Преступления в сфере компьютерной информации

В настоящее время при расследовании рассматриваемого преступления допускается множество различных ошибок. Отдельные из них по различным причинам прекращаются по п. 3 ст. 195 УПК РСФСР. Так, следователь следственной части следственного управления УВД Приморского края принял к производству уголовное дело, возбужденное по признакам состава преступления, предусмотренного п. “а” ч. 3 ст. 159 УК РФ -- незаконное перечисление бюджетных средств из дорожного фонда и налога на имущество на расчетные счета коммерческих предприятий. Преступление осталось нераскрытым, так как не было установлено лицо (предположительно работник налоговой инспекции Ленинского района г. Владивостока), которое внесло в компьютерную базу ложные сведения о проводке платежей в бюджет.

В силу специфики рассматриваемого вида преступления орудием его совершения, как правило, является компьютерная техника -- различные виды ЭВМ, аппаратные средства, периферийные устройства, а также линии связи, с помощью которых вычислительная техника объединяется в информационные сети. Наиболее часто орудием преступления является персональный компьютер. Определенную сложность у сотрудников правоохранительных органов может вызывать установление времени и места совершения неправомерного доступа к компьютерной информации. Время и место совершения рассматриваемого преступления (место происшествия) может не совпадать с местом и временем реального наступления общественно опасных последствий. В практике борьбы с компьютерной преступностью немало случаев, когда сам факт неправомерного доступа к охраняемой информации фиксировался в одной стране, а преступные последствия наступали на территории другого государства. Иллюстрацией этому может служить хищение крупной суммы денежных средств из английского “Сити-банка”, совершенное с участием молодого российского инженера в 1995 г. Как стало известно следствию, атака на систему защиты одного из крупнейших мировых банков проводилась с территории города Санкт-Петербург.

Действующее уголовное законодательство России временем совершения любого преступления признает время совершения общественно опасного действия (бездействия) независимо от времени наступления последствий (ч. 2 ст. 9 УК РФ). Очевидно, данное правило не должно распространяться на вопрос о месте совершения преступления, который так и не получил законодательного разрешения. Представляется, что местом совершения неправомерного доступа к компьютерной информации следует признавать территорию того государства, где это преступление было окончено. Указанная точка зрения полностью корреспондирует с законодательным положением ст. 8 УК РФ об основании уголовной ответственности: основанием уголовной ответственности является совершение деяния, содержащего все признаки состава преступления, предусмотренного настоящим Кодексом.

Как указывалось выше, состав неправомерного доступа к компьютерной информации конструктивно сформулирован как материальный. Следовательно, помимо прочих признаков этот состав предполагает обязательное наличие вредных последствий. В противном случае состав не считается полным. Иная точка зрения фактически опровергает этот правовой императив, устанавливая правило, согласно которому наличие состава неправомерного доступа к компьютерной информации презюмируется даже тогда, когда необходимые последствия еще отсутствуют: местом совершения преступления признается место совершения общественно опасного действия (бездействия) независимо от места наступления вредных последствий.

Справедливость такого положения подтверждается и тем обстоятельством, что на практике могут возникнуть ситуации, когда лицо совершает акт неправомерного доступа к компьютерной информации на территории того государства, уголовное законодательство которого не признает указанное поведение преступным. В этом случае трудно отрицать, что виновный подлежит уголовной ответственности по ст. 272 УК РФ, если, разумеется, преступные последствия наступили на территории России. Следовательно, неправомерный доступ к компьютерной информации считается совершенным на территории Российской Федерации, несмотря на то обстоятельство, что предварительная деятельность виновного осуществлялась за границей. Достаточно установить факт наступления общественно опасных последствий на территории нашего государства.

Аналогичным образом будет решаться данный вопрос и в том случае, если вне пределов территории Российской Федерации осуществляется организаторская деятельность, подстрекательство или пособничество совершению неправомерного доступа к компьютерной информации. Организатор, подстрекатель и пособник, где бы их деятельность ни начиналась, несут ответственность по законодательству того государства, где завершил преступление исполнитель.

Наконец, при совершении неправомерного доступа к компьютерной информации на территории двух и более государств применяется закон того государства, где преступление было закончено или пресечено.

Разумеется, установление признаков объективной стороны состава преступления не является достаточным основанием и не предрешает характера уголовной ответственности. Единственным основанием уголовной ответственности является совершение деяния, содержащего все признаки конкретного состава преступления, предусмотренного законом, в том числе характеризующие поведение виновного с его внутренней, субъективной стороны. Учитывая, что некоторые вопросы, относящиеся к субъективной стороне неправомерного доступа к охраняемой законом компьютерной информации не получили должного освещения в специальной литературе, их правовой анализ заслуживает особого внимания.

Субъективная сторона неправомерного доступа к компьютерной информации и его субъект.

К признакам, характеризующим субъективную сторону любого преступления, относятся вина, мотив и цель общественно опасного и противоправного поведения субъекта. Все эти признаки дают представление о том внутреннем процессе, который происходит в психике лица, совершающего преступление, и отражают связь сознания и води индивида с осуществляемым им поведенческим актом.

Применительно к неправомерному доступу к компьютерной информации уголовно-правовое значение данных признаков далеко не равнозначно. Вина -- необходимый признак субъективной стороны каждого преступления. Без вины нет состава преступления, не может, следовательно, наступить и уголовная ответственность. Иное значение приобретают такие признаки субъективной стороны неправомерного доступа к компьютерной информации, как мотив и цель совершения этого преступления, которые законодатель отнес к числу факультативных.

