Закон и право. 2022. № 2. С. 201-204. Law and legislation. 2022;(2):201-204.
Научная статья УДК 343
https://doi.org/10.24412/2073-3313-2022-2-201-204
NIION: 1997-0063-2/22-114 MOSURED: 77/27-001-2022-2-314
Квалификация информационных атак в банковской сфере: вопросы теории и практики
Лали Озлемовна Ястребова
Финансовый университет при Правительстве Российской Федерации,
Москва, Россия, Yastreb.97@inbox.ru
Аннотация. Актуальность темы исследования обусловлена развитием современных технологий и новых преступных способов воздействия на банковскую сферу.
В статье рассмотрены виды современных информационных атак и дана их правовая оценка. Проанализированы судебная статистика и мнения ученых практиков по таким новым явлениям, как фишинг и социальная инженерия.
Ключевые слова: информационные атаки, квалификация, киберсреда, киберпреступления, фишинг, социальная инженерия, компьютерные атаки.
Для цитирования: Ястребова А.О. Квалификация информационных атак в банковской сфере: вопросы теории и практики // Закон и право. 2022. № 2. С. 201—204. https://doi.org/10.24412/2073-3313-2022-2-201-204.
Original article
Qualification of information attacks in the banking sector: questions of theory and practice
Lali O. Yastrebova
Financial University under the Government of the Russian Federation,
Moscow, Russia, Yastreb.97@inbox.ru
Abstract. The relevance of the research topic is due to the development of modern technologies and new criminal ways of influencing the banking sector. The article considers the types of modern information attacks and gives their legal assessment. It also analyzes judicial statistics and the opinions of academic practitioners on such new phenomena as phishing and social engineering.
Keywords: information attacks, qualification, cyber environment, cybercrime, phishing, social engineering, computer attacks.
For citation: Yastrebova L.O. Qualification of information attacks in the banking sector: questions of theory and practice // Law and legislation. 2022;(2):201—204. (In Russ.). https://doi.org/10.24412/2073-3313-2022-2-201-204.
Пандемия XXI в. предопределила характер взаимоотношений между людьми нового поколения. Глобальная информатизация на начальных этапах неизбежно ведет к непрерывному росту числа уязвимостей в информационных системах. Виной тому и наличие уязвимостей в имеющихся программных решениях, и недостаточное внимание к уже сфор-
© Ястребова Л.О. М., 2022. LAW & LEGISLATION • 02-2022
мировавшимся принципам безопасной разработки, и пресловутый человеческий фактор.
За последний год в средствах массовой информации было опубликовано достаточно много сообщений о новых киберугрозах и информационных атаках как на банковскую инфраструктуру, так и на инфраструктуру клиентских сервисов кредитно-финансовых организаций [4].
Современные атаки на банковскую сферу, в зависимости от ситуации, можно квалифициро-
вать по-разному. Действия злоумышленников можно отнести как к главе 21 УК РФ, так и к главе 22 УК РФ, а в некоторых случаях и к главе 28 УК РФ [11]. Проанализировав судебную статистику, можно сделать вывод о том, что привлечь злоумышленников к ответственности в рамках главы 28 УК РФ действующим сотрудникам правоохранительных органов проблематично.
В качестве примера из судебной практики можно привести самое первое дело о фишинге в России за 2010 г., дело «Братьев Евгения и Дмитрия Попелышевых». Тогда МВД РФ совместно с ФСБ и специалистами из «Лаборатории Касперского» смогли раскрыть преступников, но привлечь к уголовной ответственности было практически невозможно, так как не было оперативно и достаточно убедительно сформированных оснований для возбуждения уголовного дела.
С каждым годом способы хищений совершенствуются параллельно с развитием новых технологий. Об этом свидетельствует статистика Генпрокуратуры России за 2020 г. [10]. В ней отражено, что преступления против собственности, относящиеся к главе 21 УК РФ, переходят в «киберпространство», что вызывает дополнительные сложности в квалификации подобных преступлений.
О каких же информационных атаках на банковскую сферу идет речь? Подробный анализ компьютерных атак в кредитно-финансовой сфере был представлен в обзоре Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), специальным структурным подразделением Банка России. Более подробную механику осуществления подобных посягательств на инфраструктуру кредитно-финансовых организаций, в конечном счете преследующих корыстную экономическую выгоду, рассматривают специалисты международной компании, специализирующейся на разработке инновационных решений в сфере информационной безопасности «Positive Technologies».
