Авторы: Русскевич Е.А., Мельников А.С.
Применение судебно-следственными органами уголовно-правовой нормы об ответственности за создание, использование и распространение вредоносных компьютерных программ[1] до настоящего времени сопряжено с определенными проблемами. Пожалуй, главной из них является отсутствие в отечественной доктрине уголовного права единообразного понимания "вредоносной программы" как конструктивного признака ст. 273 Уголовного кодекса Российской Федерации (далее — УК РФ).
Соглашение о сотрудничестве государств — участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации определяет вредоносную программу как "созданную или существующую программу со специально внесенными изменениями, заведомо приводящую к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети"[2]. В этом же ключе содержание вредоносной программы раскрывается в п. п. 2.6.5 и 2.6.6 ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения", утвержденного Приказом Ростехрегулирования от 27 декабря 2006 г. N 373-ст[3]. Подобный подход, определяющий вредоносность программы ее функциональным предназначением — оказывать неправомерное (несанкционированное) воздействие исключительно на компьютерные данные и системы — является наиболее распространенным и в доктрине уголовного права[4].
В судебно-следственной практике, пожалуй, наибольшее распространение получило признание вредоносными компьютерных программ, которые заведомо предназначены для генерации кода установки (серийного номера) и кода активации, запрашиваемых при установке лицензионных программных продуктов (KEYGEN.exe и др.). Так, Розов был осужден по ч. 2 ст. 146 УК РФ и ч. 1 ст. 273 УК РФ. Согласно приговору суда Розов, находясь в помещении общества с ограниченной ответственностью, из корыстной заинтересованности выполнил несанкционированное копирование (установку) с неустановленного следствием носителя информации программного продукта AutoCAD-2014 на системный блок электронно-вычислительной машины, принадлежащей организации, и для достижения работоспособности указанного программного продукта незаконно использовал вредоносную компьютерную программу X-Force с неустановленного следствием носителя информации[5].
Сравнительно реже правоохранительные органы выявляют случаи использования "компьютерных вирусов", "троянов" и т.п. Так, например, Маликов был осужден по ч. 1 ст. 273 УК РФ. В соответствии с приговором суда Маликов, обладая специальными познаниями в области работы с компьютерными программами, действуя умышленно, находясь по месту жительства, приобрел путем копирования с неустановленных интернет-ресурсов компьютерные программы, заведомо предназначенные для несанкционированного копирования компьютерной информации, после чего посредством принадлежащего ему компьютерного оборудования, а также находящихся в его пользовании хостинговых сервисов (серверов для хранения информации в сети Интернет) использовал указанные вредоносные компьютерные программы для заражения 50 компьютеров неустановленных пользователей сети Интернет и построения из них контролируемой сети, в результате чего без ведома и согласия указанных пользователей скопировал хранящуюся в памяти зараженных устройств компьютерную информацию, содержащую сведения о логинах и паролях авторизации пользователей на различных интернет-ресурсах, которую планировал использовать в личных целях. Согласно заключению эксперта на жестком диске персонального компьютера Маликова обнаружены комплексы вредоносного программного обеспечения, построенного на использовании вирусов типа "троян" ("троянская программа")[6].
Господствующее толкование вредоносности компьютерной программы, к сожалению, имеет свои изъяны. Так, например, оно не позволяет отнести к таковым программы-шпионы (Spyware), целью которых является не причинение вреда информационным активам или инфраструктуре, а собирание сведений об активности пользователя в сети Интернет (о посещаемых сайтах, совершаемых покупках и т.п.), программы "злые шутки" (Bad Jokes)[7], так называемые "вирусные конструкторы" — программы, предназначенные не для осуществления атак на компьютерные ресурсы, а для генерирования новых вирусов. При общепринятом подходе нельзя отнести к вредоносным также программы, объективно приспособленные к совершению преступлений, но выполненные на основе легального программного обеспечения. В связи с этим обоснованно возникает вопрос: может ли вредоносность программы выражаться в ее направленности на совершение посягательств в отношении иных охраняемых уголовным законом объектов? В.С. Комиссаров дает утвердительный ответ на этот вопрос, поскольку считает, что вредоносность может быть обусловлена не только самим алгоритмом ее действия, направленным на уничтожение, блокирование, модификацию или копирование информации, но и "специфическими свойствами, предназначенными для выполнения неправомерных или даже преступных действий (хищения денег с банковских счетов, укрытия средств от налогообложения, хулиганства и т.д.)"[8].
Пункт 2 Правил оказания телематических услуг связи, утвержденных Постановлением Правительства Российской Федерации от 10 сентября 2007 г. N 575, вредоносное программное обеспечение раскрывает как целенаправленно приводящее к нарушению законных прав абонента и (или) пользователя, в том числе к сбору, обработке или передаче с абонентского терминала информации без согласия абонента и (или) пользователя, либо к ухудшению параметров функционирования абонентского терминала или сети связи[9].