Раскрывая содержание вины (обязательного признака субъективной стороны рассматриваемого преступления), следует исходить из общепринятого в российской уголовно-правовой доктрине положения о том, что вина представляет собой психическое отношение лица к совершенному общественно опасному деянию и его общественно опасным последствиям, выраженное в форме умысла или неосторожности.

Несмотря на то, что диспозиция ст. 272 УК РФ не дает прямых указаний о субъективной стороне анализируемого преступления, можно с уверенностью говорить об умышленной форме вины в визе прямого или косвенного (эвентуального) умысла.

В специальной литературе высказывалась и другая точка зрения, согласно которой неправомерный доступ к охраняемой законом компьютерной информации может быть совершен только с прямым умыслом.[37] Между тем закон вовсе не ограничивает привлечение лица к уголовной ответственности по ст. 272 УК РФ в случае совершения этого преступления с косвенным умыслом. Как показывает практика, преступник не всегда желает наступления вредных последствий. Особенно это характерно при совершении данного преступления из озорства или так называемого “спортивного интереса”.

В силу этого положения становится очевидным, что интеллектуальный момент вины, характерный для состава анализируемого преступления, заключается в осознании виновным факта осуществления неправомерного доступа к охраняемой законом компьютерной информации. При этом виновный понимает не только фактическую сущность своего поведения, но и его социально опасный характер. Кроме того, виновный предвидит возможность или неизбежность реального наступления общественно опасных последствий в виде уничтожения, блокирования, модификации либо копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети. Следовательно, субъект представляет характер вредных последствий, осознает их социальную значимость и причинно-следственную зависимость.

Волевой момент вины отражает либо желание (стремление) или сознательное допущение наступления указанных вредных последствий, либо, как минимум, безразличное к ним отношение.

Неправомерный доступ к охраняемой законом компьютерной информации, совершенный по неосторожности, исключает правовое основание для привлечения лица к уголовной ответственности. Указанное положение полностью корреспондирует с ч. 2 ст. 24 УК РФ: “деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части настоящего Кодекса”. О неосторожности в диспозиции ст. 272 УК РФ не сказано. Следовательно, деяние может быть совершено лишь умышленно. В силу этого обстоятельства трудно согласиться с мнением авторов одного из научно-практических комментариев к Уголовному кодексу Российской Федерации, в котором утверждается, что неправомерный доступ к информации может совершаться как с умыслом, так и по неосторожности. “Неосторожная форма вины, -- пишет С. А. Пашин, -- может проявляться при оценке лицом правомерности своего доступа к компьютерной информации, а также в отношении неблагоприятных последствий доступа, предусмотренных диспозицией данной нормы уголовного закона”[38] Признание этой точки зрения противоречит законодательному положению, закрепленному в ч. 2 ст. 24 УК РФ, что, в свою очередь, ведет к возможности необоснованного привлечения лица к уголовной ответственности за неосторожное поведение.

Сказанное позволяет сделать вывод о том, что при совершении неправомерного доступа к компьютерной информации интеллектуальный и волевой моменты вины всегда наполнены определенным содержанием, выяснение которого является предпосылкой правильной юридической оценки содеянного.

Мотивы и цели неправомерного доступа к охраняемой законом компьютерной информации могут быть самыми разнообразными. Обязательными признаками состава рассматриваемого преступления они не являются и, следовательно, на квалификацию преступления не влияют. Однако точное установление мотивов и целей неправомерного доступа к охраняемой законом компьютерной информации позволяет выявить не только причины, побудившие лицо совершить данное преступление, но и назначить виновному справедливое наказание.

Как правило, побуждающим фактором к совершению неправомерного доступа к охраняемой законом компьютерной информации является корысть, что, естественно, повышает степень общественной опасности указанного преступления. Так, по данным В. П. Панова, соотношение корысти с другими мотивами преступлений в сфере компьютерной информации составляет 66%[39] В качестве иллюстрации корыстного доступа к компьютерной информации может служить пример, когда лицо путем подбора идентификационного кода (пароля) внедряется в компьютерную сеть, обслуживающую банковские операции, и незаконно перечисляет определенную сумму денежных средств на свой текущий счет.

Наряду с корыстью, анализируемое преступление может совершаться из чувства мести, зависти, хулиганства, желания испортить деловую репутацию конкурента, “спортивного интереса” или желания скрыть другое преступление и т. д.

Согласно ст. 20 УК РФ, субъектом преступления, предусмотренного ч. 1 ст. 272 УК РФ, может быть любое физическое лицо, достигшее к моменту преступной деятельности шестнадцатилетнего возраста. Обязательным условием привлечения лица к уголовной ответственности за совершенное общественно опасное и противоправное деяние является вменяемость. Невменяемые лица не могут подлежать уголовной ответственности (ст. 21 УК РФ).

В том случае, когда неправомерный доступ к охраняемой законом информации осуществляет представитель юридического лица, то ответственности подлежит непосредственный исполнитель этого преступления.

Развитие кредитных учреждений, денежного обращения и кредита повлекло возникновение и рост новых видов злоупотреблений в данной сфере, отсутствовавших раньше, т.к. до 1987 г.

Распространяются и такие новые виды преступлений, как хищения путем несанкционированного входа в компьютерную сеть, с использованием векселей, кредитных карточек.

На первом этапе (1992-1993гг.) доминировали хищения денежных средств банков с использованием фиктивных платежных документов. Второй этап (1993-1994 гг.) характеризовался совершением преимущественно преступлений с использованием финансовых и трастовых компаний. По данным МВД России, “пирамидами” было присвоено не менее 20 трлн. руб., пострадавшими оказались от 3 до 10 млн. граждан.

