ПРАВОВі АСПЕКТИ ПРОТИДії ФіШИНГУ: ДОСВіД ЄВРОПЕЙСЬКОГО СОЮЗУ Текст научной статьи по специальности «Право»

ПРАВОВ1 ЗАСАДИ НАЦ1ОНАЛЬНО1 БЕЗПЕКИ

УКРА1НИ

Яковюк 1ван Васильович,

доктор юридичних наук, професор, зав/дувач кафедри права Европейського Союзу, На^ональний юридичний ун'/верситет iMeHi Ярослава Мудрого, Укра/на, м. Харш e-mail: yakoviyk@ukr.net Scopus Author ID: 57200072341 ORCID 0000-0002-8070-1645

Волошин Артем Павлович,

аспiрант кафедри права Европейського Союзу,

На^ональний юридичний ун'/верситет

iменi Ярослава Мудрого,

Укра/'на, м. Харш

e-mail: voloshyn8888@gmail.com

ORCID 0000-0002-3600-3778

Шовкун Антон Олексшович,

маг'/стр 1нституту п'/дготовки юридичних кадрiв для СБУ, На^ональний юридичний ун'/верситет iменi Ярослава Мудрого, Укра/на, м. Харш e-mail: toni.shovkun@gmail.com ORCID 0000-0002-5280-8066

doi: 10.21564/2414-990x.149.200028 УДК [343.72:004.738.5]:341.171(4-беС)

ПРАВОВ1 АСПЕКТИ ПРОТИДП Ф1ШИНГУ: ДОСВ1Д еВРОПЕИСЬКОГО СОЮЗУ

Кгбербезпека все частше розглядаеться як фундаментальна проблема держави, що комплексно зачгпае гг безпеку i оборону, економгку, окремi сфери суспгльного життя, зокрема енергетику, охорону здоров'я тощо. Надгйна робота мереж передачi даних, комп'ютерних систем та мобгль-них пристрогв е обов'язковою умовою для ефективного функцгонування держави i суспгльства, життедгяльностг окремого гндивгда. Надгйнгсть роботи ключових гнформацгйних систем загаль-ного користування залежить вгд багатьох чинникгв: кгбератак, збою апаратного та програм-ного забезпечення, ргзного роду помилок. Суттеве зростання кглькостг гнцидентгв у кгберпросторг обумовлюе необхгднгсть системного аналгзу джерел виникнення загроз, на перше мгсце серед яких виходить фгшинг. Запровадження кримгнальног вгдповгдальностг за фгшинг ускладнено тим, що «фгшинг» - це «парасолькове» поняття, яка охоплюе низку розпочатих чи завершених злочингв. Фгшинг-атаки з точки зору кримгнального права можуть вгдповгдати ргзним категоргям злочингв (вимагання, шахрайство, шантаж, правопорушення, що пов'язанг з обробкою персональных даних тощо). Спроба окремих держав запровадити кримгнальне покарання за фгшинг на нацгональному ргвнг не виргшуе проблему, оскгльки для фгшергв, якг працюють по всьому свгту, нескладно обгйти нацгональнг бар'ери. Саме тому протидгя кгберзлочинностг потребуе значних зусиль не лише окремих держав, але й мгжнародних органгзацгй, зокрема бвропейського Союзу.

Ключовi слова: юберпроспр; юбербезпека; юберзлочинтсть; онлайн-шахрайство; фшинг; антифiшинговi шструменти; кримшальне право; бвропейський Союз.

Яковюк И. В., доктор юридических наук, профессор, заведующий кафедрой права Европейского Союза, Национальный юридический университет имени Ярослава Мудрого, Украина, г. Харьков.

e-mail: yakoviyk@ukr.net ; Scopus Author ID: 57200072341 ; ORCID 0000-0002-8070-1645

Волошин А. П., аспирант кафедры права Европейского Союза, Национальный юридический университет имени Ярослава Мудрого, Украина, г. Харьков.

e-mail: voloshyn8888@gmail.com ; ORCID 0000-0002-3600-3778

Шовкун А. А., магистр Института подготовки юридических кадров для СБУ, Национальный юридический университет имени Ярослава Мудрого, Украина, г. Харьков.

e-mail: toni.shovkun@gmail.com ; ORCID 0000-0002-5280-8066

Правовые аспекты противодействия фишингу: опыт Европейского Союза

Кибербезопасность все чаще рассматривается как фундаментальная проблема государства, которая комплексно затрагивает его безопасность и оборону, экономику, отдельные сферы общественной жизни, в частности энергетику, здравоохранение и другие. Надежная работа сетей передачи данных, компьютерных систем и мобильных устройств является обязательным условием для эффективного функционирования государства и общества, жизнедеятельности отдельного индивида. Надежность работы ключевых информационных систем общего пользования зависит от многих факторов: кибератак, сбоя аппаратного и программного обеспечения, различного рода ошибок. Существенный рост количества инцидентов в киберпространстве обусловливает необходимость системного анализа источников возникновения угроз, первое место среди которых занимает фишинг. Введение уголовной ответственности за фишинг затруднено тем, что «фишинг» - это «зонтичное» понятие, которое охватывает ряд начатых или завершен -

ных преступлений. Фишинг-атаки с точки зрения уголовного права могут соответствовать различным категориям преступлений (вымогательство, мошенничество, шантаж, правонарушения, связанные с обработкой персональных данных и т.д.). Попытка отдельных государств ввести уголовное наказание за фишинг на национальном уровне не решает проблему, поскольку для фишеров, которые работают по всему миру, несложно обойти национальные барьеры. Именно поэтому противодействие киберпреступности требует существенных усилий не только отдельных государств, но и международных организаций, в частности Европейского Союза.

Ключевые слова: киберпространство; кибербезопасность; киберпреступность; онлайн-мо-шенничество; фишинг; антифишинговые инструменты; уголовное право; Европейский Союз.

Постановка проблеми. Стрiмке розширення загроз нащональнш безпещ у XXI ст. покладае на органи держано! влади завдання щодо !х попередження, виявлення та нейтралiзацi!. Серед найбшьш небезпечних загроз для Укра!ни — юберзлочиншсть, яка реалiзуеться через мережу 1нтернет. I це зрозумшо. На сучасному еташ i у подальшш перспективi розвиток як окремих сусшльств i держав, так i загалом свггу буде здшснюватися вщповщно до концепцп шфор-мацшного суспiльства, що пов'язана з використанням iнформацiйних i теле-комунiкацiйних технологiй у придбанш, зберiганнi та обробцi шформацп у повсякденному житт [2; 42].

