Уголовно-правовое обеспечение кибербезопасности: некоторые проблемы и пути их решения
(Ефремова М. А.) («Информационное право», 2013, N 5)
УГОЛОВНО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ КИБЕРБЕЗОПАСНОСТИ: НЕКОТОРЫЕ ПРОБЛЕМЫ И ПУТИ ИХ РЕШЕНИЯ
М. А. ЕФРЕМОВА
Ефремова Марина Александровна, доцент кафедры уголовного права и криминологии юридического факультета Ульяновского государственного университета, кандидат юридических наук.
Рецензент: Лопатин Владимир Николаевич, директор Республиканского научно-исследовательского института интеллектуальной собственности (РНИИИС), доктор юридических наук, профессор.
В статье анализируется современное состояние уголовного законодательства, предусматривающего ответственность за посягательства в киберпространстве. Проводится разграничение понятий «информационная безопасность» и «кибербезопасность». Выявляется ряд существующих проблем правового регулирования и предлагаются пути их решения.
Ключевые слова: уголовное право, информация, информационная безопасность, кибербезопасность.
The support of cybersafety by criminal law means: some problems and ways of their decision M. A. Efremova
In the article the current state of the criminal law, which provides responsibility for encroachments in a cyberspace is analyzed. Differentiation of the concepts «information security» and «cybersafety» is carried out. The author proposes a number of existing problems of legal regulation in this sphere and gives ways of their solutions.
Key words: criminal law, information, information security, cybersafety.
Развитие информационных технологий существенно упростило и ускорило процесс обмена, поиска, сбора информации. В то же время эти на первый взгляд позитивные перемены кроют в себе весьма опасный потенциал. На сегодняшний день задачи обеспечения информационной безопасности, кибербезопасности стали одними из ключевых для большинства ведущих мировых держав. Однако если, например, в Европе планируется усилить ответственность за киберпреступления, то в Российской Федерации вопрос об ответственности за преступления в киберпространстве остается во многом открытым. Обусловлено это множеством проблем, основными среди которых являются: отсутствие единого понятийного аппарата и непоследовательный подход законодателя к криминализации деяний, посягающих на информационные объекты. В первую очередь необходимо разобраться в содержании и соотношении понятий «информационная безопасность» и «кибербезопасность». Уже не требует доказательства тот факт, что информационная безопасность является составной частью национальной безопасности. Более того, национальная безопасность РФ существенным образом зависит от информационной безопасности. Если обратиться к одному из руководящих документов в сфере обеспечения информационной безопасности Российской Федерации — Доктрине информационной безопасности, то в ней под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства <1>. Если же рассматривать информационную безопасность через призму уголовного права, то под ней следует понимать изменчивую открытую систему общественных отношений, обеспечивающих реализацию интересов личности, общества и государства в информационной сфере. «Кибербезопасность» же есть не что иное, как составная часть информационной безопасности, т. е. они соотносятся как часть и целое. Само слово «кибербезопасность» (англ. cyber security) образовано слиянием прилагательного «кибер» и существительного «безопасность». В Оксфордском словаре дается такое определение этого прилагательного: относящийся к компьютерам, информационным технологиям, виртуальной реальности <2>. Таким образом, кибербезопасность в самом общем виде можно определить как состояние защищенности киберпространства от противоправных посягательств. При этом следует поддержать позицию В. Г. Степанова-Егиянца, который для дефиниции киберпространства предлагает использовать определение, данное Верховным судом США, а именно как «уникального носителя, не находящегося на определенной территории, но доступного каждому в любой точке мира через Интернет» <3>. И хотя статистические данные свидетельствуют о том, что в последние годы число преступлений в сфере компьютерной информации снизилось, вряд ли их можно связать с совершенством действующего законодательства и успехами правоохранительных органов, скорее наоборот <4>. Технический прогресс существенно обгоняет теоретическое осмысление происходящего в области создания и применения информационных технологий, использования новых информационно-телекоммуникационных возможностей. Но такое положение, когда быстро развивающиеся технологии, имеющие тотальный характер, стимулируемые рыночными критериями, слишком долго остаются теоретически неосознанными, чревато непредсказуемыми последствиями <5>. Последствия в первую очередь выражаются в том, что многие противоправные посягательства просто выпадают за пределы действия УК РФ. В этой связи термин «киберпреступления» представляется наиболее адекватно отвечающим сложившейся ситуации. Однако его следует использовать лишь в криминологических целях, для обозначения преступности в киберпространстве, которую даже считают формой преступности «белых воротничков» <6>. Для обозначения рассматриваемой группы преступлений на законодательном уровне следует использовать термин «преступления в сфере обращения электронной информации». ——————————— <1> Доктрина информационной безопасности Российской Федерации: утв. Президентом Российской Федерации 9 сентября 2000 г., N Пр-1895). URL: http://www. scrf. gov. ru/documents/5.html (дата обращения: 30.06.2013). <2> URL: http://oxforddictionaries. com/ definition/english/ cyber? q=cyber (дата обращения: 30.06.2013) <3> Степанов-Егиянц В. Г. Преступления в сфере безопасности обращения компьютерной информации: сравнительный анализ: Дис. … канд. юрид. наук. М., 2005. С. 37. <4> По официальным данным МВД, число зарегистрированных преступлений в сфере компьютерной информации составило в 2010 г. 7398; в 2011 г. — 2698; в 2012 г. — 2820, с января по сентябрь 2013 г. — 1886. URL: http//:www. mvd. ru (дата обращения: 30.06.2013). <5> Юсупов М. Р., Шишкин В. С. О некоторых противоречиях в решении проблем информационной безопасности // Труды СПИИРАН. 2008. N 6. С. 12. <6> Комлев Ю. Ю. Преступность в эпоху HIGH-TECH, консюмеризма и глэм-капитализма // Вестник Воронежского государственного экономического университета. 2013. N 1 (63). С. 37.
