Неправомерный доступ к компьютерной информации

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПРАВОСУДИЯ

Кафедра уголовного права

Материалы для дистанционного обучения

 

Направление подготовки / специальность 40.03.01 – бакалавриат – Юриспруденция

 

Форма обучения: очная

 

Дата занятия: __________________________

Дисциплина: _____Уголовное право Особенная часть

Курс: ____3______________________

Группа: __________________________

 

Тема 14: Преступления в сфере компьютерной информации

Вопросы

1. Общая характеристика преступлений в сфере компьютерной информации.

2. Неправомерный доступ к компьютерной информации.

3. Создание, использование и распространение вредоносных компьютерных программ.

4. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей.

Содержание.

1. Общая характеристика преступлений в сфере компьютерной информации

В гл. 28 УК РФ включены преступления в сфере компьютерной информации (компьютерные преступления), представляющие собой общественно опасные деяния, посягающие на общественные отношения, обеспечивающие безопасный оборот компьютерной информации (компьютерную безопасность).

Согласно официальной статистике МВД РФ за 2018 год количество зарегистрированных преступлений, совершаемых с использованием компьютерных и телекоммуникационных технологий (т.н. киберпреступлений), увеличилось на 92,8%, а их доля от общего числа преступлений составляет 8.77%. За тот же период было зарегистрировано 2500 преступлений в сфере компьютерной информации, что в сравнении с предыдущим годом показывает рост в 32,8%^[1]..

Преступления в сфере компьютерной информации следует отличать от смежных составов преступлений, например от ст. 159.6 УК РФ («Мошенничество в сфере компьютерной информации»). В подобных составах безопасный оборот компьютерной информации (компьютерная безопасность) является дополнительным объектом, а не основным.

Также преступления в сфере компьютерной информации следует отличать от иных киберпреступлений, в которых информационно-технические средства являются средствами совершения преступлений, например, от сбыта наркотических средств с использованием средств массовой информации либо электронных или информационно-телекоммуникационных сетей (включая сеть "Интернет") (п. «б» ч.2 ст. 228.1 УК РФ). В таких составах компьютерная безопасность, как дополнительный объект, не затрагивается.

 Термины «компьютерная преступность» или «киберпреступность» появились в американской, а затем и другой зарубежной литературе в начале 1960-х годов, когда были выявлены первые случаи преступлений, совершенных с использованием ЭВМ. В СССР одно из первых компьютерных преступлений - автоматизированное хищение 78584 рублей, совершенное в Вильнюсе в 1979 г., - удостоилось занесения в международный реестр подобных правонарушений. Постепенно эти термины широко стали использоваться практическими работниками правоохранительных органов и учеными, хотя первоначально для этого отсутствовали как криминологические, так и правовые основания.

Киберпреступления носят международный и экстерриториальный характер. Для эффективного противодействия им необходимо правовое сотрудничество всего международного общества. В результате 23 ноября 2001 года в Будапеште была принята Конвенция совета Европы «О преступности в сфере компьютерной информации» (ETS №185). В Российской Федерации данная Конвенция не ратифицирована. Россия приняла решение подписать данный документ с заявлением в соответствии с Распоряжением Президента РФ от 15.11.2005 N 557-рп, которое признано утратившим силу Распоряжением Президента РФ от 22.03.2008 N 144-рп.

В настоящее время основным национальным законом, регулирующим общественные отношения в сфере нормального оборота компьютерной информации, является Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 18.03.2019) «Об информации, информационных технологиях и о защите информации» (далее ФЗ «Об информации»). Согласно ст. 17 ФЗ «Об информации», нарушение требований данного закона влечёт за собой уголовную ответственность.

Ещё одним специальным законом, регулирующим отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации является Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Об ответственности за нарушения установленных требований по обеспечению безопасности критической информационной инфраструктуры Российской Федерации, говорится в ст. 14 данного Закона.

Родовым объектом преступлений в сфере компьютерной информации являются отношения, обеспечивающие общественную безопасность. Видовым объектом – общественные отношения, обеспечивающие безопасный оборот компьютерной информации, а также безопасность критической информационной инфраструктуры Российской Федерации (компьютерная безопасность). Непосредственным объектом конкретных составов преступлений в сфере компьютерной информации могут выступать либо отношения, обеспечивающие безопасный оборот компьютерной информации (ст. 272,273,274 УК РФ), либо отношения, обеспечивающие безопасность критической информационной инфраструктуры Российской Федерации (ст. 274.1 УК РФ).