Изучив исследования компании «Positive Technologies», можно выделить два основных типа информационных атак. Безусловно, их больше, разумеется, и оснований для более детальной классификации достаточно много.
К основным относятся: Dos-атаки (Denial of Service) — дословно это отказ в обслуживании, атака, которая создает нагрузку на сервер и приводит к отказу всей или какой-либо части системы.
На текущий момент крупные организации научились противодействовать подобным атакам, подключая дополнительные сервера. В качестве примера можно привести массовые сложности со связью в мае 2017 г. такой компании, как «Мегафон», когда было выведено из строя программное обеспечение баз данных.
APT (Advanced persistent threat) — дословно это развитая устойчивая угроза, т.е. целевая атака. Чаще всего используется при внедрении в банковскую инфраструктуру. Характеризуется незаметным проникновением в банковскую среду для дальнейшего изучения и хищения необходимой информации.
ФинЦЕРТ выделяет следующие группы атак:
1) компьютерные атаки;
2) атаки с использованием социальной инженерии.
В первую группу входят атаки:
■ на инфраструктуру организаций кредитно -финансовой сферы РФ;
■ на инфраструктуру клиентов кредитно -финансовой сферы РФ;
■ с использованием программ-шифровальщиков;
■ типа «отказ в обслуживании»;
■ на банкоматы.
Атаки, относящиеся ко второй группе, классифицируются по каналам взаимодействия: почта, звонки, CMC, WhatsApp, Viber.
На текущий момент особое внимание привлекают целевые информационные атаки на инфраструктуру клиентов организаций кредитно-финансовой сферы РФ с элементами социальной инженерии, так как обычные граждане являются самыми незащищенными субъектами в данной среде [4].
Более детально тема фишинга была рассмотрена в научных исследованиях C.C. Хачатурова и Ю.П. Жихарева, выделяющими особые направления для анализа фишинга.
Р.Р. Гайфутдинов проводит подробный анализ личности фишеров.
В.В. Тулегенова, Е.А. Буданова и А.Н. Богомолов предлагают введение дополнительной уголовной ответственности за приобретение или сбыт компьютерных данных и баз данных [цит. по: 7].
Современные кибератаки можно классифицировать по различным основаниям.
Рассматривая через призму состава преступления современные негативные явления в кибер-среде банковской сферы, например, такие, как социальная инженерия и ее подвид фишинг,
ЗАКОН И ПРАВО • 02-2022
правоведы и правоприменители занимают прямо противоположные стороны. Одни придерживаются позиции, что фишинг — это способ, а другие выделяют его в отдельное преступление.
Интересна позиция врио начальника департамента информационных технологий, связи и защиты информации МВД Юрия Войнова о том, что фишинг и социальная инженерия сегодня являются факультативными признаками объективной стороны состава преступления. То есть они рассматриваются не как само по себе преступное деяние, а как способ осуществления общественно опасного деяния [8].
Иная позиция заключается в том, что отечественное законодательство считается, в некотором роде, ограниченным и консервативным в области регулирования современных преступлений в сети Интернет.
В частности, по мнению М.М. Могуновой, российское уголовное законодательство необходимо расширить, добавив статью 272.1 в главу 28 Уголовного кодекса РФ, где фишинг, являю -щийся, по сути, одним из современных видов мошенничества в сети Интернет, будет выделен в качестве отдельного состава преступления [7].
Подводя итоги, можно сделать вывод о том, что в большинстве случаев, с которыми приходилось столкнуться на практике многим, фишинг и социальная инженерия в целом выступают именно как способ осуществления противоправных деяний, предусмотренных нормами УК РФ в статьях 158, 159, 159.3, 159.6.
Если же действительно конечным итогом действий злоумышленника является воздействие на информационную инфраструктуру и полный или частичный вывод ее из строя, а также хищение компьютерной информации с последующей целью извлечения экономической выгоды, то действительно ответственность за осуществление подобных замыслов уже тоже предусмотрена Уголовным кодексом РФ в статьях 272, 273, 274, 274.1, в рамках исследуемых киберпреступ-лений.
В связи с этим введение дополнительных норм в УК РФ нецелесообразно, а вот разработка понятийного аппарата и оценка действий в киберпространстве со стороны Пленума Верховного Суда РФ необходимы в рамках действующей правоприменительной практики.
