Мудрый Юрист

К вопросу об уголовной ответственности за создание, распространение и использование вредоносных компьютерных программ

Ефремова Марина Александровна, доцент кафедры уголовного права и криминологии Ульяновского государственного университета, кандидат юридических наук, доцент.

Рецензент: Дорошков Владимир Васильевич, главный научный сотрудник РНИИИС, доктор юридических наук, профессор, член-корреспондент РАО, заслуженный юрист РФ.

Цель работы. В статье анализируются объективные и субъективные признаки состава преступления, предусматривающего ответственность за создание, распространение и использование вредоносных компьютерных программ.

Результаты. В последние годы данный вид преступлений приобрел характер транснациональный и организованный. Риску воздействия вредоносных программ оказались подвержены не только компьютеры, но и мобильные устройства. Вредоносность компьютерных программ определяется тем, что все действия совершаются без уведомления пользователя, который зачастую даже не знает о существовании таких программ. В этой связи необходимо обратить внимание на положения ст. 273 Уголовного кодекса Российской Федерации. Эта статья имеет некоторые недостатки, что создает проблемы в правоприменении. Для их устранения предлагается авторская точка зрения по вопросу дальнейшего совершенствования положений данной статьи.

Ключевые слова: информация, безопасность, компьютерная информация, компьютерная программа, вредоносная программа, компьютер, уголовное право.

To the question about criminal responsibility for the creation, dissemination and use of malicious computer programs

M.A. Efremova

Efremova M.A., Associate professor of chair of criminal law and criminology in Ulyanovsk state university, Candidate of jurisprudence, Associate professor.

Reviewer: Doroshkov V.V., Corresponding Member of the Russian Academy of Education, Chief Researcher NSRIIP, Doctor of Law, Professor, Honored Lawyer of the Russian Federation.

Purpose. The article analyses the objective and subjective elements of crime, which includes responsibility for the creation, distribution and use of malicious computer programs.

Methods. The methodological basis of research is the set of methods of scientific cognition. So, used scientific methods (materialist dialectics), and astronaut methods.

Results. Today, malware attack not only computers, but also mobile devices. Malicious computer program should be considered as a program for a computer having certain negative properties. The harmfulness of programs is determined by the fact that all actions are performed without notifying the user, hidden from him, but the user is often unaware of the existence of such programs. The creation, distribution and use of malicious computer programs became transnational and organized. In this connection it is necessary to draw attention to the provisions of article 273 of the Criminal code of the Russian Federation. This article has some shortcomings, which makes some problems in practice. It still remains unclear about what is meant by creating a malicious computer program and at what point such a program will be deemed to be created. The program does not necessarily imply its use and distribution. Therefore, the use and distribution of malicious computer programs should entail a more severe punishment. The author also makes a number of suggestions on possible further improvement of the provisions of article 273 of the Criminal code of the Russian Federation.

Key words: information, security, computer information, computer software, malicious software, computer, criminal law, crimes against information security, legislation, law protection, crime, information safety, creation of malicious computer programs, distribution of malicious computer programs, use of malicious computer programs.

Пожалуй, трудно найти пользователя Интернета, который хотя бы раз не испытал на себе действие вредоносных компьютерных программ. Вредоносность программ определяется тем, что все действия производятся без уведомления пользователя, скрытно от него, а сам пользователь зачастую и не подозревает о наличии такой программы. В этом основное отличие вредоносных программ от иных, которые также могут производить копирование, уничтожение, модификацию информации. Сегодня вредоносные программы атакуют не только компьютеры, но и мобильные устройства. Более того, угрозам подвержена и потребительская бытовая техника. Современная умная бытовая техника, особенно холодильники и телевизоры, во многом технически представляют собой компьютерные устройства, поэтому подвержены взлому и заражению [12, с. 12]. По данным "Лаборатории Касперского", за 2014 г. было обнаружено 4 643 582 вредоносных установочных пакета; 295 539 новых мобильных вредоносных программ [16]. Наиболее распространенными видами вредоносных программ являются компьютерные вирусы, компьютерные черви, троянские кони. В последние годы киберпреступниками активно стали распространятся и шпионские программы. Так, специалистам все той же "Лаборатории Касперского" удалось обнаружить самую сложную систему кибершпионажа из известных на сегодняшний день. Заражению подверглись персональные компьютеры в 30 странах. Чаще всего атакованы были компьютеры в правительственных и военных учреждениях, телекоммуникационных компаниях, банках, энергетических компаниях, компаниях, занимающихся ядерными исследованиями [17]. Вредоносная шпионская программа скрывалась на винчестере компьютера и не обнаруживалась обычными антивирусными программами. Таким образом, практически любой компьютер сегодня может быть подвергнут действию подобных программ.