Помимо изложенного выше, обращает на себя внимание и непоследовательный подход законодателя к криминализации деяний, совершаемых с использованием информационно-телекоммуникационных технологий. Так, в ряде случаев ввиду отсутствия в уголовном законе соответствующего квалифицирующего признака деяние, совершенное с использованием информационных технологий, вовсе не является уголовно наказуемым. И хотя еще несколько лет назад предложение дополнить ряд статей УК РФ квалифицирующим признаком «с использованием компьютерной техники» <7> или «применением информационных технологий» <8> было недостаточно обоснованным и своевременным, то сейчас оно обусловлено объективными причинами, однако с некоторыми уточнениями. Необходимо учесть, что электронная информация обращается не только в компьютерах, но и в других устройствах. Таковыми, по нашему мнению, могут быть и планшетные компьютеры, сотовые телефоны, смартфоны. Этот перечень не является исчерпывающим и пополняется чуть ли ни с каждым днем. Поэтому следует вести речь о таком квалифицирующем признаке, как «использование информационно-телекоммуникационных технологий». Анализ судебной практики показывает, что наряду с преступлениями в сфере компьютерной информации в «чистом виде» столь же часто совершаются преступления, где компьютерная техника выступает средством совершения преступлений. Прежде всего это ст. ст. 146, 159, 165, 183 УК РФ. При этом следует отметить отсутствие в ней единообразия, позиции судов по одним и тем же вопросам порой являются кардинально противоположными. В частности, довольно распространены случаи, когда сходные деяния квалифицируются по-разному: одни суды квалифицируют их только по ст. 272 УК РФ, другие же — по совокупности с соответствующей статьей Особенной части УК. Поэтому она, равно как и официальная статистика МВД, едва ли отражает ситуацию в полной мере. В то же время ч. 1 ст. 171.2 содержит такой квалифицирующий признак, как с использованием «информационно-телекоммуникационных сетей, в том числе сети Интернет, аналогичный квалифицирующий признак встречается также в ч. 3 ст. 242, ч. 2 ст. 242.1, ч. 2 ст. 242.2. В то же время ч. 1 ст. 185.3 УК РФ устанавливает ответственность за манипулирование рынком, в том числе через «электронные, информационно-телекоммуникационные сети (включая сеть Интернет)», аналогичный квалифицирующий признак содержится и в ч. 2 ст. 228.1. Столь незначительные, казалось бы, на первый взгляд различия способны вызвать серьезные затруднения на практике. И хотя его формулировка видится нам не совсем удачной, остается неясным вопрос, почему законодатель включил его именно в эти статьи, оставив без должного внимания другие. Как справедливо отмечает А. И. Рарог, «изменения в Уголовный кодекс носят блоковый характер: законодатель реформирует какую-то одну норму или несколько взаимосвязанных норм, но не согласует их со смежными нормами, что нарушает принцип системности закона и его внутреннюю цельность» <9>. С использованием технических средств, в которых обращается электронная информация, можно совершить значительную часть преступлений, ответственность за которые предусмотрена действующим УК. Исключение, пожалуй, составляют преступления против жизни и здоровья. Хотя по некоторым данным уже случались и убийства через Интернет <10>. В рамках небольшой научной статьи невозможно проанализировать все преступления, которые могут быть совершены с использованием вышеназванных технических средств, поэтому мы остановимся лишь на некоторых из них. В качестве примера рассмотрим такое явление, как кибертерроризм, под которым понимается противоправное воздействие на информационно-телекоммуникационные системы в целях устрашения населения, воздействия на принятие решения органами власти или международными организациями. Ввиду всей специфичности данного преступления оно не может быть квалифицировано по ст. 205 УК РФ, где террористический акт определяется как совершение взрыва, поджога или иных действий, устрашающих население и создающих опасность гибели человека, причинения значительного имущественного ущерба либо наступления иных тяжких последствий, в целях воздействия на принятие решения органами власти или международными организациями, а также угроза совершения указанных действий в тех же целях. Нельзя согласиться с Д. Г. Малышенко, который склонен рассматривать кибертерроризм «в качестве одной из разновидностей неправомерного доступа к компьютерной