Преступления против информационной безопасности по уголовному праву Республики Беларусь

УЧРЕЖДЕНИЕ  ОБРАЗОВАНИЯ ФЕДЕРАЦИИ ПРОФСОЮЗОВ БЕЛАРУСИ

«МЕЖДУНАРОДНЫЙ  ИНСТИТУТ ТРУДОВЫХ И СОЦИАЛЬНЫХ ОТНОШЕНИЙ» 

Кафедра публичного права 
 

САМОСТОЯТЕЛЬНАЯ УПРАВЛЯЕМАЯ РАБОТА СТУДЕНТА № 4 

На тему:

     «ПРЕСТУПЛЕНИЯ ПРОТИВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПО УГОЛОВНОМУ ПРАВУ РЕСПУБЛИКИ БЕЛАРУСЬ И ЗАРУБЕЖНЫХ ГОСУДАРСТВ» 

по дисциплине: « Сравнительное уголовное право» 
 
 
 
 

                выполнила студентка

                юридического  факультета

                дневной формы обучения

                специальности «Международное право»

                2 курса 935 группы

                Мохаммад  Елизавета 

    Минск 2010

 

     1. Понятие информационной (компьютерной) безопасности.

    Одним из путей совершенствования борьбы с компьютерными преступлениями является согласование определенных материальных норм уголовного права различных  государств мира. В течение последних  лет международное сообщество проявляет  значительный интерес к проблеме борьбы с компьютерной преступностью  в разработанных международно-правовых документах.

    При этом необходимо подчеркнуть, что понятия  «компьютерные преступления» и  «преступления в сфере компьютерной информации» не являются синонимами. Понятие компьютерных преступлений шире понятия преступлений в сфере  компьютерной информации. Все компьютерные преступления по родовому объекту можно  разделить на две группы:

  • преступления против информационной безопасности. Компьютерная информация выступает здесь предметом преступного посягательства. Например, ст.ст. 272-274 УК РФ, ст.ст. 361-363 УК Украины, §1030 (а)(1) Свода Законов США «Несанкционированный доступ к информации с ограниченным доступом, касающейся национальной безопасности, международных отношений, атомной энергетики», ст. 478.1 УК Австралии «Несанкционированный доступ или модификация охраняемой компьютерной информации или программы» и др.;
  • преступления, где компьютерная информация является орудием или средством совершения другого преступления. Эти составы находятся в других главах Уголовного кодекса. Например, ст. 212 УК Республики Беларусь «Хищение путем использования компьютерной техники»; §1030(а)(7) Свода Законов США «Вымогательство, угрозы причинения вреда с использованием компьютера»; ст. 206(1)(е) УК Канады «Использование компьютерных данных и технологий в целях извлечения прибыли путем создания финансовых пирамид» и др.

    Таким образом, составы преступлений в  сфере компьютерной информации объединяет единый родовой объект – общественная безопасность.

    Но  преступления в сфере компьютерной информации посягают не на все отношения  общественной безопасности в целом, а лишь на одну ее часть - информационную безопасность. В основе обоих понятий  лежит понятие «безопасности». Безопасность - это состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз. Информационная безопасность - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

    В доктрине информационной безопасности под информационной безопасностью понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

    Анализируя  оба определения, можно сказать, что информационная безопасность - это состояние защищенности страны (жизненно важных интересов личности, общества и государства на сбалансированной основе) в информационной сфере от внутренних и внешних угроз.

    Уголовно-правовая защита относится к правовым мерам  обеспечения информационной безопасности общества.

    С 80-х гг. XX в. во многих странах пришли к выводу, что правовая защита компьютерной информации с помощью общих положений национального уголовного законодательства является недостаточной. Многие государства осознали, что эффективное решение проблемы компьютерной преступности требует согласованных международных действий и сотрудничества. Так, на Генеральной Ассамблее ООН в сентябре 1991 г. отмечалось, что «рост преступности в сочетании с процессом приобретения ею транснационального характера ставит под угрозу внутреннюю безопасность государств, посягает на свободу человека жить без страха, а также может подорвать международные отношения. Все это требует эффективных международных механизмов и более тесного сотрудничества между государствами».

