Уголовно-правовая характеристика в сфере компьютерной информации

Таким образом, все компьютерные преступления условно  можно подразделить на две большие  категории – преступления, связанные с вмешательством в работу компьютеров, и преступления, использующие компьютеры как необходимые технические средства.

 

 

 

 

 

 

2.4. Анализ судебной практики

 

В сфере финансовых услуг  в России в течение последних  лет стал использоваться новый вид платежных средств - «электронные деньги» на основе использования пластиковых карт (магнитных и смарт-карт) [22]. Это, в свою очередь, повлекло появление нетрадиционных для банка угроз, связанных с уязвимостью компьютерной информации, реальностью ее умышленного искажения, включая физического уничтожения, случайной или умышленной модификации и совершения экономических компьютерных преступлений.

 Экономические  компьютерные преступления составляют основную часть компьютерных преступлений и в основном заключаются в хищении конфиденциальной информации, в финансовом мошенничестве или совершаются с помощью компьютерного подлога. Эти преступления характеризуются высокой латентностью, трудностью сбора улик и подтверждений, «интернациональностью» (совершаются, как правило, с использованием телекоммуникационных систем), крупным ущербом и особым субъектом преступления. Рост экономических компьютерных преступлений требует адекватного реагирования, как правоохранительных органов, так и судов. При этом законная квалификация такового образа деяний чрезвычайно актуальна и требует особого внимания со стороны науки и практики.

Все же, действительность свидетельствует о несформированности и вследствие этого, неоднородности судебной практики по уголовным делам данного образа. Кроме того, Верховный Суд РФ не принял ни одного постановления по применению статей о компьютерных преступлениях. Приговоры, вынесенные различными судами по однородным уголовным делам, часто расходятся в квалификации содеянного и размерах наказания.

Так, судом г. Шадринска П. осужден по ст. 272 УК РФ и ст. 165 УК РФ и приговорен к  штрафу в размере 3000 рублей. Он получил  доступ к сети Интернет за чужой  счет, пользуясь чужим логином  и паролем для доступа к сети. Логин и пароль получил, прислав вирусную программу - «троянский конь» на компьютер - «жертву». Суд квалифицировал его действия как несанкционированный доступ к охраняемой законом компьютерной информации по ст. 272 УК РФ, а пользование услугой доступа к Интернету - по ст. 165 УК РФ. При этом факт распространения заведомо вредоносной компьютерной программы остался без внимания.

Сходное уголовное  дело было рассмотрено Красногвардейским  федеральным судом Санкт-Петербурга. Программист М. с ноября 2005 по апрель 2006 г. рассылал клиентам пяти петербургских интернет - провайдеров «троянские» программы и получил логины и пароли, которыми пользовался для последующего незаконного доступа к сети Интернет [22]. М. был признан виновным по ст. 273 УК РФ в распространении вредоносных программ по ст. 165 УК РФ - в причинении имущественного ущерба путем обмана или злоупотребления доверием и приговорен к трем годам лишения свободы. При этом несанкционированный доступ к чужим паролям не был квалифицирован по ст. 272 УК РФ.

Компьютерному мошенничеству может предшествовать подлог с использованием компьютерных технологий. При этом происходит несанкционированное  собственником создание или изменение  данных, что они воспринимаются в  дальнейшем как подлинные. Такие действия могут быть совершены в отношении компьютерной информации, хранящейся в компьютерной системе или сети, на машинном носителе либо передаваемой с использованием  компьютерной связи. Подлог, как правило, преследует задача совершения в будущем другого преступления или использование ложных данных для получения выгод вещественного характера.

Несмотря на общественную опасность таковых  действий,  иногда проявляют лояльность при решении вопроса об осуждении  и наказании виновных. Так, промышленный районный суд Смоленска рассмотрел уголовное дело по обвинению Х. в преступлениях, предусмотренных ч. 1 ст. 272 УК РФ и ч. 1 ст. 165 УК РФ. Он незаконно получил и использовал подложные логин polys и пароль savs пользователя ЗАО «Спасские ворота» для систематического нелегального доступа к сети Интернет через ОАО «Смоленсктелеком».

