Об ответственности военнослужащих за компьютерные преступления
(Козориз Н. Л.) («За права военнослужащих», 2006)
ОБ ОТВЕТСТВЕННОСТИ ВОЕННОСЛУЖАЩИХ ЗА КОМПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ
Н. Л. КОЗОРИЗ
Козориз Н. Л., кандидат философских наук, кандидат юридических наук, преподаватель кафедры военной администрации, административного и финансового права Военного университета.
В ряду правовых проблем создания и использования автоматизированных информационных систем (далее — АИС) в военном управлении важное место занимает проблема правовой ответственности военнослужащих — лиц персонала и пользователей АИС. Персонал АИС, функционирующих в военном управлении, обычно состоит из следующих категорий специалистов: специалисты службы эксплуатации технических средств; специалисты службы обеспечения безопасности информации; специалисты службы эксплуатации баз данных; специалисты службы эксплуатации программного обеспечения. К пользователям АИС относятся должностные лица органов военного управления, непосредственно работающие на автоматизированных рабочих местах, закрепленных за ними. В правовом положении военнослужащих необходимо выделять следующие составные части: общую, относящуюся к правовому положению любого гражданина; специальную (совокупность военно-служебных прав и обязанностей); особенную (комплекс черт, характеризующих правовое положение отдельных категорий военнослужащих) и единичную (включающую в себя особенности правового положения конкретного военнослужащего). Вредоносное использование АИС потребовало разработки мер защиты от компьютерных преступлений. Основным средством борьбы должна была стать система соответствующего законодательства, в первую очередь — уголовного <*>. В Уголовном кодексе Российской Федерации (далее — УК РФ) впервые в нашей стране криминализирован такой вид правонарушений, как компьютерные преступления (гл. 28, ст. ст. 272 — 274). ——————————— <*> В передовых странах Запада процесс этот идет уже не один десяток лет: в США — с конца 70-х гг., в Великобритании — с конца 80-х гг. прошлого века. В итоге уже в начале 90-х гг. в США, например, действовали следующие законы: Федеральный закон об ответственности за преступления, связанные с компьютерами, Закон о поддельных средствах доступа, компьютерном мошенничестве и злоупотреблении, Федеральный закон о частной тайне; в Великобритании — Закон о защите данных; во Франции — Закон об обработке данных, о файлах данных и личных свободах. Уголовная ответственность за компьютерные преступления предусмотрена в США, ФРГ, Франции и т. д.
Российские правоведы уже давно ставили вопрос о необходимости законодательного закрепления правоотношений, вытекающих из различных сфер применения средств автоматизированной обработки информации. Определенным этапом на пути достижения этой цели стало принятие в 1992 г. Закона Российской Федерации «О правовой охране программ для электронно-вычислительных машин и баз данных». Закон, в частности, содержал и положение о том, что незаконное воспроизведение или распространение программ для ЭВМ влечет уголовную ответственность. Однако соответствующих изменений в УК РСФСР так и не было внесено. УК РФ содержит такое понятие, как «компьютерная информация», под которой понимается информация на машинном носителе, в ЭВМ, системе ЭВМ или их сети. А компьютерные преступления есть предусмотренные уголовным законом общественно опасные деяния, в которых машинная информация представляет собой предмет преступного посягательства. Преступления, имеющие предметом посягательства лишь аппаратно-технические средства вычислительных машин (хищение, повреждение, уничтожение), подпадают под совершенно другой тип уголовных правонарушений, закрепленных в гл. 21 «Преступления против собственности» УК РФ (ст. ст. 165, 167, 168). В принципе можно предположить случаи, когда вредоносное воздействие на ЭВМ осуществляется путем непосредственного влияния на нее информационных команд. Это возможно, если преступнику удастся ввести движущиеся части машины (диски, принтер, сканер и т. п.) в резонансную частоту, увеличить яркость дисплея или его части для прожигания люминофора, зациклить работу компьютера таким образом, чтобы при использовании минимального количества его участков произошел их разогрев и вывод из строя. В этих случаях квалификация содеянного должна проводиться по совокупности статей глав о преступлениях против собственности и компьютерной безопасности, поскольку