«Надзор прокурора за исполнением законов органами, осуществляющими оперативно-розыскную деятельность. Предмет. Содержание»

Повсеместное внедрение и использование автоматизированных информационных систем остро ставит вопрос обеспечения информационной безопасности личности, общества, государства и защиты информации, обрабатываемой в информационных системах и передаваемой по каналам связи. Особенно актуальна эта проблема в связи с созданием общефедеральных систем и баз данных: государственного регистра населения, базы налогоплательщиков, государственной автоматизированной системы "Выборы", единой автоматизированной системы управления на железнодорожном транспорте и др. Несмотря на постоянное совершенствование, программно-технические системы защиты не в состоянии обеспечить должный уровень безопасности без опоры на правовую базу. Так, по мнению западных специалистов, доля правовых форм при обеспечении информационной безопасности должна составлять до 60 процентов. Тем самым подчеркивается роль профилактических методов, общей и частной превенции.

Российским законодательством сделаны определенные шаги в этом направлении. Сегодня блок законодательных и нормативных актов различного уровня в области регулирования информационных правоотношений и информационной безопасности насчитывает свыше тысячи документов. Федеральным законом "Об информации, информатизации и защите информации" (1995 г., новая редакция 2003 г.), базовым законом в информационной сфере правовая защита предоставляется любой документированной информации, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу (ст. 21).

Новым Уголовным кодексом РФ впервые в российской практике установлена уголовная ответственность за преступления в сфере компьютерной информации (гл. 28). Исполнилось шесть лет со дня вступления в силу нового Кодекса. На наш взгляд, представляется интересным проанализировать действенность новых статей Кодекса в обеспечении законного использования информационных систем и обрабатываемой в них информации с учетом специфичности области применения и общепризнанного факта большой латентности преступлений этого вида. В нашей работе мы особое внимание уделяем правоприменительной практике в Восточно-Сибирском регионе (Красноярский край, Иркутская и Читинская области, Республика Бурятия).

В сфере компьютерной информации Уголовным кодексом РФ выделяются три состава преступления – неправомерный доступ к компьютерной информации (ст. 272), создание вредоносных программ для электронно-вычислительных машин (ст. 273), нарушение правил их эксплуатации, систем их сетей (ст. 274). За первые пять лет действия нового Кодекса по данным статьям возбуждено свыше трех тыс. уголовных дел, из них около 60 % направлено в суд. В определенной мере снижению количества направленных в суд уголовных дел способствовали постановления Государственной Думы РФ "Об объявлении амнистии" от 24 декабря 1997 года, 18 июня 1999 года и 26 мая 2000 года.

Об эффективности применения норм ответственности за преступления в сфере компьютерной информации в Восточно-Сибирском регионе можно судить на примере Красноярского края, Иркутской и Читинской областей. В течение 2000–2001 годов и одиннадцати месяцев 2002 года в Красноярском крае было возбуждено 113 уголовных дел по ст. 272 УК РФ, из них в суд направлено 82, прекращено по различным основаниям 22; по ст. 273 возбуждено 120 дел, из которых 111 направлено в суд, а восемь дел – прекращено. За этот же период в Иркутской области возбуждено 28 уголовных дел по ст. 272 УК РФ, из которых только два направлены в суд, 22 прекращены, а по остальным решение еще не принято. Из трех дел по ст. 273 УК РФ по двум решение не принято, а третье прекращено в связи с изменением обстановки (ст. 6 УПК РСФСР). В Читинской области из 16 дел по ст. 272 УК РФ пять направлены в суд, десять прекращены. По ст. 273 УК РФ возбуждено два уголовных дела, одно направлено в суд, а другое прекращено.

Приведенная статистика вместе с результатами судебной практики, накопленными по России в целом, позволяет сделать некоторые выводы.

Прежде всего, две трети возбужденных уголовных дел о преступлениях в сфере компьютерной информации приходится на неправомерный доступ (ст. 272 УК РФ). При этом до суда доводится лишь немногим более половины дел. Преступления данной категории отличаются наибольшим разнообразием как по объектам преступных посягательств, так и по способам совершения. Мы выделим четыре вида деяний, представляющих наибольшую общественную опасность, и приведем некоторые примеры.

