УДК 343.121 DOI 10.24411/2073-0454-2020-10018
ББК 67 © В.В. Гончар, 2020
Научная специальность 12.00.09 — уголовный процесс
ОТДЕЛЬНЫЕ АСПЕКТЫ РАССЛЕДОВАНИЯ КИБЕРПРЕСТУПЛЕНИЙ В ФИНАНСОВО-КРЕДИТНОЙ СФЕРЕ
Владимир Владимирович Гончар, заместитель начальника кафедры информационной безопасности УНК ИТ, кандидат юридических наук
Московский университет МВД России имени В.Я. Кикотя (117437, Москва, ул. Академика Волгина, д. 12) E-mail: [email protected]
Аннотация. Освещены отдельные направления совершенствования деятельности правоохранительных органов по вопросам предупреждения, раскрытия и расследования киберпреступлений в кредитно-финансовой сфере. Выявлены основные проблемы, возникающие при расследовании подобных преступлений, предложены некоторые пути их решения как на уровне руководства финансово-кредитной организации, так и на государственном уровне.
Ключевые слова: киберпреступления, раскрытие киберпреступлений, расследование киберпреступлений, расследование преступлений в сфере компьютерной информации, компьютерные технологии.
SEPARATE ASPECTS OF THE INVESTIGATION OF CYBER CRIMES IN THE FINANCIAL AND CREDIT SPHERE
Vladimir V. Gonchar, deputy head of the department information security UNK IT, candidate of legal sciences Moscow University of the Ministry of Internal affairs of Russia named after V.Ya. Kikot' (117437, Moscow, ul. Akademika Volgina, d. 12) E-mail: [email protected]
Abstract. Certain directions of improving the activities of law enforcement agencies on the prevention, disclosure and investigation of cybercrimes in the credit and financial sphere are highlighted. The main problems that arise during the investigation of such crimes are identified, some ways to solve them are proposed both at the level of the leadership of the financial and credit organization at the state level.
Keywords: cybercrime, cybercrime disclosure, investigation of cybercrime, investigation of crimes in the sphere of computer information, computer technologies.
Citation-индекс в электронной библиотеке НИИОН
Для цитирования: Гончар В.В. Отдельные аспекты расследования киберпреступлений в финансово-кредитной сфере. Вестник Московского университета МВД России. 2020;(1):86-90.
Обеспечение информационной безопасности, защита компьютерной информации, обеспечение защищенности сведений, образующих охраняемую законом тайну, расследование преступлений в сфере информационных технологий и иные подобные проблемы напрямую связаны с обеспечением национальной безопасности государства, защитой конституционных прав и свобод человека и гражданина.
В последние годы разработано и принято значительное количество нормативно-правовых актов в сфере информатизации общественных отношений1. Цифровая форма представления данных является основным фактором производства во всех сферах социально-экономической деятельности. Это позволяет обеспечивать эффективное трансграничное взаимодействие бизнеса, научно-образовательного сообщества, государств и граждан.
Достижение подобных целей невозможно без создания надежной системы безопасности в сфере информационных технологий, где ключевая роль, безусловно, принадлежит сотрудниками правоохранительных органов.
1 ноября 2019 г. открывая заседание коллегии МВД России, министр внутренних дел Российской Федерации В.А. Колокольцев отметил, что цифровая революция принесла не только блага, новейшие технологии все активнее берет на вооружение и криминалитет: «Посредством Интернета совершаются хищения чужого имущества, ведется торговля наркотиками, оружием, людьми, распространяется экстре-
1 Указ Президента РФ от 9 мая 2017 г. № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы» // СПС «Консультант плюс».
мистская литература, вербуются новые члены террористических группировок. Среди новых угроз — мошенничества с использованием сотовой связи, а также средств ГР-телефонии. Преступники научились подменять подлинные телефонные номера кредитных организаций, государственных служб, выдавая себя за их работников. В прошлом году число противоправных деяний, совершенных с применением информационных технологий, увеличилось в два раза, в январе-сентябре текущего года — почти на 70%».