    Однако  для того чтобы разрабатывать  общие международные нормы и  новые механизмы, необходим унифицированный  подход к пониманию проблемы, выработка  единой цели и универсальных принципов. На данный момент анализ зарубежного  уголовного законодательства показывает, что отсутствует единообразное  понимание того, какие деяния считать  компьютерными преступлениями и  каково должно быть юридическое определение  каждого из них. От различных подходов к понятию и составам компьютерных преступлений возникают сложности  в выявлении и наказании преступников, когда само деяние имеет место  в одной стране, а его последствие  наступает в другой, где такое  деяние может быть не уголовно-наказуемым.

    Несогласованный подход не способствует эффективному противодействию компьютерным преступлениям. В силу этого международно-правовые механизмы должны играть главную  роль в унификации национального  уголовного законодательства различных  стран в этой сфере, в том числе  в выработке общих понятий.

    Учитывая, что значительная доля преступлений в сфере компьютерной информации совершается с использованием глобальных компьютерных сетей, в последнее  десятилетие активно развивается  международное сотрудничество различных  стран в борьбе с преступлениями данного вида.

    В 1983-85 гг. в Организации экономического сотрудничества и развития (ОЭСР) был  создан специальный комитет для  обсуждения возможности согласования уголовного законодательства различных  стран об ответственности за компьютерные преступления. ОЭСР по результатам  работы рекомендовал отнести к уголовно-наказуемым деяниям следующие деяния:

    1) введение, изменение, стирание и/или  подавление компьютерных данных  и/или компьютерных программ, совершаемое  умышленно с намерением осуществить  незаконный перевод финансовых  средств или других ценностей; 

    2) введение, изменение, стирание и/или  подавление компьютерных данных  и/или компьютерных программ, совершаемое  умышленно с намерением сделать  подлог;

    3) введение, изменение, стирание и/или  подавление компьютерных данных  и/или компьютерных программ, или  иные другие манипуляции с  компьютерными системами, совершаемое  умышленно с намерением воспрепятствовать  функционированию компьютера и/или  телекоммуникационной системы; 

    4) нарушение исключительного права  обладателя охраняемой авторским  правом компьютерной программы  с намерением воспользоваться  программой в коммерческих целях  и реализовать ее на рынке; 

    5) доступ к компьютеру и/или к  телекоммуникационной системе и  перехват информации, выдаваемой  компьютером и/или телекоммуникационной  системой, который был получен  как следствие осознанного действия  без разрешения лица, ответственного  за функционирование системы,  путем нарушения охранных мер  или других бесчестных или  злоумышленных действий.

    Первым  документом Совета Европы, посвященным  компьютерной преступности, стала Рекомендация № R 89(9) Комитета Министров стран - членов Совета Европы о преступлениях, связанных  с компьютером, принятая 13.09.89, в которой  был использован такой термин, как «преступление, связанное с  использованием компьютерных технологий». Данный документ содержал перечень рекомендованных  к обязательному включению в  национальное уголовное законодательство деяний. Также там приводился перечень тех деяний, по которым не было достигнуто согласия в признании необходимости  их криминализации в законодательстве всех стран.

    В перечень правонарушений, рекомендованных  к обязательному включению во внутригосударственное уголовное  законодательство в соответствии с  указанной Рекомендацией, отнесены:

  1. Компьютерное мошенничество. Ввод, изменение, стирание или подавление компьютерных данных или компьютерных программ или иное вмешательство в процесс обработки данных, которое влияет на результат обработки данных, что причиняет экономический ущерб или приводит к утрате собственности другого лица, с намерением получить незаконным путем экономическую выгоду для себя или для другого лица.
  2. Компьютерный подлог. Введение, изменение, стирание или подавление компьютерных данных или компьютерных программ или иное вмешательство в процесс обработки данных, совершаемое таким способом или при таких условиях, как это устанавливается национальным законодательством, при которых эти деяния квалифицировались бы как подлог, совершенный в отношении традиционного объекта такого правонарушения.
  3. Причинение ущерба компьютерным данным или компьютерным программам. Противоправное стирание, причинение ущерба, ухудшение качества или подавление компьютерных данных или компьютерных программ.
  4. Компьютерный саботаж. Введение, изменение, стирание или подавление компьютерных данных или компьютерных программ или создание помех компьютерным системам с намерением воспрепятствовать работе компьютера или телекоммуникационной системы.
  5. Несанкционированный доступ. Неправомочный доступ к компьютерной системе или сети путем нарушения охранных мер.
  6. Несанкционированный перехват. Неправомерный и осуществленный с помощью технических средств перехват сообщений, приходящих в компьютерную систему или сеть, исходящих из компьютерной системы или сети и передаваемых в рамках компьютерной системы или сети.
  7. Несанкционированное воспроизведение охраняемой авторским правом компьютерной программы. Неправомерное воспроизведение, распространение или передача в общественное пользование компьютерной программы, охраняемой законом.
  8. Несанкционированное воспроизведение микросхемы. Неправомерное воспроизведение охраняемой законом микросхемы изделия на полупроводниках или неправомерное коммерческое использование или импорт с этой целью микросхемы или изделия на полупроводниках, изготовленного с использованием этой микросхемы.