информации, размещенной в отдельно взятой вычислительной машине или сети ЭВМ, осуществляемого для модификации, уничтожения указанной информации или ознакомления с ней, обеспечивающего формирование обстановки, при которой функционирование данной ЭВМ или сети выходит за рамки, предусмотренные штатными условиями эксплуатации, и возникает опасность гибели людей, причинения имущественного ущерба или наступления каких-либо иных общественно опасных последствий» <11>. На наш взгляд, диспозиция ч. 1 ст. 205 должна быть сформулирована следующим образом: «…совершение взрыва, поджога, противоправного воздействия на информационно-телекоммуникационные системы или иных действий, устрашающих население и создающих опасность гибели человека, причинения значительного имущественного ущерба либо наступления иных тяжких последствий, в целях воздействия на принятие решения органами власти или международными организациями, а также угроза совершения указанных действий в тех же целях». Если еще несколько лет назад факт существования кибероружия и кибервойн являлся предметом спора, то сегодня уже ряд развитых государств активно готовится к кибервойне. В связи с этим следует пересмотреть ряд статей главы 34 УК РФ, в частности ст. ст. 353, 354, 355, 356. Предложенный РФ проект Конвенции об обеспечении международной информационной безопасности предполагает закрепление на международном уровне таких понятий, как информационная война и информационное оружие. Так, под информационной войной там понимается противоборство между двумя или более государствами в информационном пространстве с целью нанесения ущерба информационным системам, процессам и ресурсам, критически важным, и другим структурам, подрыва политической, экономической и социальной систем, массированной психологической обработки населения для дестабилизации общества и государства, а также принуждения государства к принятию решений в интересах противоборствующей стороны. Разновидностью информационной войны следует считать кибервойну. В случае с кибервойной аналогичные действия в тех же целях совершаются уже в киберпространстве. Информационное оружие, согласно тексту проекта Конвенции, есть информационные технологии, средства и методы, предназначенные для ведения информационной войны <12>. Более точное определение информационного оружия приводит В. Н. Лопатин, который под ним понимает «средства уничтожения, искажения или хищения информационных массивов, добывания из них необходимой информации после преодоления систем защиты, ограничения или воспрещения доступа к ним законных пользователей, дезорганизации работы технических средств, вывода из строя телекоммуникационных сетей, компьютерных систем, всех средств высокотехнологического обеспечения жизни общества и функционирования государства» <13>. Он также отмечает, что к информационному оружию, применение которого возможно как в военное, так и в мирное время, могут быть отнесены средства поражения информационных компьютерных систем и средства поражения людей (их психики) <14>. Средства поражения информационных компьютерных систем, на наш взгляд, и являются кибероружием. Не вписывается в рамки действующей редакции ст. 276 и такое явление как кибершпионаж. По нашему мнению, в самом общем виде под ним следует понимать незаконные передачу, собирание, похищение или хранение информации в информационно-телекоммуникационных сетях, принадлежащих иностранному государству, в случае, если они не находятся в открытом доступе. Не всегда кибершпионаж осуществляется в отношении сведений, составляющих государственную тайну. Так, например, Национальное управление контрразведки представило конгрессу США доклад под названием «Иностранные шпионы крадут секреты США в киберпространстве», в котором указывается, что Китай и Россия используют кибершпионаж для хищения торговых и технологических секретов США. Авторы доклада считают, что таким образом указанные страны развивают собственную экономику, в результате чего для процветания и безопасности США создается значительная угроза <15>. Объектом кибершпионажа может быть любая иная информация с ограниченным доступом (сведения, составляющие банковскую тайну; персональные данные и т. п.). При этом уже сам факт неправомерного доступа, вне зависимости от наступления последствий должен быть уголовно наказуем. От ст. 272 УК РФ данное деяние следует ограничивать по направленности умысла: оно направлено именно на незаконные