Уголовным Кодексом Российской Федерации предусмотрено наказание за создание, использование и распространение вредоносных программ для ЭВМ (ст. 273) и нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).

Создание, использование и распространение вредоносных программ для ЭВМ (ст. 273)

Новый УК РФ вводит в оборот новое понятие: “вредоносные программы”.

Под вредоносными программами в смысле ст. 273 УК РФ понимаются программы специально созданные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены, определенные в документации на программу. Наиболее распространенными видами вредоносных программ являются "компьютерные вирусы" и "логические бомбы".

"Компьютерные вирусы" - это программы, которые умеют воспроизводить себя в нескольких экземплярах, модифицировать (изменять) программу, к которой они присоединились и тем самым нарушать ее нормальное функционирование.

"Логические бомбы" - это умышленное изменение кода программы, частично или полностью выводящее из строя программу либо систему ЭВМ при определенных заранее условиях, например наступления определенного времени.

Принципиальное отличие "логических бомб" от компьютерных вирусов состоит в том, что они изначально являются частью программы и не переходят в другие программы, а компьютерные вирусы являются динамичными программами и могут распространяться даже по компьютерным сетям. Объективную сторону данного преступления составляет факт создания программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети,[40] а равно использование либо распространение таких программ или машинных носителей с такими программами.

Под использованием программы понимается выпуск, воспроизведение, распространение и иные действия по их введению в оборот. Использование может осуществляться путем записи программы в память ЭВМ, на материальный носитель, распространение по сетям либо путем иной передачи другим лицам.

Данный состав является формальным и не требует наступления каких-либо последствий, уголовная ответственность возникает уже в результате создания программы, независимо от того использовалась эта программа или нет. По смыслу ст. 273 наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности. Однако следует учитывать, что в ряде случаев использование подобных программ не будет являться уголовно наказуемым. Это относится к деятельности организаций, осуществляющих разработку антивирусных программ и имеющих лицензию на деятельность по защите информации, выданную Государственной технической комиссией при Президенте.

Формой совершения данного преступления может быть только действие, выраженное в виде создания вредоносных программ для ЭВМ, внесения изменений в уже существующие программы, а равно использование либо распространение таких программ. Распространение машинных носителей с такими программами полностью покрывается понятием распространения.

3. С субъективной стороны преступление, предусмотренное частью 1 ст.273, может быть совершено только с прямым умыслом, так как в статье определено, что создание вредоносных программ заведомо для создателя программы должно привести к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ.

Использование или распространение вредоносных программ тоже может осуществляться только умышленно, так как в соответствии с частью 2 ст. 274 УК РФ деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части настоящего Кодекса.

В случае если установлен прямой умысел, охватывающий и наступление тяжких последствий, квалификация данного преступления должна основываться на цели, которая стояла перед виновным, в этом случае создание программы либо внесение изменений в программу будут являться только способом совершения преступления и в этом случае должна применяться п. 2 ст. 17 УК РФ. Субъектом данного преступления может быть любой гражданин, достигший 16 лет.

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).

Компьютерные системы в настоящее время все больше влияют на нашу жизнь и выход из строя ЭВМ, систем ЭВМ или их сети может привести к катастрофическим последствиям, поэтому законодателем установлена уголовная ответственность за нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети. Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы с ЭВМ в ведомстве или организации.

Эти правила должны устанавливаться управомоченным лицом, в противном случае каждый работающий с компьютером будет устанавливать свои правила эксплуатации.

Применительно к данной статье под сетью понимается только внутренняя сеть ведомства или организации, на которую может распространяться его юрисдикция. В глобальных сетях типа ИНТЕРНЕТ отсутствуют общие правила эксплуатации, их заменяют этические "Кодексы поведения", нарушения которых не могут являться основанием для привлечения к уголовной ответственности.

Под охраняемой законом информацией понимается информация, для которой в специальных законах установлен специальный режим ее правовой защиты, например - государственная, служебная и коммерческая, банковская тайны, персональные данные и т.д.

Объективная сторона данного преступления состоит в нарушении правил эксплуатации ЭВМ и повлекших уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ при условии, что в результате этих действий был причинен существенный вред.

Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь и полностью доказано, что наступившие последствия являются результатом нарушения правил эксплуатации, а не программной ошибкой либо действиями, предусмотренными в ст. ст. 272, 273 УК РФ.

УК не дает разъяснений того, что понимается под существенным вредом или тяжкими последствиями, равно как и не дает разъяснений, чему или кому причинен вред: информации, бизнесу, репутации фирмы или гражданина. Очевидно, ответы на эти вопросы даст лишь судебная практика…, однако, существенный вред должен быть менее значительным, чем тяжкие последствия[41]. Между тем уже сегодня можно и нужно обеспечить серьезный подход к вопросам защиты компьютерной информации.

Субъективную сторону части 1 данной статьи характеризует наличие умысла направленного на нарушение правил эксплуатации ЭВМ. В случае наступления тяжких последствий ответственность по ст. 274 наступает только в случае неосторожных действий.

Умышленное нарушение правил эксплуатации ЭВМ, систем ЭВМ и их сети влечет уголовную ответственность в соответствии с наступившими последствиями и нарушение правил эксплуатации в данном случае становится способом совершения преступления.