1.  Модификация информации в контрольно-кассовых аппаратах с целью уклонения от уплаты налогов. Характерным примером может служить уголовное дело, рассмотренное в г. Павловский Посад Московской области. Здесь руководитель частного предприятия гражданин Т. по предварительному сговору со своей родственницей гражданкой К. с целью сокрытия доходов от налогообложения ежедневно, в период с июля по 9 ноября 1998 года, в вечернее время в двух торговых палатках предприятия подключал к гнездам контрольно-кассовых аппаратов специально изготовленный самодельный прибор, в результате чего в буферной памяти аппарата уничтожалась вся информация о предшествующих финансовых операциях, выполненных в течение текущей смены, в том числе информация о номере покупки и общей сумме выручки за текущую смену. После этого торговые точки продолжали свою работу, накапливая информацию в буферной памяти о производимых финансовых операциях до окончания текущей смены, то есть до 21 часа, когда в фискальную память контрольно-кассовых аппаратов заносились заниженные данные о сумме выручки за смену. За совершенное преступление гражданин Т. и гражданка К. были приговорены к двум годам лишения свободы условно с испытательным сроком на один год.

По некоторым оценкам преступления подобного рода только по г. Москве приносят годовой ущерб в 500 млн. руб. Однако приведенный пример является одним из немногочисленных случаев расследованных и законченных судебным приговором дел.

2.  Другой вид преступных деяний направлен на получение паролей доступа с целью бесплатного пользования компьютерной сетью Интернет. Например, в мае 1998 года гражданин У., находясь в помещении редакции одной из местных газет г. Белгорода, произвел копирование информации с жесткого диска компьютера без разрешения ее владельца. В числе других гражданин У. скопировал и файл "Интернет", содержащий конфиденциальную информацию о пароле и регистрационных именах редакции. В период с мая по ноябрь 1998 года, используя ранее полученную информацию о модемных входах редакции, гражданин У. со своего домашнего компьютера осуществлял бесплатное пользование сетью Интернет, в результате чего причинил имущественный ущерб редакции газеты на сумму 666 руб. 55 коп. и ОАО "Белсвязь" на сумму 746 руб. 67 коп. Подобное дело было рассмотрено и Свердловским районным судом г. Иркутска в отношении гражданина Х. Анализ статистических данных показывает на широкую распространенность подобных деяний.

3.  Большое количество преступлений связано с неправомерным копированием баз данных различных организаций, в первую очередь телефонных компаний. Так, в период с 25 февраля по 5 марта 1997 года в рабочее время, находясь в офисе АО "Санкт-Петербургские таксофоны", гражданин А. с использованием служебного положения совершил неправомерный доступ в сеть электронно-вычислительных машин и произвел копирование базы данных с номерами и расположением таксофонов на территории г. Санкт-Петербурга и Ленинградской области через принтер на бумажный носитель. Впоследствии распечатка с указанной базой данных была передана отцу и сыну Д., которые, используя компьютерную технику, записали данные сведения на лазерные компакт-диски для ЭВМ и реализовали различным гражданам и организациям. 5 марта 1999 года решением Выборгского федерального районного суда г. Санкт-Петербурга все трое были признаны виновными в совершении преступления, предусмотренного ст. 272 ч. 2 УК РФ, но в соответствии с актом амнистии от 24.12.1997 г. освобождены от наказания. Аналогично 12 января 1999 года при попытке копирования информации службы "09" городской телефонной сети г. Улан-Удэ была задержана телефонист ОАО "Электросвязь" гражданка Е. для последующей передачи этой информации гражданам Б. и Ч. Впоследствии все трое предстали перед судом. Следует отметить, что подобные преступления часто совершаются группой лиц по предварительному сговору, а также лицами с использованием своего служебного положения.

