно предложить три выхода из сложившейся ситуации.
Вариант 1.
Вообще отказаться от понятия «компьютерные преступления». Для этого следует выбрать вместо общепринятого, «американского» путь, предложенный законодателями Нидерландов. Уголовное и гражданское право этой страны признает компьютерные программы и машинную информацию товаром (собственностью), посягательства на который подпадают под соответствующе статьи УК (кража, порча и т. п.). Такая позиция, по мнению автора, весьма интересна и снимает множество правовых коллизий. При этом, разумеется, остаются реальные проблемы специфики выявления, раскрытия и доказывания такого рода правонарушений, необходимость специальных экспертных методик, сложности в оценке реального материального ущерба и пр. Уходит главная проблема - квалификация преступлений в указанной сфере.
В какой-то мере российское законодательство начало движение в аналогичном направлении. Ряд такого рода понятий уже были введены в правовое поле: собственник информации, владелец информации, пользо-
12 Там же._
ватель информации13. К сожалению, эти термины, ясные любому юристу, политику, бизнесмену и даже рядовому обывателю, в новой редакции ФЗ «Об информации» заменены неким невнятным определением - облада-
14
тель .
Вариант 2.
Представляется, с точки зрения автора, также достаточно перспективным следующий подход: квалифицировать преступления в сфере ИТ по аналогии с гл. 27 УК РФ «Преступления против безопасности движения и эксплуатации транспорта». Преимущества такого взгляда на квалификацию преступлений заключается в том, что в данном случае Законодатель рассматривает транспортное средство как источник повышенной опасности, а не как объект преступления. Таким же источником, по мнению автора, являются в настоящее время ИТ. Если очень сильно упрощать, то ряд статей гл. 27 очень легко (почти путем контекстной замены) «преобразовать» в статьи гл. 28 (тем более, что они расположены рядом). Так, в ст. 263, 264 и 267 достаточно заменить термин «транспортное средство» на «информационная технология», а в ст.ст. 268, 268 «безопасность движения» -на «информационную безопасность». Во всяком случае, при таком подходе легко снимается ряд рассмотренных выше противоречий, а понятие «компьютерное преступление» охватывает достаточно широкий кру реально существующих деяний.
Вариант 3.
Разрешить обозначенную проблему можно и менее радикальным способом, сохранив в неприкосновенности гл. 28, но одновременно добавив квалифицирующие признаки в ряд статей УК РФ. Этот подход был достаточно полно исследован автором ра-
13 «Об информации, информатизации и защите информации» // СЗ РФ, 20.02.95. № 8. Ст. 609.
14 Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
15 Черкасов В. Н. К вопросу об уголовной ответственно-
сти за преступления, связанные с компьютерными технологиями // Информатизация правоохранительных систем: Сб. тр. Х междунар. науч. конф. М., 2002; Быков ВМ., Нехорошее А.Б., Черкасов В.Н. Совершенствование уголовной ответственности за преступления сопряженные с компьютерными технологиями // Уголовное право. 2003. №1._
Здесь нет необходимости подробно анализировать составы соответствующих статей УК РФ. Вполне достаточно привести перечень тех статей, где применение ИТ несомненно увеличивает общественную опасность преступного деяния. Необходимость добавления в эти статьи квалифицирующего признака «с использованием компьютерных технологий» достаточно очевидна и вряд ли может вызвать какие-либо возражения.
Начнем с гл. 17 - Преступление против свободы чести и достоинства личности. Указанный квалифицирующий признак просто «напрашивается» в ст. 129 (клевета), ст. 130 (оскорбление), Следовательно, можно предложить добавить в ч. 2 ст.ст. 129-130 формулировку: «а также распространение в сети Интернет и других глобальных сетях»16.
Гл. 13 - Преступления против конституционных прав и свобод человека и гражданина. Ст. 137 (нарушение неприкосновенности частной жизни), ст. 140 (отказ в предоставлении гражданину информации), ст. 144 (воспрепятствование осуществлению избирательных прав или работе избирательных комиссий). Последнее особенно актуально в связи с предстоящим реальным использованием Государственной автоматизированной системы (ГАС) «Выборы». Это относится и к ст. 142 (фальсификация избирательных документов). Что касается ст. 146 (нарушение авторских и смежных прав), то ее положения должны распространяться на произведения, хранящиеся в цифровой (компьютерной) форме. Это же относится к ст. 147 (нарушение изобретательских и патентных прав).
В гл. 20 - Преступление против семьи и несовершеннолетних: ст. 155 (разглашение тайны усыновления (удочерения)).
Особого внимания требует рассмотрение гл. 21 - Преступления против собственности. В данном случае можно полагать незаконное копирование информации одним из видов кражи, и квалифицировать это преступление по совокупности ст.ст. 158 и 272.
