О текущем состоянии российского законодательства в области информационной безопасности

Как уже отмечалось, самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Пока такого механизма нет и, увы, не предвидится. Сейчас бессмысленно задаваться вопросом, чего не хватает российскому законодательству в области ИБ, это все равно что интересоваться у пунктирного отрезка, чего тому не хватает, чтобы покрыть всю плоскость. Даже чисто количественное сопоставление с законодательством США показывает, что наша законодательная база явно неполна.

Справедливости ради необходимо отметить, что ограничительная составляющая в российском законодательстве представлена существенно лучше, чем координирующая и направляющая. Глава 28 Уголовного кодекса достаточно полно охватывает основные аспекты информационной безопасности, однако обеспечить реализацию соответствующих статей пока еще сложно.

В области информационной безопасности законы реально преломляются и работают через нормативные документы, подготовленные соответствующими ведомствами. В этой связи очень важны Руководящие документы Гостехкомиссии России, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем. Особенно выделим утвержденный в июле 1997 года Руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самых современных классов защитных средств.

В современном мире глобальных сетей нормативно-правовая база должна быть согласована с международной практикой. Особое внимание следует обратить на то, что желательно привести российские стандарты и сертификационные нормативы в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть целый ряд оснований для того, чтобы это сделать. Одно из них - необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских компаний. Второе (более существенное) - доминирование аппаратно-программных продуктов зарубежного производства.

На законодательном уровне должен быть решен вопрос об отношении к таким изделиям. Здесь необходимо выделить два аспекта: независимость в области информационных технологий и информационную безопасность. Использование зарубежных продуктов в некоторых критически важных системах (в первую очередь, военных), в принципе, может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встраивания закладных элементов. В то же время, в подавляющем большинстве случаев потенциальные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использования зарубежных разработок (ввиду сложностей с их сертификацией) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то оснований.

Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно сложна, однако, как показывает опыт европейских стран, решить ее можно. Сложившаяся в Европе система сертификации по требованиям информационной безопасности позволила оценить операционные системы, системы управления базами данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в сертификационных испытаниях в состоянии снять имеющееся противоречие между независимостью в области информационных технологий и информационной безопасностью без какого-либо ущерба для национальной безопасности.

Подводя итог, можно наметить следующие основные направления деятельности на законодательном уровне:

· разработка новых законов с учетом интересов всех категорий субъектов информационных отношений;

· обеспечение баланса созидательных и ограничительных (в первую очередь преследующих цель наказать виновных) законов;

· интеграция в мировое правовое пространство;

· учет современного состояния информационных технологий.

 

 

КОМПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ

Серьезным негативным последствием компьютеризации общества являются так называемые «компьютерные преступления». Распространение компьютерных систем, объединение их в коммуникационные сети расширяет возможности электронного проникновения в них. Диапазон такого рода действий чрезвычайно широк: от преступлений традиционного типа до требующих высокой математической и технической подготовки. С бурным ростом персональных компьютеров, используемых дома, при наличии развитых коммуникаций даже «преступники-дилетанты» могут проникать в большинство компьютерных систем. Хотя действующие в большинстве стран уголовные законы достаточно гибки, чтобы квалифицировать правонарушение этого типа, социальные и технические изменения создают все новые и новые проблемы, часть которых оказывается вне рамок любой из действующих правовых систем. Поскольку некоторые из известных мировой практике компьютерных посягательств не подпадают (или не везде подпадают) под действие уголовного законодательства, то в юридическом смысле они не могут считаться преступными. Здесь возникает проблема криминализации некоторых операций с ЭВМ. Соответствующие нормы обещают быть исключительно сложными, ибо связаны с техникой, развитие которой опережает нормотворческий процесс во всех странах.

В России также проводится большая работа по разработке законодательной базы, в той или иной мере касающейся вопросов защиты информации и ответственности за преступления, совершенные с использованием компьютерной техники. Например, в последней редакции Уголовного кодекса появилась целая глава – «Глава 28. Преступление в сфере компьютерной информации», позволяющая квалифицировать такого рода преступления и предусматривающая уголовную ответственность за неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных программ для ЭВМ, а также за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Появилась новая отрасль права – «Информационное право», охватывающая различные правовые аспекты использования и защиты информации.

