CC BY
362
Ульянов Михаил Владимирович
Преступления, совершаемые с использованием информационных технологий: динамика и тенденции
Анализируются количественные и качественные показатели преступности в сфере информационно-телекоммуникационных технологий и компьютерной информации, а также отдельных ее видов. В частности, выделяются и описываются обстоятельства совершения типичных преступлений в указанной сфере, сведения о составе лиц, осужденных за совершение преступлений в сфере компьютерной информации (ст. 272-274.1 УК РФ). На основе проведенного анализа автором демонстрируются основные тенденции анализируемой преступности, типичные характеристики лиц, их совершающих.
Ключевые слова: глобальные риски, информационная инфраструктура, преступность, информационно-телекоммуникационные сети, хищения, социальная инженерия, предупреждение преступности, компьютерная преступность, вредоносные программы, правоохранительные органы.
Crimes committed using information technology: dynamics and trends
The article analyzes the quantitative and qualitative indicators of crime in the field of information and telecommunication technologies and computer information, as well as its individual types. In particular, the circumstances of the commission of typical crimes in this area, information on the composition of persons convicted of committing crimes in the field of computer information (articles 272-274.1 of the Criminal Code of the Russian Federation) are highlighted and described. Based on this analysis, the author demonstrated the main trends of the analyzed crime, the typical characteristics of their perpetrators.
Keywords: global risks, information infrastructure, crime, information and telecommunication networks, theft, social engineering, crime prevention, computer crime, malware, law enforcement agencies.
Хищения из банков и нарушения работы предприятий обусловили включение норм, устанавливающих ответственность за совершение преступлений в сфере компьютерной информации, уже в первую редакцию Уголовного кодекса РФ 1996 г. Уголовно наказуемыми стали неправомерный доступ к компьютерной информации (ст. 272 УК РФ), создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ), нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ).
Среди преступлений, совершенных с помощью компьютеров в те годы, выделяют хищение во Внешэкономбанке на сумму в 125,5 тыс. долл (1991 г.), попытки хищений из Центробанка России (1993 г.) и Сити-банка (1995 г.) [1, с. 8]. Учеными прогнозировалась вероятность противозаконного «использования конфиденциальной информации и компьютера» не только при нападениях на информационные системы финансовых учреждений, но и при совершении преступлений против собственности, экономической деятельности и иных объектов [2, с. 22].
Подтверждая данные прогнозы, законодатель последовательно расширял перечень преступлений, совершаемых с использованием информационно-телекоммуникационных сетей и в сфере компьютерной информации. В УК РФ были включены ст. 159.3 «Мошенничество с использованием платежных карт», ст. 159.6 «Мошенничество в сфере компьютерной информации», ст. 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», ряд статей был дополнен квалифицирующим признаком «совершенные с использованием информационно-телекоммуникационных сетей».
В настоящее время к преступлениям, совершаемым с использованием информационно-коммуникационных технологий, принято относить все общественно опасные деяния, совершаемые полностью или частично в виртуальном пространстве посредством использования информационно-коммуникационных технологий [3].
Вместе с тем в действующем на сегодняшний день Перечне статей Уголовного ко-
32
декса РФ, используемых при формировании статистической отчетности, который ежегодно утверждается совместным указанием Генеральной прокуратуры РФ и МВД России, раздел «Преступления, совершенные с использованием информационно-телекоммуникационных сетей и в сфере компьютерной информации» до сих пор отсутствует. На наш взгляд, в целях проведения качественного анализа указанной категории преступлений целесообразно рассмотреть вопрос о включении данного раздела в новый перечень.
Исходя из имеющихся данных за последние годы количественные показатели зарегистрированных преступлений, совершенных с использованием информационно-телекоммуникационных сетей и в сфере компьютерной информации, постоянно возрастали.
В период 2010-2017 гг. количество зарегистрированных преступлений анализируемой категории возросло более чем в 7 раз (с 12698 в 2010 г. до 90587 в 2017 г.) [4]. В 2018 г. их количество составило 174674, а в 2019 г. - уже 294409 [5].
