Державні механізми боротьби з кіберзлочинністю

Размещено на http://www.allbest.ru/

Стаття з теми:

Державні механізми боротьби з кіберзлочинністю

Юрій Онищенко, здобувач кафедри інформаційних технологій і систем управління ХРІДУ НАДУ при Президентові України

Розглянуто та досліджено проблему державних підходів та механізмів боротьби з кіберзлочинністю. Надані пропозиції щодо вдосконалення законодавства, що регулює поширення інформації в телекомунікаційних мережах, та попередження кіберзлочинності в країні.

Ключові слова: стратегія, безпека, кіберзлочинність, нормативна база, конвенція, кіберзлочин, телекомунікаційні технології, державні підходи, механізми.

Considered and investigated the problem of government approach and mechanism to the fight against cybercrime. Provided suggestions for improving the legislation that regulates the distribution of information in telecommunications networks and prevent cyber crime in our country.

Keywords: strategy, security, cybercrime, regulatory framework convention, cybercrime, telecommunications technology, government approache, mechanism.

Рассмотрена и исследована проблема государственных подходов и механизмов борьбы с киберпреступностью. Предоставлены предложения относительно совершенствования законодательства, которое регулирует распространение информации в телекоммуникационных сетях, и предупреждения киберпреступности в нашей стране.

Ключевые слова: стратегия, безопасность, киберпреступность, нормативная база, конвенция, киберпреступление, телекоммуникационные технологии, государственные подходы, механизмы.

Значущість інноваційних процесів, що відбуваються в нашому суспільстві у зв'язку з глобальною інформатизацією. Але разом з позитивними досягненнями, інформатизація супроводжується побічними, негативними явищами криміногенного характеру, до яких відносять комп'ютерну злочинність. Це, безумовно, вимагає негайного створення системи протидії даному різновиду злочинності на державному рівні. Для сучасного суспільства (в період його переходу від індустріального етапу розвитку до нового - постіндустріального, інформаційного) актуальність цієї проблеми не викликає сумнівів. За різними оцінками, у всьому світі втрати від діяльності кіберзлочинців складають щорічно від 290 до 750 млрд євро [1]. На міжнародному рівні у ряді нормативно-правових актів визнано, що кіберзлочинність погрожує не лише національній безпеці окремих країн, але і безпеці людства та міжнародному правопорядку. Рівень довіри повинен зрости не лише між державами, але між приватними і державним секторами. Стратегія державних підходів та механізмів з поліпшення інформаційних систем повинна сприяти скороченню масштабів кіберзлочинності і створити основні принципи національної політики протидії кіберзлочинності в міжнародному кіберпросторі. Протидія кіберзлочинності в широкому розумінні включає у себе загальнодержавні заходи економічного, політичного, виховного та іншого характеру, а також комплекс спеціальних заходів, спрямованих на безпосереднє подолання злочинності [2].

Аналіз змісту вітчизняних публікацій щодо боротьби з кіберзлочинністю, державного управління, юриспруденції свідчить, що ґрунтовному дослідженню проблем державних підходів та механізмів по боротьбі з кіберзлочинністю в нашій країні, на жаль, не приділяється належної уваги.

Деякі аспекти з даної проблематики вивчали та обговорювали в своїх публікаціях Ю. Батуріна, В. Бутузов, В. Вєхова, А. Войціховський, М. Дубов, Д. Діхтяренко, Д. Жукова, Н. Казакова, М. Литвинов, М. Ожеван, О. Тихомиров, X. Толеубекова, О. Юхно та інші. Серед зарубіжних авторів можна зазначити публікації I. Brown, D. Elliot, J. Eriksson, G. Giacomello, N. Ganuza, K. Geers, T Maurer, B. Schmitt, S.Goel.

Аналіз наукової літератури засвідчив, що при всій значущості теми аналізу державних стратегій в галузі боротьби з кіберзлочинністю цій напрямок в нашій країні вивчено ще не у повному обсязі, на теперішній час досить немає чітко окресленої системи заходів протидії зловживанням у інформаційній сфері.

Мета статті - дослідити та проаналізувати проблеми державних механізмів та підходів до боротьби з кіберзлочинністю та надати пропозиції щодо вдосконалення законодавства, що регулює поширення та розповсюдження інформації в телекомунікаційних мережах та попередження кіберзлочинності в нашій країні.