В связи с изложенным выше актуальным представляется вопрос об уголовно-правовых средствах противодействия созданию, распространению или использованию вредоносных компьютерных программ. Статья 273 УК РФ предусматривает ответственность за создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.

Данное преступление все чаще стало приобретать транснациональный и организованный характер. Кроме того, вредоносные программные продукты внедряются преступниками в компьютеры своих жертв с целью получения самой различной информации: данных о банковских счетах и картах; сведениях, составляющих тайну частной жизни; секреты производства и т.п. Непосредственным объектом этого преступления являются общественные отношения по обеспечению безопасности компьютерной информации, а также безопасности средств защиты компьютерной информации. Предметом преступления выступает компьютерная информация или средства защиты компьютерной информации. Понятие компьютерной информации закреплено в примечании к ст. 272 УК РФ, где таковой называются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

Объективная сторона рассматриваемого преступления характеризуется действием - созданием вредоносной программы либо иной компьютерной информации, а также их распространением и использованием. Компьютерная программа по смыслу ст. 273 прежде всего есть не что иное, как компьютерная информация. Компьютерной информации присуще свойство двуединства: существование в форме программного обеспечения соответствующего устройства и собственно информации в том смысле, который придается ей в примечании к ст. 272 УК РФ. Именно о первой ее форме речь идет в ст. 273 УК РФ. Компьютерной программой является программа для ЭВМ. Определение программы для ЭВМ закреплено в ст. 1261 ГК РФ [4], под которой понимается представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения. В ст. 273 УК РФ речь идет о компьютерной программе, обладающей вредоносными свойствами, то есть способной несанкционированно уничтожать, блокировать, модифицировать, копировать компьютерную информацию или нейтрализовать средства защиты компьютерной информации.

Е.А. Маслакова определяет вредоносную программу как компьютерную программу, функционирование которой вызывает не санкционированное собственником компьютерной информации ее уничтожение, блокирование, модификацию либо копирование [8, с. 70].

С.С. Шахрай под вредоносной программой понимает специально созданную, самовоспроизводящую программу, способную выполнять не санкционированные законным пользователем функции, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, а также к нарушению работы ЭВМ, системы ЭВМ или их сети [14, с. 153].

Вредоносная программа отличается от других программ для ЭВМ своими свойствами. При этом, по справедливому замечанию К.Н. Евдокимова, вредоносными программами могут быть и обычные лицензионные компьютерные программы в случае их использования при совершении преступного деяния и достижения вредных последствий, указанных в ст. 273 УК РФ [3, с. 61].

Таким образом, вредоносной программой следует считать представленную в объективной форме совокупность данных и команд, предназначенных для компьютера и других средств вычислительной техники в целях получения определенного результата, в виде уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.

Законодатель не раскрывает содержания понятия "иная компьютерная информация". Она не является самостоятельной компьютерной программой, но, взаимодействуя с таковыми, может обладать вредоносным свойствами. Представляется, что под таковой следует понимать базы данных, файлы с командами и т.д.