Информационно-телекоммуникационные технологии активно используются для совершения хищений. Количество совершенных с использованием информационно-телекоммуникационных технологий мошенничеств (ст. 159 УК РФ) в 2019 г. составило 119903, краж (ст. 158 УК РФ) - 98798. Доступность информационно-телекоммуникационных технологий, в том числе сети Интернет, широким слоям населения, с одной стороны, и развитие систем электронной защиты - с другой привели к увеличению количества преступников, которые отказываются от сложных способов совершения таких преступлений в пользу проверенных временем методов, основанных на социальной инженерии.
Так, в 2014-2015 гг. получили распространение хищения денежных средств с помощью считывающих переносных устройств (скимме-ров), которые устанавливались злоумышленниками в банкоматы под видом конструктивных деталей. Устройства записывали информацию с магнитной полосы карты потерпевшего, в то время как видеорегистратор фиксировал набираемый им пин-код. Однако после внедрения финансовыми организациями банковских карт с чипом количество таких преступлений резко сократилось.
По данным компании В!.20ЫЕ, за последние три года порядка 80% хищений в сфере информационно-телекоммуникационных технологий были совершены через каналы соци-
альной инженерии, т.е. при помощи отправки смс-сообщений потенциальным жертвам или звонков с номеров сим-карт, приобретенных без регистрации или оформленных на третье лицо. Похищенные деньги перечислялись на подставные банковские карты, счета в интернет-магазинах либо выводились через лицевой счет мобильного телефона [6].
В качестве примера использования приемов социальной инженерии можно привести действия И., осужденного по ч. 3 ст. 30, ч. 1 ст. 158 (14 эпизодов), ч. 1 ст. 158 (2 эпизода), п. «в» ч. 2 ст. 158 (7 эпизодов) и ч. 2 ст. 159 УК РФ. И., имея в распоряжении сим-карту и банковскую карту, оформленные на третьих лиц, осуществлял рассылку смс-сообщений на абонентские номера телефонов широкого круга лиц с текстом о том, что их банковские карты заблокированы, а информацию о разблокировке можно получить, позвонив на его абонентский номер. После чего И. сообщал потерпевшим, что он является сотрудником технического отдела ПАО «Сбербанк России», а также о произошедшем сбое в банковской системе, в связи с чем произошла блокировка банковских карт. Для разблокировки необходимо провести ряд банковских операций, чтобы сохранить на карте денежные средства. В некоторых случаях потерпевшие сообщали И. номера своих банковских карт, идентификационные данные, необходимые для получения доступа к лицевому счету, а затем и коды для доступа в мобильный банк, в иных случаях потерпевшие самостоятельно осуществляли через банкомат переводы денежных средств на счета И. [7].
В ряде случаев для совершения хищений злоумышленникам не требуется специальных познаний в области информационных технологий, что в особенности относится к преступлениям, совершенным с использованием платежных карт.
Так, в 2018 г. была осуждена Ж. по ч. 2 ст. 159.3 УК РФ. После совместного распития спиртных напитков со своим знакомым она похитила у него из сумки дебетовую карту, заведомо зная, что с ее помощью можно осуществлять покупки без набора пин-кода на сумму до 1000 руб. После чего приобрела в разных магазинах необходимые ей товары на общую сумму 7761 руб. [8].
Такого рода преступления в современных условиях становятся типичными. Очевидно, что одним из наиболее важных направлений противодействия их совершению является принятие широкого комплекса мер по повышению уровня грамотности населения в сфере информационных технологий.
33
В то же время преступления в сфере компьютерной информации, предусмотренные ст. 272, 273, 274 и 274.1 УК РФ, включенные в гл. 28 УК РФ, совершаются с применением все более изощренных методов. В этом отношении нельзя не согласиться с мнением К.Н. Евдокимова о том, что современная компьютерная преступность в последние годы вышла на новый технический и качественный уровень, что связано с научно-техническим прогрессом, эволюцией 1Т-техно-логий и формированием технотронного общества [9, с. 57-65].
Совершение таких преступлений зачастую требует от злоумышленников наличия специальной технической подготовки.