4.  Наибольший материальный ущерб приносит неправомерный доступ к компьютерной информации, который используется для совершения преступлений экономической направленности. Существующая практика показывает, что такие преступления обычно квалифицируются только по ст. 159 или ст. 165 УК РФ, хотя имеет место идеальная совокупность преступлений. Так, гражданин Ч., работая главным специалистом службы сбыта и маркетинга открытого акционерного общества "В." (г. Вологда), около 13 часов 28 декабря1998 г. с помощью компьютера, подключенного к компьютерной сети, проник в локальную вычислительную сеть электронно-вычислительной машины ОАО "В.", где создал заведомо ложную запись в реестре клиентов фирмы о несуществующем договоре с ООО "Л." на поставку ликеро-водочной продукции с отсрочкой платежа. Гражданин З., используя личные связи, подыскал для исполнения роли экспедитора своего знакомого гражданина И., не раскрывая последнему преступных намерений, а для сбыта похищенного – гражданина Н., у которого получил круглую печать общества с ограниченной ответственностью "Л." для оформления доверенности. Используя имеющийся у гражданина Ч. бланк доверенности и печать общества с ограниченной ответственностью "Л.", граждане Ч. и З. изготовили доверенность на получение 200 ящиков ликеро-водочной продукции. Для вывоза похищенного гражданин З. заказал автомашину ЗИЛ, передал гражданину И. доверенность общества с ограниченной ответственностью "Л." на получение 200 ящиков водки с пояснениями о заполнении данных паспорта и подробными инструкциями о его действиях при оформлении товарно-транспортных документов и получении продукции в фирме, сообщил номера и место стоянки автомобиля, на котором предполагалось продукцию вывезти. 30 декабря в 13 час. 30 мин. гражданин И. прибыл в открытое акционерное общество "В." и, предъявив доверенность, получил в отпускном цехе 4000 бутылок водки разных сортов в 200 пластмассовых ящиках с сертификатом соответствия, после чего вывез машину с продукцией и оставил ее в условленном месте. Таким образом, действиями граждан Ч. и З. открытому акционерному обществу "В." был причинен имущественный ущерб на общую сумму 72805 руб. 4 августа 1999 года Вологодским городским судом гражданин Ч. за совершение преступлений, предусмотренных ст. 159 ч. 3 п. "б" и ст. 272 ч. 2 УК РФ, был приговорен к пяти годам шести месяцам лишения свободы, а гражданин З. по ст. 159 ч. 3 п. "б" – к пяти годам лишения свободы условно с испытательным сроком пять лет каждому.

Уголовная ответственность за создание, использование и распространение вредоносных программ для электронно-вычислительных машин, предусмотренная частью первой ст. 273 УК РФ, относит этот вид преступлений к преступлениям средней тяжести, а второй частью статьи – к категории тяжких, что указывает на особую опасность этого вида деяний. В период 1997–2001 гг. по фактам создания, использования и распространения вредоносных программ для электронно-вычислительных машин было возбуждено свыше 700 уголовных дел, из них около 60 процентов направлено в суд. Основные сложности при расследовании дел данной категории – это, во-первых, трудности выявления субъекта и места совершения преступления (российским правоохранительным органам до настоящего времени не удалось привлечь к уголовной ответственности ни одного разработчика программ вирусного типа), а в случае установления субъекта и события преступления – назначение и проведение экспертизы. Дело в том, что до настоящего времени окончательно не сложилось однозначной терминологии, не созданы криминалистические экспертные лаборатории. Тем не менее, анализ судебной практики позволяет выделить, как и в уголовных делах, связанных с несанкционированным доступом к компьютерной информации, четыре основных группы преступных деяний, ответственность за которые предусмотрена статьей 273 УК РФ.