страдают два объекта уголовно-правовой охраны. Равно и при использовании в качестве орудия совершения противоправного деяния не информационной, а одной аппаратно-технической части (нанесение телесных повреждений принтером и т. п.) последнюю можно расценивать наравне с такими предметами, как нож, пистолет, веревка и другие вещи материального мира. В целом же гл. 28 УК РФ «Компьютерные преступления» имеет своей целью охрану именно информационной безопасности — и только в силу этого защиту и аппаратно-технических средств, которые являются материальными носителями информационных ресурсов. Последствия неправомерного использования информации могут быть самыми разнообразными: это не только нарушение неприкосновенности интеллектуальной собственности, но и разглашение сведений государственной и служебной тайны, имущественный ущерб воинской части (организации, вычислительному центру, органу военного управления и т. д.) в виде прямых убытков, различные виды нарушений нормальной деятельности (вплоть до разрушения системы информационной безопасности) военной организации (предприятия) и т. д. Поэтому совершенно оправданно то, что преступления данного вида помещены в разд. IX «Преступления против общественной безопасности и общественного порядка» УК РФ, а составы гл. 28 свидетельствуют о том, что информация ЭВМ в каждом случае является лишь предметом совершения компьютерного преступления. Однако при использовании машинной информации в качестве средства совершения другого преступления отношения по ее охране страдают неизбежно, т. е. она сама становится предметом общественно опасного деяния. Невозможно противоправно воспользоваться информацией, хранящейся в ЭВМ, не нарушив при этом ее защиты, т. е. не совершив одного из действий, перечисленных в ст. 20 Федерального закона «Об информации, информатизации и защите информации»: утечки, утраты, искажения, подделки, уничтожения, модификации, копирования, блокирования и других форм незаконного вмешательства в информационные ресурсы и системы. Даже если не пострадают сведения конкретной ЭВМ, правомерно употребляемые ее законным пользователем, практически неизбежно подвергнутся ущербу те, с которыми она связана сетью <*>. ——————————— <*> Поэтому даже при совершении такого классического преступления, как электронное хищение денег, ответственность за это наступает по правилам идеальной совокупности преступлений.
Почти все составы гл. 28 УК РФ относятся к преступлениям небольшой и средней тяжести, и только один — к тяжким преступлениям. Диспозиции статей гл. 28 УК РФ описательные, зачастую — бланкетные или отсылочные. Так, для применения ряда их необходимо обратиться к ст. 35 УК РФ, к нормативному правовому акту об охране компьютерной информации, правилам эксплуатации ЭВМ и т. п. Санкции — альтернативные, за исключением двух квалифицированных составов, где они — в силу тяжести последствий преступления — «урезаны» до относительно-определенных. В настоящее время гл. 28 УК РФ предстает в следующем составе: ст. 272 «Неправомерный доступ к компьютерной информации»; ст. 273 «Создание, использование и распространение вредоносных программ для ЭВМ»; ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети». Кратко проанализируем правовые нормы уголовной ответственности военнослужащих в соответствии с указанными статьями УК РФ. Неправомерный доступ к компьютерной информации. Предметом преступления, указанного в ст. 272 УК РФ, является не любая информация, находящаяся в компьютерной форме, а только охраняемая законом. В соответствии со ст. 2 Федерального закона «Об информации, информатизации и защите информации» от 20 февраля 1995 г. (далее — Закон об информации) информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Охраняемой законом, по смыслу УК РФ, будет являться такая компьютерная информация, доступ к которой ограничен в соответствии с законом. Доступ — возможность совершения одного или ряда следующих действий: знакомиться с содержанием информации, копировать, уничтожать или изменять информацию. Закон об информации называет два вида документированной информации, свободный доступ к которой ограничен: информация, отнесенная к государственной тайне <*>, и конфиденциальная информация. ——————————— <*> Отнесение информации к государственной тайне и к конфиденциальной осуществляется в порядке, установленном законодательством Российской Федерации (в частности, Законом Российской Федерации «О государственной тайне» от 21 июля 1993 г.).