Например: Действия специалиста больницы поставившего полученную по сетям программу без предварительной проверки (что говорит о преступной неосторожности) на наличие в ней компьютерного вируса, повлекшее заражение системы и отказ работы систем жизнеобеспечения реанимационного отделения, повлекшее смерть больного должны квалифицироваться по части 2 ст. 274. Подобные действия совершенные умышленно должны квалифицироваться как покушение на убийство.

Субъект данного преступления - специальный, это лицо в силу должностных обязанностей имеющее доступ к ЭВМ, системе ЭВМ и их сети и обязанное соблюдать установленные для них правила эксплуатации.

5. Причины и предупреждения компьютерных преступлений

ХАКЕР - от английского «Hack» - рубить, кромсать. Компьютерный хулиган, проникающий в чужие информационные системы из озорства, с целью овладения информацией, введения в них ложных данных и т.д.[42]

Считается, что более половины всех компьютерных преступлений совершенно именно хакерами. Как говорится в анекдоте: «в свои 20 лет он знал девять операционных систем и ни одной женщины...

Но, что побуждает их совершать эти деяния.

Как правило, побуждающим фактором к совершению неправомерного доступа к охраняемой законом компьютерной информации является корысть, что, естественно, повышает степень общественной опасности указанного преступления. Так, по данным В. П. Панова, соотношение корысти с другими мотивами преступлений в сфере компьютерной информации составляет 66%.[43] В качестве иллюстрации корыстного доступа к компьютерной информации может служить пример, когда лицо путем подбора идентификационного кода (пароля) внедряется в компьютерную сеть, обслуживающую банковские операции, и незаконно перечисляет определенную сумму денежных средств на свой текущий счет.

Наряду с корыстью, анализируемое преступление может совершаться из чувства мести, зависти, хулиганства, желания испортить деловую репутацию конкурента, “спортивного интереса” или желания скрыть другое преступление и т. д.

На 1-й Международной конференции Интерпола по компьютерной преступности хакеры были условно разделены на три группы. К первой относят молодежь 11-15 лет. В основном они совершают кражи через кредитные карточки и телефонные номера, «взламывая» коды и пароли больше из любознательности и самоутверждения. Обычно своими действиями они создают серьёзные помехи в работе сетей и компьютеров. Вторая группа - лица в возрасте 17-25 лет. В основном это студенты, которые в целях повышения своего познавательного (!) уровня устанавливают тесные отношения с хакерами других стран посредством электронных сетей BBS, обмениваясь информацией и похищая ее из различных банков данных. Третья группа - лица в возрасте 30-45 лет - включает в себя хакеров, умышленно совершающих компьютерные преступления с целью получения материальной выгоды, а также ради уничтожения или повреждения компьютерных сетей - так называемый «тип вандал».[44]

На сегодняшний день не возможно абсолютно (стопроцентно) обезопасить компьютерную информацию от преступных посягательств.

Приведем лишь один пример. Несколько лет назад Пентагон объявил конкурс в целях выяснения расшифровки военного кода, считавшегося совершенно не поддающимся расшифровке. В течение первых двух часов один из студентов с помощью домашнего ЭВМ разгадал код. После конкурса этой игрой увлеклась вся Америка, а группа подростков из штата Милуоки сумела даже обеспечить себе доступ к сверхсекретным данным Министерства обороны.

Прогнозирование ситуации показывает, что рост преступлений в сфере компьютерной информации объясняется следующими факторами:

1. Ростом числа ЭВМ, используемых в России и, как следствие этого, ростом числа их пользователей, увеличением объемов информации, хранимой в ЭВМ. Этому способствует снижение цен на сами компьютеры и периферийное оборудование (принтеры, сканеры, модемы и др.), а также то обстоятельство, что отечественными фирмами налажена самостоятельная сборка компьютеров. По данным журнала “КомпьютерПресс”, в 1996 г. ведущими компаниями (R.&K., Kraftway, DVM Group, R-Style) было выпущено свыше 150000 персональных компьютеров и 10 000 ноутбуков, а весь российский рынок персональных компьютеров оценивался в 1 200 000--1 300 000 компьютеров и 40 000--50 000 ноутбуков[46].

2. Недостаточностью мер по защите ЭВМ и их систем, а также не всегда серьезным отношением руководителей к вопросу обеспечения информационной безопасности и защите информации. Примерами этого могут служить факты хищения 125,5 тыс. долл. США в 1991 г. во Внешэкономбанке, попытка хищения 68 млрд. руб. из ГРКЦ ЦБ РФ по Москве, а также еще ряд известных дел, связанных с незаконным проникновением в компьютерные сети учреждений и организаций, где вопросам обеспечения информационной безопасности должного внимания не уделялось.

3. Недостаточностью защиты программного обеспечения (к примеру, в системе Windows 95 недостаточная защищенность программного обеспечения связана с несовершенным алгоритмом шифрования сохраняемых паролей. Сегодня существуют программы расшифровки файлов, содержащих пароли. Они распространены в сети Internet).

4. Недостаточностью защиты самих технических средств защиты компьютерной техники. Например, сегодня для защиты портов персонального компьютера, через которые подключается периферийное оборудование, широко используются специальные электронные ключи [Электронные ключи -- небольшие устройства, подключаемые к параллельному или последовательному порту компьютера, через которые происходит соединение с периферийным оборудованием. При этом ключ не влияет на работу порта, он совершенно “прозрачен” для подсоединенных через него устройств.[47] Их действие основано на том, что специальная программа периодически проверяет идентификационные (“ключевые”) признаки строго определенного оборудования, при совпадении которых с эталоном обращение к определенному устройству возможно, а при несовпадении устройство становится недоступным. Сегодня существуют методы взлома такой защиты путем эмуляции ключа (перехватываются операции обращения к периферийным устройствам и передаются управляющей программе те данные, которые она должна считать из контролируемого порта, либо дополнительное электронное устройство генерирует такие же выходные значения, как и электронный ключ) или путем взлома с использованием отладчиков, анализирующих логику механизмов защиты и позволяющих получать доступ к устройствам вне зависимости от ключа.

