Автор: Сухаренко А.Н.
5 декабря 2016 г. вступил в силу Указ Президента РФ N 646, утвердивший новую Доктрину информационной безопасности[1], заменившую документ, действовавший в России с 2000 года. Это существенный шаг, направленный на регулирование вопросов информационной безопасности в нашей стране. В соответствии с Доктриной информационная безопасность (ИБ) — состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод граждан, достойные качество и уровень их жизни, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие России, оборона и безопасность государства. При этом под угрозой ИБ понимается совокупность действий и факторов, создающих опасность нанесения ущерба национальным интересам в информационной сфере.
Обеспечением информационной безопасности признается осуществление взаимоувязанных правовых, организационных, оперативно-разыскных, разведывательных, научно-технических, информационно-аналитических, кадровых, экономических и иных мер по прогнозированию, обнаружению, сдерживанию, предотвращению, отражению информационных угроз и ликвидации последствий их проявления.
Состояние информационной безопасности характеризуется постоянным повышением сложности, увеличением масштабов и ростом скоординированности компьютерных атак на объекты критической информационной инфраструктуры[2]. В этой связи основными направлениями ее обеспечения являются: повышение защищенности критической информационной инфраструктуры и устойчивости ее функционирования, развитие механизмов обнаружения и предупреждения информационных угроз и ликвидации последствий их проявления, повышение защищенности граждан и территорий от последствий чрезвычайных ситуаций, вызванных информационно-техническим воздействием на объекты критической инфраструктуры; повышение эффективности профилактики правонарушений, совершаемых с использованием информационных технологий, и противодействия таким правонарушениям (п. п. 16, 23 Доктрины).
В соответствии с Госпрограммой "Цифровая экономика Российской Федерации", утвержденной распоряжением Правительства РФ от 28.07.2017 N 1632-р[3], развитию цифровой экономики в нашей стране препятствуют такие вызовы и угрозы, как: рост масштабов киберпреступности, в том числе международной; наращивание возможностей внешнего технического воздействия на критическую информационную инфраструктуру; нехватка квалифицированных кадров в области информационной безопасности.
Для управления Программой определены пять базовых направлений развития на период до 2024 года. К базовым направлениям отнесены нормативно-правовое регулирование, кадры и образование, формирование исследовательских компетенций и технических заделов, информационная инфраструктура и информационная безопасность.
Обеспечение информационной безопасности предполагает: обеспечение единства, устойчивости и безопасности информационно-телекоммуникационной инфраструктуры России на всех уровнях информационного пространства; обеспечение организационно-правовой защиты личности, бизнеса и государственных интересов при взаимодействии в условиях цифровой экономики; создание условий для лидирующих позиций России в области экспорта услуг и технологий информационной безопасности, а также учет национальных интересов в международных документах по вопросам информационной безопасности.
В последнее время в России наблюдается динамичный рост киберпреступлений[4] (мошенничеств и краж, совершаемых с помощью сети Интернет). Существующие правила эксплуатации киберпространства позволяют обеспечивать анонимность действий и существенно осложняют идентификацию пользовательского оборудования преступников. Большинство киберпреступлений совершается с использованием вредоносных программ, а также специфических возможностей операционных систем, позволяющих получить удаленный доступ к информационным ресурсам, в том числе находящимся в госсобственности или отражающим финансово-хозяйственную деятельность компании.
"Ущерб экономике России от киберпреступности в 2015 году составил 203,3 млрд руб., или 0,25% ВВП России", — говорится в совместном исследовании Group-IB, Фонда Развития Интернет-Инициатив (ФРИИ) и Microsoft "Киберпреступность в России и ее влияние на экономику страны". Прямой финансовый ущерб составил 123,5 млрд руб. (0,15% ВВП России), а затраты на ликвидацию последствий — более 79,8 млрд руб. (0,1% ВВП России). С кибератаками столкнулись 92% из 600 опрошенных компаний, из которых 42% пришлось на крупные корпорации и госструктуры. Две трети компаний считают, что за последние три года количество киберпреступлений увеличилось в среднем на 75%, а ущерб вырос в два раза. При этом в краткосрочной перспективе респонденты прогнозируют рост как количества киберинцидентов, так и ущерба от них на 173% и 192% соответственно[5].