Статья 272 УК РФ, которая, как и последующие, состоит из двух частей, содержит достаточно много признаков, обязательных для объекта, объективной и субъективной сторон состава преступления. Непосредственным объектом ее являются общественные отношения по обеспечению безопасности компьютерной информации и нормальной работы ЭВМ, их системы или сети <*>. ——————————— <*> Диспозиция статьи, указывая на это, требует разъяснения ряда дефиниций. Так, под машинными носителями следует понимать мобильные устройства накопления информации, обеспечивающие взаимодействие ЭВМ с окружающей средой (накопители на гибких и жестких, а также записываемых магнитооптических дисках, стримеры и т. д.). Система — это совокупность взаимосвязанных ЭВМ и их обеспечения, предназначенная для повышения эффективности их работы. Сеть — совокупность распределенных на какой-либо территории и взаимосвязанных для коллективного пользования ими ЭВМ.
Состав преступления сформулирован как материальный, причем если деяние в форме действия определено однозначно (неправомерный доступ к охраняемой законом компьютерной информации), то последствия, хотя и обязательны, но могут быть весьма разнообразны: 1) уничтожение информации; 2) ее блокирование; 3) модификация; 4) копирование; 5) нарушение работы ЭВМ; 6) то же — для системы ЭВМ; 7) то же — для их сети. Деяние, как видно из диспозиции статьи, предполагает наличие обязательных признаков: информация должна охраняться законом, а доступ к ней должен быть неправомерен, т. е. пользователь ЭВМ не имел права вызывать ее, знакомиться ней, а тем более распоряжаться ею. Среди способов совершения такого доступа можно назвать: использование чужого имени, изменение физического адреса технического устройства, подбор пароля, нахождение и использование «пробелов» в программе, любой другой обман системы защиты информации. В ч. 2 ст. 272 УК РФ среди квалифицирующих признаков указано совершение преступления специальным субъектом — лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети. Доступ к ЭВМ — право использовать ЭВМ (систему, сеть), содержащую охраняемую информацию, на законном основании не имеющим права доступа к самой информации. Как использование служебного положения для получения неправомерного доступа к охраняемой информации могут расцениваться, в частности, использование данных, полученных в связи с занимаемым служебным положением, для неправомерного доступа, а также соучастие — обеспечение лицом, имеющим доступ на законных основаниях к охраняемой информации, возможности получить доступ к этой информации другим лицам, не имеющим на это права (например, путем сообщения пароля). Вопрос о том, когда окончено данное деяние, должен решаться так. Моментом окончания его является момент отсылки пользователя компьютеру последней интерфейсной команды (голосовой, нажатием клавиши) вызова хранящейся информации независимо от наступления дальнейших последствий. Однако преступлением это деяние станет лишь при наличии последнего условия. Все действия, выполненные до подачи последней команды, будут образовывать состав неоконченного преступления <*>. ——————————— <*> Что касается преступных последствий, то под уничтожением информации следует понимать такое изменение ее состояния, при котором она перестает существовать в силу утраты основных качественных признаков, под блокированием — невозможность доступа к ней со стороны законного пользователя, под модификацией — видоизменение, характеризующееся появлением новых (очевидно, нежелательных) свойств, под копированием — получение точного или относительно точного воспроизведения оригинала (опять-таки без соответствующей санкции), под нарушением работы — остановку действия программы, ее зацикливание, замедление работы, нарушение порядка выполнения команд, ущерб самой аппаратной части, разрыв сети и другие последствия.
