Преступления в сфере компьютерной информации

Неправомерный доступ к компьютерной информации - это несанкционированное  собственником или иным законным пользователем информации проникновение  к ней, которое позволяет распоряжаться  этой информацией (уничтожать, блокировать, модифицировать и копировать) и создает опасность как для самой информации, так и для интересов собственника или иного законного пользователя.

Основной объект преступного  посягательства - общественные отношения, обеспечивающие сохранность и конфиденциальность компьютерной информации.

Предметом неправомерного доступа  к компьютерной информации является охраняемая законом компьютерная информация, под которой понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах. Законодательством  РФ охраняются такие виды информации, как: а) сведения, отнесенные к государственной тайне³;

б) информация, непосредственно  затрагивающая права и свободы  гражданина (тайна частной или  семейной жизни), а также персональные данные (под которыми в соответствии с ч. 7 ст. 2 ФЗ от 27 июля 2006 г. N 149-ФЗ понимается информация о гражданах, т.е. сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в установленных федеральными законами случаях). Основными элементами информации о гражданах являются имя и фамилия, пол, дата рождения и место рождения, место проживания, образование и семейное положение. К другим элементам персональной информации относятся: сведения о социальном положении, принадлежности к политическим партиям, физическом и психическом здоровье, финансовом положении, владении собственностью, о судимости и т.д.

Персональные данные относятся  к категории конфиденциальной информации, т.е. информации, доступ к которой  в соответствии с законодательством  РФ ограничен. Сбор, хранение, использование  и распространение информации допускаются  либо с согласия лица, пользующегося, распоряжающегося или владеющего информацией, либо без такового, но специально уполномоченными органами и с соблюдением определенных условий (например, при наличии судебного решения).

К обязательным признакам  объективной стороны неправомерного доступа к компьютерной информации относятся: общественно опасное  деяние, которое заключается в  неправомерном доступе к охраняемой законом компьютерной информации; общественно  опасные последствия в виде уничтожения, блокирования, модификации или копирования  компьютерной информации; причинная  связь между совершенным деянием  и наступившим последствием.

Отсутствие одного из перечисленных  признаков исключает УО за преступление, предусмотренное ст. 272 УК РФ.

Общественно опасное деяние проявляется в форме действия. Совершение данного преступления путем  бездействия невозможно. Уничтожение  или искажение компьютерной информации путем внешнего воздействия на носители информации теплом, магнитными волнами, механическими ударами и т.п. не является неправомерным доступом к  компьютерной информации.

По законодательной конструкции  составы преступления - материальные, считаются оконченными в момент наступления одного либо нескольких указанных в статье последствий. Несанкционированный просмотр информации, состава преступления по ст. 272 УК РФ не образует.

Уничтожение информации - это  приведение ее в такое состояние, при котором информация не может  быть восстановлена, либо такое ее стирание (удаление), при котором остается возможность ее восстановления. Так  как потеря информации в большинстве  случаев является наиболее опасным  последствием, уголовно наказуемым следует  считать как собственно уничтожение  информации, так и ее стирание (удаление). Блокирование информации - создание условий, при которых возникает постоянная или временная невозможность  осуществления блокируемой информацией  своих функций. Модификация информации - несанкционированное изменение первоначального состояния охраняемой законом компьютерной информации, которое трансформирует содержание этой информации либо нарушает выполняемые ею функции. Копирование информации - изготовление одного и более (точных или относительно точных) дубликатов оригинала информации. Копирование подпадает под действие настоящей статьи лишь в случае, когда информация охраняется законом именно от несанкционированного копирования. Неправомерный доступ к компьютерной информации, совершенный организованной группой, должен содержит следующие признаки: устойчивость; наличие в ее составе организатора (руководителя); заранее разработанный план совместной преступной деятельности; распределение функций между членами группы при подготовке к совершению преступления и осуществлении преступного умысла.

Субъектом преступного посягательства (ч. 1) является физическое вменяемое  лицо, достигшее к моменту совершения преступления 16-летнего возраста, однако в ч. 3 предусмотрена ответственность  специальных субъектов - лиц, использующих свое служебное положение.