Актуальшсть нашого дослiдження обумовлена вразливiстю ыберпростору1 та його базово! iнфраструктури до рiзного роду кiбератак (порушення корпоративно! безпеки, фшинг, вимагання в сощальних мережах тощо), якi пере-творилися на одну з найнебезпечшших загроз для особисто!, нацiонально!, регюнально! i глобально! безпеки. Так, станом на 2012 р. ыбератаки коштували 114 мiльярдiв доларiв США щороку, а з урахування часу, витраченого на вщ-новлення нормально! роботи на усунення, загальна варткть ыбератак досягне приголомшливих 385 мiльярдiв доларiв [34, с. 973]. Крiм того, слвд брати до уваги, що оскшьки кiбератаки дешевшi, зручнiшi та менш ризиковi, нiж фiзичнi атаки, сьогодш в кiберпросторi вчиняеться значна частка традищйних злочинiв (виробництво та розповсюдження дитячо! порнографГ!, банкiвськi та фiнансовi шахрайства, порушення iнтелектуально! власноси, злочини з криптовалютою тощо), яы спричиняють украй негативнi гуманiтарнi, економiчнi та правовi наслiдки [46, с. 4017].

Юбербезпека бiльше не е проблемою винятково комп'ютерно! безпеки. У !! забезпеченнi зацiкавленi усi держави, осюльки вiд !"! стану залежить, чи буде продовжувати ефективно функщонувати ыберпроспр у ситуацп кiбератаки.

1 Донедавна термши з префжсом «юбер» мало вживалися в укра!нському законодавствг Нато-м1сть широко використовувалося поняття «шформацшна безпека». Ввд початку росшсько-укра!нського конфлжту у законодавств1 почало застосовуватися як поняття «шформацшна безпека» («Доктрина шформацшно! безпеки Укра!ни», 2017) [24], так 1 «юбербезпека» («Стратегия юбербезиеки Укра!ни», 2016) [59]. При цьому вказаш акти не пояснюють зм1ст ввдповвд-них понять, не розкриваеться 1 сшвввдношення м1ж ними, що шкодить як нормотворчш, так

1 правозастосовнш та штерпретацшно-правовш д1яльност1. Зважаючи на прагнення Укра!ни набути членства в бвропейському Союз1, доцшьно у вггчизняному законодавств1 оперувати поняттями «юберпроспр» та «юбербезиека, що бшьшою м1рою ввдповвдае европейському тд-ходу до правового регулювання ввдповвдних ввдносин.

Тож держави вимушеш виокремлювати в рамках полГтики нащонально! безпеки такий !! шдвид, як юбербезпеку, а також вдаватися до формування вщповщних структурних шдроздШв в органах безпеки.

Попри те, що тематика юбербезпеки в Укра!ш все частiше артикулюеться на найвищому державному рiвнi, науковi дослiдження, а також реальнi заходи в цш сферi все ще залишаються багато в чому фрагментарними та несистемними [26, с. 120] i далеко не завжди враховують шдходи бвропейського Союзу в питаннях запровадження правово! вiдповiдальностi за юберзлочини.

ÄHaMi3 остантх дослiджень i публтацш. Проблематика ыбербезпеки привертае значну увагу науковщв з кiнця ХХ ст. ДослГдження в цiй сферi традицшно мають мiждисциплiнарний характер. До наукових розвщок, присвячених правовим проблемам ыбербезпеки, можна вiднести публГкацп зарубiжних (H. Bruijn [8], K. E. Eichensehr [27], U. Gorham-Oscilowski [32], P. T. Jaeger [32], J. Jang-Jaccard [34], M. Janssen [8], C. Leuprecht [40], S. Nepal [34], D. C. Schleher) [51] i вГтчизняних (О. А. Баранов [3], Д. В. Дубов [26], Б. А. Кормич [37], В. А. Лшкан [47]) авторiв.

Мета та завдання дослгдження. Метою статт е визначення ключових стратепчних проблем i шляхiв !х вирiшення задля розбудови ефективних меха-нiзмiв забезпечення ыбербезпеки в частинi протидп злочинам фГшингу. ВГдпо-вiдно до мети визначаються такi завдання: визначити типи та вплив ыбератак; визначити ФГшинг як одну з найважливГших загроз ыбербезпеки; проаналГзу-вати таксономiю рГзних тишв ФГшингових атак та засобiв захисту користувачiв вГд них; визначити сучаснi пГдходи бвропейського Союзу в питаннi запровадження кримшально! вiдповiдальностi за ФГшинг; шдвищити рiвень обiзнаностi громадськостi у питаннях кримшально-правово! ГдентифГкацп фГшингу.

Виклад основного матерiалу. Вибух шформацшних технологГй стрГмко змГнюе всГ аспекти сучасного сощального, полГтичного, культурного та економГч-ного життя. Глобальне медГа-агентство We Are Social та розробники платформи для управлшня сощальними мережами Hoot Suite на початку 2019 р. представили звГти, вщповщно до яких наприкшщ 2018 р. користувачами штернету були 4,021 млрд осГб (53 % вщ населення планети), тодГ як в 2015 р. доступ до МережГ мали 3,2 млрд людей (43 %), а в 1995 р. цей показник становив лише 1 % [52]. В Укра!ш штернет-аудиторГя в 2018 р. становила 70% вщ населення (лише за 2018 р. вона зросла на 11 %) [57].

АналГз, проведений на замовлення агентства Culumus Media в 2019 р., демонструе вражаючГ обсяги шформацп, що транслюються з сощальних мереж, e-commerce-сайтГв, месенджерГв та шших ресурсГв в штернетГ кожну хвилину [49]. Зважаючи на отримаш данГ, а також позитивну динамГку зростання кГлько-стГ користувачГв Гнтернету, можна впевнено стверджувати, що людство стрГмко просуваеться до формування дшсно глобального ГнформацГйного суспГльства. У такому суспГльствГ життя як окремого шдиввда, так i рГзних сощальних груп, суспГльства, держави i свГту в цГлому буде залежати вщ стану кГберпро-стору, його безпеки i надГйностГ. Це пов'язано з тим, що вщкритий та вГльний

кГберпростГр розширюе свободу i можливост людей, збагачуе суспiльство, створюе новий глобальний штерактивний ринок iдей, дослщжень та iнновацiй, стимулюе вiдповiдальну та ефективну роботу влади [59].

Однак глобальш технолопчна та iнформацiйна революцп, як i будь-якi iншi сощальш явища, окрiм позитивного впливу на сусшльний розвиток мають i зворотнш бiк - мова йде про !хш негативнi наслiдки, якi породили чимало проблем i небажаних явищ та процесiв. Йдеться не лише про виникнення глобального цифрового розриву мiж розвиненими кра!нами та рештою свiту, який носить iнтегральний характер i включае в себе розриви в економщ, освiтi, рiвнi життя, доходах, харчуванш i т. ш. [29]. Не менш негативний, руйшвний характер мають кiберзлочиннiсть, кiбертероризм та iншi явища, що становлять безпосередню загрозу нацiональнiй безпецi держави [9]. Слщ зазначити, що хоча юбербезпека е однiею з найважливiших проблем, пошформовашсть гро-мадськостi щодо не! залишаеться обмеженою i поверховою.