5. Возможностью выхода российских пользователей ЭВМ в мировые информационные сети для обмена информацией, заключения контрактов, осуществления платежей и др. Подобный обмен в настоящее время производится абонентами самостоятельно, без контроля со стороны государственных органов, минуя географические и государственные границы.

6. Использованием в преступной деятельности современных технических средств, в том числе и ЭВМ. Во-первых, организованная преступность включена в крупномасштабный бизнес, выходящий за рамки отдельных государств, где без компьютеров невозможно руководить и организовывать сферу незаконной деятельности. Во-вторых, из организаций, использующих ЭВМ, значительно удобнее “вытягивать” деньги с помощью такой же техники, дающей возможность повысить прибыль и сократить риск.

7. Недостаточной защитой средств электронной почты на пути к адресату сообщение проходит через многочисленные компьютеры, причем часто новым маршрутом [В сети Internet из пяти посланных одному адресату сообщений даже два не проходят одинаковым путем.], к тому же при пересылке почты остается большое число копий, сильно снижающих уровень защиты. Э. Таили пишет “Сначала отправляемая информация сохраняется на жестком диске (копия 1). Если делается резервное копирование, то остается резервная копия (копия 2 и 3 -- у владельца компьютера и администратора сети). По пути сообщение пройдет через любое число узлов, теоретически не делающих копий, пока не достигнет сетевого администратора адресата. Там копия помещается в его входной почтовый ящик (копия 4). Его администратор также может сделать резервную копию на ленту (копия 5). Когда адресат получает сообщение, оно записывается на его жесткий диск (копия 6). Если лицо, которому направлена почта, архивирует ее, то сообщение попадет в конечном счете еще на одну или большее количество его лент (копия 7). При таком количестве копий можно с уверенностью сказать, что документ практически не защищен”. [48]

8. Небрежностью в работе пользователей ЭВМ. Последние не всегда серьезно относятся к обеспечению конфиденциальности информации и часто пренебрегают элементарными требованиями по ее защите:

- не уничтожают секретные файлы с компьютеров общего пользования; наделяют нескольких лиц правом доступа к любым компонентам сети;

- устанавливают сетевые серверы в общедоступных местах [Их надо размещать в закрытом помещении, в которое не имеет доступа никто, кроме сетевого администратора.];

- небрежно хранят записи паролей;

- используют упрощенные пароли, устанавливаемые для защиты информации. К основным недостаткам выбираемых паролей относятся: использование в них своего или чужого имени, фамилии; использование личной информации (дата рождения, номер телефона, название улицы, прозвище и т. д.);

- использование профессиональных слов (сотрудники ОВД используют иногда в качестве пароля слова типа “ОРД”, “Криминал” и т. д.); использование повторяющихся символов (типа “888888” или “ЙИЙЙЙ”). Если компьютер подключен к сети или телефонной линии, то лучше не использовать и “реальные” слова, ибо можно подобрать пароль с помощью компьютера. Типичный словарь, используемый в программе проверки орфографии текстового процессора, содержит около 250 тыс. слов. Эти слова с помощью специальных программ можно перепробовать в качестве пароля за несколько минут;

- доверяют пароли доступа к информации другим гражданам, например, своим подчиненным, которые в отдельных случаях, обращаются к ней в противоправных целях. Имеет место также ряд упущений организационного характера, к которым можно отнести: неконтролируемый доступ сотрудников и обслуживающего персонала к клавиатуре компьютера; низкий профессионализм или отсутствие служб информационной безопасности, отсутствие должностного лица, отвечающего за режим секретности и конфиденциальность компьютерной информации; отсутствие категорийности допуска сотрудников к машинной информации; отсутствие договоров (контрактов) с сотрудниками на предмет неразглашения конфиденциальной информации; недостаточное финансирование мероприятий по защите информации.

9. Непродуманной кадровой политикой в вопросах приема на работу и увольнения. Здесь показателен пример, имевший место в августе 1983 г. на Волжском автомобильном заводе в г. Тольятти.

Следственной бригадой Прокуратуры РСФСР был изобличен программист, который из мести руководству предприятия умышленно внес изменения в программу для ЭВМ, обеспечивающей заданное технологическое функционирование автоматической системы подачи механических узлов на главный сборочный конвейер завода. В результате произошел сбой в работе главного конвейера, и заводу был причинен существенный материальный вред: 200 легковых автомобилей марки “ВАЗ” не сошло с конвейера, пока программисты не выявили и не устранили источник сбоев. При этом материальные потери составили 1 млн. руб. в ценах 1983 г.[49]

Мировой опыт развития компьютерной техники свидетельствует, что специалисты высокой квалификации, неудовлетворенные условиями или оплатой труда, нередко уходят из компаний для того, чтобы начать собственный бизнес. При этом они “прихватывают” с собой различную информацию, являющуюся собственностью владельцев покидаемой фирмы, включая технологию, список потребителей и т.д. Иными словами, все, что имело какую-либо интеллектуальную ценность, покидало ворота предприятия в дипломатах, нанося при этом многомиллионные убытки.[50]

10. Низким уровнем специальной подготовки должностных лиц правоохранительных органов, в том числе и органов внутренних дел, которые должны предупреждать, раскрывать и расследовать неправомерный доступ к компьютерной информации. В Академии ФБР (США) с 1976 г. читается специальный трехнедельный курс “Техника расследования преступлений, связанных с использованием ЭВМ”.[51] В России же учебные планы высших учебных заведений МВД подобных курсов не содержат.

