СОЦИАЛЬНЫЕ И ГУМАНИТАРНЫЕ НАУКИ
ПРАВО
Научная статья УДК 343
https://doi.org/10.24412/2687-0185-2023-1-144-147 NIION: 2007-0083-1/23-233 MOSURED: 77/27-005-2023-01-432
Меры противодействия киберпреступности: зарубежный опыт
Наиля Рашидовна Шевко1, Сергей Яковлевич Казанцев2, Эльмира Наилевна Хисамутдинова3
1 Казанский филиал Российского государственного университета правосудия, Казань, Россия,
2 Казанский юридический институт МВД России, Казань, Россия, [email protected]
3 Казанский (Приволжский) федеральный университет, Казань, Россия, [email protected]
Аннотация. Представлены меры противодействия некоторых зарубежных стран преступлениям, совершаемым в киберпространстве. Более подробно рассмотрены Закон о компьютерном мошенничестве и злоупотреблениях (CFAA) США, Закон о кибербезопасности Сингапура. Авторами выделены основные положения, а также недостатки и слабые стороны представленных законодательных актов. На основе анализа противостояния преступности в киберпространстве сделан вывод о необходимости комплексного подхода и международного сотрудничества в сфере защиты от киберугроз.
Ключевые слова: киберпространство, компьютерные преступления, киберпреступность, преступления с использованием современных информационных технологий, цифровые технологии, компьютерное мошенничество, кибербезопасность
Для цитирования: Шевко Н. Р., Казанцев С. Я., Хисамутдинова Э. Н. Меры противодействия киберпреступности: зарубежный опыт // Криминологический журнал. 2023. № 1. С. 144-147. https://doi.org/10.24412/2687-0185-2023-1-144-147.
Original article
Cybercrime countermeasures: foreign experience
Nailya R. Shevko1, Sergei Ya. Kazantsev2, Elmira N. Khisamutdinova3
1 Kazan branch of the Russian State University of Justice, Kazan, Russia, [email protected],
2 Kazan Law Institute of the Ministry of Internal Affairs of Russia, Kazan, Russia, [email protected],
3 Kazan (Volga Region) Federal University, Kazan, Russia, [email protected],
Abstract. Presents measures to counteract crimes committed in cyberspace by some foreign countries. The US Computer Fraud and Abuse Act (CFAA) and the Singapore Cyber Security Act are discussed in more detail. The authors highlight the main provisions, as well as the shortcomings and weaknesses of the submitted legislative acts. Based on the analysis of the fight against crime in cyberspace, a conclusion was made about the need for an integrated approach and international cooperation in the field of protection against cyber threats.
Keywords: cyberspace, computer crimes, cybercrime, crimes using modern information technologies, digital technologies, computer fraud, cybersecurity
For citation: Shevko N. R., Kazantsev S. Ya., Khisamutdinova E. N. Cybercrime countermeasures: foreign experience. Criminological journal. 2023. (1):144-147. (In Russ.). https://doi.org/10.24412/2687-0185-2023-1-144-147.
Киберпространство наряду с объединением всех стран и континентов, к сожалению, является и самым простым, быстрым и трансграничным пространством совершения преступных деяний — киберпреступности. Использование сетей (прежде всего, самой распространенной — сети Интернет) в преступных целях нашло широкое распространение в современном мире:
кибертерроризм;
распространение фейковой информации;
кибервойна;
кибершпионаж;
кибератаки, в том числе на критически важную инфраструктуру; киберсаботаж.
© Шевко Н. Р., Казанцев С. Я., Хисамутдинова Э. Н., 2023
SOCIAL AND HUMAN SCIENCES
LAW SCIENCES
мю
Особенностью преступлений, совершенных в ки-берпространстве являются:
• трансграничность, т. е. независимость от расстояний и государственных границ стран;
• сложность в установлении лиц, совершивших преступное деяние, так как в большинстве случаев совершаются они с использованием переадресации, ботов или прокси;
• не требуют специальных знаний и навыков. Большинство деяний совершается по простому алгоритму, доступному в социальных сетях;
• не требуют больших капиталовложений. Чаще всего единственным условием совершения преступления является наличие гаджета, имеющего доступ к сети.