1нтернет дав потужний поштовх для розвитку масово! комунiкацi!, торгiвлi та обмшу iнформацiею. Разом з тим сьогодш вiн е тiею сферою, де здшсню-еться чимало правопорушень. Знеособлений характер цифрово! iнфраструктури зробив крадiжку iдентичностi природним i надзвичайно привабливим проектом [60, с. 186]. Юберзлочинщ активно використовують рiзнi засоби викрадення шформацп, зокрема фГшинг.

Питання фальшиво! щентичност в iнтернетi - це стара проблема, яка досi не отримала ушверсально правового розв'язання попри те, що захист конфщен-цшност е ключовою полiтичною метою Ради бвропи i бвропейського Союзу (право на конфщенцшшсть закрiплено ст. 8 бвропейсько! конвенцГ! про права людини [28], статтями 7, 8 ХартГ! основних прав бвропейського Союзу [10] та Директивами 95/46 / GC та 97/66 / GC) [18].

Онлайн-сервки стали невiд'емною складовою нашого життя: вони сут-тево спрощують доступ до iнформацi! користувачам i зменшують експлу-атацiйнi витрати надавачам послуг. Однак користування онлайн-сервГсом потребуе певного рГвня технiчних навичок, якими володшть далеко не усГ користувачi 1нтернету. Саме категорiя таких неосвТчених, на!вних корис-тувачiв часто стае жертвою фшингу, який е одним з найбшьш поширених злочинГв в 1нтернеть

ФГшинг («рhishing») також вщомий як «пГдробка бренда» («brand spoofing») або шахрайство з платГжними картами («carding»), - це вГдносно новий (порГвняно з вГрусними атаками i хакерством) рГзновид кГберзлочину, метою якого е викрадення шляхом застосування комбшацп рГзних методГв соцГально! ГнженерГ! та шдробки вебсайтГв конфГденцГйно! ГнформацГ! еконо-мГчного характеру (таких особистих даних, як Гм'я, дата народження, адреса, номер телефону, номер страхового свГдоцтва, номери кредитно! i медично! карток, облжовий запис i паролГ, шформащя про банкГвський рахунок, номер посвГдчення водГя) для скоення у подальшому крадГжок, шахрайства чи Гнших злочинГв [60, с. 187; 61, с. 290; 41].

Рис. 1. Класифшащя фГшинг-атак [Наведено за: 33].

Небезпечтсть фГшингу обумовлена передусГм шкодою - вш завдае пряму фшансову шкоду, а також породжуе «кризу довiри»1 до операцш в iнтернетi, адже через суттевi втрати вiд фiшинг-атак окремi фiнансовi iнститути вщмов-ляються вiд оплати i покладають вiдповiдальнiсть на клiента [5], пiдривае мар-кетинговi зусилля i загальний iмiдж компанiй (на фiнансовi установи (банки та кредитт спiлки) зазвичай спрямовано 60-80 % фГшинг-атак), - яку вiн завдае електроннш комерцП, а також стрiмким його поширенням унаслiдок феноменально"! при6утковостГ iнвестицiй у ФГшинг2. 1снуе думка, що за при6утковГстю глобальна юберзлочинтсть випереджае навГть торгГвлю наркотиками [43, с. 41]. В окремих випадках фГшинг-атаки можуть нести загрозу також нащональним штересам3, регГональнГй i мГжнароднш безпецГ4. Також е ще один момент, який

1 Загальноввдомо, що довГра е визначальним фактором усшху електронного банкшгу [35; 30].

2 Проведений аналГз засввдчуе, що на ввдправку 10 000 000 електронних листГв у мГсяць ф1шинг-шахра1 витрачають 160 доларГв. НавГть якщо на цГ листи дадуть вГдповГдь лише 0,001 % людей, прибуток шахра'Гв становитиме майже 125 000 доларГв [53, с. 5].

3 Так, пГд час президентсько'Г виборчо'Г кампанГГ 2019 р. пГд удар фГшинг-атак потрапили сервери та персональнГ комп'ютери спГвробГтникГв ЦВК Укра'Гни. У липнГ 2017 р. зловмисники нама-галися скомпрометувати робочГ станцГГ працГвникГв на атомних електростанцГях, розсилаючи нацГленГ фГшинговГ листи. У травнГ 2016 р. мала мГсце спроба фГшингово'Г атаки на поштовГ системи Християнсько-демократичного союзу — полГтично'Г партГГ Ангели Меркель. У березнГ 2016 р. шд час президентсько'Г кампани в США було «зламано» облГковий запис електронно'Г пошти в Google голови виборчого штабу кандидата в президенти Х. КлГнтон Дж. Подести.

4 У березш 2020 р. масовГ фГшинг-атаки були спрямованГ на системи ВсесвГтньоТ органГзацГТ охо-рони здоров'я (ВООЗ). Лише у ВеликГй БританГ'Г шахра'Г на епГдеми коронавГрусу заробили 1 млн доларГв. Шахра'Г видавали себе за спГвробГтникГв Центру з контролю i профГлактики захво-рювань або ВООЗ, використовуючи рГзнГ схеми - в1д доставки захисних масок до фГшингових атак через електронну пошту. Було зареестровано понад 4000 доменГв, пов'язаних з коронавГ-русом. У березш 2018 р. МГнГстерство юстици США висунуло пГдозру Гранським хакерам, як1

змушуе говорити про небезпечшсть даного правопорушення, - кГберзлочини, зокрема фГшинг, е рГзновидом органГзовано! злочинностГ [7].

ПересГчному Гнтернет-користувачу розпГзнати фГшинг-атаку бувае досить складно через його довГрливГсть1 i погану обГзнанГсть з методами i тактиками фГшингу, якГ постшно оновлюються (спам дедалГ частГше поеднуеться зГ зло-вмисним програмним забезпеченням) [38].

Науковщ УнГверситету КарнегГ Меллон (Carnegie Mellon University) встано-вили наступш причини вразливостГ людей до фГшингу. По-перше, штернет-ко-ристувачГ схильш оцГнювати законнГсть вебсайту за його «зовшшшм виглядом», який шахра! легко дублюють. По-друге, багато користувачГв не розумшть i не довГряють показникам безпеки у веббраузерах. По-трете, хоча деякГ споживачГ знають про фГшинг, ця обГзнанГсть не зменшуе !х вразливостГ або не надае корисних стратегш для виявлення фГшинг-атак. По-четверте, сприйняття сер-йозностГ наслГдкГв фГшингу не породжуе належну поведшку користувачГв [55; див. також: 23; 25; 621.

36ip Розвнток Ексттуатлщя Досягнення

шформаци —» виноснн —> виноснн —> мети

Рис. 2. Етапи фГшинг-атак [Наведено за: 44 ].