11. Отсутствием скоординированности в работе государственных и общественных структур в сфере обеспечения информационной безопасности. Деятельность последних охватывает лишь отдельные стороны названной проблемы. Помимо правоохранительных органов (МВД, ФСБ, ФСНП и прокуратуры) вопросами информационной безопасности занимаются Комитет по политике информатизации при Президенте РФ, Палата по информационным спорам при Президенте РФ, Федеральное агентство правительственной связи и информации при Президенте РФ, Государственная техническая комиссия при Президенте РФ, министерство связи РФ, Международная академия информатизации.

12. Ограничением на импорт в Россию защищенных от электронного шпионажа компьютеров и сетевого оборудования.[52] Чувствительная радиоэлектронная аппаратура позволяет уловить побочные электромагнитные излучения, идущие от незащищенной компьютерной техники, и полностью восстановить обрабатываемую компьютерную информацию. Кроме того, незащищенная аппаратура создает низкочастотные магнитные и электрические поля, интенсивность которых убывает с расстоянием, но способна вызвать наводки в близко расположенных проводах (охранной или противопожарной сигнализации, телефонной линии, электросети, трубах отопления и пр.). Чтобы перехватить низкочастотные колебания незащищенной компьютерной техники, приемную аппаратуру подключают непосредственно к вышеперечисленным коммуникациям за пределами охраняемой территории.

В этих условиях заметно повышается степень риска потери данных, а также возможность их копирования, модификации, блокирования. Причем это не чисто российская, а общемировая тенденция. Не исключено, что в скором времени проблема информационной безопасности и защиты данных станет в один ряд с такими глобальными проблемами современности, как экологический кризис, организованная преступность, отсталость развивающихся стран и др. Согласно опросу, проведенному в США среди менеджеров информационных систем и ответственных за защиту информации[53], на вопрос, как изменилась степень риска потери данных за последние 5 лет, 85% респондентов ответили, что она повысилась, 9% ответили, что она снизилась, 6% затруднились ответить. Безопасность работы в сети Internet 40% респондентов оценили как неудовлетворительную, 28% -- как удовлетворительную, и затруднились ответить 32% опрошенных. На вопрос, насколько высока угроза компьютерных вирусов, 67% опрошенных заявили, что они пострадали от них в 1996 г., оставшиеся 33%-- не пострадали.

Предупреждение неправомерного доступа к компьютерной информации представляет собой деятельность по совершенствованию общественных отношений в целях максимального затруднения, а в идеале -- полного недопущения возможности неправомерного доступа к компьютерной информации, хранящейся на машинных носителях; а также к устройствам ввода данных в персональный компьютер и их получения.

Задачами предупреждения неправомерного доступа к компьютерной информации в соответствии со ст. 21 Федерального закона “Об информации, информатизации и защите информации” являются:

- предотвращение утечки, хищения, утраты, искажения, подделки информации;

- предотвращение угроз безопасности личности, общества, государства;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

- зашита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Для выполнения поставленных задач используются средства защиты информации -- технические, криптографические, программные и другие средства, предназначенные для защиты сведений (носящих конфиденциальный характер), средства, в которых они реализованы, а также средства контроля эффективности защиты информации (Ст. 2 Закона “О государственной тайне”). Понятие защиты данных включает в себя как разработку и внедрение соответствующих способов защиты, так и их постоянное использование.

О способах и средствах защиты компьютерной информации уже говорилось в гл. 1 и 2 данного научно-практического пособия.

Поскольку разновидностью неправомерного доступа к компьютерной информации являются разного рода хищения с использованием поддельных электронных карточек, необходимо выделить специфические организационные и программно-технические средства их защиты. Организационная защита кредитных карт должна включать, прежде всего, проверку их обеспеченности. Последнее зачастую не делается из-за опасений поставить такой проверкой клиента в неловкое положение. Кроме того, необходимо:

обеспечить секретность в отношении предельных сумм, свыше которых производится проверка обеспеченности карты;

регистрировать все операции с карточками;

ужесточить условия выдачи банками кредитных карт.

Программно-техническая защита электронных карт основывается на нанесении на магнитную полоску набора идентификационных признаков, которые не могут быть скопированы, а также узора из полос, нанесенного магнитными чернилами и запрессованного в материал карточки; использовании радиоактивных изотопов; использовании современных материалов; отказе от видимой на карточке подписи ее владельца.

В соответствии со ст. 21 Закона “Об информации, информатизации и защите информации” контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств зашиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль проводится в порядке, определяемом Правительством Российской Федерации. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Он также вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.

Субъектами, осуществляющими профилактику неправомерного доступа к компьютерной информации, являются:

1. Правоохранительные органы, поскольку профилактическая деятельность составляет обязательную составную часть правоохранительной деятельности. К ним относятся:

суд, прокуратура, органы внутренних дел, налоговой полиции, федеральной службы безопасности.

2. Органы межведомственного контроля: Комитет по политике информатизации при Президенте РФ, Палата по информационным спорам при Президенте РФ, Государственная техническая комиссия при Президенте РФ.

3. Отраслевые органы управления: Федеральное агентство правительственной связи и информации при Президенте РФ, министерство связи РФ.