Если исходить из подобного, более широкого, понимания вредоносности как предназначения программы к заведомо противоправной (преступной) деятельности в целом, то изготовление и распространение программ-шпионов, Bad Jokes и конструкторов вирусов может быть квалифицировано по ст. 273 УК РФ. На наш взгляд, современный процесс непрерывного роста использования информационно-коммуникационных технологий во всех сферах жизни общества убедительно свидетельствует в пользу именно этого подхода. С течением времени вредоносные программные продукты все больше будут направлены не на отношения информационной безопасности как таковые, а на иные социально значимые сферы — жизнь, здоровье, честь и достоинство личности, неприкосновенность частной жизни, отношения собственности, общественный порядок и др.
К.Н. Евдокимов делает вывод, что "вредоносными программами могут быть и обычные лицензионные компьютерные программы в случае их использования при совершении преступного деяния и достижения вредных последствий, указанных в ст. 273 УК РФ"[10]. Полагаем, что автор необоснованно смешивает вредоносные программы и легальное программное обеспечение, которое достаточно часто используется при совершении посягательств на объекты уголовно-правовой охраны. Известно, что многие разрешенные к обороту программные продукты применяются злоумышленниками для совершения преступлений. Так, например, программы для записи дисков (InfraRecoder, BurnAware, Nero и др.) используются злоумышленниками для изготовления контрафактной продукции (неправомерного копирования информации), программное обеспечение для удаленного администрирования (RDP, VNC, DameWare, TeamViewer, Remote Office Manager, Hamachi и т.д.) довольно часто применяется при совершении хищений, связанных с неправомерным вмешательством в системы дистанционного банковского обслуживания. Вместе с тем вредоносными их признавать нельзя, поскольку такие программы по факту остаются аутентичными, сохраняют стандартный набор настроек и возможностей, заложенный разработчиком.
Другое дело, когда центральную часть легальной программы (так называемый "движок") приспосабливают для совершения конкретных преступлений. Например, для незаконного пополнения баланса проездных билетов злоумышленник использует одну из многих компьютерных программ, предназначенных для записи информации с одного носителя на другой, но меняет ее интерфейс таким образом, чтобы можно было выбрать перевозчика, количество поездок, срок действия и т.п. В этом случае, на наш взгляд, можно говорить о наличии признаков изготовления вредоносной компьютерной программы, поскольку в окончательном виде полученное программное обеспечение обладает уже другими характеристиками, напрямую указывающими на ее предназначение для осуществления противоправной деятельности. Так, например, Сергеев Е.А. был осужден за совершение преступлений, предусмотренных ч. 3 ст. 30, п. "а" ч. 2 ст. 165 УК РФ, ч. 2 ст. 272 УК РФ и ч. 2 ст. 273 УК РФ. Согласно материалам дела Сергеев Е.А. использовал нелегальную компьютерную программу Troyka.exe для несанкционированной модификации компьютерной информации на проездных билетах "Тройка" и "Единый" о якобы оплаченных ГУП "Мосгортранс" поездках путем неправомерного доступа к записанной на них информации[11].
В свете современных угроз стремительно "виртуализующегося" общества полагаем, что единственно верным будет избрать в качестве основного критерия вредоносности программы ее изначальное и основное предназначение — осуществление противоправной деятельности. В какой сфере такая деятельность будет осуществляться, будет ли работа программы носить несанкционированный пользователем или разрешенный характер (как с конструктором вирусов) — имеет второстепенное значение.
Другая проблема связана с определением момента окончания преступления, предусмотренного ст. 273 УК РФ. В теории уголовного права получила распространение позиция, согласно которой как оконченное преступление — создание вредоносной компьютерной программы — следует оценивать в том числе действия по ее описанию в рукописном или машинописном виде[12]. Данный подход нашел свое отражение и в методических рекомендациях Генеральной прокуратуры Российской Федерации, где отмечается, что "…ст. 273 УК РФ устанавливает ответственность за незаконные действия с компьютерными программами, записанными не только на машинных, но и на иных носителях, в том числе на бумаге"[13].
Однако этот подход к квалификации подобного рода деятельности вызывает определенные сомнения. Прежде всего описание алгоритма на естественном языке, а не на языке программирования, выступает лишь одним из этапов создания программы. В связи с этим напрашивается закономерный вывод, что сама по себе идея (концепция, проект и т.п.) вредоносной программы, выраженная на листе бумаге, не есть программа как таковая. Не станем же мы оценивать как оконченное изготовление оружия создание его сборочного чертежа с разнесенными составными частями (взрыв-схемы)? Таким образом, определение целей компьютерного вируса, разработка его алгоритма и последующие действия по программированию правильнее оценивать как покушение на создание вредоносной программы. Создание вредоносной компьютерной программы следует считать оконченным с момента придания ей такого состояния, при котором она уже обладает соответствующим деструктивным функционалом (вредоносными свойствами) и пригодна для использования.