1.  Продажа через розничную сеть компакт-дисков с коллекциями вредоносных программ. Статистика показывает, что наибольшее количество дел, квалифицированных по ст. 273 УК, составляют дела, в которых объективной стороной преступления являлось распространение вредоносных (преимущественно вирусных) программ для электронно-вычислительных машин путем продажи лазерных компакт-дисков, содержащих такие программы. Типичным примером может служить дело по обвинению гражданина М., рассмотренное судом Центрального района г. Читы. Суд установил, что гражданин М., являясь частным предпринимателем без образования юридического лица и осуществляя торговлю программами (компакт-дисками) для ЭВМ из торговой точки "Новый диск", расположенной в торговом центре "Дом быта" г. Читы, выставил на продажу компакт-диск c программой "Все, что нужно хакеру". Заведомо зная, что указанный диск содержит вредоносные для электронно-вычислительных машин программы, и, предполагая, что они могут привести к уничтожению, блокированию, модификации или копированию информации и нарушению работы электронно-вычислительной машины вопреки воле приобретающего ее собственника, безразлично отнесся к предполагаемым последствиям и 06.03.2001 продал диск гражданину Ж. Гражданин М. признал свою вину и был осужден по ст. 273 ч. 1 УК РФ к одному году лишения свободы условно с испытательным сроком один год.

Аналогичные дела были рассмотрены судами и во многих других городах России. Можно утверждать, что применение ст. 273 к такому виду преступных деяний наиболее эффективно демонстрирует превентивную силу закона. Обследование нами двенадцати торговых точек г. Иркутска, продающих компакт-диски с программами, показало, что если три года назад лазерные диски типа "Суперхакер" можно было свободно приобрести, то сейчас они практически исчезли с прилавков.

2.  Распространение вредоносных программ через Интернет. Этот вид преступных деяний наиболее сложен для выявления и расследования, поскольку субъект и место совершения преступления могут находиться и за пределами России. Последствия же деяний могут характеризоваться огромным ущербом. Так, международная вирусная атака, предпринятая американскими хакерами 25.01.2003, парализовала работу не только части мировой сети Интернет, но и привела к нарушениям железнодорожного движения на территории России. Поэтому очень важно своевременное выявление и расследование каждого случая. Характерным примером такого преступления явилось уголовное дело, возбужденное следственным управлением ГУВД Свердловской области в отношении гражданина Ф., который в период с сентября 1997 по март 1998 года, используя свой домашний персональный компьютер, модем и телефон, а также специализированную компьютерную программу, обеспечивающую работу компьютера с удаленными пользователями через телефонную сеть, распространял вирусные программы для электронно-вычислительных машин, которые он с помощью сети Интернет переписывал с одного из бразильских серверов. Подобный случай имел место и в г. Иркутске, где студент В. в период с мая по август 1999 года размещал вирусные программы на своей WEB-странице сервера открытого акционерного общества "Иркутская расчетная палата". Однако в результате ошибки при проведении следственных действий (замены экспертизы комиссионным осмотром) он был оправдан за недоказанностью его участия в совершении преступления (п. 3 ч. 3 ст. 309 УПК РСФСР).

3.  Третьим видом преступных деяний, квалифицируемых по признакам статьи 273 УК РФ, является модификация программистами работоспособных программ с целью блокирования или изменения их функций. Для этого создаются различные программные закладки ("люки", "салями"), а также "логические (временные) бомбы" и "троянские кони". Такие вредоносные программы, как правило, предназначены для достижения конкретных целей, и совершение преступления происходит путем внесения изменений в существующие программы либо добавлением программного модуля к уже существующему пакету. Приведем примеры преступлений рассматриваемой категории.

Гражданин С., работая программистом предприятия электрических и тепловых сетей г. Касимова Рязанской области, в период с осени 1995 года до 1998 года создал программу "Тепло – частный сектор" и сдал ее в промышленную эксплуатацию. После того, как ему сообщили об увольнении с предприятия по сокращению штатов, он потребовал от администрации компенсацию морального вреда в сумме пятнадцати – двадцати тыс. рублей, в чем ему было отказано. Тогда накануне увольнения гражданин С. внес в существующую программу изменения, и когда 26 февраля 1999 года контролер предприятия электрических и тепловых сетей, действуя в соответствии с разработанной гражданином С. инструкцией, попытался запустить программу, на экране монитора появилась рамка с надписью, что по всем вопросам, связанным с эксплуатацией программы "Тепло – частный сектор", следует обращаться к гражданину С., и приводились его адрес и телефон. В таком случае администрация предприятия электрических и тепловых сетей связалась с гражданином С., и тот пояснил, что программа принадлежит ему и он может вернуть ее за 15–20 тыс. рублей. Согласно же ст. 12 Закона РФ "О правовой охране программ для электронных вычислительных машин и баз данных", имущественные права на программу для электронно-вычислительных машин, созданную в порядке выполнения служебных обязанностей или по заданию работодателя, принадлежат работодателю, если в договоре между автором и им не предусмотрено иное. Таким образом, внеся в существующее программное обеспечение изменения типа "логической бомбы", гражданин С. совершил преступление, преду-смотренное ч. 1 ст. 273 УК РФ, за что был осужден к одному году лишения свободы со штрафом в размере трех с половиной тысяч рублей условно с испытательным сроком один год.