4. Международные органы и общественные организации: Международная академия информатизации; в настоящее время обсуждается вопрос о введении Уполномоченных по защите данных.

5. Непосредственные руководители предприятий и организаций, в которых обращается конфиденциальная компьютерная информация, ответственные сотрудники по информационной безопасности.

ЗАКЛЮЧЕНИЕ

Итак, мы раскрыли некоторые преступные действия, которые могут стать не только причиной хищения, модификации или копирования информации, но и в значительной мере дестабилизировать работу АСОИ. И главными действующими лицами при этом выступают люди, которые могут совершать подобные деяния в силу различных обстоятельств. Это могут быть как собственные сотрудники организации, на долю которых приходится большинство противоправных действий, так и посторонние лица, имеющие опосредованное отношение к работе системы.

Как же организовать работу АСОИ так, чтобы предостеречь себя от различных опасностей. Если Вы решите сами заняться этой проблемой, то мы остановимся на некоторых наиболее распространенных способах защиты и программно-аппаратных продуктах.

Одним из основных принципов построения системы защиты является правильное распределение прав доступа к информации и ресурсам сети. Используя возможности программного обеспечения, Вы можете для каждого сотрудника Вашей организации назначить права, соответствующие его статусу, т.е. дать ему право пользоваться только той информацией и только теми ресурсами сети, которые Вы посчитаете достаточными для выполнения своих служебных обязанностей. При этом доступ к остальной информации для него будет ограничен. Причем любые попытки обращения к недоступной для него информации автоматически будут регистрироваться в специальном системном журнале. Эти же программы предусматривают ограничение на совершение различных действий пользователя с данными. Другими словами, пользователь может иметь права на чтение, изменение, удаление, копирование данных. Для дополнительной защиты каждый пользователь имеет свой пароль, который он хранит в тайне от других пользователей и который служит ему пропуском для работы в АСОИ, таким образом, лицо, не имеющее пароля не будет опущено до работы в автоматизированной системе. Описанные программы могут применяться не только для защиты компьютерных сетей, но и для защиты отдельных компьютеров, если они работают в многопользовательском режиме. Для повышения надежности защиты рекомендуется шифровать защищаемую информацию, причем делать это как на стадии ее хранения, так и обработки и передачи. Ограничьте доступ сотрудников и посторонних лиц в те помещения, в которых ведется обработка конфиденциальной информации. В этих целях можно применять замки, вместо ключа использующие магнитные карты или таблетки Touch Memory, где хранятся не только данные о ее владельце, но и "зашита" информация о его правах. Таким образом, Вы можете создать у себя на предприятии систему разграничения доступа в помещения, разрешив каждому сотруднику посещать только те помещения, где его присутствие необходимо или связано с выполнением своих функций, причем подобные ограничения можно внести не только на право посещения тех или иных помещений, но также разрешить посещать их только в определенное время. Попытки нарушить установленный порядок будут автоматически регистрироваться в системном журнале. На рынке программно-аппаратного обеспечения существует ряд продуктов, с помощью которых Вы в той или иной степени можете организовать систему защиты информации. Напомним лишь об одном. Отдавайте предпочтение сертифицированным продуктам. Тем самым Вы оградите себя от различного рода подделок.

Использованная литература:

Конституция Российской Федерации (принята 12 декабря 1993 года.)

Закон Российской Федерации "О информации, информатизации и защите информации". (Собр. Законов РФ, N 8.)

Закон Российской Федерации "О государственной тайне" (Российская газета, 1993 г. 21 сентября.)

Собрание законодательства Российской Федерации, 1995, № 8. - Ст. 609.

Актуальные проблемы права, управления и природопользования. Труды НОСиА МНЭПУ. Вып. 1. М.: ПОЛТЕКС 1999. 312с.

Большой толковый словарь русского языка. Составитель - С.А. Кузнецов «НОРИТ» Санкт-Питербург. 1998 г.

Гражданское право. Часть I. Учебник. Под ред. Ю.К. Толстого, А.П. Сергеева. - М.: "Издательство ТЕИС", 1996. С. 190.).

Гражданский кодекс Российской Федерации, Москва 1995 г.

Новое уголовное право России. Особенная часть: Учебное пособие. - М.: Зерцало, ТЕИС, С. 273-274.

Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма “ЮКИС””, 1991. С. 4.

Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма “ЮКИС””, 1991. С. 34.

Правовая информатика и кибернетика: Учебник. Под ред. Н.С. Полевого. - М.: "Юридическая литература", 1993. С. 24 - 25.

Российское уголовное право. Особенная часть. Под ред. Кудрявцева В.Н., Наумова А.В. - М.: “Юристъ”, 1997. С. 345.

Советское уголовное право. Общая часть. Под ред. Н.А. Беляева и М.И. Ковалева. - М.: “Юридическая литература”, 1977. С. 117.

Уголовное право. Общая часть. Под ред. Кузнецовой Н.Ф., Ткачевского Ю.М., Борзенкова Г.Н. - М.: “МГУ”, 1993. С. 110.

Уголовное право. Общая часть. Учебник Под ред. М.П. Журавлева, А.И. Рарога. - М.: -- М.: “ИМПиЭ”, 1996. С. 61.

Уголовное право. Общая часть. Учебник Под ред. Б.В. Здравомыслова, Ю.А. Красикова, А.И. Рарога. - М.: “Юридическая литература”, 1994. С. 160.

Основы борьбы с организованной преступностью. Монография. Под ред. В.С. Овчинского, В.Е. Эминова, М., 1996. С.206

Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма “ЮКИС””, 1991. С. 47 - 48.