Расширение сферы безналичных расчетов повлекло за собой возникновение своеобразной криминальной индустрии, необходимой для совершения несанкционированных операций по переводу денежных средств, в том числе с использованием платежных карт[6]. Криминальные технологии постоянно совершенствуются, становясь доступными широкому кругу лиц, которые могут не обладать широкими познаниями в области информационных технологий. Повышение доступности мошеннических схем и инструментов для их реализации ожидаемо влечет за собой рост числа незаконных транзакций. Так, в 2016 году количество несанкционированных операций с использованием платежных карт выросло на 13,8% (с 260 тыс. до 296 тыс.), а объем ущерба составил 1,08 млрд (1,15 млрд) руб. В подавляющем большинстве несанкционированные операции производятся "посредством сети Интернет и мобильных устройств, в том числе интернет-банкинга". Чаще всего (в 93% случаев) такие операции означают использование электронных средств платежа (ЭСП) "без согласия клиента вследствие противоправных действий, потери, нарушения конфиденциальности аутентификационной информации". В качестве причин значительной части указанных операций называется воздействие вредоносного кода и побуждение владельца ЭСП к совершению операции путем обмана и злоупотребления доверием. Общее число несанкционированных операций по счетам юридических лиц сократилось с 1 074 до 717, а их объем — с 3,79 до 1,89 млрд руб. Основной целью киберпреступников являются не крупные корпорации, а предприятия малого и среднего бизнеса. При этом если средний объем несанкционированной транзакции по платежным картам составлял 3,7 тыс. руб., то по корпоративным счетам — уже 2,7 млн[7].
При применении новых форм банковского обслуживания неизбежно возникают криминальные угрозы, представляющие собой как высокотехнологические формы хакерских атак, так и методы социальной инженерии. В результате владелец счета либо сам переводит свои средства на счет преступников, либо передает всю конфиденциальную информацию (например, персональные данные, реквизиты платежных карт, пароли), необходимую для получения доступа к счету. Особое внимание уделяется и методам социальной инженерии, которые используют злоумышленники: для получения разовых паролей, приходящих на телефон клиента, они имитируют сбой в работе его автоматизированного рабочего места, а затем звонят от имени технической поддержки банка и просят сообщать пароли якобы для отмены ошибочных платежей[8].
Несмотря на динамичный прирост числа киберпреступлений, количество лиц, ежегодно привлекаемых к уголовной ответственности за их совершение, остается незначительным. Так, из 15,6 тыс. преступлений в сфере компьютерной информации, зарегистрированных за 2011 год — 11 мес. 2017 года, нераскрытыми остались 3,4 тыс. При этом правоохранительные органы выявили всего 3,7 тыс. киберпреступников[9].
Не внушает оптимизма и судебная практика по данной категории дел. По данным Судебного департамента при Верховном Суде России, в 2013 году — первом полугодии 2017 года по ст. ст. 272 — 274 (Преступления в сфере компьютерной информации) УК РФ было осуждено менее 1 тыс. человек. Большая часть из них получила условные сроки лишения свободы[10].
Не изменила ситуацию и ст. 159.6 (Мошенничество в сфере компьютерной информации), введенная в Уголовный кодекс Федеральным законом от 29.11.2012 N 207-ФЗ[11]. Причем наказание по ч. ч. 2 — 3 данной статьи было ужесточено Федеральным законом от 03.07.2016 N 325-ФЗ[12]. В 2013 году — первом полугодии 2017 года по ст. 159.6 УК РФ было осуждено всего 405 человек[13]. Данное обстоятельство свидетельствует о высокой латентности кибермошенничеств, совершаемых в сети Интернет.
Как показало исследование Лаборатории Касперского, в 2017 году треть российских компаний (36%) хотя бы раз подверглась DDoS-атакам[14] (в 2016 году — 17%). Среди микропредприятий пострадали 37%, компаний среднего и малого бизнеса — 31%, а больших корпораций — 39%. При этом каждый пятый пострадавший (21%) признался, что атака привела к значительному снижению производительности сервисов компании, а у 8% произошел сбой транзакций и процессов. Помимо непосредственного ущерба, кибератака может таить в себе и скрытую угрозу. Каждая третья компания (35%) полагает, что атаки были отвлекающим маневром. Почти в половине случаев (47%) кибератака "прикрывала" утечку или кражу данных, 43% случаев — взлом корпоративной сети, а в 41% — включала заражение вредоносным программным обеспечением. У трети пострадавших (31%) произошло еще и прямое хищение денег[15].