Одним из спорных в настоящее время остается вопрос о том, что же следует понимать под созданием такой программы. С одной стороны, создание вредоносной программы можно рассматривать как процесс, состоящий из нескольких этапов. С другой стороны, создание вредоносной программы есть результат целенаправленной человеческой деятельности, выразившейся в разработке специального набора данных и команд, которые заведомо предназначены для несанкционированных манипуляций с компьютерной информацией. И именно создание вредоносной программы как результат будет иметь юридическое значение. Таким образом, созданной вредоносная программа будет считаться с того момента, когда последовательность команд станет пригодной для непосредственного выполнения без какого-либо предварительного преобразования.

Нельзя считать созданием программы запись ее текста на бумаге. Сам по себе текст не несет никакой, даже потенциальной опасности, пока не будет воспроизведен на компьютере или ином средстве вычислительной техники, более того, написание программ с заданными свойствами без их тестирования и отладки под силу лишь очень ограниченному кругу специалистов.

Следует отметить тот факт, что вредоносные программы не всегда создаются с целью причинить вред в будущем. Сам факт ее создания никаких негативных последствий не влечет. Поэтому о создании вредоносной программы как уголовно наказуемом деянии можно вести речь лишь тогда, когда, создавая такую программу, лицо намеревается ее использовать в противоправных целях, то есть чтобы несанкционированно уничтожить, блокировать, модифицировать, копировать компьютерную информацию или нейтрализовать средства защиты компьютерной информации.

Относительно понятия "использование" также нет единства мнений. А.Г. Волеводз полагает, что использование может осуществляться путем записи программы в память ЭВМ, на материальный носитель, распространения по сетям либо путем иной передачи другим лицам [2, с. 70]. Мы полагаем, что все эти действия охватываются понятием "распространение". М.М. Малыковцев под использованием вредоносной программы понимает употребление ее по назначению, приведение в действие, при котором она проявляет свои вредоносные качества. При этом оконченным использование такой программы будет с момента проявления ее вредоносных свойств [7, с. 91]. На наш взгляд, под использованием вредоносной программы следует понимать запуск такой программы в компьютере. Как создание и использование компьютерных программ, заведомо предназначенных для несанкционированного уничтожения, модификации, копирования компьютерной информации, были квалифицированы судом действия Ш. Виновный загрузил из неустановленного источника исполняемый файл, который позволяет сканировать память процессов, запущенных на компьютере, на предмет наличия информации, записанной на первой и второй магнитных дорожках магнитных лент банковских карт. Затем Ш. подготовил исходный текст компьютерной программы, которая после указания в ней реквизитов конкретного FTP-сервера в сети Интернет позволяла бы несанкционированно запускать указанный исполняемый файл, получать результаты работы данного файла и передавать их на FTP-сервер в сеть Интернет, реквизиты которого указаны в программе [10].

Под распространением вредоносной программы понимается ее передача как с помощью специальных носителей, сети, так и иным способом другому лицу. Компьютерная программа либо иная компьютерная информация должны быть заведомо предназначены для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации. Это означает, что виновное лицо создает, распространяет или использует компьютерную программу либо иную компьютерную информацию с целью достичь наступления вышеназванных последствий.

Нельзя не отметить и такой недостаток законодательной конструкции ч. 1 ст. 273 УК РФ, как указание на вредоносные компьютерные программы во множественном числе. Из чего можно сделать вывод, что если лицо создало, распространило или использовало одну вредоносную компьютерную программу, то оно не подлежит уголовной ответственности. Представляется, что эту неточность необходимо устранить во избежание заблуждений со стороны правоприменителя.

Законодательного определения средств защиты компьютерной информации не существует. Сходные определения содержатся в Законе Российской Федерации от 21.07.1993 N 5485-1 "О государственной тайне", где "средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации" [5].

Полагаем, что создание вредоносной программы характеризуется меньшей степенью общественной опасности, нежели распространение или использование. Даже после создания вредоносной компьютерной программы сохраняется вероятность ее неиспользования, и, следовательно, не наступят вредные последствия. В случае с распространением и использованием таких программ наступление вредных последствий происходит практически всегда. В связи с этим представляется необходимым дифференцировать уголовную ответственность за эти противоправные деяния. Распространение и использование вредоносной программы должны быть выделены в квалифицированный состав.