Собрание актов Президента и Правительства РФ, 1991, № 1.- Ст. 49.

Экономическая разведка и контрразведка. Практическое пособие. - Новосибирск: 1994. С. 92 - 93.

А. Крутогоров “Транснациональные тенденции развития промышленного шпионажа” БДИ (безопасность, достоверность, информация). -- 1996. -- № 1. С. 17.

А. Остапенко “По следам Прометея БДИ (безопасность, достоверность, информация). -- 1996. -- № 1. С. 11.

Безруков Н.Н. Компьютерная вирусология Справочное руководство. Киев, 1991. С. 31-32.

Богатых Е.А. Гражданское и торговое право. - М.: “ИНФРА-М”, 1996. С. 87.

Духов В.Е. Экономическая разведка и безопасность бизнеса. - Киев: “ИМСО МО Украины”, “НВФ “Студцентр””, 1997. С. 82.

Истомин А.Ф. Общая часть уголовного права: Учебное пособие - М.: «ИНФРА-М», 1997. С. 57.; Уголовное право. Общая часть: Учебник. Под ред. Рарога А.И. - М.: «ИМПиЭ», «Триада, Лтд», 1997. С. 71.

Карелина М.М. «Преступления в сфере компьютерной информации»

Куринов Б. А. Научные основы квалификации преступлений. -- М.: изд-во МГУ, 1984. -- С. 55.

Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. - М.: Новый Юрист, 1998.

Ленин В.И. Отношение к буржуазным партиям. Полное собрание соченений. - 5-е изд. - М.: “ГИПЛ”, 1961. С. 368.

Ляпунов Ю., Максимов В. Ответственность за компьютерные преступления Законность, 1997, № 1. -- С. 11.

Магомедов А.А. Уголовное право России. Общая часть: учебное пособие. - М.: «Брандес», «Нолидж», 1997. С. 24.;

Назаренко Г.В. Вина в уголовном праве. - Орел: “ОВШ МВД РФ”, 1996. С. 51.

Наумов А.В. Российское уголовное право. Общая часть. Курс лекций. - М.: “БЕК”, 1996. С. 151.

Панкратов Ф.Г., Серегина Е.К. Коммерческая деятельность: Учебник. - М.: "Информационный учебный центр "Маркетинг"", 1996. С. 55 - 56.

Панов В. П. Сотрудничество государств в борьбе с международными уголовными преступлениями.-- М., 1993.-- С. 14

Петелин Б.Я. Комплексный подход к исследованию субъективной стороны преступления. Советское государство и право. - №6. - 1976. С. 87.

Тер-Акопов А.А. Защита личности -- принцип уголовного закона. Современные тенденции развития уголовной политики и уголовного законодательства. - М.: «ИгиП РАН», 1994. С. 52.

Ярочкин В.И. Безопасность информационных систем. - М.: “Ось-89”, 1996. С. 13.

[1] Ярочкин В.И. Безопасность информационных систем. - М.: “Ось-89”, 1996. С. 13.

[2] См.: Безруков Н.Н. Компьютерная вирусология Справочное руководство. Киев, 1991. С. 31-32.

[3] См.: Основы борьбы с организованной преступностью. Монография./Под ред. В.С. Овчинского, В.Е. Эминова, М., 1996. С.206

[4] Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма «ЮКИС», 1991. С. 4.

[5] Правовая информатика и кибернетика: Учебник. Под ред. Н.С. Полевого. - М.: "Юридическая литература", 1993. С. 24 - 25.

[6] Гражданское право. Часть I. Учебник. Под ред. Ю.К. Толстого, А.П. Сергеева. - М.: "Издательство ТЕИС", 1996. С. 190.

[7] Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма “ЮКИС””, 1991. С. 34.

[8] Богатых Е.А. Гражданское и торговое право. - М.: “ИНФРА-М”, 1996. С. 87.

[9] Панкратов Ф.Г., Серегина Е.К. Коммерческая деятельность: Учебник. - М.: "Информационный учебный центр "Маркетинг"", 1996. С. 49.

[10] А. Остапенко “По следам Прометея. БДИ (безопасность, достоверность, информация). -- 1996. -- № 1. С. 11.

[11] Экономическая разведка и контрразведка. Практическое пособие. - Новосибирск: 1994. С. 88.

[12] А. Остапенко “По следам Прометея. БДИ . -- 1996. -- № 1. С. 11.

[13] А. Крутогоров “Транснациональые тенденции развития промышленного шпионажа” БДИ (безопасность, достоверность, информация). -- 1996. -- № 1. С. 17.

[14] Экономическая разведка и контрразведка. Практическое пособие. - Новосибирск: 1994. С. 92 - 93.

[15] Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма “ЮКИС””, 1991. С. 47 - 48.

[16] Панкратов Ф.Г., Серегина Е.К. Коммерческая деятельность: Учебник. - М.: "Информационный учебный центр "Маркетинг"", 1996. С. 55 - 56.

[17] Основы защиты коммерческой информации и интеллектуальной собственности в предпринимательской деятельности. / Под ред. А.В. Назарова. - М.: “Научно-информационная внедренческая фирма “ЮКИС””, 1991. С. 5.

[18] Тер-Акопов А.А. «Безопасность человека», МНЭПУ, М.: 1999г.

[19] Тер-Акопов А.А. «Безопасность человека», МНЭПУ, М.: 1999г.

[20] Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. - М.: Новый Юрист, 1998.

[21] Конституция Российской Федерации. 1993 г.