Велика частина звітів, рекомендацій і публікацій з питань кіберзлочинності розпочинаються з визначення терміну. Одним з загальних прикладів міжнародного підходу до визначення поняття кіберзлочинності є Декларація про стратегічні пріоритети у боротьбі з кіберзлочинністю, затверджена в рамках проекту «CyberCrime EAP», яка відзначає, що кіберзлочинність - це правопорушення, спрямовані проти комп'ютерних систем, правопорушення з використанням комп'ютерів і будь-які правопорушення, в яких фігурують електронні докази [3].

У деяких визначеннях зроблені спроби врахувати цілі або наміри і точніше визначити кіберзлочинність, визначаючи її як дії за допомогою комп'ютерів, які або є незаконними, або вважаються протиправними деякими сторонами і які можуть бути здійснені за допомогою глобальних електронних мереж.

Ці точні описи виключають ті випадки, коли фізичне устаткування використовується для скоєння звичайних злочинів, але вони ризикують виключити злочини, які вважаються кіберзлочинами в міжнародних угодах, наприклад, в «Конвенції про кіберзлочинність». Наприклад, людина, яка створює USB-пристрої, що містять зловмисні програми, які руйнують інформацію в комп'ютері при приєднанні до нього пристрою, скоює злочин, який визначається Статтею 4 Конвенції про кіберзлочинність Ради Європи [2]. Проте дія з видалення даних з використанням фізичного пристрою для копіювання зловмисного коду, що здійснюється у глобальних електронних мережах, не може бути кваліфікована як кіберзлочин відповідно до наведеного вище вузького визначення. Ця дія була б кваліфікована як кіберзлочин тільки відповідно до визначення, заснованого на ширшому описі, що включає такі дії, як незаконне спотворення інформації.

Цей приклад показує, що визначення терміну «кіберзлочинність» зустрічає помітні труднощі. Термін «кіберзлочинність» використовується для опису широкого спектру правопорушень, включаючи традиційні комп'ютерні злочини, а також злочини у комп'ютерних мережах. Оскільки ці злочини багато в чому відрізняються один від одного, не існує єдиного критерію, який може включати усі дії, згадані в Конвенції про кіберзлочинність, виключаючи при цьому традиційні злочини, які здійснюються з використанням тільки комп'ютерного устаткування. Так як ще не існує єдиного визначення «кіберзлочинності», ускладнено використання цього терміну в якості юридичного визначення.

Термін «кіберзлочинність» включає велику різноманітність злочинів. Такі злочини охоплюють широкий спектр правопорушень, що ускладнює розробку системи типології або класифікації для кіберзлочинності. Так, одна можлива система наводиться в Конвенції про кіберзлочинність Ради Європи. Ця Конвенція розрізняє чотири типи правопорушень: злочини проти конфіденційності, цілісності і доступності комп'ютерних даних і систем; злочини, пов'язані з комп'ютерами; злочини, пов'язані з контентом; злочини, пов'язані з правами власності [4].

Ця типологія не є повністю послідовною, оскільки вона не заснована на єдиному базовому критерії, який би визначав відмінності між категоріями. Три категорії сфокусовано на об'єкті юридичного захисту: «Злочини проти конфіденційності, цілісності і доступності комп'ютерних даних і систем»; злочинах, пов'язаних з контентом; і злочинах, пов'язаних з правами власності. Четверта категорія «злочини, пов'язані з комп'ютерами» сфокусована не на об'єкті юридичного захисту, а на методі. Ця непослідовність призводить до деякого перетину між категоріями. Крім того, деякі терміни, які використовуються для опису злочинних дій (наприклад, «кібертероризм» або «фішинг»), охоплюють дії, які потрапляють в декілька категорій. Проте, категорії, які приведені в Конвенції про кіберзлочинність, є корисною основою для обговорення явища кіберзлочинності.

Зростаюче число розкритих кіберзлочинів і технічних інструментів для автоматичного здійснення кіберзлочинів, включаючи системи анонімного обміну файлами (Р2Р-мережі) і програмні продукти, призначені для створення комп'ютерних вірусів, означає, що боротьба з кіберзлочинністю стала найважливішим елементом діяльності органів охорони правопорядку по всьому світу. Наприклад, Згідно з даними «Лабораторії Касперського», в 2013 році кількість атак фінансової спрямованості помітно збільшилася. 31,45 % усіх фішингових атак в 2013 році припала на фінансовий сектор. 22,2 % усіх атак припало на сайти банків, тобто доля банківського фішингу в порівнянні з 2012 роком подвоїлася. 59,5 % банківських фішингових атак експлуатували імена всього 25 міжнародних банків. Інші атаки припали на більше, ніж 1000 інших банків [5].