    Среди спорных составов преступлений названы:

  1. Изменение компьютерных данных или компьютерных программ. Неправомерное изменение компьютерных данных или компьютерных программ.
  2. Компьютерный шпионаж. Приобретение недозволенными методами или раскрытие, передача или использование торговой или коммерческой тайны, не имея на то права или любого другого правового обоснования, с целью причинить экономический ущерб лицу, имеющему доступ к этой тайне, или получить незаконную экономическую выгоду для себя или для третьего лица.
  3. Несанкционированное использование компьютера. Неправомерное использование компьютерной системы или сети, которое совершается: или
    • с пониманием того, что лицо, имеющее право на использование системы, подвергает ее значительному риску ущерба или системе или ее функционированию причиняется ущерб, или
    • с намерением причинить ущерб лицу, имеющему право на использование системы, или системе или ее функционированию, или
    • причиняет ущерб лицу, имеющему право на использование системы, или системе или ее функционированию.
  4. Несанкционированное использование охраняемой законом компьютерной программы. Неправомерное использование компьютерной программы, которая охраняется законом и которая воспроизводится без права на воспроизведение, с намерением обеспечить незаконную экономическую прибыль для себя или для другого лица или причинить ущерб обладателю соответствующего права.

    Рекомендация  № R 89(9) предусмотрела, что в положениях уголовного закона должны содержаться  как можно более точные описания уголовно-наказуемых деяний. Этот принцип  ясности является чрезвычайно важным, но, к сожалению, не все государства  ему следуют (в частности, Россия его не восприняла).

    В то же время вышеупомянутая Рекомендация сама не содержала четкой формулировки понятия «преступление, связанное  с использованием компьютерных технологий». Оно выводилось из перечня деяний, указанных в Рекомендации и дающих представление о таких преступлениях.

    Данный  документ послужил ориентиром для многих европейских стран в совершенствовании  уголовного законодательства, и в  то же время способствовал сближению  национального уголовного законодательства различных стран.

    Но  необходимо учитывать, что данный документ носит лишь рекомендательный характер. И при всем положительном влиянии  не по всем принципиальным вопросам европейские  государства достигли достаточной  степени сближения. На практике это  привело к проблемам в согласованной  борьбе с преступлениями в сфере  компьютерной информации. Кроме этого, недостатком Рекомендации было и  то, что в ней не содержались уголовно-процессуальные нормы.

     2. Примеры компьютерных преступлений. 

       Компьютерные   преступления   приобрели   в   странах    с    развитой

телекоммуникационной  инфраструктурой настолько широкое  распространение,  что для борьбы с ними в  уголовное  законодательство  были  введены  специальные составы     преступлений.     Традиционные     меры      гражданско-правовой ответственности, ориентированные, прежде всего  на  возмещение  убытков,  не смогли сыграть  роль  сдерживающего  фактора  и  воспрепятствовать  широкому распространению этого вида правонарушений.

 