РозрГзняють чотири основш методи, що застосовуються фГшерами.

«Dragnet Method», який передбачае використання спам-електронш листи, вебсайти, спливаючГ вГкна або пГдробленГ рекламш банери з фальсифГкованою корпоративною щентифшащею (наприклад, товарнГ знаки, логотипи i фГрмовГ найменування), якГ адресованГ великш кГлькостГ людей (наприклад, клГентам банку або членам оргашзацп конкретного сайт-аукщону). Цей метод не передбачае виявлення заздалепдь конкретних потенцГйних жертв, оскшьки адресати беруться з випадково! бази даних.

«Rod-and-Reel method» (spear-phishing). Щльовий фГшинг бГльш небез-печний, оскшьки спрямований на конкретну щльову жертву (використовуе

розГслали ф1шингов1 листи понад ста тисячам науковцГв по всьому свГту. Жертвами атаки стали понад 140 унГверситетГв та 30 компанГй в США, та 176 унГверситетГв у 21 1нш1й кра!нГ. У аме-риканських установ було викрадено близько 31 терабайта даних, вартютю близько 3,4 млрд долар1в.

1 Анал1з взаемозв'язку м1ж демограф1ею та сприйнятлив1стю до фГшингу св1дчить про те, що жертвами фГшингу частГше стають жГнки, анГж чоловГки (чоловГки мають бГльше шансГв правильно розрГзнити фГшинг та законнГ вебсайти, нГж жГнки (75,5 % правильно проти 64,4 % правильно)), а молодь (18-25 р.) бГльш чутлива до фГшингу, нГж ГншГ вГковГ групи. Також потенцГйними жертвами фГшингу е люди з вадами зору, оскГльки вони виключно покладаються на слуховГ сигнали, отриманГ вГд екранного зчитувача [55; 56].

людський фактор, здатшсть людини приймати необдуман i спонтанш рГшення), стосовно яко1 спещально збираеться шформащя аби зробити адресоване 1и послания бГльш переконливим. Структура даного фГшингу бГльш складна i складаеться з таких послщовних крокГв: 1) планування (проведення розвГдки, аналГз вразливостГ, вибГр хитрощГв); 2) пГдготовка (складання листа, розробка засобГв атаки); 3) атака (вГдправка листа, впровадження шкГдливого ПЗ); 4) збГр (збГр шформацп шкщливим ПЗ, отримання i аналГз шформацп); 5) шахрайство (використання шформацп, продаж шформацп, шантаж); 6) завершення (лш-вщащя доказГв, позбавлення переслГдувачГв, ощнка ефективностГ) [63, с. 99].

«Lobsterpot Method». Вш полягае у створенш вебсайтГв, схожих на законш корпоративнГ вебсайти, якГ вузько визначають клас жертв фГшерами. Менший клас потенцшних жертв визначений заздалегГдь, але не викликае реакцп жертви. Достатньо того, що потершлий сприйняв шдроблений вебсайт як легальний i надав шформащю про особистГ данГ. У рамках цього методу шдробка вГдбу-ваеться на рГвнГ протоколу. Мета шахрая полягае або в отриманш доступу до захищеного сайту, або в маскуванш його справжньо1 особи. При цьому шахрай може викрасти адресу жертви, фальсифшуючи шформащю про маршрутизащю повщомлення, щоб здавалося, що воно прийшло з акаунта жертви замГсть його власного [50].

«Gillnet phishing Method». На вщмшу вщ попередшх методГв «Gillnet phishing» меншою мГрою зорГентований на соцГальну шженерш. ФГшери вво-дять шкГдливий код в електронш листи та вебсайти.

РозмГрковуючи над програмою захисту вГд фГшинг-атак, слГд зазначити, що зосередження уваги лише на техшчному оснащенш системи захисту Гнфор-мацй' е помилкою, оскГльки успГшнГсть даних злочишв обумовлена насамперед людським фактором. Хоча у науковш лГтературГ наведено численш технГчнГ рГшення щодо попередження та нейтралГзацп фГшинг-атак, слГд погодитися з тим, що жодне Гз запропонованих рГшень не стало «срГбною кулею» у боротьбГ проти фГшингу [54].

Серед заходГв, спрямованих на захист вГд фГшинг-атак, передусГм слГд вка-зати на заходи органГзацГйного характеру, якГ повиннГ бути спрямованГ зокрема на навчання користувачГв, пГдвищення 1хньо1 обГзнаностГ. На необхГдностГ запровадження громадсько1 ГнформацГйно-просвГтницько1 кампанй' та пропа-гандГ кращих практик у сферГ юбербезпеки бвропейська Рада наголошувала ще в 2001 р. [13]. Дана рекомендащя залишаеться актуальною та практично значущою i сьогодш. У регламент 6С 2019/881 наголошуеться, що створене в 2004 р. бвропейське агентство з мережевоТ та ГнформацГйно1 безпеки (ENISA) мае регулярно проводити просвГтницькГ та публГчш освГтнГ кампанй", спрямованГ на кшцевих користувачГв1, тим самим сприяючи бГльш безпечнГй поведГнцГ людей в штернетГ та 1хнГй цифровш грамотностГ, пГдвищенню обГзнаностГ про потенщйш кГберзагрози, включаючи такГ онлайн-злочини, як фГшинг-атаки,

1 Коитекстуальие иавчаиия, трешнги та iитерактивиi Ггри покращують здатшсть користувачГв уникати фГшинг-атак [39].

ботнети, фiнансовi та банювсьы шахрайства, випадки шахрайства з даними, а також сприяти багатофакторнш автентифiкацГí, аношмност та захисту даних (п. 40 Регламенту) [48].

При оргашзацп просвггницьких заходiв слiд зважати на те, що у свш налЬ чуеться не менше 2,2 млрд осiб з порушенням зору або слшоти. У цьому зв'язку особливоí актуальной набувае проблема забезпечення доступностi засобiв антифiшингу для людей iз вадами зору для взаемодп з цими шструментами.

Проблема кiберзлочинностi виглядае сьогодш набагато серйознiшою, анiж це школи здаеться, оскiльки вона носить транскордонний характер. Спроба окремих держав запровадити кримшальне покарання за фшинг на нацюналь-ному рiвнi не виршуе проблему, оскiльки для фiшерiв, яы працюють по всьому свiту, нескладно оминути нащональш бар'ери. Саме тому протидiя ыберзло-чинностi потребуе значних зусиль не лише окремих держав, але й мiжнародних оргашзацш (бвропейського Союзу, Ради бвропи, 1нтерполу та ш.), якi здатнi забезпечити координащю спiльних зусиль держав з розробки ввдповвдного законодавства, ведення багатостороннiх переговорiв з питань спiвробiтництва, обмiну шформащею i доказами, розслiдування, конфiскацií активiв, консуль-тацiй з приводу полггики, технiчноí допомоги, матерiально-технiчного забезпечення тощо [1; 4; 5].