Современные информационные технологии позволили включить в понятие кибербезопасности безопасность практически любого рода — и информационную, и национальную, и экономическую и др. Постоянный рост количества и частоты кибератак не только на компьютерную технику частных лиц, но и постоянные потенциальные и реальные угрозы на корпоративном, государственном уровне, в том числе на объекты критической инфраструктуры вынуждает все страны мира противостоять им, принимать комплексные меры по кибербезопасности, разрабатывать стратегии и доктрины, нормативно-правовую базу, постоянно совершенствовать программно-аппаратные комплексы, совершенствовать организационные меры противодействия.
Понятно, что противостоять киберпреступности необходимо и на государственном, и на международном уровне.
Рассмотрим нормативно-правовые и организационные меры противодействия киберпреступности некоторых зарубежных стран.
Соединенные Штаты Америки. В 1984 г. Конгресс принял Всеобъемлющий закон о борьбе с преступностью, который включал первый федеральный закон о компьютерных преступлениях, позже кодифицированный в 18 ШС § 1030. Когда этот новый закон вступил в силу, в нем были указаны только три новых федеральных преступления. Эти преступления охватывают определенное поведение лица, которое «сознательно получает доступ к компьютеру без разрешения или, получив доступ к компьютеру с разрешения, использует возможность, предоставляемую таким доступом, в целях, на которые такое разрешение не распространяется» [1].
Всего два года спустя Конгресс значительно расширил статут компьютерных преступлений, приняв Закон о компьютерном мошенничестве и злоупотреблениях (CFAA). Первоначальный CFAA был направлен на защиту секретной информации, финансовых записей и кредитной информации на компьютерах государственных и финансовых учреждений. С технической точки зрения, CFAA был поправкой 1986 года к 18 ^С § 1030; однако 18 ^С § 1030 в целом обычно
называют Законом о компьютерном мошенничестве и злоупотреблениях и наоборот.
С помощью CFAA Конгресс намеревался запретить несанкционированный доступ к компьютерам, представляющим «федеральный интерес». Поправка предусматривала дополнительные наказания за мошенничество и связанные с ним действия, связанные с устройствами доступа и компьютерами, а также дополнительную защиту компьютеров, представляющих федеральный интерес. Конгресс попытался ограничить федеральную юрисдикцию в отношении компьютерных преступлений теми делами, которые затрагивают непреодолимые федеральные интересы (когда замешаны компьютеры федерального правительства или определенных финансовых учреждений или когда само преступление носит межгосударственный характер). CFAA также добавил три новых запрета: раздел 1030(а) (4), запрещающий несанкционированный доступ с целью обмана; раздел 1030(а)(5), запрещающий доступ к компьютеру без разрешения и изменение, повреждение или уничтожение информации; и раздел 1030(а)(6), запрещающий торговлю компьютерными паролями.
До внесения в него поправок в 1994 г. CFAA предусматривал уголовные наказания только за запрещенное поведение. В этот момент Конгресс добавил гражданское основание для иска за нарушения CFAA, которое дало частным сторонам возможность получить компенсацию за ущерб, судебный запрет и/или другое средство правовой защиты по праву справедливости.
Конгресс расширил CFAA, включив в него несколько других действий, связанных с компьютерами, в том числе: кражу имущества с помощью компьютера, которая происходит как часть схемы мошенничества; умышленное изменение, повреждение или уничтожение данных, принадлежащих другим лицам; распространение вредоносного кода и отказ в обслуживании; торговля паролями и подобными предметами. В раздел 1030(а)(5) были внесены поправки для дополнительной защиты компьютеров и компьютерных сетей от повреждений, причиненных случайно и даже без какой-либо небрежности. Он распространялся как на посторонних лиц, получающих несанкционированный доступ, так и на внутренних лиц, которые умышленно повреждают компьютер.
Наконец, поправки 1994 г. расширили запрещенную сферу поведения, включив в нее передачи (раздел 1030(а)(5)(А), конкретно запрещающий «сознательное причинение передачи программы, информации, кода или команды», которые «намеренно причиняет ущерб без разрешения»). С этими поправками фокус закона сместился с технической концепции доступа к компьютеру и авторизации на злой умысел ответчика и причиненный вред.
Конгресс постоянно расширял объем и охват CFAA посредством последующих поправок в 1996, 2001, 2002 и 2008 г.
В 1996 г. раздел II Закона об экономическом шпионаже резко расширил статут тремя различными спо-
СОЦИАЛЬНЫЕ И ГУМАНИТАРНЫЕ НАУКИ
ПРАВО
собами. Во-первых, сфера действия раздела 1030(а) (2) была расширена: запрет на несанкционированный доступ, который позволяет получить любую информацию любого рода, если такое поведение связано с межгосударственным или иностранным общением. Законодательная история подчеркивает огромный охват этой новой поправки, уточняя, что получение информации включает в себя просто ее чтение.