Объективная сторона компьютерных преступлений может характеризоваться деянием как в форме действия (например, неправомерный доступ к охраняемой законом информации - ст. 272 УК), так и акта бездействия (например, невыполнение необходимых сервисных процедур, своевременной антивирусной проверки - ст. 274, 274.1 УК). По конструкции объективной стороны основные составы преступлений являются как материальными (ст. 272, 274, ч. 2-5 ст. 274.1 УК РФ), так и формальными (ст. 273, ч. 1 ст. 274.1 УК РФ).

Субъект компьютерных преступлений общий – вменяемое физическое лицо, достигшее возраста уголовной ответственности (16 лет). Однако в некоторых квалифицированных составах возможен и специальный субъект.

Субъективная сторона состава преступлений, предусмотренных ст. ст. 272 – 273 УК РФ, характеризуется умыслом, а ч. 1 ст. 274, ч. 3 ст. 274.1 как умыслом, так и неосторожностью. В квалифицированных составах возможны две формы вины.

Согласно УК РФ выделяются четыре вида преступлений, в сфере компьютерной информации:

1) неправомерный доступ к компьютерной информации (ст. 272 УК РФ);

2) создание, использование и распространение вредоносных компьютерных программ (ст. 273 УК РФ);

3) нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

 (ст. 274 УК РФ);

4) неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК РФ).

Неправомерный доступ к компьютерной информации

(ст. 272 УК РФ)

Непосредственный основной объект данного преступления - общественные отношения, обеспечивающие безопасный оборот (хранение, обработку или передачу) компьютерной информации. В квалифицированных составах возможен дополнительных объект - личные права и интересы граждан, интересы собственности (ч. 2 ст. 272 УК РФ), также в ч.4 ст. 272 УК РФ, в зависимости от наступивших последствий, возможны факультативные объекты – жизнь, здоровье, экологическая безопасность.

Предметом преступления является охраняемая законом компьютерная информация.

Предмет данного преступления обладает двумя обязательными признаками: физическим и юридическим. Физическим признаком предмета данного преступления является его физическая природа – информация должна быть компьютерной. Определение компьютерной информации дано в Примечании 1 к ст. 272 УК РФ, согласно которому под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

Вторым признаком предмета является его юридический статус – данная компьютерная информация должна охраняться законом.

Согласно ст. 2 ФЗ «Об информации», информация в зависимости от категории доступа к ней, подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

К информации ограниченного доступа относятся:

- все виды тайн (государственная; коммерческая, личная, семейная, врачебная, банковская, тайна следствия, военная тайна и др.);

- персональные данные (любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных));

- инсайдерская информация;

- сведения о населении, содержащиеся в переписных листах;

- информация, содержащаяся в паспортах безопасности объектов топливно-энергетического комплекса;

- информация, содержащаяся в профилях и индикаторах рисков, применяемых таможенными органами;

- иная информация, доступ к которой ограничен какими-либо федеральными законами[2].

Относительно такой информации собственником или иным управомоченным лицом должны быть приняты меры специальной защиты (например, введена система паролей доступа, двойная аутентификация или определенная дисциплина работы с информацией), ограничивающие к ней доступ.

Общедоступная информация не является предметом ст. 272 УК РФ, также не являются предметом данного преступления обезличенные метаданные (информация об информации).

Не может быть ограничен доступ к:

1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

2) информации о состоянии окружающей среды;

3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Объективная сторона состава преступления включает в себя действия, состоящие в неправомерном доступе к охраняемой законом компьютерной информации (информации ограниченного доступа); последствия - альтернативно - в виде уничтожения, блокирования, модификации, копирования информации; причинно-следственную связь между указанным действием и любым из названных последствий.

Неправомерным считается доступ к конфиденциальной информации или информации, составляющей государственную тайну, лица, не обладающего необходимыми полномочиями (без согласия собственника или его законного представителя), при условии обеспечения специальных средств ее защиты.

Неправомерный доступ к компьютерной информации - это незаконное либо не разрешенное собственником или иным ее законным владельцем использование возможности получения информации. При этом под доступом к компьютерной информации подразумевается любая форма проникновения в источник информации, позволяющая манипулировать полученной информацией (копировать, модифицировать, блокировать либо уничтожать ее).