Так, приговором Центрального районного суда г. Читы от 23 октября 2018 г. был осужден К. за совершение преступлений, предусмотренных ч. 2 ст. 273, ч. 3 ст. 272, ч. 3 ст. 183 и ч. 4 ст. 159.6 УК РФ. В период с 2015 г. участники организованной группы подбирали в сети Интернет лиц, которые производили спам-рассылку неопределенному кругу лиц смс-сообщений, содержащих ссылки на интернет-сайты с вредоносными компьютерными программами («вирусами»). При переходе по указанным ссылкам со смартфонов члены организованной группы получали доступ к смс-сервису, позволяющему совершать переводы денежных средств со счетов банковских карт владельцев мобильных устройств. После получения доступа осуществлялся перевод денежных средств со счетов потерпевших на счета банковских карт и электронных кошельков, оформленных на неустановленных лиц, не осведомленных о целях преступников. В результате деятельности организованной группы денежные средства были похищены у 21 лица [10].
Обратим внимание, что участниками организованной группы были приобретены вредоносные компьютерные программы у лиц, которые так и не были установлены, как и в иных подобных случаях. Проблемы выявления правоохранительными органами «продвинутых» преступников как в нашей стране, так и за рубежом [11] связывают, в первую очередь, с уровнем профессиональной подготовки соответствующих сотрудников.
Все это неминуемо отражается на динамике количества лиц, осужденных за преступления, предусмотренные гл. 28 УК РФ, которое за последнее пятилетие снизилось. Если в 2014 г. по ст. 272-274 УК РФ осуждено 218 лиц, то в 2018 г. - 129, за первое полугодие 2019 г. - 79.
Обращает на себя внимание возрастной и образовательный состав осужденных. В 2018 г. 32,6% (42) всех осужденных составляли лица в возрасте 18-24 лет, 24% (31) - 25-29 лет, 36,4% (47) - 30-49 лет. Высшее образование имели 32,6% (42) осужденных, среднее профессиональное - 32,6% (42), среднее общее - 27,1% (35), лишь 7,8% осужденных имели основное общее или начальное образование [12].
Информационно-телекоммуникационные технологии, сеть Интернет используются для распространения сведений о частной жизни, составляющих личную или семейную тайну. Получили распространение атаки на пользователей iOS, когда злоумышленники получают данные для входа в облачный сервер, на котором клиенты Apple часто хранят логины и пароли для других сервисов и полные копии устройств. Нередко с пользователем выходят на связь и шантажируют компрометирующими материалами. Зачастую жертвы в таких случаях стремятся выплатить требуемую сумму [6]. Не удивительно, что количество преступлений, предусмотренных ст. 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан», за последние пять лет увеличилось более чем в 3 раза (с 42 в 2015 г до 180 в 2019 г.).
Поиск решения проблем сохранности персональных данных ведется и на международном уровне. Так, в мае 2018 г. в Европейском союзе вступил в силу Общий регламент по защите данных, который обязывает соблюдать единые стандарты при сборе и обработке сведений о пользователях. В частности, нормативы ужесточают требования к прозрачности действий организаций, которые должны сообщать об утечке данных не позднее 3 суток после обнаружения. В соответствии с регламентом уже оштрафован ряд компаний, в том числе корпорация Google в мае 2019 г.
Отдельно хотелось бы выделить преступления, предусмотренные ст. 146 УК РФ «Нарушение авторских и смежных прав». На протяжении последних пятнадцати лет самым распространенным предметом данного посягательства становились программные продукты корпорации Microsoft. Именно с деятельностью данной компании связано резкое ужесточение практики привлечения к уголовной ответственности по данной статье в нашей стране в середине 2000-х гг.
В одном из своих отчетов представители компании отмечали эффективность сотрудничества с органами государственной власти Российской Федерации в рамках кампании по
34
борьбе с «пиратством», включающей обучение сотен сотрудников правоохранительных органов. Данные меры привели более чем к 3000 рейдов в течение 2007 г., снижению уровня «пиратства» программного обеспечения, а также сохранили миллионы долларов партнерам Microsoft [13, с. 5].