Ряд авторов считают, что объективная сторона ч. 1 ст. 273 не охватывает всего круга возможных противоправных деяний с вредоносными компьютерными программами и для устранения этого пробела предлагают включить туда такой признак как "приобретение" вредоносных компьютерных программ. Свою позицию они аргументируют тем, что подавляющее большинство преступников, использующих вредоносные компьютерные программы, не являются их создателями, а приобретают их для преступных целей [3, с. 143; 8, с. 86]. Трудно согласиться с таким предложением, так как приобретается компьютерная программа с целью последующего использования, и лицо будет подлежать уголовной ответственности за ее использование. Автор же такой программы подлежит ответственности за создание и распространение вредоносной программы. Практике известны случаи, когда все три действия совершаются разными субъектами: создает один, распространяет другой, использует третий. В связи с этим криминализация приобретения вредоносных программ будет избыточной. Кардинально противоположной точки зрения придерживается И.Г. Чекунов. Он отмечает, что уничтожение, блокирование, модификация, копирование компьютерной информации или нейтрализация средств защиты компьютерной информации имеют своей целью посягательство не на отношения в сфере безопасного использования компьютерного оборудования или информационно-телекоммуникационных сетей, а на другие объекты уголовно-правовой охраны, чаще всего на право собственности или основы конституционного строя и безопасности государства. В связи с этим он высказывает предложение декриминализовать использование вредоносной компьютерной программы, так как это деяние входит в объективную сторону других преступлений [13, с. 7].

Анализируемый состав преступления является формальным. Это означает, что для привлечения виновного к ответственности достаточно лишь факта создания, использования или распространения вредоносной компьютерной программы. Наступление же последствий в виде несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации не является обязательным.

С субъективной стороны преступление, предусмотренное ч. 1 ст. 273, характеризуется умышленной виной в виде прямого умысла. О характере субъективной стороны свидетельствует указание в законе на то, что вредоносные компьютерные программы или иная компьютерная информация создаются, распространяются и используются для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации. Законодатель не предусмотрел в качестве обязательных признаков субъективной стороны данного преступления мотив или цель, поэтому они не влияют на квалификацию, но могут быть учтены судом при назначении наказания. Как показывает анализ судебной практики, среди мотивов совершения данного преступления преобладают: хулиганские побуждения, месть, желание завладеть информацией ограниченного доступа и т.д. Среди целей же следует выделить цель скрыть другое преступление или облегчить его совершение. Об этом свидетельствует тот факт, что в судебной практике преступление, предусмотренное ст. 273 УК РФ, редко встречается в обособленном виде.

Субъект данного преступления - вменяемое лицо, достигшее 16 лет.

Часть 2 ст. 273 УК РФ предусматривает ответственность за создание, использование и распространение вредоносных компьютерных программ, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности. В соответствии с примечанием к ст. 272 УК РФ крупным ущербом признается ущерб, сумма которого превышает один миллион рублей. Использование служебного положения для совершения данного преступления предполагает использование лицом тех полномочий, которыми он наделен по закону. Ошибочным будет мнение о том, что лицо, использующее свое служебное положение, - это должностное лицо, государственный или муниципальный служащий либо лицо, выполняющее управленческие функции в коммерческой или иной организации. Что же касается совершения данного преступления из корыстной заинтересованности, то это означает стремление лица приобрести для себя или других лиц выгоду имущественного характера. По ч. 2 ст. 273 УК РФ был осужден Л., который нашел в сети Интернет вредоносную компьютерную программу, а затем решил продать ее, разместив соответствующее объявление на одном из форумов. Получив от покупателя на электронный кошелек $ 100 США, Л. предоставил ему ссылку для скачивания вредоносной программы [9].