1снують певнi проблеми щодо запровадження кримiнально-правовоí ввдпо-вiдальностi за фiшинг-атаки, оскшьки фiшинг взагалi не е окремим злочином ввдповщно до матерiального кримшального права1. Це певне «парасолькове» поняття, яке охоплюе низку розпочатих чи завершених злочинiв [36]. Фшинг-атаки з точки зору кримшального права можуть вщповвдати рiзним категорiям злочишв (вимагання, шахрайство, шантаж, правопорушення, що пов'язаш з обробкою персональних даних).

Спiвробiтництво держав на мiжнародному рiвнi з питань протидГí юберзло-чинностi розпочалося наприкiнцi ХХ ст. 910 грудня 1997 р. шд час роботи самггу С8 на рiвнi мiнiстрiв юстицГí i внутршшх справ у Вашингтонi було сформульовано сшльну позицiю держав-учасниць, яку викладено у комюшке щодо Плану боротьби зi злочинами у сферi високих технологш [14]. Того ж року було створено форум з штернет-злочинносп, учасниками якого були сшв-робмики полiцГí, мiнiстерств внутрiшнiх справ i захисту даних, представники iнтернет-iндустрií.

Першi кроки на шляху формування бвропейським Союзом власно1 пол^ тики в сферi забезпечення мережево! та шформацшноТ безпеки (всебiчноí стратеги безпеки електронних мереж, включаючи практичнi заходи щодо впро-

1 Сьогодш лвдером у правовш протидií фшингу е США, антифшингове законодавство яких формувалося на початку ХХ1 ст. Двадцять три штати 1 Гуам мають закони, що спещально спрямоваш на ф1шингов1 схеми. В шших штатах дшть закони, що стосуються комп'ютерних злочишв, шахрайських дш або крад1жки особистих даних, як також можуть застосовуватися до фшингових злочишв. США, як 1 шш1 краТни, зикнулися з кримшал1защею даного злочину, оскшьки проблема фшингу мае здебшьшого виршуватися технолопчними засобами, ашж пра-вовими [58].

вадження) було зроблено в 2001-2002 рр. бвропейською Радою, Радою 6С, бвропейською КомГсГею та бвропейським Парламентом у зв'язку з тим, що на рГвш Союзу не вщбувався процес зближення кримГнального права в цш сферГ, що породжувало проблеми Гз розслГдуванням кГберзлочинГв. Така ситуащя вочевидь не стримуе тих, хто плануе злочини в ыберпросторГ Було визнано за необхГдне поширити кримшальне законодавство держав-членГв на дп, що призводять до несанкщонованого доступу до комп'ютерних мереж, зокрема до порушення безпеки особистих даних [13; 17].

У 2001 р. бвропейська Рада доручила бвропейськш КомГсп розробити пере-лж нацГональних заходГв, зокрема КомГсГя мала сформулювати пропозицп щодо законодавства 6С в сферГ кГберзлочинностГ [13]. Було також створено форум 6С, в рамках якого мали вщбуватися дискусп мГж правоохоронними органами, промисловцями, штернет-провайдерами, операторами зв'язку, громадськими оргашзащями, представниками споживачГв, органами захисту даних та шшими зацГкавленими суб'ектами з метою пошуку оптимального балансу мГж захистом основних прав i свобод людини, зокрема права на недоторканшсть приватного життя, необхвдшстю боротьби з ыберзлочиншстю i фшансовим тягарем, що покладаеться на постачальникГв послуг [12].

Однак суттевого прогресу в цьому напрямГ не було досягнуто, i в 2005 р. Рада 6С вимушена була звернути увагу на те, що суттевГ прогалини та розбГж-ностГ в кримшальному законодавствГ держав-членГв перешкоджають боротьбГ з юберзлочиншстю та ускладнюють ефективне спГвробГтництво полщп та судГв у сферГ нападГв на ГнформацГйнГ системи [16]. Попри усвщомлення необхГдностГ ушфГкацп кримГнального законодавства в частит протидп кГберзлочинностГ реального прогресу в цьому напрямГ бвропейський Союз так i не досягнув (див. ЗвГт 6вропейсько1 Комки про шахрайство щодо безготГвкових платГж-них засобГв в 6С: виконання Плану дш 2004-2007 рокГв [11]), на що вказуе Директива 6С 2019/713, в пунктГ 13 яко1 зазначено, що потрГбен загальний кримГнально-правовий шдхщ щодо складових елементГв злочинно1 поведшки, якГ сприяють або готують шлях до фактичного шахрайського використання безготГвкового платГжного засобу. У данГй ДирективГ европейський законода-вець не обмежуеться лише постановкою загальноТ мети. Директива вимагае, по-перше, використання кримГнального законодавства для надання правового захисту платГжним шструментам, в яких використовуються спещальш форми захисту вГд ГмГтацй' або зловживання, з метою спонукання операторГв надавати таю спецГальнГ форми захисту для випущених ними платГжних шструментГв (п. 12)1, по-друге, пропонуе розумГти пГд поняттям «злочинна поведГнка» також

1 Дану вимогу було закршлено ще ратше у ДирективГ 6С 2016/1148 (вимога, адресована усГм державам-членам щодо наявносп мГнГмальних можливостей та стратегш, що забезпечують високий рГвень безпеки мережевих та ГнформацГйних систем на 1хнш територИ., а також вимоги до операторГв основних послуг та до постачальникГв цифрових послуг, щоб сприяти культурГ управлшня ризиками та забезпечити поввдомлення про найбшьш серйозт випадки) [21] та у п. 96 Директиви 6С 2015/2366: для обмеження ризиюв, пов'язаних Гз фшинг та Гншими шахрайськими дГями, необхГдно безпечне використання персоналГзованих даних щодо безпеки.

поведшку, спрямовану на збирання та володшня плаижними шструментами з намiром вчиняти шахрайство, наприклад, шляхом фшингу, сымшгу або спрямування чи перенаправлення користувачiв платiжних послуг на iмiтацiйнi вебсайти та 1х розповсюдження, наприклад, шляхом продажу iнформацГí про кредитнi картки в 1нтернет (п. 13), ^ по-трете, стосовно кримiнальних злочи-шв, зазначених у Директивi, поняття умислу застосовуеться до всiх елементiв, що складають цi кримiнальнi правопорушення ввдповвдно до нацiонального законодавства; умисний характер дiяння, а також будь-якi знання або цт, що необхiднi як елемент правопорушення, можуть бути виключеш з об'ективних фактичних обставин; кримшальш злочини, яю не потребують умислу, не охо-плюються цiею Директивою (п. 12) [22].