  • Оператор по приему платежей узнав о смерти вкладчика, открыл счет в банке, используя имя клиента и другие его данные. Вкладчик не был удален из списка клиентов, на счета которых начислялись проценты, а в с помощью компьютерной системы был заменен его адрес и запрошен прямой перевод процентов на счет, открытый оператором
  • Большой ущерб был нанесен при доставке заказа на оборудование от федерального правительства. Были приготовлены фиктивные реквизиты для счета, направленного на большой центр. Эти реквизиты приводили к отправке оборудования реальной частной фирме, выполняющей государственные заказы. Перед самой доставкой один из злоумышленников позвонил в эту фирму и предупредил об их "ошибке", а потом доставил оборудование самим злоумышленникам.
  • Три оператора, используя удаленный терминал, ввели фиктивный запрос в компьютер на получение 150 тысяч долларов по процентам и затем удалили записи об этих транзакциях.
  • Служащий авиакомпании совершил незаконный вход в сеть аэропорта и распространил оскорбительный текст, отбивающий у туристов охоту к посещению  определённой страны.
  • Два хакера  проникли в компьютерную сеть одного из университетов и вели постоянное наблюдение за программами в сети, и прослушивали телефонные линии связи.
  • Оператор компьютера отказался от работы, поссорившись с нанимателем. После его ухода компьютерная система перестала работать, так как он изменил пароль и установил код, исключающий реагирование компьютера на обычные команды. Коллеги ушедшего оператора запаниковали и в попытке заставить компьютерную систему работать причинили огромный ущерб. Оператор был осужден за выведение из строя компьютерной системы.

     3. Классификация компьютерных преступлений с учетом национальных уголовных законодательств. 

     Зарубежными специалистами разработаны различные  классификации способов совершения компьютерных преступлений. Ниже приведены  названия способов совершения подобных преступлений, соответствующих кодификатору Генерального Секретариата Интерпола. В 1991 году данный кодификатор был  интегрирован в автоматизированную систему поиска и в настоящее  время доступен НЦБ более чем 100 стран.

     Все коды, характеризующие компьютерные преступления, имеют идентификатор, начинающийся с буквы Q. Для характеристики преступления могут использоваться до пяти кодов, расположенных в порядке  убывания значимости совершенного.

QA - Несанкционированный  доступ и перехват 

QAH - компьютерный  абордаж 

QAI - перехват 

QAT - кража  времени 

QAZ - прочие  виды несанкционированного доступа  и перехвата 

QD - Изменение  компьютерных данных 

QUL - логическая  бомба 

QDT - троянский  конь 

QDV - компьютерный  вирус 

QDW - компьютерный  червь 

QDZ - прочие  виды изменения данных 

QF - Компьютерное  мошенничество 

QFC - мошенничество  с банкоматами 

QFF - компьютерная  подделка 

QFG - мошенничество  с игровыми автоматами 

QFM - манипуляции  с программами ввода-вывода 

QFP - мошенничества  с платежными средствами 

QFT - телефонное  мошенничество 

QFZ - прочие  компьютерные мошенничества 

QR - Незаконное  копирование 

QRG - компьютерные  игры 

QRS - прочее  программное обеспечение 

QRT - топография  полупроводниковых изделий 

QRZ - прочее  незаконное копирование 

QS - Компьютерный  саботаж 

QSH - с  аппаратным обеспечением 

QSS - с  программным обеспечением 

QSZ - прочие  виды саботажа 

QZ - Прочие  компьютерные преступления 

QZB - с  использованием компьютерных досок  объявлений 

QZE - хищение  информации, составляющей коммерческую  тайну 

QZS - передача  информации конфиденциального характера 

QZZ - прочие  компьютерные преступления 

       Кратко охарактеризуем некоторые виды компьютерных преступлений согласно приведенному кодификатору.

     Несанкционированный доступ и перехват информации (QA) включает в себя следующие виды компьютерных преступлений:

     QAH - "Компьютерный абордаж" (хакинг - hacking): доступ в компьютер или сеть без нрава на то. Этот вид компьютерных преступлений обычно используется хакерами для проникновения в чужие информационные сети.

     QAI - перехват (interception): перехват при помощи технических средств, без права на то. Перехват информации осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного подслушивания являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи.          К данному виду компьютерных преступлений также относится электромагнитный перехват (electromagnetic pickup). Современные технические средства позволяют получать информацию без непосредственною подключения к компьютерной системе: ее перехват осуществляется за счет излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Все это можно осуществлять, находясь на достаточном удалении от объекта перехвата.