Субъективная сторона основного состава характеризуется виной в форме умысла, прямого или косвенного: лицо должно осознавать общественную опасность своего действия, предвидеть возможность или неизбежность наступления общественно опасных последствий и желать их наступления, либо сознательно допускать их, либо относиться к ним безразлично. Естественно, установление наличия в деянии виновного умысла, а не неосторожности будет существенно затруднено, хотя бы потому, что при различных состояниях вычислительной системы (причем часто не известных преступнику) одни и те же действия могут приводить к разным последствиям. Санкция основного состава альтернативно предусматривает три вида наказаний: штраф (военнослужащие по контракту); исправительные работы; лишение свободы (военнослужащие и по контракту, и по призыву). Первый, в свою очередь, может быть двух видов: кратный минимальному размеру оплаты труда (от 200 до 500) и кратный размеру зарплаты или иного дохода осужденного (период от 2 до 5 месяцев). Исправительные работы могут быть назначены в размере от 6 месяцев до 1 года, а лишение свободы — от 6 месяцев до 2 лет. Часть 2 ст. 272 УК РФ предусматривает в качестве квалифицирующих признаков несколько новых, характеризующих объективную сторону и субъект состава. Это совершение деяния: 1) группой лиц по предварительному сговору; 2) организованной группой; 3) лицом с использованием своего служебного положения; 4) лицом, имеющим доступ к ЭВМ, их системе или сети. Если описание первых двух признаков дано в ст. 35 УК РФ, то специальный субъект (к которому относятся и военнослужащие) двух последних можно трактовать как отдельных должностных лиц, программистов, операторов ЭВМ, наладчиков оборудования, специалистов-пользователей автоматизированных рабочих мест и т. д. Заметим, однако, что вряд ли оправданно отнесение слов «те же действия» — т. е. неправомерный доступ — к лицам, имеющим доступ к ЭВМ, системе, сети, поскольку их обращение к компьютерной информации чаще всего правомерно. Санкция за указанные квалифицированные виды данного преступления ужесточена: в нее введен новый вид наказания (арест на срок от 3 до 6 месяцев), размеры остальных увеличены: штраф от 500 до 800 минимальных размеров оплаты труда или зарплаты за период от 5 до 8 месяцев; исправительные работы от 1 года до 2 лет; лишение свободы до 5 лет. Все виды наказаний — как указанных в ч. 1, так и указанных в ч. 2 — основные и не исключают возможность присоединения какого-либо из дополнительных видов, перечисленных в п. п. 2 и 3 ст. 45 УК РФ, кроме штрафа и конфискации имущества. Для правильной квалификации деяния по ст. 272 УК РФ важное значение имеют мотивы и цели, которыми руководствовалось лицо, осуществившее неправомерный доступ к охраняемой законом компьютерной информации, так как от мотивов и целей может зависеть объект посягательства. Так, неправомерный доступ к информации, являющейся государственной тайной, и ее копирование в зависимости от преследуемых преступником целей могут быть квалифицированы как неоконченная государственная измена по ст. ст. 30, 275 УК РФ, если целью была выдача государственной тайны иностранному государству, или по ст. 272 УК РФ, если такой цели не было. С использованием неправомерного доступа к охраняемой информации и ее последующей модификацией могут совершаться хищения. В таком случае, при наличии у виновного корыстной цели, т. е. цели неправомерного завладения чужим имуществом, содеянное им квалифицируется по ст. 159 УК РФ (так называемое компьютерное мошенничество). Сегодня применение нормы, содержащейся в ст. 272 УК РФ «Неправомерный доступ к компьютерной информации», ограничено правовой и практической неразработанностью вопросов, связанных с использованием и охраной компьютерной информации, но правовая основа уже заложена. Создание, использование и распространение вредоносных программ для ЭВМ. Общественная опасность рассматриваемого преступления состоит, с одной стороны, в возможности наступления в результате его всех последствий, которые мы называли, говоря о вредоносности компьютерной преступности вообще, а с другой стороны, в том, что существующая операционная система MS-DOS практически прозрачна для программ такого типа. С распространением персональных компьютеров вирусы поистине стали их бедствием. В настоящее время в мире существует порядка 30 тыс. только активно действующих вирусов, и число их постоянно растет, вызывая создание новых и новых антивирусных программ (ревизоров, детекторов, «вакцин», «фагов»). Преступление, предусмотренное ст. 273 УК РФ, наиболее опасное из содержащихся в гл. 28, что отражено в санкции за него. Непосредственным объектом данного преступления являются общественные отношения по безопасному использованию ЭВМ, ее программному обеспечению и информационному содержанию. Состав ч. 1 ст. 273 УК РФ — формальный и предусматривает совершение одного из действий: 1) создание программ (очевидно, вернее — «программы») для ЭВМ, заведомо приводящих (приводящей) к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы аппаратной части; 2) внесение в существующие программы изменений, обладающих аналогичными свойствами; 3) использование двух названных видов программ; 4) их распространение; 5) использование машинных носителей с такими программами; 6) распространение таких носителей <*>. ——————————— <*> Создание и изменение программы — это изготовление и преобразование описанного на языке ЭВМ машинного алгоритма. Использование и распространение программы — употребление (применение) и расширение сферы применения ее за пределы рабочего места создателя.