Приклади антифшингового законодавства [Наведено за: 6, с. 557]

Типи антифшингових закошв npHK^aflH aHTH^imHHroBHX ;saKoiiiii

Законодавство, яке пере-шкоджаe поширенню фшинг-поввдомлень Controlling the Assault of Non-Solicited Pornography And Marketing (CAN-SPAM) Act of 2003, USA; Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data; Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications);

Законодавство, що забо-роняe фальшивi вебсайти Copyright Ordinance (Cap 528) of Hong Kong; Wire Fraud Act in the U.S. (18 U.S.C. § 1343); Convention on Cybercrime (Offences related to infringements of copyright and related rights, Article 10).

Законодавство, що спря-моване на збереження конфiденцiйниx даних Personal Data (Privacy) Ordinance (Cap. 486) of Hong Kong; Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (Recast); Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications); Convention on Cybercrime (Data Interference, Article 4); Convention on Cybercrime (System interference, Article 5).

У цьому вщношенш користувач новинен мати можливкть нокладатися на нрийняття заход1в, що захищають конфвденцшшсть та цтстсть нерсонал1зованих даних безнеки [20].

Типи антифшингових закошв npHK^aflH aHTH^imHHroBHX ;saKoiiiii

Законодавство, що стримуe крадiжку щентичносп Crime Ordinance (Cap. 200) of Hong Kong; Identity Theft and Assumption Deterrence Act, which amended Title 18, U.S. Code, Section 1028, 1998; Identity Theft Penalty Enhancement Act, 2004; 18 U.S. Code § 1029. Fraud and related activity in connection with access devices; 18 U.S.C. § 1344 - U.S. Code - Unannotated Title 18. Crimes and Criminal Procedure § 1344. Bank fraud; Computer fraud (18 U.S.C. § 1030(a)(4)) (US); Convention on Cybercrime (Computer-related fraud, Article 8).

Хоча потреба в ушфжацп кримшального законодавства держав-члешв у сферi ыбербезпеки визнана на píbhí законодавства 6С, слвд зауважити, що ïï реалiзацiя на нацiональному i наднацiональному рiвнi вiдбуваeться надзвичайно повiльно [45].

Висновки. Отже, фшинг - одна з найбшьш серйозних загроз кiбербезпеки сучасносп, що полягае насамперед у заподiяннi фiнансовоï шкоди окремим користувачам i оргашзащям, а також може становити загрозу нащональнш та мiжнароднiй безпещ.

Через складний характер фiшинг-атак не юнуе едино!" унiверсальноï моделi виявлення усiх можливих категорiй загроз. Саме тому юнуе нагальна потреба у розробщ моделей, якi б застосовували декшька фiльтрiв для виявлення фшин-гових сайтiв i давали шдказки щодо реального сайту. Важливо, щоб iнтерфейс таких моделей був настшьки доступний, що широке коло користувачiв, насамперед люди з вадами зору, могли ïx ефективно використовувати.

Сучасна злочиншсть постiйно та невпинно трансформуеться, тож перед державою постають все новi й новi виклики, якi потребують органiзацiйного, правового та техшчного втручання з метою превентивного захисту юберпростору, банювсько1 системи та критично! iнфраструктури. У сучасному глобалiзованому свiтi проблема оргашзовано1 злочинностi не може бути виршена без правових контрзаxодiв i норм мiжнародного права. Сучасний стан нащонально1 безпеки потребуе вдосконалення нацiонального законодавства, його узгодження з мiжна-родними стандартами. Тшьки у тiснiй взаемодп з мiжнародними органiзацiями, зокрема бвропейським Союзом, можливо забезпечити захист шформацшного простору вiд кiбератак та юбертероризму.

References

1. Alexander, R. (1998). EU: The EC Money Laundering Directive. Journal of Money Laundering Control, Vol. 2.

2. Antonelli, C., Geuna, A., Steinmueller, W.E. (2000). Information and Communication Technologies and the Production, Distribution and Use of Knowledge. International Journal of Technology Management, Vol. 20 (1-2), 72-94.

3. Baranov, O.A. (2014). Pravove zabezpechennia informatsiinoi sfery: teoriia, metodolohiia i praktyka. Kyiv: Edelveis.

4. Bell, R.E. (2002). An Introductory: Who is Who for Money Laundering Investigators. Journal of Money Laundering Control, Vol. 5, 287-295.

5. Birk, D., Gajek, S., Grobert, F., Sadeghi, Ah.-R. (2007). Phishing Phishers— Observing and Tracing Organized Cybercrime. Second International Conference on Internet Monitoring and Protection. URL: https://www.academia.edu/34821911/Phishing_Phishers_-_Observing_and_ Tracing_Organized_Cybercrime.

6. Bose, I. (2007). Unveiling the Mask of Phishing: Threats, Preventive Measures, and Responsibilities. Communications of the Association for Information Systems, Vol. 19, 544-566.

7. Brenner, S. (2002). Organized Cybercrime? How Cyberspace May Affect the Structure of Criminal Relationships. North Carolina Journal of Law and Technology, Vol. 4.

8. Bruijn, H. de, Janssen, M. (2017). Building cybersecurity awareness: The need for evidence-based framing strategies. Government Information Quarterly, Vol. 34, Issue 1, 1-7. doi: https://doi. org/10.1016/j.giq.2017.02.007.

9. Chang, M., Kuhn, R., Weil, T. (2018). Cyberthreats and Security IT Professional, 3, 20-22.

10. Charter of Fundamental Rights of the European Union (2000/C 364/01). Official Journal of the European Communities. C 364 of 18.12.2000.

11. Commission staff working document - Report on fraud regarding non cash means of payments in the EU: the implementation of the 2004-2007 - EU action plan. URL: https://eur-lex.europa.eu/ legal-content/EN/TXT/?qid=1585384025208&uri=CELEX:52008SC0511.

12. Communication from the Commission to the Council, the European Parliament, the Economic and Social Committee and the Committee of the Regions. Creating a Safer Information Society by Improving the Security of Information Infrastructures and Combating Computer-related Crime. Brussels, 26.01.2001 COM (2000). 890 final. URL: https://eur-lex.europa.eu/legal-content/EN/ TXT/PDF/?uri=CELEX:52000DC0890&from=EN.

13. Communication from the Commission to the Council, the European Parliament, the European Economic and Social Committee and the Committee of the Regions - Network and Information Security: Proposal for A European Policy Approach. URL: https://eur-lex.europa.eu/legal-content/ EN/TXT/?uri=celex%3A52001DC0298.

14. Communique Meeting of Justice and Interior Ministers ofThe Eight, Washington, D. C. 10 December, 1997. URL: https://wwwjustice.gov/sites/default/files/ag/legacy/2004/06/08/97Communique.pdf.

15. Copeland, Th.E. (2000). The Information Revolution and National Security URL: https:// www.files.ethz.ch/isn/104586/Information_Revolution_National_Security.pdf.