Другое дело, рассмотренное в г. Нижнем Тагиле, иллюстрирует использование для совершения преступления вредоносной программы типа "салями". Гражданин Р., работая инженером-программистом в открытом акционерном обществе "Нижнетагильский металлургический комбинат", в целях хищения денег создал компьютерную программу, с помощью которой 2 ноября 1998 года совершил неправомерный доступ к файлу, представляющему собой электронную версию ведомости на выдачу зарплаты сотрудникам комбината, передаваемой в "Тагилбанк". В результате работы программы в указанной ведомости со всех сотрудников, которым была начислена заработная плата свыше ста рублей, списывалось по одному рублю. Полученная в итоге сумма 1482 руб. была зачислена на личный счет знакомой гражданина Р. гражданки Щ. Модифицированная таким образом поддельная ведомость поступила в "Тагилбанк", где на счета указанных в ней лиц были начислены соответствующие суммы. В тот же день под вымышленным предлогом гражданин Р. взял у гражданки Щ. принадлежащую ей кредитную пластиковую карточку "Тагилбанка" и получил по ней в банкоматах города 1470 руб. Приговором Тагилстроевского районного суда г. Нижнего Тагила гражданин Р. признан виновным в совершении преступлений, предусмотренных п. "в" ч. 2 ст. 159, ч. 1 ст. 183, ч. 2 ст. 272, ч. 1 ст. 273 УК РФ, и ему назначено наказание в виде пяти лет лишения свободы с лишением права заниматься профессиональной деятельностью программиста и оператора электронно-вычислительных машин сроком на два года условно с испытательным сроком три года.

Иллюстрацией использования в преступных целях программы типа "троянский конь" может служить уголовное дело в отношении гражданина П., который 6 декабря 1999 года в г. Архангельске, имея у себя дома компьютер с модемом и доступ в сеть ЭВМ "Arkhnet", с помощью вредоносной программы тайно получил доступ к конфиденциальной информации на компьютере пользователя сети электронно-вычислительной машины гражданина Ш. и скопировал файл, содержащий информацию об электронном имени и пароле для доступа в эту сеть, за что был осужден к двум годам лишения свободы условно.

4.  К четвертой группе преступных деяний, содержащих состав преступления по ст.273, на наш взгляд, следует отнести создание и использование вредоносных программ – "взломщиков паролей" и программ-эмуляторов электронных ключей, которые применяются с целью незаконного использования или для создания контрафактных экземпляров программ для электронно-вычислительных машин и баз данных. Специальные электронные ключи, представляющие собой уникальную последовательность символов и выполняющие функцию защиты от распространения контрафактных копий, сообщаются или предоставляются пользователю при приобретении им лицензии на программный продукт. Программы-эмуляторы позволяют использовать подлежащее лицензированию программное обеспечение без электронных ключей, имитируя их наличие. Таким образом, помимо авторских прав нарушаются правила эксплуатации электронно-вычислительных машин, предписывающие использовать лицензионные программы со специально предназначенными для них уникальными ключами. В качестве примера можно привести уголовное дело, возбужденное ГУВД г. Санкт-Петербурга 2 сентября 1998 г. по признакам преступления, предусмотренного ст. 273 ч. 1 и ст. 146 ч. 2 УК РФ. Суть этого дела состоит в том, что граждане Л. и Г., являясь учредителями и фактическими совладельцами обществ с ограниченной ответственностью "Репит" и "Ладис", вступив в предварительный сговор, занимались распространением лазерных дисков для персональных компьютеров, содержащих программные файлы, заведомо приводящие к несанкционированной модификации демонстрационной версии сборника бухгалтерских программ в полнофункциональную версию, являющуюся собственностью товарищества с ограниченной ответственностью "Гарант Интернешнл".