Последствия всех указанных действий (равно как и момент окончания деяния) аналогичны таковым для предыдущей статьи, однако в данном случае для признания деяния преступлением не обязательно их наступление. Дело в том, что внесенная в компьютер вредоносная программа может благополучно «спать» в нем в течение многих лет и сработать тогда, когда ее автор будет вне пределов досягаемости закона, да и установление самого авторства будет практически невозможно. Кроме того, совершение перечисленных действий уже столь опасно, что излишне дожидаться наступления от них вредных последствий. Обязательными признаками объективной стороны ч. 1 ст. 273 УК РФ будут два (характеризующих способ и средство совершения преступления). Это, во-первых, то, что последствия должны быть несанкционированными, и, во-вторых, наличие самой вредоносной программы или изменения в программе. Последними, кроме названного компьютерного вируса, могут быть хорошо известные «троянский конь», «логическая бомба», «люк», «асинхронная атака» и др. В свою очередь, сами вирусы очень разнообразны и могут быть, в зависимости от: 1) сложности — простыми и раздробленными; 2) степени изменчивости — олигоморфными, полиморфными, пермутирующими; 3) среды обитания — сетевыми, файловыми, загрузочными, комбинированными; 4) метода действия — резидентными и нерезидентными; 5) особенностей алгоритма — «спутниками», «червями», «призраками», «невидимками», «паразитическими», «студенческими» и т. д.; 6) деструктивных возможностей — безвредными, неопасными, опасными, очень опасными. С субъективной стороны состав данного преступления характеризуется виной в форме прямого умысла: когда виновный осознавал общественную опасность своих действий, предвидел возможность либо даже неизбежность наступления опасных последствий, но тем не менее желал эти действия совершить. Субъект преступления — общий. Санкция предусматривает один основной вид наказания (лишение свободы на срок до 3 лет) и один дополнительный (штраф в размере 200 — 500 минимальных размеров оплаты труда или зарплаты либо иного дохода лица за период 2 — 5 месяцев). Частью 2 ст. 273 УК РФ криминализируется более опасное преступление: те же деяния, повлекшие тяжкие последствия <*>. Это — преступление с материальным составом и с двумя формами вины: по отношению к действиям присутствует умысел, а к общественно опасным последствиям — неосторожность, легкомыслие или небрежность. ——————————— <*> «Тяжкие последствия» — оценочное понятие, наличие их в каждом конкретном случае определяется исходя из особенностей дела. Хотя разработчики УК РФ постарались ввести определенную упорядоченность в содержание понятий разных видов общественно опасных последствий («тяжкие» — для организационного вреда, «ущерб» — для материального, «вред» — для физического), все они, конечно, не укладываются в эту схему. Так, в данном случае под тяжкими последствиями можно понимать смерть одного или нескольких человек, причинение тяжкого вреда здоровью, катастрофу, серьезную дезорганизацию работы, крупный материальный ущерб и т. п.