Глава МВД России отметил, что за последние несколько лет многое сделано для повышения результативности предупреждения и пресечения таких преступлений, сокращения возможности использовать передовые технологии в незаконных целях. Совершенствуется нормативная правовая база, в частности, ужесточена ответственность по отдельным видам ГГ-преступлений и административных правонарушений. В практическую деятельность внедряются новые формы и методы противодействия им. Заключены соглашения об информационном взаимодействии в электронном виде между МВД России и государственными органами, а также рядом финансово-кредитных организаций на федеральном и региональном уровнях. Для качественного расследования уголовных дел этой категории создаются следственно-оперативные группы из числа наиболее подготовленных сотрудников.
В прошлом и с начала текущего года в полтора-два раза выросло число раскрытых ГГ-преступлений и направленных в суд уголовных дел. В два раза больше установлено виновных лиц, подчеркнул Владимир Колокольцев2.
Рассматривая преступления, совершаемые с использованием информационных технологий, необходимо выделить преступления в финансово-кредитной сфере.
Преступления, совершаемые в этой сфере, представляют серьезную угрозу информационной безопасности Российской Федерации, носят трансграничный характер, представляют наибольшую сложность в выявлении и расследовании, а методы, способы и средства совершения таких преступлений постоянно совершенствуются3.
В Российской Федерации, по данным Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России, объем не-
санкционированных операций со счетов юридических лиц по итогам 2018 г. составил 1,469 млрд руб. (в 2017 г. — порядка 1,57 млрд руб., в 2016 г. — порядка 1,89 млрд руб., в 2015 г. — порядка 3,7 млрд руб.).
На территории России и за ее пределами объем несанкционированных операций с использованием платежных карт, эмитированных российскими кредитными организациями, в 2018 г. составил 1,384 млрд руб. (в 2017 г. — 0,961 млрд руб., в 2016 г. — 1,08 млрд руб., в 2015 г. — 1,14 млрд руб.) (ФинЦЕРТ)4.
Финансовые институты не всегда в полном объеме оценивают угрозу атак на компьютерную инфраструктуру, не уделяют должное внимание системам защиты информации. Подобным бездействием, упрощается задача хищения денежных средств. Причем, если еще несколько лет назад под угрозой находились денежные средства клиентов банков, на данный момент разрабатываются и используются технологии, позволяющие похищать средства со счетов самих банков5 и «осваивать» новые возможности, например, криптоиндустрию6.
По информации ЦБ РФ, В 2018 г. более 97% хищений со счетов физических лиц и 39% хищений со счетов юридических лиц было совершено с использованием приемов социальной инженерии (злонамеренное введение в заблуждение путем обмана или злоупотребления доверием). Отличительная черта этого вида мошенничества — таргетированность на конкретные группы граждан: конечной целью злоумышленников является перевод средств жертв на их счета, при этом средства ее достижения варьируются7.
Переходя к непосредственному рассмотрению перечня уголовно-наказуемых деяний, подпадающих под понятие «преступления в кредитно-финансовой сфере» следует отметить, что он достаточно широк.
Анализ следственной-судебной практики позволяет утверждать, что преступления данной катего-
2 Информация о заседании коллегии МВД России // URL://-https://xn--b1aew.xn--p1ai/news/item/18808269/
3 Пункт 14 Доктрины информационной безопасности Российской Федерации (утв. Указом Президента Российской Федерации от 5 декабря 2016 г. N° 646) // СПС «Консультант плюс».
4 URL://https://wwwxbr.ru/Content/Document/File/83253/on-rib_2021.pdf
5 Савенков А.Н. Уголовная политика и устойчивость кредитно-финансовой системы // Журнал Российского права. 2016. № 9 (237). С. 86.
6 Group IB: Хакеры переключились с банков на криптоиндустрию // URL://http://www.banki.ru/news/lenta/?id= 10151564
7 URL://https://www.cbr.ru/Content/Document/File/84354/FIN-CERT_report_20191010.PDF
рии обычно квалифицируются по: ст. 159; 159.1; 159.3; 159.6; 160; 172; 174; 176; 187; 193; 193.1 УК РФ8.