Между тем, согласно опросу международной консалтинговой компании "PricewaterhouseCoopers" (PwC) 40% из 248 российских компаний (44% в мире) признали отсутствие общей стратегии информационной безопасности. В 48% компаний нет программы обучения, направленной на повышение уровня осведомленности сотрудников в данной области, а у 56% респондентов не отработан процесс реагирования на кибератаки. В способности найти хакеров полностью уверены лишь 19% респондентов (39% в мире). При этом почти четверть российских респондентов считают основной причиной киберинцидентов использование незащищенных мобильных устройств, второе место занимают фишинговые атаки[16].
Для минимизации масштабов киберугроз был принят Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"[17], который устанавливает организационно-правовые основы обеспечения безопасности критической инфраструктуры в целях ее устойчивого функционирования, определяет права и обязанности ее владельцев, а также полномочия госорганов в указанной сфере. Закон вступает в силу 1 января 2018 г.
Под безопасностью критической информационной инфраструктуры (КИИ) понимается состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак.
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Согласно Закону компьютерная атака — целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты КИИ, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой ими информации.
В свою очередь, компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта КИИ, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.
К объектам КИИ относятся информационные системы и информационно-телекоммуникационные сети госорганов, а также автоматизированные системы управления технологическими процессами в оборонной индустрии, здравоохранении, науке, связи, на транспорте, в кредитно-финансовой сфере, энергетике и в ряде отраслей промышленности (топливной, атомной, ракетно-космической, металлургической, химической, горнодобывающей). Закон также распределяет объекты КИИ на категории по социальной, политической, экономической значимости, а также "значимости для обеспечения обороноспособности, безопасности государства и правопорядка", а также предусматривает создание реестра таких объектов и устанавливает требования по обеспечению их безопасности с учетом категорий.
Субъекты (собственники или лица, пользующиеся объектами КИИ на праве аренды или ином законном праве) КИИ обязаны:
1) незамедлительно информировать о компьютерных инцидентах уполномоченный федеральный орган исполнительной власти (ФОИВ), а также Центробанк (в случае, если субъект КИИ осуществляет деятельность в финансово-кредитной сфере) в установленном порядке;
2) оказывать содействие должностным лицам уполномоченного ФОИВ в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
3) в случае установки на объектах КИИ средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность.
Наряду с этим субъекты значимых объектов КИИ обязаны:
1) соблюдать требования по обеспечению безопасности значимых объектов КИИ, установленные уполномоченным ФОИВ;
2) выполнять предписания должностных лиц ФОИВ об устранении нарушений в части соблюдения требований по обеспечению безопасности значимого объекта КИИ;
3) реагировать на компьютерные инциденты в порядке, утвержденном ФОИВ, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ;
4) обеспечивать беспрепятственный доступ должностным лицам ФОИВ к значимым объектам КИИ при реализации ими своих полномочий.
Основными задачами системы безопасности значимых объектов КИИ, создаваемой их субъектами, являются:
1) предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом КИИ, ее уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий;
2) недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта КИИ;
3) восстановление функционирования значимого объекта критической информационной инфраструктуры, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации;
4) непрерывное взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, созданной в соответствии с Указом Президента РФ от 15.01.2013 N 31с[18].
С июня 2015 г. на базе Главного управления безопасности и защиты информации Центробанка России функционирует Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT). Основными его задачами являются: анализ данных о кибератаках в финансовых организациях и подготовка аналитических материалов; установление рекомендаций в области защиты информации при осуществлении денежных переводов; организация и координация обмена информацией правоохранительных органов и некредитных финансовых организаций[19]. Сегодня участниками FinCERT являются 574 организации, в том числе 425 банков.