Следует заметить, что компьютерных преступлений, как преступлений специфических в юридическом смысле, не существует (хотя они могут появиться с последующими поколениями компьютеров и с созданием искусственного интеллекта). Правильнее говорить о компьютерных аспектах преступлений. Пока будем использовать термин «компьютерное преступление» в широком значении, т.е. как социологическую категорию, а не как понятие уголовного права.

За рубежом накоплен обширный опыт борьбы с компьютерной преступностью. Развивается компьютерная преступность и в России. Так, одно из первых в нашей стране компьютерных преступлений, совершенное в 1979 г. в Вильнюсе, – хищение 78584 рублей – удостоилось занесения в международный реестр подобных правонарушений. Другое преступление было совершено в 1982 г. в Горьком. В то время все отделения связи переводились на централизованную автоматическую обработку принятых и оплаченных переводов на электронном комплексе «Онега». Но одновременно применялся и обычный прием переводов. Наличие автоматизированного и неавтоматизированного приема переводов и позволило группе нечестных работников связи совершить хищение. Использование автоматизированных систем отпуска бензина на автозаправочных станциях тоже немедленно стало сопровождаться хищениями, так как достаточно легкого повреждения перфоленты и определить количество отпущенного бензина становится практически невозможным.

Первой нашумевшей компьютерной аферой в России стала махинация петербургских программистов. Несколько жителей Санкт-Петербурга с компьютера, стоящего в квартире одного из них, проникли в базу данных известной канадско-американской информационной компьютерной сети Sprint Net. Питерские умельцы расшифровали коды доступа в сеть передачи данных, и до сих пор так и не удалось установить, какие конкретно цели они преследовали, поскольку воспользоваться ценной коммерческой информацией программисты не успели. Сотрудники службы безопасности и защиты информации компании «Sprint» лишь смогли установить, что кто-то «со стороны» вмешался в их компьютерную сеть.

Однако никакой ответственности за подобные действия хакеры (компьютерные пираты) не понесли, так как российское законодательство ее, в отличие от американского, не предусматривало. В США же предусмотрена ответственность (в том числе и уголовная) за хищение интеллектуальной собственности, которая может привести не только к громадным штрафам, но и (в особенно серьезных случаях) к тюремному заключению. Что касается питерских хакеров, то единственным наказанием для них стала оплата сетевого времени, которое они использовали для вскрытия компьютерной системы.

Надо отметить, что российские хакеры в данном случае действовали по давным-давно накатанному на Западе пути. Узнав телефон заокеанской информационной сети, они написали оригинальную программу эффективного подбора паролей и с ее помощью узнали коды входа в Sprint Net. Через него они, опять-таки подобрав пароли, получили доступ к конфиденциальным базам данных американских и канадских клиентов.

Относительно недавно наши, уже довольно грамотные хакеры, поняли, как на компьютерных «играх» можно изрядно обогатиться, причем как за счет коммерческих структур (в том числе и банков), так и за счет отдельных вкладчиков этих самых банков. В сентябре 1994 года несколько московских хакеров по модемной сети направили в ОПЕРУ Сбербанка Москвы фальшивые авизо на общую сумму 62 млрд. руб. Служба безопасности банка перехватила фальшивки и обратилась в милицию. Пока мошенников искали, в Сбербанк пришло еще несколько фальшивок на 53 млрд. руб. После этого сотрудникам банка и милиции удалось установить адрес квартиры, в которой находился компьютер со встроенным модемом. В ноябре сотрудники милиции нагрянули в квартиру и задержали женщину, отправлявшую «электронное» авизо, и двух помогавших ей мужчин.

Любопытно, что с появлением ЭВМ возникли и такие способы совершения преступлений, которые раньше считались невыгодными, например, перебрасывание на подставной счет мелочи, результата округления (так называемая «салями»). «Мелочной» расчет построен на том, что ЭВМ в секунду совершает сотни тысяч операций, в то время как высококвалифицированный бухгалтер за целый рабочий день может выполнить лишь до двух тысяч таких операций. Поэтому заниматься подобным «округлением» вручную не имело никакого смысла.

Если такого рода ухищрения подпадают под действие существующего уголовного закона, то проблема «хищения информации» значительно более сложная. В настоящее время присвоение машинной информации путем несанкционированного копирования признается законодателем преступным. При неправомерном обращении в собственность машинная информация может не изыматься из фондов, а копироваться. Таким образом, машинная информация выделяется как самостоятельный предмет уголовно-правовой охраны.