В частности, такой подход будет полезен, когда информация не подпадает под категорию охраняемой законом и, следовательно, не может быть квалифицирована по ст. 272, но является собственностью юридического или физического лица, на создание
16 Такого рода гражданские иски, судя по материалам СМИ, уже возбуждаются._
и накопление которого затрачены определенные финансовые и прочие ресурсы. Хищение (кража, незаконное копирование) такой информации наносит реальный материальный ущерб ее собственнику или владельцу. Аналогично можно трактовать ст. 159 (мошенничество), ст. 160 (присвоение или растрата). Ст. 163 - вымогательство, которое может совершаться с использованием компьютерных технологий, например, с угрозой уничтожения, повреждения или блокирования информации (ст. 272), или угрозой разглашения информации, добытой из автоматизированных банков данных (ст. 272 - копирование). Это относится и к ст. 165 (причинение имущественного ущерба путем обмана или злоупотребления доверием). По совокупности обстоятельств могут квалифицироваться умышленное (ст. 167) или неосторожное (ст. 168) уничтожение или повреждение имущества в тех случаях, когда объектом преступления была компьютерная информация, то есть ст. 272 (уничтожение информации) и, соответственно, ст.ст 167-168.
Особый интерес представляет гл. 22 -Преступления в сфере экономической деятельности, в частности, ст.ст.171 (незаконное предпринимательство), 172 (незаконная банковская деятельность), 173 (лжепредпринимательство), 174 (легализация денежных средств, приобретенных незаконным путем). В настоящее время подобные преступления, как правило, совершаются путем фальсификации компьютерной информации.
«Применение компьютерных технологий» может являться отягчающим обстоятельством при совершении преступления, предусмотренного ст.182 (заведомо ложная реклама) - при размещении ее в сети и, тем более, при незаконном получении и разглашении сведений, составляющих коммерческую или банковскую тайну (ст. 183).
Ст.ст. 186 (изготовление или сбыт поддельных денег или ценных бумаг) и 187 (изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов) не требуют особой квалификации, так как способ изготовления не является для них квалифицирующим признаком. Следует подчеркнуть, что судебная практика отмечает все возрастающую роль компьютерных технологий в указанных деяниях.
Гл. 24 - Преступление против общественной безопасности, ст. 205 (терроризм)
и ст. 207 (заведомо ложное сообщение об акте терроризма), ст. 213 (хулиганство)17. Трудно впрямую отнести к ст. 223 (незаконное изготовление оружия) советы, чертежи, рекомендации по его изготовлению, размещаемые на некоторых сайтах Сети, но правовой оценки такие действия явно требуют. Это же относится к ст. 228 (незаконное изготовление, приобретение, хранение, перевозка, пересылка либо сбыт наркотических средств или психотропных веществ) гл. 25. Следует отметить, что российским уголовным законодательством в сфере преступления против здоровья никаким образом не предусмотрена ответственность за деяния, связанные с использованием компьютерных технологий, которые могут повлечь человеческие жертвы. Между тем зарубежные законодатели такие ситуации в настоящее время предусматривают18. Безусловно, следует включить указанный квалифицирующий признак в ст. 242 (незаконное распространение порнографических материалов и предметов).
Гл. 29 - Преступление против основ конституционного строя и безопасности государства ст. 284 (утрата документов, содержащих государственную тайну).
Было бы целесообразным включить квалифицирующий признак «совершенное с использованием компьютерных технологий» в ст. 292 (служебный подлог) гл. 30 (преступление против государственной власти), в ст. 298 (клевета в отношении судьи, присяжного заседателя, прокурора .) гл. 31 -Преступления против правосудия.
Особого внимания требует ст. 303 (фальсификация доказательств), так как цифровые технологии в принципе позволяют фальсифицировать не только письменные документы, но и звук, изображение и т.д.
Многократно указанный выше квалифицирующий признак можно также отнести к ст. 327 гл.32; ст. 354 гл. 34 и пр.
Проблема четвертая.
Организационно-правовой характер
Здесь следует выделить два аспекта проблемы «информационная безопасность - человеческий фактор».
17 В начале иракской войны российские хакеры - противники вторжения США в Ирак - разместили на официальном сайте президента США нецензурные высказывания. Это хулиганство?