Список источников
1. Уголовный кодекс РФ от 13.06.1996 № 63-ФЗ (ред. от 05.04.2021, с изм. от 08.04.2021) //
http://www.consultant.ru/document/cons_doc_ LAW_82959/
2. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 №187-ФЗ // http://www.consultant.ru/document/cons_doc_ LAW_82959/
3. Постановление Пленума Верховного Суда РФ от 30.11.2017 № 48 «О судебной практике по делам о мошенничестве, присвоении и растрате» // http://www.consultant.ru/document/ cons_doc_LAW_82959/
4. Обзор Банка России «Основные типы компьютерных атак в кредитно-финансовой сфере в 2019 — 2020 годах» // https://www.cbr.ru/ information_security/analitics/
5. Актуальные вопросы выявления, пресечения и расследования преступлений, совершаемых в банковской сфере: Сб. матер. науч.-практ. семинара (Москва, 24 октября 2017) / Под общ. и науч. ред. А.Ю. Винокурова. М., 2018. 152 с.
6. Аносов A.B. и др. Деятельность органов внутренних дел по борьбе с преступлениями, совершенными с использованием информационных, коммуникационных и высоких технологий: Учеб. пособие: В 2-х ч. Ч. 1. М.: Академия управления МВД России, 2019. 208 с.
7. Могунова М.М. Технология осуществления и правовая регламентация незаконного овладения персональными банковскими данными (фишинг) // Вестник Саратовской государственной юридической академии. 2020. № 4 (135). С. 135—141.
8. Скобелев B. МВД выступило против уголовной ответственности за социнженерию и фишинг // РБК. 2020. 19 мая.
9. Сборник исследований по практической информационной безопасности: ЗАО «Позитив Текнолоджиз» // URL: https://www.ptsecurity. com/upload/corporate/ru-ru/ana (Дата обращения: 04.03.2021)
10. Статистика состояния преступности в России за январь — июнь 2020 года / Офиц. сайт МВД России // https://genproc.gov.ru/upload/ iblock/4fb/sbornik_6_2020.pdf
11. http://stat.xn--7sbqk8achja.xn—p1ai/stats/
ug/t/11/s/
References
1. Criminal Code of the Russian Federation dated 13.06.1996 № 63-FZ (as amended on 05.04.2021, with amendments. from 08.04.2021) // http:// www.consultant.ru/document/cons_doc_LAW_ 82959/
LAW & LEGISLATION • 02-2022
2. Federal Law № 187-FZ of26.07.2017 «On the Security of the Critical Information Infrastructure of the Russian Federation» // http:// www.consultant.ru/document/cons_doc_ LAW_82959/
3. Resolution of the Plenum of the Supreme Court of the Russian Federation dated 30.11.2017 № 48 «On judicial practice in cases of fraud, embezzlement and embezzlement» // http:// www.consultant.ru/document/cons_doc_LAW_ 82959/
4. Review of the Bank of Russia «The main types of computer attacks in the credit and financial sector in 2019 — 2020» // https://www.cbr.ru/infor-mation_security/analitics/
5. Topical issues of detection, suppression and investigation of crimes committed in the banking sector: collection of scientific and practical materials: Seminar (Moscow, October 24, 2017) / Under the total and scientific ed. by A.Yu. Vinokurov. M., 2018. 152 p.
6. Anosov A. V. et al. Activities of internal affairs bodies to combat crimes committed using
information, communication and high technologies: Textbook: In 2 parts. Part 1. M.: Academy of Management of the Ministry of internal affairs of Russia, 2019. 208 p.
7. Morgunova M.M. Technology of implementation and legal regulation of illegal acquisition of personal banking data (phishing) / / Bulletin of the Saratov State Law Academy. 2020. № 4 (135). Pp. 135-141.
8. Skobelev V. The Ministry of internal affairs opposed criminal liability for social engineering and phishing // RBC. 2020. May 19.
9. Collection of research on practical information security: // CJSC «Positive Technologies» // URL: https://www.ptsecurity.com/upload/corporate/ru-ru/ana (Accessed: 04.03.2021)
10. Statistics on the state of crime in Russia for January — June 2020, published on the official website of the Ministry of internal affairs of Russia // https:// genproc.gov.ru/upload/iblock/4fb/sbornik_6_ 2020.pdf
11. http://stat.xn-7sbqk8achja.xn—p1ai/stats/ ug/t/11/s/
Информация об авторе
Ястребова Л.О. — магистрант
Information about the author
Yastrebova L.O. — master's student
Статья поступила в редакцию 13.12.2021; одобрена после рецензирования 08.01.2022; принята к публикации 14.01.2022.
The article was submitted 13.12.2021; approved after reviewing 08.01.2022; accepted for publication 14.01.2022.
ЗАКОН И ПРАВО • 02-2022