Серьезную общественную опасность представляет и использование программ – "взломщиков паролей". Особенно подчеркнем, что их работу следует считать несанкционированной, а следовательно, сами программы вредоносными только в том случае, если "взламываемая" программа не является собственностью владельца программы-"взломщика". В случае же "взлома" чужой программы непременно осуществляется несанкционированный доступ к компьютерной информации с ее копированием (это вызвано техническими особенностями работы программ-"взломщиков"), что следует квалифи-цировать как совокупность преступлений, предусмотренных статьями 272 и 273 УК РФ. Так, решением Южно-Сахалинского городского суда 19.01.1998 г. гр. Я. за использование компьютерной программы "ЭСЭМ-КРЭК", позволяющей в автоматическом режиме осуществлять подбор паролей абонентов электронной почты "Сахмейл", был осужден по ст. 273 ч. 1 УК РФ к одному году лишения свободы со штрафом в размере двухсот минимальных размеров оплаты труда, а по совокупности с другими преступлениями, предусмотренными ст. 30 ч. 3 ст. 272 ч. 2 и ст. 272 ч. 2 УК РФ (за неправомерное копирование информации), – к трем годам лишения свободы со штрафом в размере двухсот минимальных размеров оплаты труда условно с испытательным сроком два года.

В течение рассматриваемого периода по ст. 274 УК РФ (за нарушение правил эксплуатации электронно-вычислительных машин, системы ЭВМ или их сети) было возбуждено всего около 200 уголовных дел. Низкая эффективность применения норм настоящей статьи, по нашему мнению, вызвана не только сложностью установления факта нарушений правил эксплуатации электронно-вычислительных машин. Проблема состоит и в том (как показало наше обследование в Иркутске), что даже в ряде государственных учреждений и предприятий, а тем более в частных фирмах таких правил просто не существует. Если же такие документы разрабатываются, то они имеют разное наименование и не всегда утверждены первыми лицами. Так, на Восточно-Сибирской железной дороге действует "Инструкция для пользователей информационных ресурсов Восточно-Сибирской железной дороги", введенная в действие указанием начальника дороги, в Главном Управлении Центрального Банка по Иркутской области действуют "Временные рекомендации по обеспечению безопасности электронных технологий". Кроме того, возникает казус, заключающийся в том, что работник организации за нарушение этих правил, причинившее существенный вред, может быть привлечен к уголовной ответственности, а работник организации, в которой таких правил не существует, за точно такое же деяние с точно такими же последствиями – не может. При этом нарушается принцип всеобщего равенства перед законом и судом, провозглашенный статьей 19 Конституции РФ.

Решению данной проблемы способствовало бы принятие на федеральном уровне типовых правил эксплуатации электронно-вычислительных машин. Этими правилами необходимо возложить на администрацию предприятий, на которых нарушение работы ЭВМ может причинить существенный вред, своими приказами (распоряжениями) утверждать инструкции по эксплуатации программно-технических средств с назначением лиц, ответственных за их соблюдение.

Упорядочению отношений в данной сфере способствует вступающий в силу с 1 июля 2003 года Федеральный закон "О техническом регулировании". Желательно, чтобы в соответствии с этим законом Гостехкомиссия при Президенте РФ подготовила проект технического регламента эксплуатации электронно-вычислительных машин, системы ЭВМ или их сети.

В заключение можно отметить, что, несмотря на непродолжительный срок действия нового Уголовного кодекса, правоохранительные органы накапливают опыт борьбы с преступностью эры информационных технологий.

Источник: http://www.law.edu.ru/doc/document.asp?docID=1135319