В последние годы количество зарегистрированных преступлений, предусмотренных ст. 146 УК РФ, а также количество осужденных снизилось. Так, если в 2014 г. по данной статье было осуждено 808 лиц, то в 2018 г. - 347 лиц, в 1 полугодии 2019 г. - 103. В числе прочих обстоятельств это связано с изменениями способов реализации программных продуктов.
Распространение экстремистской идеологии в информационно-телекоммуникационных сетях оказывает влияние на динамику и террористической преступности. В 2019 г. с использованием сети Интернет совершено 19% (346 из 1806) преступлений террористической направленности (в 2018 г. - 17%). В то же время в приведенных сведениях отсутствуют данные о преступлениях, предусмотренных ст. 207 УК РФ «Заведомо ложное сообщение об акте терроризма», которые формально не относятся к террористическим преступлениям.
Вместе с тем со второй половины 2017 г. наблюдается беспрецедентная активизация «лжетеррористов». Тогда же директор ФСБ России А.В. Бортников отметил факты использования злоумышленниками IP-телефонии. На то, что анонимные звонки совершаются с использованием современных технологий, указал и советник председателя Национального антитеррористического комитета А.С. Пржездомский [14].
Очередная волна анонимных сообщений о минировании объектов инфраструктуры прокатилась осенью прошлого года. Количество зарегистрированных преступлений, предусмот-
1. Ляпунов Ю.В., Максимов В.Ю. Ответственность за компьютерные преступления // Законность. 1997. № 1. С. 8-15.
2. Крылов В. В. Информационные преступления - новый криминалистический объект// Рос. юстиция. 1997. № 4. С. 22-23.
3. Русскевич Е.А. Преступления, совершаемые с использованием информационно-коммуникационных технологий: результат интерпретации // Преступность в сфере информационных и телекоммуникационных технологий: проблемы предупреждения, раскрытия и расследования преступлений. 2018. № 1(4). С. 101-106.
ренных ст. 207 УК РФ, в 2019 г. возросло на 60,5% и составило 2465 преступлений (2018 г. -1530). Такая ситуация способствует ухудшению психологического состояния граждан, дестабилизации работы специальных служб, организаций и предприятий [15, с. 329]. На наш взгляд, целесообразно рассмотреть вопрос о введении в ст. 207 УК РФ ответственности за заведомо ложное сообщение о готовящихся взрыве, поджоге или иных действиях, создающих опасность гибели людей, причинения значительного имущественного ущерба либо наступления иных общественно опасных последствий, совершенное с использованием информационно-телекоммуникационных сетей.
В заключение хотелось бы отметить следующие тенденции преступности с использованием информационно-телекоммуникационных сетей и в сфере компьютерной информации:
высокая латентность преступлений в сфере компьютерной информации, предусмотренных гл. 28 УК РФ, обусловленная сложностью их выявления, а также внедрением новых информационных технологий;
высокий образовательный уровень лиц, совершающих преступления, предусмотренные гл. 28 УК РФ;
отсутствие необходимости наличия специальных знаний и навыков для совершения большинства преступлений с использованием информационно-телекоммуникационных сетей;
возрастание угрозы сохранности персональных данных граждан.
С учетом этого, на наш взгляд, важно уделять особое внимание выявлению и расследованию преступлений в сфере компьютерной информации (гл. 28 УК РФ), в том числе установлению лиц, создающих и реализующих вредоносные компьютерные программы, используемые для совершения преступлений.
1. LyapunovYu.V., Maksimov V.Yu. Responsibility for computer crimes //Legality. 1997. No. 1. P. 8-15.
2. Krylov V.V. Information crimes - a new forensic object // Russian justice. 1997. No. 4. P. 22-23.
3 Russkevich E.A. Crimes committed with the use of information and communication technologies: the result of interpretation // Crime in the field of information and telecommunication technologies: problems of the prevention, disclosure and investigation of crimes. 2018. No. 1(4). P. 101-106.