16. Council Framework Decision 2005/222/JHA of 24 February 2005 on attacks against information systems. Official Journal of the European Union, L 69, 16.03.2005, 67-71.

17. Council Resolution of 28 January 2002 on a common approach and specific actions in the area of network and information security Official Journal of the European Union, C 43, 16.02.2002, 2 - 4.

18. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Official Journal, L 281, 23/11/1995, 0031-0050.

19. Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector. Official Journal, L 024, 30/01/1998, 0001-0008.

20. Directive 2015/2366/EC of the European Parliament and of the Council of 25 November 2015 on payment services in the internal market, amending Directives 2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation (EU) No 1093/2010, and repealing Directive 2007/64/EC. Official Journal of the European Union, L 337, 23.12.2015, 35-127.

21. Directive 2016/1148/EC of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union. Official Journal of the European Union, L 194, 19.07.2016, 1-30.

22. Directive 2019/713/EC of the European Parliament and of the Council of 17 April 2019 on combating fraud and counterfeiting of non-cash means of payment and replacing Council Framework Decision 2001/413/JHA. Official Journal of the European Union, L 123, 10.05.2019, 18-29.

23. Dhamija, R., Tygar, J.D., Hearst, M. (2006). Why phishing works. In Proceedings of the SIGCHI Conference on Human Factors in Computing Systems (Montréal, Québec, Canada, April 22-27, 2006). R. Grinter, T. Rodden, P. Aoki, E. Cutrell, R. Jeffries, and G. Olson (Eds.). CHI '06. ACM Press, New York, NY, 581-590.

24. Doktryna informatsiinoi bezpeky Ukrainy: zatverdzhena Ukazom Prezydenta Ukrainy vid 25 liutoho 2017 r. № 47/2017. URL: https://zakon.rada.gov.ua/laws/show/47/2017.

25. Downs, J.S., Holbrook, M., Cranor, L.F. (2007). Behavioral response to phishing risk. In Proceedings of the Anti-Phishing Working Groups 2nd Annual Ecrime Researchers Summit (Pittsburgh, Pennsylvania, October 04-05, 2007). eCrime '07, vol. 269. ACM, New York, NY, 37-44.

26. Dubov, D.V. (2013). Stratehichni aspekty kiberbezpeky Ukrainy Stratehichni priorytety, 4, 119-127.

27. Eichensehr, K.E. (2016). Public-private cybersecurity Texas Law Review, Vol. 95, 467-538.

28. European Convention on Human Rights as amended by Protocols Nos. 11 and 14 supplemented by Protocols Nos. 1, 4, 6, 7, 12, 13 and 16. URL: https://www.echr.coe.int/Documents/Convention_ ENG.pdf.

29. Elyakov, A. (2003). Oborotnaya storona informacionnoj revolyucii. Vysshee obrazovanie, 3, 82-87.

30. Gefen, D. (2002) Reflections on the Dimensions of Trust and Trustworthiness Among Online Consumers. ACM SIGMIS Database, Vol. 33, 3, 38-53.

31. Goodman, M.D., Brenner, S.W. (2002). The emerging consensus on criminal conduct in cyberspace. International Journal of Law Infomation Technology, Vol. 10, 139-223.

32. Gorham-Oscilowski, U., & Jaeger, P.T. (2008). National Security Letters, the USA PATRIOT Act, and the Constitution: The tensions between national security and civil rights. Government Information Quarterly 25, 625-644. doi 10.1016/j.giq.2008.02.001.

33. Gupta, B.B., Arachchilage, N.A.G., Psannis, K.E. (2018). Defending against Phishing Attacks: Taxonomy of Methods, Current Issues and Future Directions. Telecommunication Systems, vol. 67, 247-267.

34. Jang-Jaccard, J., Nepal, S. (2014). A survey of emerging threats in cybersecurity Journal of Computer and System Sciences, Vol. 80, Issue 5, 973-993.

35. Kautonen, T., Karjaluoto, H. (2008). Trust and New Technologies: Marketing and Management on the Internet and Mobile Media. Cheltenham: Edward Elgar Publishing.

36. Kikerpill, K., Siibak, A. (2019). Living in a Spamster's Paradise: Deceit and Threats in Phishing Emails. Masaryk University Journal of Law and Technology, Vol. 13:1, 45-66. doi: 10.5817/ MUJLT2019-1-3.

37. Kormych, B.A. (2003). Orhanizatsiino-pravovi zasady polityky informatsiinoi bezpeky Ukrainy. Odesa: Yurydychna literatura.

38. Kumar, A., Chatterjee, J.M., Diaz, V.G. (2020). A novel hybrid approach of SVM combined with NLP and probabilistic neural network for email phishing. International Journal of Electrical and Computer Engineering (IJECE), Vol. 10, 1, 486-493. doi: 10.11591/ijece.v10i1.

39. Kumaraguru, P., Rhee, Y., Acquisti, A., Cranor, L., Hong, J., Nunge, E. (2007). Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System. In Proceedings of the 2007 Computer Human Interaction, CHI.

40. Leuprecht, C., et al. (2016). Beyond the Castle Model of cyber-risk and cyber-security Government Information Quarterly. Vol. 33 (2), 250-257. doi: http://dx.doi.org/10.1016/]'. giq.2016.01.012.

41. Manap, N.A., Rahim, A.A., Taji, H. (2015). Cyberspace Identity Theft: An Overview. Mediterranean Journal of Social Sciences, Vol. 6, 4 S3, 290-299. doi: 10.5901/mjss.2015.v6n4s3p290.

42. Mansell, R. (2010). The life and times of the information society. Prometheus. Vol. 28 (2), 165-186. doi: 10.1080/08109028.2010.503120.

43. McCombie, S., Pieprzyk, J., Watters, P. (2009). Cybercrime Attribution: An Eastern European Case Study Proceedings of the 7th Australian Digital Forensics Conference. 41-51. URL: https:// eprints.qut.edu.au/73391/1/73391.pdf.

44. Mitnick, K. & Simon, W. (2002). The art of deception: Controlling the human element of security. New York, New York: Wiley Publishing.

45. Moisea, A.C. (2017). Considerations of Criminal Law and Forensic Science Regarding the Illegal Access to a Computer System. AGORA International Journal of JuridicalSciences, 2, 49-57.

46. Mustafa, H. Digital Social Engineering Threatens Cybersecurity International Journal of Innovative Technology and Exploring Engineering (IJITEE), Vol. 9, Issue 1, 4016-4025.

47. Lipkan, V.A. (Ed.). (2015). Pravovi zasady rozvytku informatsiinoho suspilstva v Ukraini. Kyiv: FOP Lipkan O. S.

48. Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act). Official Journal of the European Union, L 151, 07.06.2019, 15-69.