Самостоятельным и значимым вопросом является квалификация действий лица, которое осуществляет распространение вредоносной компьютерной программы (ст. 273 УК РФ) под контролем сотрудников оперативно-разыскных подразделений (при этом не важно, осуществлялась ли проверочная закупка в виртуальном или физическом пространстве). В разрешении данной проблемы нельзя оставить без внимания изменение Верховным Судом Российской Федерации позиции в части юридической оценки сбыта наркотических средств. В соответствии с новым разъяснением изъятие сотрудниками правоохранительных органов из незаконного оборота наркотиков при проведении проверочной закупки не влияет на квалификацию преступления как оконченного[14]. Ранее идея о том, что проведение оперативно-розыскного мероприятия не может и не должно оказывать влияние на признание сбыта наркотических средств оконченным, последовательно обосновывалась в доктрине уголовного права[15].
Вместе с тем обобщение и анализ правоприменительной практики по делам о преступлениях в сфере компьютерной информации позволяет сделать вывод, что распространение вредоносного программного обеспечения под контролем правоохранительных органов обычно не признается оконченным преступлением. Так, Семенишин, находясь по месту своего жительства, имея умысел на распространение вредоносных компьютерных программ, осознавая противоправный характер своих действий, скачал из сети Интернет программу-генератор ключей для программного обеспечения AutoCAD, заведомо приводящую к несанкционированной модификации информации. В тот же день Семенишин, находясь в указанной квартире, совершил распространение данной программы путем продажи другому лицу, участвовавшему в качестве покупателя при проведении сотрудниками ОРЧ ЭБ и ПК ОМВД России по г. Ноябрьску оперативно-розыскного мероприятия "Проверочная закупка"… Однако довести свой умысел Семенишин до конца не смог по независящим от него обстоятельствам, так как его действия находились под контролем сотрудников правоохранительных органов — ОРЧ ЭБ и ПК ОМВД России, которые после получения закупщиком трех лазерных оптических дисков произвели их изъятие, в связи с чем последний был лишен возможности владеть вредоносными программами[16].
Полагаем, что подход к квалификации преступлений, связанных со сбытом запрещенных в свободном обороте объектов (наркотических средств, оружия, вредоносных компьютерных программ и т.д.), должен быть унифицированным. В связи с этим распространение вредоносного программного обеспечения при проведении проверочной закупки с учетом последних разъяснений Пленума Верховного Суда Российской Федерации, на наш взгляд, следует оценивать как оконченное преступление.
И, наконец, отдельно следует упомянуть о возможных проблемах квалификации еще одного компьютерного преступления, связанного с оборотом вредоносного программного обеспечения. Речь идет о вступившей в силу с 1 января 2018 г. уголовно-правовой норме об ответственности за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК РФ). Предметом преступления, предусмотренного ч. 1 ст. 274.1 УК РФ, является компьютерная информация или компьютерные программы, заведомо предназначенные для совершения компьютерных атак на объекты критической информационной инфраструктуры. Вместе с тем нельзя не отметить, что установление данного признака на практике может вызвать значительные затруднения. Функциональная направленность вредоносной программы, то есть ее предназначение именно для посягательств на соответствующие объекты, может быть установлена только в случае уникальности средств и технологий программной защиты объектов критической информационной инфраструктуры, что представляется маловероятным.
Литература
1. Вехов В.Б. Вредоносные компьютерные программы как предмет и средство совершения преступления / В.Б. Вехов // Расследование преступлений: проблемы и пути их решения. 2015. N 2 (8). С. 43 — 46.
2. Дворецкий М.Ю. Преступления в сфере компьютерной информации: понятие, система, проблемы квалификации и наказания: Монография / М.Ю. Дворецкий. Тамбов: Изд-во ТГУ, 2003. 197 с.
3. Евдокимов К.Н. Создание, использование и распространение вредоносных компьютерных программ: уголовно-правовые и криминологические аспекты: Монография / К.Н. Евдокимов. Иркутск: Изд-во Иркутского юридического ин-та (фил.) Акад. Генеральной прокуратуры РФ, 2013. 267 с.
4. Ефремова М.А. Уголовная ответственность за преступления, совершаемые с использованием информационно-коммуникационных технологий: Монография / М.А. Ефремова. М.: Юрлитинформ, 2015. 194 с.
5. Казарин О.В. Вредоносные программы нового поколения — одна из существующих угроз международной информационной безопасности / О.В. Казарин, Р.А. Шаряпов // Вестник РГГУ. Серия: Документоведение и архивоведение. Информатика. Защита информации и информационная безопасность. 2015. N 12 (155). С. 9 — 23.