Федеральным законом от 26.07.2017 N 194-ФЗ[20] была введена уголовная ответственность за причинение вреда объектам КИИ. В соответствии со ст. 274.1 Уголовного кодекса РФ создание программ для ЭВМ, которые заведомо предназначены для неправомерного доступа к объектам КИИ, будет наказываться принудительными работами на срок до 5 лет с ограничением свободы на срок до двух лет либо лишением свободы на срок от двух до пяти лет со штрафом в размере от 600 тыс. до 1 млн руб.
Неправомерный доступ к охраняемой законом компьютерной информации, хранящейся в объектах КИИ, будет наказываться принудительными работами на срок до 5 лет со штрафом на сумму от 500 тыс. до 1 млн руб. и ограничением свободы на срок до двух лет либо лишением свободы на срок от двух до шести лет со штрафом в размере от 500 тыс. до 1 млн руб.
Нарушения правил эксплуатации средств хранения, обработки и передачи информации из объектов КИИ или автоматизированных сетей управления и сетей связи, отнесенных к КИИ, будут наказываться принудительными работами на срок до 5 лет с лишением права занимать определенные должности на срок до трех лет либо лишением свободы на срок до 6 лет с лишением права занимать определенные должности на срок до трех лет.
В октябре 2017 г. Госдума в первом чтении приняла законопроект, ужесточающий уголовную ответственность за хищение денежных средств с банковских счетов. Документом предлагается дополнить ст. 159.6 УК РФ квалифицирующим признаком — хищение средств с банковского счета, а равно электронных денежных средств. Указанное преступление будет наказываться штрафом в размере от 100 тыс. до 500 тыс. руб., либо принудительными работами на срок до 5 лет, либо лишением свободы на срок до 6 лет. Одновременно с этим предлагается внесение изменений в ст. 159.3 УК РФ путем установления ответственности за хищение чужого имущества, совершенное с использованием поддельного или принадлежащего другому лицу электронного средства платежа, в том числе кредитной, расчетной или иной платежной карты, путем обмана уполномоченного работника кредитной, торговой или иной организации. Максимальное наказание за данное преступление должно быть увеличено с четырех месяцев ареста до трех лет лишения свободы[21].
Наряду с этим в Госдуму был внесен правительственный законопроект, направленный на защиту денежных средств клиентов банков от несанкционированного списания. В случае его принятия у кредитных организаций появится право приостанавливать на срок до двух рабочих дней сомнительные операции. При возникновении подозрений банк должен сразу же связаться с клиентом по телефону или через электронную почту, чтобы получить подтверждение на списание средств. Перечень подозрительных операций установит Центробанк, а кредитные организации получат право самостоятельно определять дополнительные признаки денежного перевода без согласия плательщика. Также планируется установить порядок действий банков по возврату средств юридического лица. При получении от него уведомления банк заблокирует операцию на срок до 5 рабочих дней и запросит у получателя обоснование получения средств. Однако вернуть деньги можно будет только до момента их зачисления на банковский счет получателя и если он не сможет подтвердить обоснованность перевода. В качестве доказательств могут быть представлены копии договоров, накладных, счетов-фактур, актов выполненных работ и т.д. Сейчас аналогичный порядок предусмотрен только при возврате средств граждан (ч. ч. 11 — 12 ст. 9 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе"). Если получатель не сможет подтвердить обоснованность перевода, то в течение 5 рабочих дней со дня получения уведомления деньги возвращаются на счет банка плательщика, и не позднее двух дней со дня их получения — непосредственно на счет организации. Кроме того, операторов платежных систем обяжут проводить мониторинг переводов денежных средств без согласия клиента и направлять собранные данные в Центробанк России[22].
В заключение остается добавить, что в качестве наиболее эффективных мер по противодействию киберпреступности эксперты Group-IB, ФРИИ и Microsoft выделяют следующие:
— повышение уровня киберграмотности (осведомленность об угрозах и способах защиты);
— обязательное раскрытие информации о киберинцидентах;
— совершенствование как международных процедур взаимной правовой помощи, так и национального законодательства о составах преступлений и процедурах расследования;
— расширение трехстороннего партнерства бизнеса, представителей рынка кибербезопасности и государства.
Список использованной литературы
1. Сухаренко А. Киберугроза для кошелька // Эж-Юрист. 2014. N 6; Он же: Киберщит для бизнеса // Эж-Юрист. 2014. N 43.
КонсультантПлюс: примечание.