Вместе с тем, завладение персональным компьютером либо машинным носителем информации (дискетой, диском) как имуществом, не может квалифицироваться как доступ к компьютерной информации и влечет ответственность за преступление против собственности или самоуправство. Аналогично не образует объективной стороны рассматриваемого преступления факт уничтожения или искажения содержащейся на машинном носителе компьютерной информации путем внешнего воздействия на него теплом, магнитными волнами, причинения механических повреждений иным способом. Неправомерный доступ к компьютерной информации вменяется соответствующему лицу по совокупности с теми преступлениями, ради совершения которых такой доступ осуществлялся.

Состав данного преступления носит материальный характер и предполагает обязательное наступление одного из следующих последствий.

Уничтожение информации - приведение информации или ее части в непригодное для использования состояние независимо от возможности ее восстановления.

Блокирование информации - результат воздействия на компьютерную информацию или технику, последствием которого является невозможность в течение некоторого времени или постоянно осуществлять требуемые операции над компьютерной информацией полностью или в требуемом режиме, то есть, совершение действий, приводящих к ограничению или закрытию доступа к компьютерному оборудованию и находящимся на нем ресурсам, целенаправленное затруднение доступа законных пользователей к компьютерной информации, не связанное с ее уничтожением.

Модификация информации - внесение изменений в компьютерную информацию (или ее параметры).

Копирование информации - создание копии имеющейся информации на другом носителе, то есть, перенос информации на обособленный носитель при сохранении неизменной первоначальной информации, воспроизведение информации в любой материальной форме - от руки, фотографированием текста с экрана дисплея, а также считывания информации путем любого перехвата информации и т.п. [3].

Преступление окончено с момента наступления любого из указанных последствий. При установлении причинной связи между несанкционированным доступом и наступлением вредных последствий следует иметь в виду, что в компьютерных системах возможны уничтожение, блокирование компьютерной информации в результате технических неисправностей или ошибок при функционировании аппаратно-программных средств. В этих случаях лицо, совершившее неправомерный доступ к компьютерной информации, не подлежит ответственности по данной статье ввиду отсутствия причинной связи между его действиями и наступившими последствиями. Не будет нести ответственность лицо за просмотр информации, хранящейся в оперативной памяти компьютера.

Примером неправомерного доступа к охраняемой законом компьютерной информации могут служить следующие действия:

Игнатов, зная логин и пароль от Портала государственных услуг своего знакомого Брагина, ночью 25 июля 2019 года, без согласия последнего совершил неправомерный доступ к его аккаунту. После авторизации Игнатов открыл личный кабинет Брагина, тем самым получив неправомерный доступ к персональным данным потерпевшего (паспортным данным, номеру СНИЛС, ИНН). Данная компьютерная информация, охраняется Федеральным законом от 27.07.206 №152-ФЗ «О персональных данных». Осознавая, что обладать данной информацией Игнатов не вправе, он сделал снимок экрана личного кабинета Игнатова, тем самым скопировав персональные данные потерпевшего.

Субъективная сторона рассматриваемого преступления характеризуется виной в форме умысла (прямо или косвенно). Виновный осознаёт общественную опасность неправомерного доступа к охраняемой законом компьютерной информации, предвидит возможность либо неизбежность уничтожения, блокирования, модификации либо копирования такой информации, желает наступления таких последствий, либо не желает, но сознательно их допускает, или относится к ним безразлично.

Субъект преступления общий - вменяемое лицо, достигшее 16 лет.

В ч. 2 ст. 272 УК РФ предусмотрены такие квалифицирующие признаки, как совершение преступления:

а) причинившее крупный ущерб;

б) из корыстной заинтересованности.

Крупным признаётся ущерб, превышающий 1 млн. рублей. Корыстный мотив также является квалифицирующим признаком по ч. 2 ст. 274 УК РФ. Другие мотивы этого преступления: желание получить какую-нибудь информацию либо желание причинить вред - не влияют на квалификацию.

Квалифицирующие признаки, предусмотренные ч. 3 ст. 272 УК РФ, представляют собой совершение данного преступления:

а) группой лиц по предварительному сговору;

б) организованной группой;

в) лицом с использованием своего служебного положения.

Значительное число компьютерных преступлений относится к групповым, причем чаще всего речь идет о таких формах группового взаимодействия, как организованная группа или преступное сообщество. В группу может входить всего один программист-профессионал, а остальные ее члены могут выполнять иные элементы объективной стороны.