Ряд правонарушений связан с выводом ЭВМ из строя. Практически существует две разновидности этого преступления: физическое разрушение компьютеров и порча программ. Наиболее значительные компьютерные преступления совершаются посредством порчи программ, причем часто его совершают работники, недовольные своим положением, отношением с руководством и т.д. Примерно такие побуждения двигали программистом, остановившим главный конвейер Волжского автозавода. Занимаясь с коллегами автоматической системой для подачи механических узлов на конвейер, он умышленно внес в программу команду: после прохождения заданного числа деталей система перестает действовать («логическая бомба»). Двести машин не сошло с конвейера ВАЗа, пока программисты не нашли источник сбоев. Между тем в отечественном законодательстве нет нормы, которая позволила бы привлекать к уголовной ответственности за порчу программы после ее составления. Однако конструирование такой нормы наталкивается на ряд серьезных трудностей, связанных с ее применением.

 

Виды ущерба

Ущерб, который наносится в результате компьютерных преступлений, может быть четырех типов.

1. Нарушение функций. Возможны четыре вида нарушений функций, вызываемых следующими причинами:

а) временные нарушения, приводящие к путанице в графиках работы, расписании тех или иных действий и т.п.;

б) недоступность системы для пользователей;

в) повреждения аппаратуры (устранимые или неустранимые);

г) повреждения программного обеспечения (устранимые или неустранимые).

2. Потери значимых ресурсов. Предметами компьютерных преступлений обычно являются деньги, вещи, оборудование, услуги, информация и др. С точки зрения преступника, деньги – наиболее предпочтительный предмет посягательства. Распространены также кражи машинной информации – программного обеспечения и хранимых в ее памяти данных. Кроме того, могут быть и потери в результате кражи машинного времени.

3. Потеря монопольного использования. Определенная информация имеет ценность для собственника лишь до тех пор, пока он является ее монопольным владельцем. Например, планируемые закупочные цены на торговых переговорах, списки потенциальных покупателей, исследования по состоянию рыночной конъюнктуры и т.п. быстро обесцениваются в случае копирования и распространения. Компьютерные программы могут быть результатом значительных усилий и затрат, поэтому программисты часто, меняя работу, захватывают с собой ключевую информацию, необходимую для повторения той же задачи в новом месте. Здесь очень трудно разграничить незаконное и неэтичное поведение и право индивида использовать свои знания, умение и искусство.

4. Нарушение прав. Эта проблема обсуждается с разной степенью энтузиазма в странах с развитым уровнем компьютеризации и фокусируется на проблеме возможных нарушений прав человека. Но есть и другие аспекты этого вопроса.

Компьютеры могут стать чрезвычайно педантичными бюрократами. Они действуют на основе строго определенных правил и прецедентов, принимая во внимание только ограниченную рамками задачи информацию и ничего больше. Если человек чувствует, что его не понимают, он старается пояснить свою задачу, аргументирует и пользуется при этом отнюдь не компьютерной логикой, вводит при необходимости новые данные и т.п. С компьютером ничего подобного невозможно. Некоторые люди в таких ситуациях не могут успешно противостоять вызову компьютерной технологии. У них развивается болезненная реакция, приводящая к неадекватному поведению.

Изучение жертв компьютерных преступлений дает даже больше информации для решения вопросов компьютерной безопасности, чем изучение лиц, совершающих компьютерные преступления. По опубликованным данным, относящимся к группе развитых стран, до 1982 года среди жертв собственники системы составляли 79%; клиенты – 13%; третьи лица – 8%.

Не секрет, что организации – жертвы компьютерных преступлений – с неохотой сообщают об этом в правоохранительные органы. Часто виновные просто увольняются или переводятся в другие структурные подразделения. Иногда с виновного взыскивается ущерб в гражданском порядке. Отказ от уголовного преследования означает отсутствие общего предупреждения, что позволяет и другим попробовать свои возможности. Поведение жертвы зачастую определяет сложный комплекс сил. Понимание этого может помочь как потенциальной жертве, так и правоохранительным органам. Решение, которое принимает жертва компьютерного преступления, определяется одним или несколькими из следующих факторов.

Отсутствие опасности. Обыденным сознанием компьютерный преступник, как правило, не относится к разряду типичных уголовников. Ущерб от компьютерных преступлений нередко переносится организацией-жертвой на своих клиентов. При этом забывается, что такой способ поведения в конце концов отражается на общественном восприятии, престиже этой организации.