Стремясь избежать имущественных затрат за оказанные  ОАО «Смоленстелеком» провайдерские  услуги, действуя из корыстных побуждений, Х. путем обмана при отсутствии признаков  хищения причинил собственнику ЗАО «Спасские ворота» материальный ущерб. Несмотря на то, что в судебном заседании доказано 20 аналогичных эпизодов, уголовное дело было прекращено в связи с согласием сторон. Были прекращены и другие аналогичные уголовные дела.

Никак не подвергая сомнению, законность вынесенных судебных постановлений, хотелось бы обратить внимание, во-первых, на просматривающуюся тенденцию незаконного доступа к охраняемой законом компьютерной информации с задачей последующего ее использования для получения имущественных выгод. Во-вторых, на превентивную роль суда в предупредительном, карающем и правовосстановительном аспектах.

Статистика  свидетельствует о тенденции  устойчивого роста количества преступлений в сфере компьютерной информации.

Статистические  сведения об информационных компьютерных преступлениях, зарегистрированных в Свердловской области, представлены в табл.1.

Таблица 1. Количество зарегистрированных в Свердловской области информационных компьютерных преступлений (ст. 272, 273, 274 УКРФ) за период с 1997 по 2011 год. Графически  суммарная (по трем статьям гл. 28 УК РФ) динамика информационных компьютерных преступлений представлена на рис. 1(см. Приложение )[29].

Как показывает практика, квалификация преступлений, совершаемых в сфере компьютерной информации, представляет определенные трудности.

3. Способы защиты компьютерной информации от посягательств

Сосредоточение  информации в машинной памяти компьютеров - подобно сосредоточении наличных средств банках - принуждает все наиболее увеличивать контроль в целях охраны информации. Юридические вопросы, частная тайна, государственную сохранность - все данные положения настоятельно просят усиления внутреннего контролирования в платных и правительственных организациях. Изучения в данных направленности привели к выходу новейшей дисциплины: сохранность информации. Специалист  в области сохранности информации отвечает за разработку, реализацию и использование системы снабжения информационной сохранности, направленной на поддержание единства, пригодности и конфиденциальности скопленной в организации информации. В его функции вступает снабжение физической (тех. средства, линии связи и удаленные компьютеры) и логической (данные, прикладные программы, операционная система) охраны информационных ресурсов.

При рассмотрении проблем охраны этих в сети, прежде  всего, появляется вопрос  о классификации перебоев и нарушений прав доступа, которые имеют все шансы привести к истреблению либо ненужной модификации этих. Посреди таковых возможных “опасностей” можно отметить:

1. Перебои оборудования:

- перебои кабельной  системы;

- перебои электропитания;

- сбои дисковых  систем;

- сбои систем  архивации данных;

- перебои работы  серверов, рабочих станций, сетевых карт и т.д.

2. Утраты информации  из-за некорректной работы оборудования:             

- потеря или  модифицирование данных при ошибках  оснащения;

- утрата  инфицирования системы компьютерными вирусами;

3. Утраты, связанные  с несанкционированным доступом:

- несанкционированное  копирование, ликвидирование либо  фальшивка  информации;

- ознакомление  с конфиденциальной информацией,

составляющей  тайну, сторонних лиц;

4. Утрата информации, связанные с неверным сбережением  архивных данных.

5. Оплошности  обслуживающего персонала и пользователей:

- нечаянное  ликвидирование либо модифицирование данных;

-некорректное  внедрение программного и аппаратного   снабжения, ведущее к истреблению либо изменению данных;

В зависимости  от вероятных видов нарушений  работы сети (перед нарушением работы предполагается и беззаконный неразрешенный  доступ) бессчетные виды охраны информации соединяются в 3 главных класса

- средства физической  охраны, включающие средства охраны  кабельной системы, систем электропитания, средства архивации, дисковые массивы .

-средства охраны  от стихийных бедствий - пожаров, землетрясений, наводнений и т.д. - состоит в сбережении архивных копий информации либо в размещении неких сетевых приборов, к примеру, серверов баз этих, в особых защищенных помещениях, находящихся, как правило, в остальных зданиях либо, реже, в том числе и в ином районе города либо в другом городе.

- программные  средства охраны, в том количестве: антивирусные программы, системы  разделения полномочий, программные  средства контролирования доступа.

- административные  меры охраны, включающие контроль  доступа в здания, исследования стратегии сохранности компании, намерений деяний в чрезвычайных обстановках и т.д [11].