Преступления, совершаемые в финансово-кредитной сфере, условно можно разделить две основных группы:
♦ преступления в «классическом виде», например, совершаемые с использованием поддельных документов при осуществлении операций со счетами и денежными средствами, размещенными в финансовых-кредитных организациях;
♦ «киберпреступления», характеризующиеся специфическими признаками, например — использованием современных информационных технологий, трансграничностью, отсутствием прямого взаимодействия пострадавшего и преступника. Именно подобные преступления на данный момент являются наиболее серьезной угрозой для финансово-кредитного сообщества России, так как одной из основных целей преступников являются банки9.
Изучение следственно-судебной практики и опыта работы подразделений кибербезопасности правоохранительных органов и финансово-кредитных учреждений позволило выявить основные проблемы, возникающие при расследовании преступлений, совершаемых с использованием компьютерных технологий, особенно в финансово-кредитной сфере, а именно:
1) длительность (до нескольких месяцев) получения информации, имеющей доказательственное значение по уголовным делам от компаний операторов сотовой связи и финансово-кредитных учреждений (сведений о Log-файлах и IP-адресах ЭВМ, о владельцах сим-карт и банковских карт, движении денежных средств потерпевшего, заподозренного и др.);
2) использование сим-карт и банковских карт для совершения преступлений, оформленных на других лиц, а также смена преступниками мобильных телефонов и абонентских номеров сим-карт;
3) трудности, связанные с определением места совершения преступления, так как в большинстве своем похищенные денежные средства разделяются и переводятся на несколько лицевых счетов в разных регионах России, а зачастую в зарубежные банки;
4) использование технологий, которые противодействуют идентификации пользователей глобальной сети Интернет (например, TOR, VPN, P2P, IP-телефония и т.п.);
5) недостаточное количество специалистов, способных участвовать в процессуальных действиях
при расследовании киберпреступлений и экспертов, имеющих допуск к производству компьютерно-технических судебных экспертиз, значительная длительность их производства, существенная стоимость при проведении в негосударственных экспертных учреждениях (до нескольких сотен тысяч рублей за одну экспертизу);
6) недостаточные сроки хранения электронной информации в финансово-кредитных учреждениях, у операторов платежных систем и операторов сотовой связи;
7) законодательно установленная, достаточно длительная процедура получения судебных решений о наложении ареста на расчетные счета организаций, в которые были перечислены похищенные денежные средства, что в итоге приводит к невозможности заблокировать и вернуть пострадавшим такие перечисления;
8) низкий уровень компьютерной грамотности населения России, что позволяет использовать «социальную инженерию» в преступных целях и убеждать граждан самостоятельно переводить денежные средства злоумышленникам;
9) использование преступниками последних достижений науки и техники. Например, активно используются знания «социальной инженерии», регистрируются попытки правонарушителей «обучить» системы фрод-мониторинга10 финансово-кредитных учреждений, путем осуществления незначительных платежей; переводов денежных средств на другие счета; оплаты штрафов, с целью имитации деятельности обычного клиента, после чего осуществляется попытка хищения большой суммы денежных средств. В результате действий правонарушителей фрод-мониторинг может пропустить данную операцию11;
8 Аналитические материалы СД МВД России в 2017 г.
9 Цифровая угроза, почему хромает борьба с киберпреступ-ностью // URL://https://www.vedomosti.ru /opinion/articles/-2017/08/01/727278-tsifrovaya-ugroza
10 Фрод-мониторинг, или Антифрод (от английского anti-fraud «противодействие мошенничеству»)— автоматическая система, предназначенная для анализа финансовых транзакций, осуществляемых в сети Интернет на предмет соответствия типичным действиям преступников, после чего предлагаются рекомендации по их дальнейшей обработке. Обычно, система «фрод-мониторинг» состоит из определенного набора правил, фильтров и списков, по которым и проверяется каждая операция.