Кіберзлочинність є проблемою для органів охорони правопорядку в усіх країнах світу. Оскільки інформаційно-комунікаційні технології (ІКТ) нестримно розвиваються, стає важливим створення і впровадження стратегії ефективної боротьби з кіберзлочинністю у рамках національної стратегії кібербезпеки. У «Стратегії національної безпеки України» «кібербезпека» згадуються лише в контексті необхідності «розробки та впровадження національних стандартів та технічних регламентів застосування інформаційно-комунікаційних технологій, гармонізованих з відповідними європейськими стандартами» [6].

Як відзначалося раніше, кібербезпека відіграє важливу роль у безперервному розвитку інформаційних технологій, так само, як і послуги Інтернету. Створення безпечного Інтернету і захисту користувачів цієї мережі стало складовою частиною державної політики. Стратегія боротьби з кіберзлочинністю має стати невід'ємним елементом стратегії кібербезпеки в державі. Глобальна програма кібербезпеки міжнародного союзу електрозв'язку (International Telecommunication Union), як основа для діалогу і міжнародної співпраці, координує міжнародне реагування на зростаючі проблеми в області кібербезпеки і підвищує упевненість і безпеку в інформаційному суспільстві, формує поточну роботу, ініціативи і партнерства з метою створення глобальних стратегій для вирішення цих пов'язаних завдань. Усі необхідні заходи розподілені за п'ятьма принципами Глобальної програми кібербезпеки, які важливі у будь-якій стратегії кібербезпеки. Крім того, здатність до ефективної боротьби з кіберзлочинністю вимагає впровадження заходів, які прийматимуться у рамках усіх п'яти принципів [7].

Проте, реалізація існуючих стратегій боротьби з кіберзлочинністю має ряд труднощів. Ефективні рішення, які можуть бути прийняті, залежать від ресурсів, можливостей та специфіки кожної країни.

Існує декілька інших питань, які мають бути взяті до уваги та розглянуті при створенні стратегії по боротьбі з кіберзлочинністю: сумісність відповідних законодавчих систем; статус ініціатив підтримки, наприклад, навчання суспільства; міра заходів самозахисту на місці; міра підтримки приватного сектора, наприклад, через приватно-державне партнерство.

Враховуючи міжнародний характер кіберзлочинності, у боротьбі з нею життєво важливе значення має гармонізація національних законодавств. Проте, гармонізація повинна враховувати регіональні вимоги і можливості. Велике значення регіональних аспектів в здійсненні стратегій боротьби з кіберзлочинністю підкреслює той факт, що багато правових і технічних стандартів було погоджено між країнами світу.

Глобальна програма кібербезпеки переслідує сім основних цілей, заснованих на п'яти принципах: 1) правові заходи; 2) технічні й процедурні заходи; 3) організаційні структури; 4) створення потенціалу; 5) міжнародна співпраця [7]. Як відзначалося вище, питання, пов'язані з кіберзлочинністю, відіграють важливу роль в усіх п'яти принципах Глобальної програми кібербезпеки. Зрозуміло, що система державних механізмів боротьби з кіберзлочинністю повинна використовувати всі ці принципи.

Серед п'яти принципів, при розгляді стратегії боротьби з кіберзлочинністю, ймовірно, правові заходи є найбільш важливими. По-перше, ці заходи вимагають прийняття основних положень карного законодавства, що передбачають карну відповідальність за такі дії, як комп'ютерне шахрайство, незаконний доступ, спотворення даних, порушення авторських прав і дитяча порнографія. Механізми й інструменти, необхідні для розслідування кіберзлочинів, можуть істотно відрізнятися від тих , що використовуються для розслідування загальних карних злочинів. У зв'язку з міжнародним масштабом кіберзлочинності необхідно додатково доробити основи національного законодавства, з тим, щоб мати можливість спільної співпраці з правоохоронними органами за кордоном.