49. Rossokhyna, V. Chto proyskhodyt v ynternete za mynutu: ynfohrafyka. URL: https://www. likeni.ru/analytics/chto-proiskhodit-v-internete-za-minutu-infografika.

50. Rusch, J. (2005). The compleat cyber-angler: A guide to phishing. Computer Fraud & Security, (1):4-6. doi: 10.1016/S1361-3723(05)00145-4.

51. Schleher, D.C. (1999). Electronic warfare in the information age. Norwood: Artech House Publishers.

52. Serheeva, Yu. (2018). Internet 2017-2018 v myre y v Rossyy: statystyka y trendy URL: https://www.web-canape.ru/business/internet-2017-2018-v-mire-i-v-rossii-statistika-i-trendy.

53. Singh, N.P. (2007). Online Frauds in Banks with Phishing. Journal of Internet Banking and Commerce, Vol. 12(2), 1-27.

54. Shaikh, A.N., Shabut, A.M., Hossain, M.A. (2016). A literature review on phishing crime, prevention review and investigation of gaps. 10th International Conference on Software, Knowledge, Information Management & Applications (SKIMA). URL: https://www.researchgate. net/publication/316722080_A_literature_review_on_phishing_crime_prevention_review_and_ investigation_of_gaps. DOI: 10.1109/SKIMA.2016.7916190.

55. Sheng, St., Holbrook, M., Kumaraguru, P., Cranor, L. (2010). Who Falls for Phish? A Demographic Analysis of Phishing Susceptibility and Effectiveness of Interventions. Conference: Proceedings of the 28th International Conference on Human Factors in Computing Systems, CHI 2010, Atlanta, Georgia, USA, April 10-15, 373-382. URL: https://www.researchgate.net/ publication/221514257_Who_falls_for_phish_A_demographic_analysis_of_phishing_susceptibility_ and_effectiveness_of_interventions. DOI: 10.1145/1753326.1753383.

56. Sonowal, G., Kuppusamy, K.S. (2020). PhiDMA - A phishing detection model with multifilter approach. Journal of King Saud University - Computer and Information Sciences, Vol. 32, Issue 1, 99-112. doi: https://doi.org/10.1016/jjksuci.2017.07.005.

57. Statistika internet-auditorii Ukrainy i ispolzuemyh ustrojstv. URL: https://seoukraine.com. ua/statistika-internet-auditorii-ukrainy-i-ispolzuemyh-ustroystv.

58. Stevenson, R.L.B. (2005). Plugging the «Phishing» Hole: Legislation Versus Technology. Duke Law & Technology Review, № 5. URL: https://scholarship.law.duke.edu/cgi/viewcontent. cgi?article=1126&context=dltr.

59. Stratehiia kiberbezpeky Ukrainy: zatverdzhena Ukazom Prezydenta Ukrainy vid 15 bereznia 2016 r. № 96/2016. URL: https://zakon.rada.gov.ua/laws/show/96/2016#n11.

60. Verma, A. (2013). Effects of Phishing on E-Commerce with Special Reference to India. Interdisciplinary Perspectives on Business Convergence, Computing, and Legality (Advances in E-Business Research), 186-197. URL: http://pdfs.semanticscholar.org/9208/138fe9698717e5096cc9 3430337aeab80cb9.pdf. doi: 10.4018/978-1-4666-4209-6.ch017.

61. What's phishing? How to be safe? URL: http://inhome.rediff.com/money/2004/dec/20spec.

htm.

62. Wu, M., Miller, R.C., Garfinkel, S.L. (2006). Do security toolbars actually prevent phishing attacks?. In Proceedings of the SIGCHI Conference on Human Factors in Computing Systems (Montréal, Québec, Canada, April 22227, 2006). R. Grinter, T. Rodden, P. Aoki, E. Cutrell, R. Jeffries, and G. Olson (Eds.). CHI '06. ACM Press, New York, NY, 601-610.

63. Zhurin, S.I., Komarkov, D.E. (2018). Zashita vneshnego informacionnogo perimetra organizacii ot celevogo fishinga. Bezopasnost informacionnyh tehnologij=ITSecurity, Vol. 25, 4, 96-108 [in Russian].

Yakoviyk I. V., Doctor of Law, Full Professor, Head of the European Union Law Department, Yaroslav Mudryi National Law University, Ukraine, Kharkiv.

e-mail: yakoviyk@ukr.net ; ORCID 0000-0002-8070-1645

Voloshyn A. P., Postgraduate Student of the European Union Law Department, Yaroslav Mudryi National Law University, Ukraine, Kharkiv.

e-mail: voloshyn8888@gmail.com ; ORCID 0000-0002-3600-3778

Shovkun A. A., Master of the Security Service of Ukraine Legal Training Institute, Yaroslav Mudryi National Law University, Ukraine, Kharkiv.

e-mail: toni.shovkun@gmail.com ; ORCID 0000-0002-5280-8066

Legal aspects of counteracting phishing: the European Union experience

Cybersecurity is increasingly seen as a fundamental problem of the state, which comprehensively affects its security and defense, economy, certain spheres of public life, in particular energy, health care and others. Reliable operation of data networks, computer systems and mobile devices is a prerequisite for the effective state and society functioning, an individual's life. The reliability of key public information systems depends on many factors: cyberattacks, hardware and software failures, and all kinds of errors. The significant increase in the number of incidents in cyberspace necessitates a systematic analysis of sources of threats, the first place among which is phishing. The introduction of criminal responsibility for phishing is complicated by the fact that "phishing" is an "umbrella" concept that covers a number of launched or committed crimes. From criminal law point of view, phishing attacks can correspond to different categories of crimes (extortion, fraud, blackmail, offenses related to the processing of personal data, etc.). The attempt by some states to impose criminal penalties for phishing at the national level does not solve the problem, since it is not difficult for phishers who work worldwide to cross national barriers. That is still the reason why counteracting cybercrime requires significant efforts not only by individual states but also by international organizations, in particular by the European Union.

Keywords: cyberspace; cybersecurity; cybercrime; online fraud; phishing; anti-phishing tools; criminal law; European Union.

Рекомендоване цитування: Яковюк I. В., Волошин А. П., Шовкун А. О. npaBOBi аспекти протидп фшингу: досввд бвропейського Союзу Проблеми законность 2020. Вип. 149. С. 8-23. doi: https://doi.org/10.21564/2414-990x.149.200028.

Suggested Citation: Yakoviyk, I.V., Voloshyn, A.P., Shovkun, A.A. (2020). Pravovi aspekty protydii fishynhu: dosvid Yevropeiskoho Soiuzu [Legal aspects of counteracting phishing: the European Union experience]. Problemy zakonnosti - Problems of Legality, issue 149, 8-23. doi: https://doi. org/10.21564/2414-990x.149.200028 [in Ukrainian].

Надшшла до редколегй 01.04.2020 р.