11 Пискунов И. Анти-фрод системы и как они работают // URL://https://www.securitylab.ru/ blog/personal/Informacion-naya_bezopasnost_v_detalyah/339929.php
10) отсутствие единого подхода в различных субъектах Российской Федерации к квалификации однотипных преступлений данной категории12.
Меры по преодолению подобных проблем условно можно разделить на несколько уровней:
Во-первых—это деятельность руководства самих финансово-кредитных организаций по усилению защищенности своей инфраструктуры и систем клиентов. В рамках данной деятельности целесообразно:
♦ запретить сотрудникам финансово-кредитных организаций устанавливать на служебные компьютеры, с инсталлированным программным обеспечением для дистанционного банковского обслуживания, сторонних приложений, позволяющих осуществлять удаленный доступ к этому компьютеру (таких как «Team Viewer», «Радмин» и т.п.);
♦ использовать подключение к сети Интернет на служебных компьютерах, на которых инсталлированы программы дистанционного банковского обслуживания, исключительно для работы с указанным программным обеспечением. Категорически запретить доступ к социальным сетям, почтовым службам, развлекательным, новостным и другим ресурсам сети Интернет;
♦ обеспечение корпоративных компьютеров лицензионным программным обеспечением (операционная система, видеоаудиокодеки, офисные программы, архиваторы и т.д.). Особое внимание следует уделить установке антивирусной программы, позволяющей эффективно блокировать несанкционированный удаленный доступ к этому компьютеру по сети Интернет. Очень важно обеспечить своевременное обновление всего программного обеспечения, особенно антивирусной программы13;
♦ службе безопасности финансово-кредитного учреждения отслеживать и выявлять перечисление крупных сумм денежных средств с расчетных счетов бюджетных организаций на расчетные счета сторонних организаций. В случае выявления таких операций, осуществлять действия по подтверждению проводимой транзакции (телефонный звонок, смс-сообщение), а также информирование инициатора платежного поручения о входе под его учетными данными в систему дистанционного банковского обслуживания и о движении денежных средств;
♦ сотрудникам финансово-кредитной организации не проводить операцию по переводу значительных сумм денежных средств без обязательного
телефонного звонка инициатору платежного поручения, либо ответственному лицу организации.
Во-вторых — это самостоятельное направление государственной политики по обеспечению информационной безопасности страны, реализуемой в том числе правоохранительными органами.
Уже сегодня мы можем наблюдать реализацию этой политики через призму принимаемых нормативно-правовых актов. Так, за последнее время разработаны и приняты:
♦ Федеральный закон от 26 июля 2017 г. N° 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
♦ Федеральный закон от 26 июля 2017 г. № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»»;
♦ Указ Президента Российской Федерации от 5 декабря 2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»;
♦ Указ Президента РФ от 9 мая 2017 г. № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы»;
♦ Указ Президента РФ от 13 мая 2017 г. № 208 «О Стратегии экономической безопасности Российской Федерации на период до 2030 г.»;
♦ постановление Правительства РФ от 19 августа 2017 г. № 983 «О представлении Президенту Российской Федерации предложения о подписании Соглашения о сотрудничестве государств - участников Содружества Независимых Государств в борьбе с преступлениями в сфере информационных технологий» и распоряжение Президента Российской Федерации от 26 августа 2017 г. № 297-рп «О подписании Соглашения о сотрудничестве государств - участников Содружества Независимых Государств в борьбе с преступлениями в сфере информационных технологий»;
12 Аналитические материалы КМУ СД МВД России за 2016 г.; Гончар В.В. Совершенствование расследования преступлений в сфере информационных технологий // Эпоха науки, 2017. № 11. С. 27-31.
13 Основной причиной одной из наиболее массовых кибератак 2017 г. — вируса шифровальщика WannaCry, стала несвоевременная установка обновлений безопасности и использование устаревших версий операционных систем // URL://http://www.-jetinfo.ru/stati/wannacry-osnovnye-sposoby-zaschity
♦ ГОСТ Р 57580.1-2017. Национальный стандарт РФ. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер14.