Состав ч. 3 ст. 272 УК РФ предусматривает специального субъекта - лицо, использующее свое служебное положение. Под использованием служебного положения, предусмотренного в диспозиции ч. 3 ст. 272 УК РФ, понимается использование возможности доступа к компьютерной информации, возникшей в результате выполняемой работы (по трудовому, гражданско-правовому договору) или влияния по службе на лиц, имеющих такой доступ (в данном случае субъектом преступления не обязательно является должностное лицо), то есть тех, кто на законных основаниях использует компьютерную информацию и средства ее обращения (программисты, сотрудники, вводящие информацию в память компьютера, другие пользователи, а также администраторы баз данных, инженеры, ремонтники, специалисты по эксплуатации электронно-вычислительной техники и прочие).

Квалифицирующими признаками по ч. 4 ст. 272 УК РФ являются наступление тяжких последствий или угроза их наступления. Это оценочный критерий, хотя, безусловно, к таким последствиям следует относить банкротство и разорение компаний, экологические катастрофы, самоубийство потерпевшего. При наступлении тяжких последствий по неосторожности возможно формирование двух форм вины. В целом такое преступление признаётся умышленным.

Угроза наступления тяжких последствий формирует состав опасности. Преступление в данном случае будет считаться оконченным с момента возникновения реальной, наличной и действительной угрозы возникновения тяжких последствий.

3. Создание, использование и распространение вредоносных компьютерных программ (ст. 273 УК РФ)

Основные, дополнительные и факультативные объекты преступления, предусмотренного ст. 273 УК РФ полностью совпадают с объектами ст. 272 УК РФ. Их содержание идентично.

Предмет преступления, предусмотренного ст. 273 УК РФ - вредоносные компьютерные программы, либо иная компьютерная информация (инструкции, рекомендации), заведомо предназначенная для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.

Компьютерная программа - представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения (ст. 1261 ГК РФ). По смыслу данной статьи УК РФ в основном понимаются программы, известные как компьютерные вирусы (черви, троянские кони, кейлоггеры, руткиты и др.).

Под иной компьютерной информацией следует понимать различные инструкции и описания о конкретных способах, которыми можно несанкционированно уничтожить, блокировать, модифицировать компьютерную информацию («эксплоиты»).

Объективная сторона преступления включает альтернативные действия: создание, распространение (включая сбыт) или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.

Альтернативные действия должны быть направлены на охраняемую законом компьютерную информацию, то есть на информацию ограниченного доступа, аналогично ст. 272 УК РФ.

Создание программ представляет собой деятельность, направленную на разработку, подготовку программ, способных по своему функционалу несанкционированно уничтожать, блокировать, модифицировать, копировать компьютерную информацию или нейтрализовать средства защиты компьютерной информации.

Под распространением таких программ понимается предоставление доступа к ним любому постороннему лицу любым из возможных способов, включая продажу, прокат, бесплатную рассылку по электронной сети и иные формы сбыта, то есть любые действия по предоставлению доступа к программе сетевым или иным способом.

Использование программы - это работа с программой, применение ее по назначению и иные действия по введению ее в хозяйственный оборот в изначальной или модифицированной форме. Под использованием вредоносных программ понимается их применение (любым лицом), при котором активизируются их вредные свойства.

Под нейтрализацией средств защиты информации подразумевается приведение их в нерабочее состояние, например, отключение антивирусного программного обеспечения, системы обнаружения вторжения или системы шифрования, межсетевого фильтра.

Состав преступления, предусмотренного ч. 1 ст. 273 УК РФ является формальным. Преступление окончено с момента совершения одного из альтернативных действий, независимо от наступления общественно опасных последствий (копирование, модификация, блокирование, уничтожение и т.д.).

Субъективная сторона состава преступления, предусмотренного ч. 1 ст. 273 УК РФ, характеризуется виной в виде прямого умысла. Виновный осознаёт общественную опасность создания, распространения или использования компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации и желает совершить такие деяния.     

Субъект преступления общий - вменяемое лицо, достигшее 16 лет.

Частью 2 ст. 273 УК РФ предусмотрены квалифицирующие признаки:

а) совершение группой лиц по предварительному сговору;

б) совершение организованной группой лиц;

в) использование служебного положения;

г) крупный ущерб;

д) корыстная заинтересованность.

Частью 3 ст. 273 УК РФ криминализируется более опасное преступление: те же деяния, повлекшие тяжкие последствия или опасность их наступления.

Содержание данных понятий идентично аналогичным понятия, предусмотренным в ст. 272 УК РФ.