4. Form of statistical reporting 1-BT (615) "Information on crimes committed in the field of
35
4. Форма статистической отчетности 1-ВТ (615) «Сведения о преступлениях, совершенных в сфере телекоммуникаций и компьютерной информации» за период 2019-2017 гг.
5. Форма статистической отчетности № 4-ЕГС (494), разд. 11.
6. ThreatZone'19. Иллюзия безопасности. 2019.
7. Приговор Ленинского районного суда г. Самары № 1-137/2018 от 20 нояб. 2018 г. по делу № 1-137/2018.
8. Приговор Кировского районного суда г. Самары № 1-581/2018 от 28 нояб. 2018 г. по делу № 1-581/2018.
9. Евдокимов К.Н. Новые угрозы информационной безопасности России: от компьютерной преступности к анекселенктотич-ной технотронной преступности (частная научная теория) // Основные направления государственной политики России в сфере обеспечения национальной безопасности: материалы междунар. науч.-практ. конф. Иркутск, 2018. С. 57-65.
10. Приговор Центрального районного суда г. Читы № 1-949/2018 от 23 окт. 2018 г. по делу № 1-949/2018.
11. Harkin, D., Whelan, C, & Chang, L. (2018). The challenges facing specialist police cybercrime units: An empirical analysis. Police Practice and Research, 19(6), 519-536.
12. Отчет Судебного департамента при Верховном Суде Российской Федерации по форме № 11, 11.1 за 2014-2019 гг.
13. Addressing Global Software Piracy. URL: https://news.microsoft.com/download/archived/ presskits/antipiracy/docs/piracy10.pdf (дата обращения: 28.02.2020).
14. URL: https://rg.ru/2018/02/28/v-nak-obiasnili-zvonki-o-lzheminirovanii-huliganskim-povedeniem.html (дата обращения: 28.02.2020).
15. Ефремова М.А. Уголовно-правовая охрана информационной безопасности: дис. ... д-ра юрид. наук. М., 2017.
telecommunications and computer information" for the period 2019-2017.
5. Statistical reporting form No. 4-ErC (494), section 11.
6. ThreatZone'19. The illusion of security. 2019.
7. The verdict of the Leninsky District Court of Samara No. 1-137/2018 d.d. Nov. 20, 2018 in the case No. 1-137/2018.
8. The verdict of the Kirov District Court of Samara No. 1-581/2018 d.d. Nov. 28, 2018 in the case No. 1-581/2018.
9. Evdokimov K.N. New threats to the information security of Russia: from computer crime to annexelectotic technotronic crime (private scientific theory) // The main directions of the state policy of Russia in the field of national security: proc. of the intern. sci. and practical conf. Irkutsk, 2018. P. 57-65.
10. The verdict of the Central District Court of Chita No. 1-949/2018 d.d. Oct. 23, 2018 in the case No. 1-949/2018.
11. Harkin, D, Whelan, C., & Chang, L. (2018). The challenges facing specialist police cybercrime units: An empirical analysis. Police Practice and Research, 19(6), 519-536.
12. Report of the Judicial Department under the Supreme Court of the Russian Federation in the form No. 11, 11.1 for 2014-2019.
13. Addressing Global Software Piracy. URL: https://news.microsoft.com/download/archived/ presskits/antipiracy/docs/piracy 10.pdf (date of access: 21.08.2019).
14. URL: https://rg.ru/2018/02/28/v-nak-obiasnili-zvonki-o-lzheminirovanii-huliganskim-povedeniem.html (date of access: 28.02.2020).
15. Efremova M.A. Criminal protection of information security: diss. ... Dr of Law. Moscow, 2017.
СВЕДЕНИЯ ОБ АВТОРЕ
Ульянов Михаил Владимирович, кандидат юридических наук, старший научный сотрудник отдела Научно-исследовательского института Университета прокуратуры Российской Федерации; e-mail: m.ulyanov2@yandex.ru
INFORMATION ABOUT AUTHOR
M.V. Ulyanov, Candidate of Law, Senior Researcher of Research Institute of the University of the Prosecutor's Office of the Russian Federation; e-mail: m.ulyanov2@yandex.ru
36