Часть 3 ст. 273 УК РФ предусматривает ответственность за создание, использование и распространение вредоносных компьютерных программ, если они повлекли тяжкие последствия или создали угрозу их наступления. В УК РФ понятие тяжких последствий не раскрывается. В этой связи весьма интересна позиция казахского законодателя, который в ст. 3 УК Казахстана раскрывает содержание приведенных в Кодексе понятий, в том числе и тяжких последствий [15]. Учитывая компьютеризацию практически всех сфер человеческой жизнедеятельности, можно говорить, что такие последствия могут быть самыми различными. По нашему мнению, такими последствиями могут быть: остановка производства на предприятиях, если им управляет компьютер; остановка работы аэропортов, ресурсоснабжающих организаций; утрата ценной или секретной информации и т.д. Между созданием, использованием и распространением вредоносных компьютерных программ и наступившими последствиями должна быть установлена причинная связь. С субъективной стороны преступление, предусмотренное ч. 3 ст. 273, характеризуется двойной формой вины: прямым умыслом по отношению к созданию, использованию и распространению вредоносных компьютерных программ и неосторожностью по отношению к наступлению тяжких последствий.

Подводя итог вышеизложенному, следует отметить, что ст. 273 УК РФ из всех статей главы 28 УК РФ является самой работающей, однако все же нуждается в некоторых корректировках. В первую очередь это касается устранения неточностей в формулировках, изложенных в ч. 1 ст. 273, - необходимо вести речь не о компьютерных программах, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, а о компьютерной программе, созданной с указанными свойствами. Кроме того, представляется, что распространение и использование компьютерных программ и иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, характеризуются большей степенью общественной опасности, нежели их создание, поэтому их необходимо выделить в квалифицированный состав. А для устранения противоречий и расхождений в правоприменительной практике следует принять постановление Пленума Верховного Суда РФ с соответствующими разъяснениями.

Литература

  1. Бегишев И.Р. Преступления в сфере обращения цифровой информации // Информационное право. 2010. N 2. С. 18 - 21.
  2. Волеводз А.Г. Противодействие компьютерным преступлениям. М.: Юрлитинформ, 2002. 314 с.
  3. Евдокимов К.Н. Создание, использование и распространение вредоносных компьютерных программ: уголовно-правовые и криминологические аспекты. Иркутск: Иркутский юридический институт (филиал) Академии Генеральной прокуратуры РФ, 2013. 267 с.
  4. Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 N 230-ФЗ // Собрание законодательства Российской Федерации. 2006. N 52 (1 ч.). Ст. 5496.
  5. Закон Российской Федерации от 21.07.1993 N 5485-1 "О государственной тайне" // Собрание законодательства Российской Федерации. 1997. N 41. С. 8220 - 8235.
  6. Карамнов А.Ю. Ответственность за создание, использование и распространение вредоносных компьютерных программ по действующему уголовному законодательству // Социально-экономические явления и процессы. 2012. N 11. С. 285 - 288.
  7. Малыковцев М.М. Уголовная ответственность за создание, использование и распространение вредоносных программ для ЭВМ: дис. ... канд. юрид. наук. М., 2006. 186 с.
  8. Маслакова Е.А. Незаконный оборот вредоносных компьютерных программ: уголовно-правовые и криминологические аспекты: дис. ... канд. юрид. наук. М., 2008. 198 с.
  9. Приговор Туапсинского городского суда Краснодарского края по делу N 1-952014 г. от 18.06.2014 // URL: rospravosudie.com (дата обращения: 17.02.2015).
  10. Приговор Энгельсского районного суда Саратовской области от 19.12.2014 // URL: rospravosudie.com (дата обращения: 17.02.2015).
  11. Степанов-Егиянц В.Г. К вопросу об определении понятия "вредоносная компьютерная программа" в Уголовном кодексе РФ // Библиотека криминалиста. 2014. N 6. С. 71 - 75.
  12. Тарасов А.М. Киберугрозы, прогнозы, предложения // Информационное право. 2014. N 3 (39). С. 11 - 15.
  13. Чекунов И.Г. Криминологическое и уголовно-правовое обеспечение предупреждения киберпреступности: автореф. дис. ... канд. юрид. наук. М., 2013. 23 с.
  14. Шахрай С.С. Система преступлений в сфере компьютерной информации: сравнительно-правовой, социолого-криминологический и уголовно-правовой аспекты: дис. канд. ... юрид. наук. М., 2010. 214 с.
  15. Уголовный кодекс Республики Казахстан от 3 июля 2014 г. N 226-V // URL: http://online.zakon.kz/Document/?doc_id=31575252#sub_id=30000 (дата обращения: 17.02.2015).
  16. URL: http://securelist.ru/analysis/ksb/24580/kaspersky-security-bulletin-2014-osnovnaya-statistika-za-2014-god/ (дата обращения: 17.02.2015).
  17. URL: http://www.interfax.ru/world/424566 (дата обращения: 17.02.2015).