Данные нормативно-правовые акты являются актуальными в текущей ситуации. Они направлены на противодействие современным угрозам в области информационной безопасности, в том числе в финансово-кредитной сфере.
Необходимо отметить совершенствование подходов различных государственных учреждений, министерств и ведомств к вопросам информационной безопасности. 13 июля на XXVI Международном финансовом конгрессе председатель Банка России Э. На-биуллина заявила, что Регтех (буквально — «регулирование технологий») станет одной из приоритетных задач ЦБ на ближайшие пять лет. По ее мнению, ди-гитализация в финансовой сфере — появление фин-тех-компаний, внедрение big data, работа с открытыми интерфейсами, клауд-компьютеринг (облачные технологии), использование сложных математических моделей в системе управления рисками, системе принятия кредитных решений и т.д. — это создает определенный набор рисков. «Наша задача — выработать единые стандарты работы с базами данных, требования к качеству данных, к применяющимся моделям, к аутсорсингу данных и информационной безопасности»15.
В 2018 г. ФСБ России принят Приказ «О Национальном координационном центре по компьютерным инцидентам», согласно которому Национальный координационный центр по компьютерным инцидентам (далее — НКЦКИ) является составной частью сил реагирования на компьютерные инциденты. Основной задачей НКЦКИ является обеспечение координации деятельности субъектов критической информационной инфраструктуры РФ (далее — КИИ) по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты16.
Считаем, что существенный импульс в совершенствовании предупреждения, раскрытия и расследования рассматриваемых преступлений является подготовка кадров, способных противостоять современным «киберпреступникам».
Для реализации этой задачи требуется глубокая модернизация учебного процесса образовательных учреждений, осуществляющих подготовку специалистов в области информационной безопасности.
Взаимодействие высших учебных заведений с ведущими организациями, имеющими значительную практику в области обеспечения собственной информационной безопасности. Безусловно, такими организациями являются ПАО Сбербанк, Лаборатория Касперского, Positive Technologies и др.
В заключение следует отметить, что в настоящее время финансово-кредитные учреждения, в условиях реализации программы «Цифровая экономика Российской Федерации», являются своеобразными «кровеносными сосудами» экономики страны. Именно поэтому, обеспечение безопасности деятельности данных учреждений должно считаться приоритетным направлением соответствующей государственной политики и деятельности правоохранительных органов.
Несмотря на отдельные успехи в области предупреждения, раскрытия и расследования киберпре-ступлений, совершаемых в финансово-кредитной сфе-ре17, по мнению экспертов, основные стратегии обеспечения кибербезопасности России в международной сфере предполагают выбор между стратегиями, одна из которых заключается в ориентировании на сотрудничество с внешними партнерами и укрепление договорно-правовой базы для глобального регулирования данной сферы, в то время как другая заключается в усилении внутреннего регулирования и ориентации на собственные ресурсы и решения18.
Считаем, что имеет место быть и третья, — наиболее оптимальная стратегия, заключающаяся в готовности сотрудничать с внешними партнерами и поступательном наращивании усилий по укреплению договорно-правовой базы международного регулирования киберсферы; одновременно необходимо усиливать внутреннее регулирование, ориентируясь на внутренние ресурсы и инновационные решения, обеспечивающие достижение национальных интересов России.
14 Утвержден и введен в действие Приказом Росстандарта от 8 августа 2017 г. № 822-ст // СПС «Консультант плюс».
15 ЦБ подрегулирует цифру // URL://https://www.kommersant.-ru/doc/3353353
16 Приказ ФСБ России от 24 июля 2018 г. № 366 «О Национальном координационном центре по компьютерным инцидентам» // СПС «Консультант плюс».
17 Охота на LURK // URL://https://securelist.ru/the-hunt-for-lurk/29220/; ФинЦЕРТ не зафиксировал фактов компрометации ресурсов финансовых организаций в результате атаки Bad Rabbit // URL://https://www.cbr.ru/fincert/fincert04/
18 ЦСР представил доклад о будущем информационной безопасности РФ // URL://http://tass.ru/ekonomika/