18 Copyright (C) www.Compulenta.ru._
1. Подавляющее большинство нормативных документов, инструкций, наставлений, руководящих указаний в сфере защиты информации сводится зачастую лишь к защите от несанкционированного доступа (НСД). То есть к борьбе с внешними угрозами, в основном, технологического характера. Между тем, как полагает ряд компетентных экспертов, утечка информации лишь в 35% случаев происходит по техническим каналам, в 65% источник такой утечки - сотрудники организации. А по исследованиям В.И. Ярочкина, эти сотрудники делятся на следующие категории: готовы продать информацию - 25% сотрудников - никогда; 25% - всегда; 50% -по ситуации19. По данным Института компьютерной безопасности США и ФБР средний материальный ущерб от внешних посягательств - 56 тыс. дол.; устранение последствий от собственных злоумышленников - 2,7 20
млн дол. .
Число служащих в организации, имеющих доступ к компьютерному оборудованию и информационной технологии, постоянно растет. Доступ к информации больше не ограничивается только узким кругом лиц из верхнего руководства организации. Этот процесс привел к тому, что произошла «демократизация преступления». Чем больше людей получает доступ к информационной технологии и компьютерному оборудованию, тем больше возникает возможностей для совершения компьютерных преступлений.
Типичный компьютерный преступник -это совсем не обязательно молодой хакер, использующий телефон и домашний компьютер для получения доступа к базам и банкам данных. Типичный компьютерный преступник - это служащий, которому разрешен доступ к системе, нетехническим пользователем которой он является.
Следовательно, необходимо включать в соответствующие нормативные документы и инструкции правила и методы выявления нелояльности сотрудников, имеющих доступ к информационным ресурсам. Это должно происходить на всех этапах: при приеме на работу, в ходе работы (отслеживать изменения в мотивациях, воздействие иных лиц, взаимоотношения в организации, заинтересо-
ванность в разглашении, материальное положение субъекта и пр.).
2. Второй аспект «человеческого фактора» заключается в том, что в настоящее время необходимо защищать не только информацию от человека, но и человека от информации. Эта сторона проблемы почему-то зачастую либо упускается из вида, либо игнорируется. То есть необходимо вести речь о защите человека от информационно-психологического воздействия.
Это, может быть, одна из наиболее серьезная проблем, которая, как ни странно, практически не нашла своего отражения ни в научных работах, ни в средствах массовой информации.
Нельзя сказать, что она неизвестна. Например, в номенклатуру научных специальностей введена специальность 05.13.19 «Методы и система защиты информации и информационной безопасности». Одной из областей научного исследования, проводимого в рамках названной специальности, является «изучение методов и способов информационно-психологического воздействия на отдельные личности и людские ассоциации с помощью технических средств, на основании которых разрабатываются средства и методы выявления и манипулятивного воздействия и противодействия ему»21.
Опасность такого воздействия, его распространенность в эпоху внешних и внутренних «информационных войн» выдвигают задачи обнаружения этих явлений и противостояния им на одно из первых мест в иерархии негативных последствий информатизации общества.
Информационно-психологическое воздействие известно и широко применяется с древнейших времен. Им всегда пользовались правители и политические лидеры, журналисты, писатели, учителя. Умелые ораторы, гипнотизеры, поэты всегда владели этим искусством.
По-настоящему опасным стало такое манипулирование лишь с появлением и развитием научных методов воздействия.
В психотерапии новой волны выделяется направление, известное под названием нейро-лингвистического программирования (НЛП).
19 Безопасность информационных систем. М., 1996.
20 Inroad Hi-Tech Review. 06.03.03.
21 См.: Управление защитой информации». 2000. Т. 4. № 2.
Отличительной особенностью методов НЛП является возможность использования, в частности, речи как средства психологического воздействия; причем, в техниках НЛП это воздействие реализуется в основном на бессознательном уровне за счет незаметного проникновения во внутренний неосознаваемый мир человека.
Особенно опасными становятся подобные методы, когда для их реализации используются современные информационные технологии.
Существующие компьютерные психолингвистические экспертные системы (например, система ВААЛ) позволяют оценивать воздействия на подсознание человека русскоязычных текстов, а также:
- составлять тексты с требуемыми характеристиками воздействия;
- оценивать воздействие на подсознание человека отдельных слов русского языка;
- настраиваться на различные социальные и профессиональные группы людей, которые могут быть выделены по используемой ими лексике;
- оценивать эффективность коммуникации по тому, к каким сенсорным каналам восприятия апеллируют в тексте.
Совершенно очевидно, что широкое распространение и использование подобных автоматизированных систем создает совершенно новую ситуацию, многократно повышает опасность массового скрытого манипулирования сознанием целых социальных групп и слоев, требует адекватных средств выявления такого воздействия, разработки соответствующих методов противодействия.
Доктор экономических наук, кандидат технических наук,
профессор, член-корр. 1А1РТ, академик АБОП,
Заслуженный деятель науки Российской Федерации В.Н. Черкасов