За прошедшие годы в него несколько раз вносились поправки, последний раз в 2008 г., чтобы охватить широкий спектр действий, выходящих далеко за рамки его первоначального предназначения. CFAA запрещает преднамеренный доступ к компьютеру без авторизации или сверх авторизации, но не определяет, что означает «без авторизации». Благодаря жестким схемам наказания и податливым положениям он стал инструментом, готовым для злоупотреблений и использования почти во всех аспектах компьютерной деятельности.
Расплывчатость является основным недостатком CFAA. Как написано, CFAA делает федеральным преступлением доступ к компьютеру без разрешения или способом, превышающим разрешение. В результате прокуратура может прийти к выводу, что лицо, нарушающее условия обслуживания веб-сайта или соглашение с работодателем, должно быть приговорено к тюремному заключению. Таким образом, ложь о своем возрасте на Facebook или проверка личной электронной почты на рабочем компьютере могут нарушать этот закон, и будет, соответственно, тяжким преступлением.
Еще одним недостатком CFAA являются избыточные положения, которые позволяют привлекать к ответственности человека несколько раз за одно и то же преступление. Двусмысленность положения, предназначенного для ужесточения приговора для рецидивистов CFAA, может фактически сделать возможным вынесение приговора обвиняемым на основании того, что он ранее судим, но это не что иное, как несколько судимостей за одно и то же преступление.
Сингапур. Законопроект о кибербезопасности был принят 5 февраля 2018 г. и получил одобрение Президента 2 марта 2018 г. и стал Законом о кибербезо-пасности. Закон устанавливает законодательную базу для обеспечения безопасности киберпространства в Сингапуре.
Можно выделить основные направления:
1. Усилить защиту критически важной информационной инфраструктуры от кибератак, которые могут оказать пагубное воздействие на экономику и общество. Закон обеспечивает основу для назначения С11 и дает владельцам СП ясность в отношении их обязательств по упреждающей защите СП от кибератак. Это повышает устойчивость СП, защищая экономику Сингапура и наш образ жизни. Секторы СП: энергетика, вода, банковское дело и финансы, здравоохранение, транспорт (включая наземный, морской и авиационный), информационные коммуникации, СМИ,
службы безопасности и экстренной помощи, а также правительство.
2. Уполномочить CSA предотвращать угрозы и инциденты кибербезопасности и реагировать на них.
Закон уполномочивает Комиссара по кибербе-зопасности расследовать угрозы и инциденты ки-бербезопасности, чтобы определять их влияние и предотвращать возникновение дальнейшего ущерба или инцидентов кибербезопасности. Полномочия, которые могут быть реализованы, откалиброваны в соответствии с серьезностью угрозы или инцидента кибербезопасности и мерами, необходимыми для реагирования. Это гарантирует сингапурцам, что правительство может эффективно реагировать на угрозы кибербезопасности и обеспечивать безопасность Сингапура и сингапурцев.
3. Создать основу для обмена информацией о ки-бербезопасности.
Закон также облегчает обмен информацией, что имеет решающее значение, поскольку своевременная информация помогает правительству и владельцам компьютерных систем выявлять уязвимости и более эффективно предотвращать киберинциденты. Закон обеспечивает основу для CSA для запроса информации, а также для защиты и обмена такой информацией.
4. Создать простую систему лицензирования для поставщиков услуг кибербезопасности.
В настоящее время CSA использует упрощенный подход к лицензированию только двух типов поставщиков услуг, а именно тестирования на проникновение и мониторинга управляемого центра управления безопасностью (SOC). Эти две услуги имеют приоритет, поскольку поставщики таких услуг имеют доступ к конфиденциальной информации своих клиентов. Они также относительно распространены на нашем рынке и, следовательно, оказывают значительное влияние на общий ландшафт безопасности. Система лицензирования направлена на достижение баланса между потребностями безопасности и развитием динамичной экосистемы кибербезопасности.
Закон о кибербезопасности касается кибербезо-пасности и распространяется только на компьютеры, которые полностью или частично расположены в Сингапуре. Полиция Сингапура и Министерство внутренних дел уполномочены расследовать преступления, совершенные в киберпространстве, и преследовать виновных в киберпреступлениях.