Добре захищені комп'ютерні системи важче атакувати. Важливим першим кроком є вдосконалення технічного захисту шляхом впровадження належних стандартів. Технічні заходи захисту повинні включати захист усіх елементів технічної інфраструктури - інфраструктуру основної мережі, а також безліч персональних комп'ютерів, пов'язаних по всьому світу. Для захисту користувачів мережі Інтернет і підприємств можна визначити дві потенційні цільові групи: кінцеві користувачі й підприємства (прямий підхід); постачальники послуг і компанії, які розробляють програмне забезпечення.

У матеріально-технічному відношенні, мабуть, легше зосередити увагу на професійному захисті основної інфраструктури, наприклад, магістральної мережі, маршрутизаторів, базових послуг, а не на включенні кожного з мільйонів користувачів в боротьбу з кіберзлочинністю. Захист користувача може здійснюватися побічно, шляхом захисту існуючих споживчих послуг, наприклад віртуального банку. Цей непрямий підхід до захисту користувачів Інтернету може скоротити кількість людей і підприємств, які мають бути включені до переліку етапів із забезпечення технічного захисту.

Атаки на приватні комп'ютери для отримання конфіденційної інформації, трапляються частіше, ніж на добре захищені комп'ютерні системи фінансових установ. Незважаючи на проблеми в матеріально-технічному відношенні, захист інфраструктури кінцевих користувачів є життєво важливою ланкою в технічному захисті усієї мережі.

Постачальники послуг Інтернету і постачальники продукції, компанії, які розробляють програмне забезпечення, відіграють важливу роль в підтримці стратегій боротьби з кіберзлочинністю. Через їх прямий контакт з клієнтами вони можуть діяти в якості гаранта безпеки підприємства, наприклад, поширюючи засоби захисту й інформацію про поточне положення останніх злочинів.

Ефективна боротьба з кіберзлочинністю вимагає розвиненої організаційної структури. Не маючи правильно створеної системи відповідних органів, яка дозволяє уникнути дублювання і чітко розподіляє повноваження, навряд чи можна чекати на комплексне вирішення юридичних, технічних та соціальних аспектів даної проблеми.

Кіберзлочинність є глобальним явищем. Для того, щоб мати можливість ефективно розслідувати кіберзлочини, необхідно не тільки гармонізувати законодавство, але й розробити відповідні механізми міжнародної співпраці.

Одним з найбільш важливих елементів в попередженні кіберзлочинів є навчання користувача. Деякі кіберзлочини, особливо ті, які пов'язані з шахрайством типу «спуфінг», як правило, обумовлені не відсутністю засобів технічного захисту, а непоінформованістю або простою безвідповідальністю. Існують різні програмні продукти, що дозволяють автоматично визначати деякі шахрайські веб-сайти, хоча, на жаль, не всі. Прикладом такої перевірки є сайт www.scamadviser.com [8]. Попри те, що засоби технічного захисту продовжуватимуть розвиватися і доступні програмні продукти регулярно оновлюватимуться, такі продукти поки ще не можуть замінити інші підходи. Стратегія захисту користувача, що заснована тільки на програмних продуктах, ще не дає гарантії повного захисту користувачів.

Важливу роль відіграє також беззаперечне дотримання встановлених правил і процедур інформаційної безпеки. Наприклад, якщо користувачі знають, що їх фінансові установи ніколи не зв'язуватимуться з ними по електронній пошті з проханням повідомити пароль або деталі банківського рахунку, вони не стануть жертвами фішингу або атаки з метою крадіжки ідентифікації. Навчання користувачів Інтернету скорочує кількість потенційних жертв кібернападу. Держава повинна розробити відповідну інформаційну програму розумної поведінки щодо попередження кіберзлочинності. До її поширення слід долучити громадські кампанії, школи, інформаційні центри і ВНЗ, приватно-державні партнерства.

Однією з важливих вимог до ефективного навчання й інформаційної стратегії є відкрите повідомлення про новітні загрози з боку кіберзлочинності. Деякі державні і/або приватні підприємства для того, щоб уникнути втрати довіри до мережевих онлайнових послуг, відмовляються визнавати, що їх клієнти страждають від загроз кіберзлочинності. Федеральне бюро розслідувань Сполучених Штатів в прямій формі запропонувало компаніям кардинально змінити відношення до освітлення загроз кіберзлочинності. В цілях визначення рівня загрози, а також для інформування користувачів, життєво важливе значення має удосконалення збору і публікації відповідної інформації.