3.2. Создание, использование  и распространение вредоносных  компьютерных программ

Создание, распространение  или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации подлежит уголовной  ответственности в соответствии со ст. 273 УК РФ.

Основной объект - общественные отношения, обеспечивающие безопасность компьютерной информации. Предметом  преступного посягательства является компьютерная программа или компьютерная информация предназначенные для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации. Под программой следует понимать такое программное средство, которое было создано для выполнения несанкционированных собственником и другими законными пользователями информации функций  (вредоносная программа). Под нежелательными функциями подразумеваются несанкционированное уничтожение, блокирование, модификация либо копирование информации, а также вывод из строя системы защиты информации. Программой следует считать уже компилированный (иначе - машиночитаемый) текст программы, т.е. программа должна находиться в электронном виде и быть способной осуществлять вредоносные функции. Написание же текста программы без ее компилирования следует квалифицировать как покушение на создание программы. Вредоносность программы определяется не только способностью уничтожать, блокировать, модифицировать или копировать информацию (это рабочие функции большого количества вполне легальных программ). Основной особенностью вредоносных программ является то, что они выполняют эти функции без предварительного уведомления или получения согласия (санкции) собственника или другого законного владельца информации.

По законодательной конструкции  состав преступления, предусмотренный  ч. 1 является формальным, считается  оконченным в момент совершения действий, указанных в диспозиции. Состав преступления материальный, так как наступление  тяжких последствий выступает обязательным условием уголовной ответственности. Ответственность по ст. 273 должна наступать  при совершении следующих действий: создание, распространение или использование  компьютерных программ либо иной компьютерной информации. Создание программы является продолжаемым процессом, но ответственность  может наступать лишь на последнем  этапе ее создания, когда программа  компилирована и способна нанести  вред. Использование программы это запуск программы для осуществления тех функций, для которых она предназначена. Под распространением программ подразумевается предоставление доступа к программе в компилированном виде, в том числе сетевыми (например, по сети Интернет) и иными способами (продажа подобных программ через электронные магазины).

Субъективная сторона (ч. 1) выражается в виде прямого умысла.

Квалифицирующий признак - причинение тяжких последствий в результате умышленных действий, указанных в  ч. 1. Понятие тяжких последствий  является оценочным и зависит  от особенностей каждого конкретного  преступления. Отнесение преступных последствий к тяжким входит в компетенцию суда. К ним можно отнести такие последствия, как: причинение крупного имущественного ущерба (в том числе в виде упущенной выгоды); утрата уникальной либо особо ценной информации; крупные аварии (в том числе приводящие к экологическим и другим катастрофам); дезорганизация работы предприятия или организации; осложнение дипломатических отношений; рост социальной напряженности в городе, регионе или в стране в целом; возникновение вооруженного конфликта либо реальная угроза его возникновения. Приведенный перечень тяжких последствий не является исчерпывающим и может быть расширен в зависимости от конкретной ситуации.

Субъективная сторона  характеризуется умыслом по отношению  к преступному деянию.

Субъектом преступного посягательства является физическое вменяемое лицо, достигшее к моменту совершения преступления 16-летнего возраста.

3.3. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб подлежит уголовной ответственности в соответствии со ст. 274 УК РФ.

Предметом посягательства являются информационная система, компьютеры или компьютерные сети.

Объективная сторона составов преступления состоит в нарушении  правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб (ч. 1) или тяжкие последствия (ч. 2). По законодательной конструкции состав преступления является материальным.

Нарушение правил эксплуатации может выражаться в несоблюдении, ненадлежащем соблюдении или прямом нарушении правил, обеспечивающих сохранность  информации и целостность (работоспособность) компьютерного оборудования. Нарушение  правил может быть совершено как  действием, так и бездействием (невыполнение виновным требований, закрепленных в  правилах). Статья 274 УК РФ не содержит конкретных технических требований к эксплуатации и отсылает к инструкциям и правилам, определяющим порядок работы на компьютерах. Правила должны устанавливаться специально уполномоченным лицом или органом и доводиться до пользователей, к которым и применяется УО за нарушение или несоблюдение этих правил в соответствии со ст. 274.