     Для характеристики методов несанкционированного доступа и перехвата информации используется следующая специфическая  терминология:

     - "Жучок" (bugging) - характеризует установку микрофона в компьютере с целью перехвата разговоров обслуживающего персонала;

     -    "Откачивание данных" (data leakage) - отражает возможность сбора информации, необходимой для получения основных данных, в частности о технологии ее прохождения в системе;

     -    "Уборка мусора" (scavening) - характеризуе г поиск данных, оставленных пользователем после работы на компьютере. Этот способ имеет две разновидности - физическую и электронную. В физическом варианте он может сводиться к осмотру мусорных корзин и сбору брошенных в них распечаток, деловой переписки и т.д. Электронный вариант требует исследования данных, оставленных в памяти машины;

     -    метод следования "За дураком" (piggbackiiig), характеризующий несанкционированное проникновение как в пространственные, так и в электронные закрытые зоны. Его суть состоит в следующем. Если набрать в руки различные предметы, связанные с работой на компьютере, и прохаживаться с деловым видом около запертой двери, где находится терминал, то, дождавшись законного пользователя, можно пройти в дверь помещения вместе с ним;

     -    метод "За хвост" (between the lines entry), используя который можно подключаться к линии связи законного пользователя и, догадавшись, когда последний заканчивает активный режим, осуществлять доступ к системе;

     -    метод "Неспешного выбора" (browsing). В этом случае несанкционированный доступ к базам данных и файлам законного пользователя осуществляется путем нахождения слабых мест в защите систем. Однажды обнаружив их, злоумышленник может спокойно читать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимости;

     -    метод "Поиск бреши" (trapdoor entry), при котором используются ошибки или неудачи в логике построения программы. Обнаруженные бреши могут эксплуатироваться неоднократно;

     -    метод "Люк" (trapdoor), являющийся развитием предыдущего. В найденной "бреши" программа "разрывается" и туда вставляется определенное число команд. По мере необходимости "люк" открывается, а встроенные команды автоматически осуществляют свою задачу;

     -   метод "Маскарад" (masquerading). В этом случае злоумышленник с использованием необходимых средств проникает в компьютерную систему, выдавая себя за законного пользователя;

     -    метод "Мистификация"(spoofing), который используется при случайном подключении "чужой" системы. Злоумышленник, формируя правдоподобные отклики, может поддерживать заблуждение ошибочно подключившегося пользователя в течение какого-то промежутка времени и получать некоторую полезную для него информацию, например коды пользователя.

     QAT - кража времени: незаконное использование  компьютерной системы или сети  с намерением неуплаты.

     Изменение компьютерных данных (QD) включает в  себя следующие виды преступлений:

     QDL/QDT - логическая бомба (logic bomb), троянский конь (trojan horse): изменение компьютерных данных без права на то, путем внедрения логической бомбы или троянского коня.

     Логическая  бомба заключается в тайном встраивании  в программу набора команд, который  должен сработать лишь однажды, но при  определенных условиях.

     Троянский конь - заключается в тайном введении в чужую программу таких команд, которые позволяют осуществлять иные, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность.

     QDV - вирус (virus): изменение компьютерных данных или программ, без права на то, путем внедрения или распространения компьютерного вируса.

     Компьютерный  вирус - это специально написанная программа, которая может "приписать" себя к другим программам (т.е. "заражать" их), размножаться и порождать новые  вирусы для выполнения различных  нежелательных действий на компьютере.

     QDW - червь: изменение компьютерных  данных или программ, без права  на то, путем передачи, внедрения  или распространения компьютерного  червя в компьютерную сеть.

     Компьютерные  мошенничества (QF) объединяют в своем  составе разнообразные способы  совершения компьютерных преступлений:

     QFC - компьютерные мошенничества, связанные  с хищением наличных денег  из банкоматов.

     QFF - компьютерные подделки: мошенничества  и хищения из компьютерных  систем путем создания поддельных  устройств (карточек и пр.).

     QFG - мошенничества и хищения, связанные  с игровыми автоматами.

     QFM - манипуляции с программами ввода-вывода: мошенничества и хищения посредством  неверного ввода или вывода  в компьютерные систе-мы или из них путем манипуляции программами. В этот вид компьютерных преступлений включается метод Подмены данных кода (data diddling code change), который обычно осуществляется при вводе-выводе данных. Это простейший и потому очень часто применяемый способ.

     QFP - компьютерные мошенничества и  хищения, связанные с платежными  средствами. К этому виду относятся  самые распространенные компьютерные  преступления, связанные с кражей  денежных средств, которые составляют  около 45% всех преступлений, связанных  с использованием ЭВМ. 

     QFT - телефонное мошенничество: доступ  к телекоммуникационным услугам  путем посягательства на протоколы  и процедуры компьютеров, обслуживающих  телефонные системы. 

Преступления против информационной безопасности по уголовному праву Республики Беларусь