References

  1. Begishev I.R. Prestuplenija v sfere obrashhenija cifrovoj informacii // Informacionnoe pravo - Informational law. 2010. N 2. S. 18 - 21 (in Russian).
  2. Volevodz A.G. Protivodejstvie komp'juternim prestupleniam [Combating computer crimes]. M.: Jurlitinform, 2002. 314 p.
  3. Evdokimov K.N. Sozdanie, ispol'zovanie i rasprostranenie vredonosnyh komp'juternyh nstitu: ugolovno-pravovye i kriminologicheskie aspekty [The creation, use and distribution of malicious computer programs: criminal law and criminological aspects]. Irkutsk: Irkutskij juridicheskij Institute (filial) Akademii General'noj prokuratury RF, 2013. 267 p.
  4. Karamnov A.Ju. Otvetstvennost' za sozdanie, ispol'zovanie i rasprostranenie vredonosnyh komp'juternyh rocess po dejstvujushhemu ugolovnomu zakonodatel'stvu // Social'no-jekonomicheskie javlenija i Processy - Socio-economic phenomena and processes. 2012. N 11. S. 285 - 288 (in Russian).
  5. Malykovcev M.M. Ugolovnaja otvetstvennost' za sozdanie, ispol'zovanie i rasprostranenie vredonosnyh program dlja JeVM [Criminal responsibility for the creation, use and distribution of malicious computer programs]: dis. ... kand. jurid. nauk. M., 2006. 186 p.
  6. Maslakova E.A. Nezakonnyj oborot vredonosnyh komp'juternyh program: ugolovno-pravovye i kriminologicheskie aspekty [Trafficking malicious computer programs: criminal law and criminological aspects]: dis. ... kand. jurid. nauk. M., 2008. 198 p.
  7. Stepanov-Egijanc V.G. K voprosu ob opredelenii ponjatija "vredonosnaja komp'juternaja programma" v Ugolovnom kodekse RF // Biblioteka kriminalista - Library of forensic. 2014. N 6. S. 71 - 75 (in Russian).
  8. Tarasov A.M. Kiberugrozy, prognozy, predlozhenija // Informacionnoe pravo - Informational law. 2014. N 3 (39). P. 11 - 15 (in Russian).
  9. Chekunov I.G. Kriminologicheskoe i ugolovno-pravovoe obespechenie preduprezhdenija kiberprestupnosti [Criminological and criminal law ensuring the prevention of cybercrime]: avtoref. dis. ... kand. jurid. nauk. M., 2013. 23 p.
  10. Shahraj S.S. Sistema prestuplenij v sfere komp'juternoj informacii: sravnitel'no-pravovoj, sociologo-kriminologicheskij i ugolovno-pravovoj aspekty [The system of crimes in the sphere of computer information: a comparative legal, socio-criminological and criminal law aspects]: dis. kand. ... jurid. nauk. M., 2010. 214 p.