Все большую популярность приобретают трансграничная киберпреступность. Так, в апреле 2017 г. в CMCA были внесены поправки, позволяющие полиции проводить расследования нескольких правонарушений CMCA, совершенных из-за границы, если считается, что такие правонарушения наносят или создают высокий риск серьезного вреда для Сингапура. С этими законодательными изменениями полиция теперь может инициировать расследования против киберпре-ступников, находящихся за границей, сотрудничая со своими иностранными коллегами для предоставления
SOCIAL AND HUMAN SCIENCES
LAW SCIENCES
и обмена доказательствами таких случаев. Там, где это возможно, полиция будет работать над экстрадицией этих преступников в Сингапур и привлечением их к ответственности в сингапурских судах.
Трансграничное правоприменение в отношении киберпреступлений является сложной задачей. Сфера экстерриториальной юрисдикции в CMCA была очень узкой, чтобы гарантировать, что ресурсы полиции не будут чрезмерно задействованы для расследования преступлений, которые имеют ограниченное влияние или не имеют никакого влияния на Сингапур.
Некоторые страны могут предусмотреть экстерриториальные полномочия в своем законодательстве о кибербезопасности или киберпреступности, чтобы обеспечить соблюдение мер кибербезопасности или разрешить судебное преследование зарубежных кибе-ратак. Однако обеспечение соблюдения внутреннего законодательства за пределами местной юрисдикции остается проблемой. Создано и активно функционирует Агентство кибербезопасности Сингапура (CSA) — это национальное агентство, которое обеспечивает целенаправленный и централизованный надзор за национальными функциями кибербезопасности в Сингапуре.
Стратегия Сингапура в области кибербезопас-ности направлена на создание устойчивой и надежной цифровой среды для развития «умной нации». Поскольку компании и частные лица стремятся использовать возможности технологий на работе и в
развлечениях, на рынок постоянно выходят новые технологические продукты. CSA предлагает и поддерживает использование схем сертификации, чтобы гарантировать клиентам, что продукт был объективно оценен как более защищенный от киберугроз и что на протяжении всего жизненного цикла продукта применяется подход, предусматривающий безопасность в соответствии с его проектом.
Таким образом, противодействие киберпреступ-ности требует комплексного подхода как на уровне одного отдельно взятого государства, так и на международном уровне. Только совместные усилия всех стран и континентов смогут предотвратить распространение преступности в киберпространстве.
Список источников
1. Законодательство о киберпреступлениях в зарубежных странах // URL://https://ria. ru/20130809/955198703.html.
2. Служба цифровых технологий и разведки Сингапура (DIS) // URL://https://www.tadviser. ru/index.php/
References
1. Cybercrime legislation in foreign countries // URL://https://ria.ru/20130809/955198703.html.
2. Singapore Digital Intelligence Service (DIS) // URL://https://www.tadviser.ru/index.php/
Информация об авторах
Н. Р. Шевко - доцент кафедры уголовно-правовых дисциплин Казанского филиала Российского государственного университета правосудия, доцент, кандидат экономических наук;
С. Я. Казанцев — профессор кафедры криминалистики Казанского юридического института МВД России, профессор, доктор педагогических наук;
Э. Н. Хисамутдинова — доцент кафедры экономической безопасности и налогообложения Поволжского (Казанского) Федерального Университета, доцент, кандидат экономических наук.
Information about the authors
N. R. Shevko - Associate Professor of the Department of Criminal Law Disciplines of the Kazan Branch of the Russian State University of Justice, Associate Professor, Candidate of Economic Sciences;
S. Ya. Kazantsev — Professor of the Department of Criminalistics of the Kazan Law Institute of the Ministry of Internal Affairs of Russia, Professor, Doctor of Pedagogical Sciences;
E. N. Khisamutdinova — Associate Professor of the Department of Economic Security and Taxation of the Volga (Kazan) Federal University, Associate Professor, Candidate of Economic Sciences.
Вклад авторов: все авторы сделали эквивалентный вклад в подготовку публикации. Авторы заявляют об отсутствии конфликта интересов.
Contribution of the authors: the authors contributed equally to this article. The authors declare no conflicts of interests.
Статья поступила в редакцию 05.12.2022; одобрена после рецензирования 16.01.2023; принята к публикации 25.01.2023.
The article was submitted 05.12.2022; approved after reviewing 16.01.2023; accepted for publication 25.01.2023.