передачу, собирание, похищение или хранение информации в информационно-телекоммуникационных сетях, принадлежащей иностранному государству. Сказанное позволяет нам сделать вывод, что необходимо дополнить ст. ст. 137, 138, 146, 147, 158, 159, 160, 163, 176, 183, 185.6, 205, 207, 275, 276 УК РФ квалифицирующим признаком «с использованием информационно-телекоммуникационных технологий». Кроме того, следует дополнить п. «к» ч. 1 ст. 63 новым отягчающим обстоятельством «с использованием информационно-телекоммуникационных технологий» и учитывать его при назначении наказания. ——————————— <7> Кабанова А. Ж. Преступления в сфере компьютерной информации (уголовно-правовые и криминалистические аспекты): Автореф. дис. … канд. юрид. наук. Ростов н/Д, 2004. С. 5; Степанов-Егиянц В. Г. Указ. соч. С. 8. <8> Айсанов Р. М. Состав неправомерного доступа к компьютерной информации в российском, международном и зарубежном уголовном законодательстве: Автореф. дис. … канд. юрид. наук. М., 2006. С. 8. <9> Рарог А. И. К новой редакции Уголовного кодекса // Lex Russica (научные труды МГЮА). 2006. N 6. С. 1223. <10> URL: http://www. rg. ru/2005/ 02/08/e-prestupnost. html (дата обращения: 30.06.2013). <11> Малышенко Д. Г. Противодействие компьютерному терроризму — важнейшая задача современного общества и государства. URL: www. oxpaha. ru (дата обращения: 30.06.2013). <12> URL: http://www. mid. ru/bdomp/ ns-osndoc. nsf/e2f289bea6 2097f9c325787a0034c255/ 542df9e13d28e06ec3257925003542c4!0penDocument (дата обращения: 30.06.2013). <13> Лопатин В. Н. Информационная безопасность России: Автореф. дис. … д-ра юрид. наук. СПб., 2000. С. 73. <14> Лопатин В. Н. Указ. соч. С. 74. <15> URL: http://pronetbook. ru/ 79-vlasti-ssha — podozrevayut-kitay-i-rossiyu-v-kibershpionazhe. html (дата обращения: 30.06.2013).
Подводя общий итог вышесказанному, следует отметить, что развитие правового института обеспечения информационной безопасности и ее составной части — кибербезопасности находится лишь в самом начале пути. Уголовно-правовое обеспечение информационной безопасности и кибербезопасности должно стать одним из элементов создаваемого механизма правового регулирования информационных общественных отношений. Однако это развитие существенно замедляют имеющиеся проблемы и противоречия, которые требуют решения в кратчайшие сроки, т. к. в конечном итоге от их решения зависит национальная безопасность Российской Федерации.
Литература
1. Доктрина информационной безопасности Российской Федерации: утв. Президентом Российской Федерации 9 сентября 2000 г., N Пр-1895). URL: http://www. scrf. gov. ru/documents/5.html (дата обращения: 30.06.2013). 2. URL: http://oxforddictionaries. com/ definition/english/ cyber? q=cyber (дата обращения: 30.06.2013) 3. URL: http://www. mvd. ru (дата обращения: 30.06.2013). 4. Айсанов Р. М. Состав неправомерного доступа к компьютерной информации в российском, международном и зарубежном уголовном законодательстве: Автореф. дис. … канд. юрид. наук. М., 2006. 5. Кабанова А. Ж. Преступления в сфере компьютерной информации (уголовно-правовые и криминалистические аспекты): Автореф. дис. … канд. юрид. наук. Ростов н/Д, 2004. С. 5. 6. Комлев Ю. Ю. Преступность в эпоху HIGH-TECH, консьюмеризма и глэм-капитализма // Вестник Воронежского государственного экономического университета. 2013. N 1 (63). С. 37. 7. Лопатин В. Н. Информационная безопасность России: Автореф. дис. … д-ра юрид. наук. СПб., 2000. С. 73. 8. Малышенко Д. Г. Противодействие компьютерному терроризму — важнейшая задача современного общества и государства. URL: www. oxpaha. ru (дата обращения: 30.06.2013). 9. Рарог А. И. К новой редакции Уголовного кодекса // Lex Russica (научные труды МГЮА). 2006. N 6. С. 1223. 10. Степанов-Егиянц В. Г. Преступления в сфере безопасности обращения компьютерной информации: сравнительный анализ: Дис. … канд. юрид. наук. М., 2005. С. 37. 11. Юсупов М. Р., Шишкин В. С. О некоторых противоречиях в решении проблем информационной безопасности // Труды СПИИРАН. 2008. N 6. С. 12. 12. URL: http://www. rg. ru/2005/ 02/08/e-prestupnost. html (дата обращения: 30.06.2013). 13. URL: http://www. mid. ru/bdomp/ ns-osndoc. nsf/ e2f289bea62 097f9c325787a0034c255/ 542df9e13d28e06ec3257925003542c4!OpenDocument (дата обращения: 30.06.2013). 14. URL: http://pronetbook. ru/ 79-vlasti-ssha — podozrevayut — kitay-i-rossiyu-v-kibershpionazhe. html (дата обращения: 30.06.2013).
——————————————————————