Статья А. Сухаренко "Скимминг вне закона" включена в информационный банк согласно публикации — "ЭЖ-Юрист", 2015, N 37.
2. Сухаренко А. Скимминг вне закона // Безопасность бизнеса. 2015. N 4. С. 39 — 40.
3. Кантышев П. Центробанк среагирует на кибератаки // Ведомости. 30.06.2015.
4. Замахина Т. За кражу с банковских карт посадят на 6 лет // Российская газета. 11.10.2017.
5. Гайва Е. Ничего наличного // Российская газета. 24.10.2017.
6. Рожков Р. Компании не справляются с хакерами // Коммерсант. 09.11.2017.
7. Обзор несанкционированных переводов денежных средств в 2016 году. М.: Центробанк России, 2017.
[1] Указ Президента РФ от 05.12.2016 N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации" // Российская газета. 06.12.2016.
[2] По данным Совета Безопасности РФ, в 2016 году было зафиксировано около 52,5 млн кибератак на вэб-сайты госорганов (в 2015 году — 14,4 млн). Цель большинства атак — получение информации ограниченного доступа и нарушение функционирования технических средств // Интерфакс. 03.03.2017.
[3] Распоряжение Правительства РФ от 28.07.2017 N 1632-р. URL: http://static.government.ru/media/files/9gFM4FHj4PsB79I5v7yLVuPgu4bvR7M0.pdf (дата обращения: 09.11.2017).
[4] Там же.
[5] Сухаренко А. Киберугроза для кошелька // Эж-Юрист. 2014. N 6; Он же: Киберщит для бизнеса // Эж-Юрист. 2014. N 43.
[6] Рожков Р. Киберпреступность вычли из ВВП // Коммерсант. 14.04.2016.
[7] Сухаренко А. Скимминг вне закона // Безопасность бизнеса. 2015. N 4. С. 39 — 40.
[8] Обзор несанкционированных переводов денежных средств в 2016 году. М.: Центробанк России, 2017.
[9] Там же.
[10] Состояние преступности в России за 2011 — 2017. М.: ГИАЦ МВД России. С. 15 — 16.
[11] Форма N 10-а СД ВС РФ "Отчет о числе осужденных по всем составам преступлений Уголовного кодекса РФ" за 2013 — I полугодие 2017 г.
[12] Российская газета. 03.12.2012.
[13] Российская газета. 08.07.2016.
[14] Форма N 10-а СД ВС РФ "Отчет о числе осужденных по всем составам преступлений Уголовного кодекса РФ" за 2013 — I полугодие 2017 г.
[15] DDoS-атака — это когда на сервер компании или банка одновременно приходит очень много запросов от разных компьютеров, контроль над которыми предварительно получили злоумышленники. От такого массового наплыва запросов сайт перестает работать, в результате чего организация получает не только финансовый, но и репутационный ущерб.
[16] Лаборатория Касперского зафиксировала 2-кратный рост DDoS-атак на российский бизнес. // http://safe.cnews.ru/news/line/2017-10-13_laboratoriya_kasperskogo_zafiksirovala_2kratnyj (дата обращения: 09.11.2017).
[17] Рожков Р. Компании не справляются с хакерами // Коммерсант. 09.11.2017.
[18] Российская газета. 31.07.2017.
[19] Кантышев П. Центробанк среагирует на кибератаки // Ведомости. 30.06.2015.
[20] Российская газета. 31.07.2017.
[21] Замахина Т. За кражу с банковских карт посадят на 6 лет // Российская газета. 11.10.2017.
[22] Гайва Е. Ничего наличного // Российская газета. 24.10.2017.
Связанные статьи:
- Измерение изменения культуры информационной безопасности (59.8%)
- Цифровая экономика поставила нас перед необходимостью решения проблемы обеспечения цифрового суверенитета (55.8%)
- Цифровая экономика диктует необходимость квалифицированных кадров с новыми компетенциями (55.8%)
- Концептуально-политический и формально-юридический анализ Парижского призыва к доверию и безопасности в киберпространстве и российские инициативы в области международного права (55.8%)
- Ребенок и интернет-пространство: вопросы правового обеспечения безопасности (52.1%)
- Правовое регулирование и контроль за обращением виртуальных валют в Японии (RANDOM - 7.9%)