Надлежит подметить, будто схожее дробление довольно символически, так как инновационные  технологии развиваются в направленности сочетания программных и аппаратных средств охраны. Величайшее распределение эти программно - аппаратные средства  получили, в частности, в области контролирования доступа, охраны от вирусов и т.д.

Проблема охраны информации от противоправного несанкционированного доступа особенно обострилась с широким распространением локальных и, особенности, массовых компьютерных сетей. Нужно еще подметить, что чаще всего вред наносится никак не из-за “злого умысла”, а из-за за простых погрешностей пользователей, которые случаем омрачают либо убирают жизненно принципиальные данные. Взаимосвязи с этим, кроме контролирования доступа, нужным составляющей охраны информации в компьютерных сетях считается разделение полномочий пользователей.

В компьютерных сетях при организации контролирования  доступа и разделение полномочий пользователей по чаще только употребляются интегрированные средства сетевых операционных систем. Так, наикрупнейший производитель сетевых ОС - компания Novell - в собственном крайнем продукте NetWare 4.1 предугадал кроме обычных средств ограничения доступа, таковых,  как система паролей и разграничения полномочий, ряд новейших способностей, обеспечивающих 1-й класс охраны данных[30]. Новая версия NetWare предугадывает, в частности, вероятность кодировки данных  сообразно принципу “открытого ключа” (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов. В то же время в таковой системе организации охраны все равно остается слабое пространство: степень доступа и вероятность входа в систему ориентируются особым знаменитым законным пользователем паролем. Никак не тайна, что пароль разрешено увидеть либо выбрать.

Для исключения возможности неавторизованного  входа в компьютерную сеть в крайнее  время употребляется комбинированный  подход - пароль + идентификация пользователя по индивидуальному “ключу”. В качестве “ключа” имеет возможность употребляться пластиковая карта (магнитная либо с интегрированная микросхемой - smart-card) либо разные прибора для идентификации персоны по биометрической информации - по  радужной оболочке глаза или отпечатков пальцев, объемам кисти руки и этак далее.

Оснастив сервер либо сетевые рабочие станции, к  примеру, гаджетом чтения смарт-карточек и особым программным снабжением, разрешено существенно нарастить  ступень охраны от противоправного несанкционированного доступа. В данном случае для доступа к компьютеру легитимный юзер обязан вставить смарт-карту в приспособление чтения и завести собственный индивидуальный код. Программное снабжение дозволяет определить некоторое количество уровней сохранности, которые управляются системным администратором. Вероятен и комбинированный подход с вводом дополнительного пароля, при этом приняты особые меры против “перехвата” пароля с клавиатуры. Данный подход существенно надежнее применения паролей, так как, если преступник каким-то образом узнал особый пароль, легитимный юзер о данных имеет возможность не знать, если же исчезла карточка, разрешено принять меры немедленно. Смарт-карты управления доступом разрешают воплотить, в частности, эти функции, как контроль входа, доступ к приборам индивидуального компьютера, доступ к программам, файлам и командам. Не считая того, может быть еще воплощение контрольных функций, в частности, регистрация попыток нарушения доступа к ресурсам, применения воспрещенных утилит, программ, команд DOS.

Одним из успешных образцов создания комплексного решения  для контролирования доступа  к компьютерной информации в раскрытых  системах, основанного как на программных, этак и на  аппаратных средствах  охраны, стала система Kerberos. В базе данной схемы авторизации лежат три составляющей:

- Основа данных, имеющая информацию по всем  сетевым ресурсам, юзерам, паролям,  шифровальным ключам и т.д.    

- Авторизационный  сервер (authentication server), обрабатывающий  все требования юзеров на предмет получения такого либо другого вида сетевых услуг.

Авторизационный сервер, получая запрос от юзера, обращается к базе этих и описывает, владеет  ли юзер преимуществом на выполнение предоставленной операции. Стоит  отметить, будто пароли пользователей по сети не передаются, будто еще увеличивает степень охраны информации.

- Ticket-granting  server (сервер выдачи разрешений) приобретает  от авторизационного сервера  “пропуск”, сохраняющий имя пользователя  и его сетевой адрес, время  запроса и ряд остальных характеристик, а еще неповторимый сессионный ключ. Пакет, содержащий “пропуск”, передается еще в зашифрованном по методу DES виде. После получения и расшифровки “пропуска” сервер выдачи разрешений испытывает запрос и ассоциирует ключи и потом дает “благо” на внедрение сетевой техники или программ.