Под сетью понимается только внутренняя сеть ведомства или организации, на которую могут распространяться требования правил и инструкций. Положения статьи распространяется только на преступления, совершаемые в локальных сетях. В глобальных сетях типа Интернет она не применяется.

Можно выделить два вида правил эксплуатации, которыми должны руководствоваться в своей деятельности лица, работающие со средствами хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования. Первый вид правил - инструкции по работе с компьютерами и электронными носителями информации, разработанные изготовителем компьютеров и периферийных технических устройств. Эти правила обязательны для соблюдения пользователем под угрозой, как правило, потери прав на гарантийный ремонт и обслуживание. Второй вид правил - правила, установленные собственником или законным пользователем информационных ресурсов, информационных систем, технологий и средств их обеспечения, они определяют порядок пользования⁴. Ответственность за нарушение правил может наступать только в том случае, если эти правила были приняты надлежащим образом (разработаны специалистами и подписаны руководителем учреждения, подразделения и т.п.), закреплены (как правило, на бумажном носителе) и доведены до пользователя (чаще под роспись). Правила могут содержаться в нормативно-правовых актах; ведомственных положениях; правилах, установленных в конкретных организациях; технических описаниях и инструкциях по эксплуатации; инструкциях по использованию компьютерных программ (соответствующие инструкции могут прилагаться как на бумажных, так и на машинных носителях) и др. В правилах эксплуатации могут быть установлены как требования технического характера (напряжение, влажность, механическое и химическое воздействие, совместимость устройств, электромагнитное поле и т.п.), так и положения, регулирующие работу с программными продуктами (последовательность подачи команд или выполнения процедур, запрет на выполнение каких-либо операций с программным обеспечением, контроль за совместимостью различных программных продуктов, обязательное выполнение определенных процедур при наступлении определенных обстоятельств и т.д.). А такие мероприятия, как резервное копирование информации, использование источника бесперебойного питания, следует отнести к организационным требованиям безопасности компьютерной информации, так как требования выполнять эти правила зависят от особенностей деятельности той или иной организации.

Состав преступления (ч. 1) окончен в момент уничтожения, блокирования или модификации такого количества информации или такой информации, отсутствие которой причинило существенный вред для законного пользователя или владельца информации. Существенность вреда является оценочной категорией и установление объема причиненного вреда в результате нарушения правил будет осуществляться судом с учетом совокупности имеющихся данных.

Субъективная сторона  составов преступления выражается в  форме умысла или неосторожности. В квалифицированном составе  возможно наличие двух форм вины. В ч. 2 статьи 274 УК РФ установлена ответственность за нарушение правил, причинившее тяжкие последствия по неосторожности. Перечень тяжких последствий, так же как и существенный вред, не раскрывается в законе.

Между нарушением правил эксплуатации, указанными в диспозиции, и последствиями должна быть причинно-следственная связь: уничтожение, блокирование или модификация компьютерной информации должны быть следствием нарушения правил, а они, в свою очередь, должны быть причиной наступления существенного вреда или тяжких последствий.

Субъектом преступного посягательства является физическое вменяемое лицо, достигшее 16-летнего возраста и имеющее  доступ к средствам хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования (специальный субъект).

Для привлечения лица к  УО необходимо установить не только факт наличия у виновного доступа  к средствам хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, но и факт (задокументированный) прохождения этим лицом инструктажа или ознакомления с правилами эксплуатации.

4. Способы совершения преступлений

Последнее время преступления в сфере компьютерной информации зачастую совершают профессиональные «компьютерные» преступники, а не любители которые преследуют цели хулиганства и т.п. Здесь присутствуют явно корыстные цели. Преступники чаще всего входят в состав каких-нибудь преступных образований. Это высококлассные специалисты, которые представляют явную угрозу для общества, их можно разделить на 2 группы по категориям доступа к компьютерной информации:

- внутренние пользователи (лица, которые имеют непосредственный доступ к необходимой информации);

- внешние пользователи (субъекты, которые обращаются к информационной системе или посреднику за получением необходимой им информации).