6. Малыковцев М.М. Уголовная ответственность за создание, использование и распространение вредоносных программ для ЭВМ: Дис. … канд. юрид. наук / М.М. Малыковцев. М., 2007. 186 с.
7. Маслакова Е.А. Незаконный оборот вредоносных компьютерных программ: уголовно-правовые и криминологические аспекты: Дис. … канд. юрид. наук / Е.А. Маслакова. Орел, 2008. 198 с.
8. Ролик А.И. Преступление, предусмотренное ст. 228.1 УК РФ: спорные вопросы характеристики / А.И. Ролик // Lex russica. 2014. N 9. С. 1079 — 1092.
[1] Согласно данным ГИАЦ МВД России, в 2009 г. было зарегистрировано 2 112 таких преступлений, в 2010 г. — 1 089, в 2011 г. — 693, в 2012 г. — 889, в 2013 г. — 764, в 2014 г. — 585, в 2015 г. — 974, в 2016 г. — 751, в 2017 г. — 802.
[2] СЗ РФ. 2009. N 13. 30 марта. Ст. 1460.
[3] ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. М.: Стандартинформ, 2008.
[4] См.: Ефремова М.А. Уголовная ответственность за преступления, совершаемые с использованием информационно-коммуникационных технологий: Монография. М., 2015. С. 101; Вехов В.Б. Вредоносные компьютерные программы как предмет и средство совершения преступления // Расследование преступлений: проблемы и пути их решения. 2015. N 2 (8). С. 45; Малыковцев М.М. Уголовная ответственность за создание, использование и распространение вредоносных программ для ЭВМ: Дис. … канд. юрид. наук. М., 2007. С. 10; Маслакова Е.А. Незаконный оборот вредоносных компьютерных программ: уголовно-правовые и криминологические аспекты: Дис. … канд. юрид. наук: 12.00.08. Орел, 2008. С. 68; и др.
[5] Приговор Александровского городского суда Владимирской области от 19 августа 2015 г. по делу N 1-82/2015.
[6] Приговор Андроповского районного суда Ставропольского края от 6 апреля 2017 г. по делу N 1-31/2017.
[7] Такие программы не причиняют компьютеру прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен, предупреждают пользователя об опасности, которой на самом деле не существует. К "злым шуткам" относятся, например, программы, которые пугают пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), выводят сообщения, характерные для вирусов, и т.д. — в зависимости от "чувства юмора" автора такой программы. К этому классу также относятся программы, предназначенные для мошенничества, например, путем распространения архивов с оплатой за смс. URL: https://threats.kaspersky.com/ru/threat/Hoax.JS.BadJoke/ (дата обращения: 22.05.2018).
[8] Уголовное право: Особенная часть / Под ред. А.И. Рарога. М., 2009. С. 532 — 533.
[9] СЗ РФ. 2007. N 38. 17 сент. Ст. 4552.
[10] Евдокимов К.Н. Создание, использование и распространение вредоносных компьютерных программ: уголовно-правовые и криминологические аспекты: Монография. Иркутск, 2013. С. 60.
[11] Приговор Останкинского районного суда г. Москвы от 4 декабря 2017 г. по делу N 1-507/17.
[12] См.: Дворецкий М.Ю. Преступления в сфере компьютерной информации: понятие, система, проблемы квалификации и наказания: Монография. Тамбов, 2003. С. 78 — 79.
[13] Методические рекомендации Генеральной прокуратуры Российской Федерации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации. М., 2013. С. 9.
[14] Постановление Пленума Верховного Суда Российской Федерации от 30 июня 2015 г. N 30 "О внесении изменений в Постановление Пленума Верховного Суда Российской Федерации от 15 июня 2006 г. N 14 "О судебной практике по делам о преступлениях, связанных с наркотическими средствами, психотропными, сильнодействующими и ядовитыми веществами" // Российская газета. 2015. 10 июля.
[15] См., например: Ролик А.И. Преступление, предусмотренное ст. 228.1 УК РФ: спорные вопросы характеристики // Lex russica. 2014. N 9. С. 1079 — 1092.
[16] Приговор Ноябрьского городского суда Ямало-Ненецкого автономного округа от 11 апреля 2012 г. по делу N 1-133/2012.
Связанные статьи:
- Международно-правовые подходы противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий (100%)
- Понятие вредоносной компьютерной программы (100%)
- Актуальные вопросы борьбы с преступлениями, совершаемыми с использованием систем анонимизации пользователей в сети Интернет (67.4%)
- Неправомерный доступ к компьютерной информации: теория и судебная практика (67.4%)
- Актуальные вопросы противодействия компьютерной преступности в Российской Федерации (криминологическое исследование) (67.4%)
- Контроль монополизации в условиях цифровой экономики (RANDOM - 12.7%)