У багатьох випадках процеси передачі даних по Інтернету зачіпають декілька країн. Це результат розвитку мережі, а також того факту, що можна створити протоколи, що забезпечують успішні передачі, навіть якщо пряма лінія зв'язку тимчасово заблокована. Крім того, безліч послуг Інтернету, наприклад послуги хостингу, пропонуються компаніями, що можуть знаходитися за кордоном.

У таких випадках, коли жертвами злочинця стають люди з декількох країн, для розслідування необхідна співпраця правоохоронних органів усіх країн, де була здійснена атака. Міжнародні й транснаціональні розслідування без згоди компетентних органів у відповідних країнах суттєво обмежені через принцип державного суверенітету. Цей принцип в цілому не дозволяє країні проводити розслідування на території іншої країни без дозволу місцевої влади. Таким чином, розслідування повинні проводитися за підтримки влади усіх країн, що зіткнулися з проявами комп'ютерних злочинів. У зв'язку з тим, що фактично у більшості випадків успішне розкриття злочину на місці можливе тільки впродовж невеликого інтервалу часу, то коли справа стосується розслідувань кіберзлочинів, застосування класичної правової взаємодопомоги ускладнюється. Це пояснюється тим фактом, що надання взаємної правової допомоги в цілому вимагає багато годин для виконання формальних процедур. Тому удосконалення в плані розширення міжнародної співпраці відіграють важливу і вирішальну роль в розвитку і реалізації стратегій кібербезпеки і боротьби з кіберзлочинністю.

Проблема протидії комп'ютерної злочинності - це комплексна проблема. Сьогодні закони повинні відповідати сучасному рівню розвитку інформаційних технологій. З цією метою необхідно проводити ) цілеспрямовану роботу з гармонізації й удосконалення законодавства, що регулює поширення інформації в телекомунікаційних мережах. Одним з пріоритетних напрямків є також організація взаємодії і координації зусиль правоохоронних органів, спецслужб, судової системи, забезпечення їх необхідною матеріально-технічною базою.

Жодна країна сьогодні не здатна протистояти цьому злу самостійно. Невідкладною є потреба активізації міжнародної співпраці, для якої є актуальним, зокрема, налагодження міжнародно-правового механізму регуляції. Але з огляду на те, що в сучасних умовах значна частина коштів, що направляється на боротьбу з кіберзлочинами, як і з іншими злочинами міжнародного характеру, належить до внутрішньої компетенції кожної окремої держави, необхідно паралельно розвивати і національне законодавство, спрямоване на боротьбу з комп'ютерними злочинами, погоджуючи його з міжнародними нормами права і спираючись на існуючий позитивний досвід різних країн.

Література

кіберзлочинність законодавство боротьба

1. Еврокомиссия представила стратегию борьбы с киберпреступностью / [Електронний ресурс] - Режим доступу: http://www.rbc.ua/rus/top/show/evrokoiriissiya-predstavila-strategiyu-borby-s-kiberprestupnostyu-07022013175500.

2. Бутузов В. М. Протидія комп'ютерній злочинності в Україні (системно-структурний аналіз) монографія / В. М. Бутузов // Рада нац. безпеки і оборони України, Міжвід. наук.-дослід. центр з проблем боротьби з організованою злочинністю. - К.: КИТ, 2010. - 408 с

3. Стратегические приоритеты сотрудничества в области противодействия киберпреступности в странах Восточного партнерства / [Електронний ресурс] - Режим доступу: http://www.coe.int/t/dghl/cooperation/economiccrime/

4. Source/Cybercriirie/CyberCriiTie%40EAP/2523_EAP_Strat_Priorities_V6%2520RU.pdf.

5. Конвенція про кіберзлочинність / [Електронний ресурс] - Режим доступу: http://zakon4.rada.gov.ua/laws/ show/994_575.

6. Финансовые киберугрозы в 2013 году. Часть 1: фишинг / [Електронний ресурс] - Режим доступу: http://www.securelist.com/ru/analysis/208050836/Finansovye_kiberugrozy_v_2013_godu_Chast_1_fishing.

7. Про нову редакцію Стратегії національної безпеки України РНБО; Рішення від 08.06.2012 / [Електронний ресурс] - Режим доступу: http://zakon4.rada.gov.ua/laws/ show/n0002525-12.

8. Глобальная программа кибербезопасности (ГПК) МСЭ / [Електронний ресурс] - Режим доступу: www.ifap. ru/pr/2008/080908aa.pdf.

Размещено на Allbest.ru