Трата времени. Расследование компьютерных преступлений часто сказывается на ограниченных ресурсах организации-жертвы, в том числе и временных ресурсах. Органы, ведущие расследование, обычно рассчитывают на помощь со стороны организации-жертвы. Так, необходимо поднимать значительное количество документов, записей, что не всегда желательно. В дальнейшем следуют вызовы сотрудников к следователю и в суд в качестве свидетелей.

Стоимость расследования. Расследование компьютерных преступлений, в том числе и силами самой фирмы, является делом весьма дорогостоящим. Иногда организации не желают увеличивать свои потери, добавляя к ущербу расходы на расследование. Зная свои ограниченные материальные ресурсы, отказываются от идеи раскрыть преступление.

Легкий «шлепок». Известно, что, будучи разоблаченными, компьютерные преступники во многих странах отделываются легкими наказаниями – зачастую условными. Для жертв это является одним из аргументов за то, что даже заявлять о преступлении нет особого смысла.

Общественное восприятие. Согласно общественному мнению, компьютерные преступления не представляют серьезной угрозы по сравнению с традиционными видами преступлений.

Пробелы в праве. Существующее законодательство не всегда применимо к компьютерным преступлениям, что приводит к серьезным затруднениям при правильной их квалификации.

Оценка правонарушения не как уголовного. Правоохранительные органы не склонны относить многие из такого рода правонарушений к категории преступлений и соответственно отказывают в возбуждении уголовного дела.

Выставление на посмешище. Публика обычно воспринимает компьютерного пирата как умную и интересную личность, а жертву – как жадную и глупую. Поэтому общественность редко льет слезы по поводу ущерба, нанесенного организациям, пострадавшим от компьютерных преступлений, да и сами они не спешат выставлять себя на посмешище.

«Грязные руки». Некоторые жертвы боятся серьезного, компетентного расследования, так как оно может вскрыть неблаговидную, даже незаконную, механику ведения дел.

Внутренние осложнения. Раскрытие несостоятельности мер по компьютерной безопасности, принимаемых руководством, может вызвать серьезные внутренние осложнения.

Увеличение страховых взносов. Жертвы часто опасаются, что страховые компании увеличат размер страховых взносов (или даже откажутся от возобновления страхового полиса), если компьютерные преступления становятся для этой организации регулярными.

Потеря клиентов. Жертвы боятся потери клиентуры вследствие падения своей финансовой репутации.

Подстрекательство. Справедливо считается, что раскрытие преступления, сопряжено, как правило, с открытым описанием того, как оно было совершено, служит своего рода приглашением, если не подстрекательством, к его повторению другими.

Раскрытие служебной тайны. Жертва может отказаться от расследования, опасаясь, что ее финансовые и другие служебные тайны могут стать достоянием гласности во время судебного рассмотрения дел.

Организационная политика. Определенные силы внутри организации могут возражать против расследования. Так, некоторые должностные лица опасаются, что в результате расследования и раскрытия преступления выявятся их промахи и будет поставлен вопрос об их профессиональной непригодности.

Представляется невероятным, что жертва, потерявшая миллионы, может отказаться от расследования компьютерного преступления. Тем не менее, как показывает практика, такой «эффект умалчивания» достаточно широко распространен и имеет определенные логические основания.

Существует много косвенных признаков того, что в организации, учреждении готовится или осуществляется компьютерное преступление. Выявление этих признаков не требует специальных знаний, и, находя их, администрация может осуществлять дополнительные меры по компьютерной безопасности и предотвращению преступлений.

Наиболее общие индикаторы таковы: сотрудники дают подозрительные объяснения по поводу распределения денежных и материальных фондов; производится перезапись данных без серьезных на то причин; данные заменяются, изменяются или стираются; данные не обновляются; на ключевых документах появляются подделанные подписи; появляются фальшивые записи; персонал системы без видимых на то оснований начинает работать сверхурочно; персонал возражает против осуществления контроля за записью данных; у работников, непосредственно работающих с компьютерами, появляется ненормальная реакция на рутинные вопросы; некоторые сотрудники отказываются уходить в отпуск; отдельные работники начинают слоняться без дела в других подразделениях; жалобы клиентов становятся хроническими и др.

Вопросы предотвращения и раскрытия компьютерных преступлений сегодня касаются каждой организации. Важно, чтобы администрация хорошо понимала, какие условия делают возможными такие посягательства. Руководителям, конечно, не требуется становиться экспертами в данной области, но они должны четко представлять себе связанные с этим проблемы.