Санкция данной части — относительно-определенная: лишение свободы на срок от 3 до 7 лет. Таким образом, именно это преступление из всей гл. 28 УК РФ относится к категории тяжких. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или сети. Целью действия ст. 274 УК РФ должно быть предупреждение невыполнения пользователями своих профессиональных обязанностей, влияющих на сохранность хранимой и перерабатываемой информации. Непосредственный объект преступления, предусмотренного этой статьей, — отношения по соблюдению правил эксплуатации ЭВМ, системы или их сети, т. е. конкретного аппаратно-технического комплекса. Под такими правилами понимаются, во-первых, Общероссийские временные санитарные нормы и правила для работников вычислительных центров, во-вторых, техническая документация на приобретаемые компьютеры, в-третьих, конкретные принимаемые в определенном учреждении или организации, оформленные нормативно и подлежащие доведению до сведения соответствующих работников инструкции и правила внутреннего распорядка <*>. ——————————— <*> См., например, Инструкцию по защите информации от несанкционированного доступа при подключении и использовании систем общего назначения (Директива начальника Генерального штаба 1997 г. N 620-ДГШ).
Нарушение указанных правил (несоблюдение, ненадлежащее соблюдение либо прямое нарушение) может быть осуществлено путем как активного действия, так и бездействия. Состав ч. 1 ст. 274 УК РФ сформулирован как материальный. При этом общественно опасные последствия заключаются в одновременном наличии двух факторов: 1) уничтожения, блокирования или модификации охраняемой законом информации ЭВМ; 2) вызванного этим существенного вреда. Поскольку речь идет о правилах эксплуатации именно ЭВМ, т. е. аппаратно-технической структуры, то и нарушение их должно затрагивать только техническую сторону несоблюдения требований безопасности компьютерной информации, а не организационную или правовую. К таким нарушениям можно отнести: блокировку системы защиты от несанкционированного доступа, нарушение правил электро — и противопожарной безопасности, использование ЭВМ в условиях, не отвечающих тем, которые установлены документацией по ее применению (по температурному режиму, влажности, величине магнитных полей и т. п.), отключение сигнализации, длительное оставление без присмотра и др. Однако все указанные действия будут интересовать нас лишь в связи с угрозой безопасности хранимой в ЭВМ и охраняемой законом информации. Правонарушение может быть определено как преступление только при наступлении существенного вреда, под которым следует понимать, прежде всего, вред, наносимый информации в ее значимой, существенной части. Это, например, уничтожение, блокирование, модификация ценной информации (относящейся к объектам особой важности, либо срочной, либо большого ее объема, либо трудно восстановимой или вообще не подлежащей восстановлению и т. д.); уничтожение системы защиты, повлекшее дальнейший ущерб информационным ресурсам; широкое распространение искаженных сведений и т. п. Вина выражается в форме прямого или косвенного умысла. Факультативные признаки субъективной (как и объективной) стороны состава преступления могут быть учтены судом в качестве смягчающих или отягчающих ответственность обстоятельств. Субъект преступления — специальный, т. е. лицо, имеющее доступ к ЭВМ, системе, сети. Санкция ч. 1 ст. 274 УК РФ состоит из трех альтернативных видов наказания: лишение права занимать определенную должность или заниматься определенной деятельностью на срок до 5 лет, обязательные работы от 180 до 240 часов и ограничение свободы до 2 лет (к военнослужащим применяется последняя). Часть 2 ст. 274 УК РФ — состав с двумя формами вины, предусматривающий в качестве квалифицирующего признака наступление по неосторожности тяжких последствий. Содержание последних, очевидно, аналогично таковому для ч. 2 ст. 273 УК РФ. Санкция нормы существенно отличается от предыдущей: только лишение свободы сроком до 4 лет. Итак, сделана первая попытка реализации уголовно-правовой политики в новой для нее области — сфере компьютерных правоотношений. Насколько она окажется успешной, как сможет снять накопившиеся противоречия, защитить права заинтересованных лиц — будет зависеть от многих факторов политического, экономического, научно-технического, организационного характера. Ближайшая задача правоведов состоит теперь в том, чтобы во взаимодействии со специалистами в области программирования разработать по возможности более подробные рекомендации по применению гл. 28 УК РФ.
——————————————————————