Кіберзлочини та покарання: як кваліфікують кібератаки

З моменту появи перших комп’ютерних вірусів, загроза кібератак завжди залишалась актуальною. На ранніх етапах кількість комп’ютерів та обмін інформацією був обмеженим, а створенням вірусів та проведенням кібератак займалась невелика кількість вузьких спеціалістів зі знаннями в архітектурі операційних систем та програмування. Зараз для проведення кібератаки вже не потрібно мати таких знань – потрібні тільки ресурси та доступ до темної сторони інтернету, так званого «даркнету». 

За роки розвитку інформаційних технологій сформовано цілий тіньовий ринок готового шкідливого програмного забезпечення, спеціалістів, що розробляють шкідливий код за запитом клієнта, хакерських об’єднань, що виконують замовлення на конкретні кібератаки чи отримання даних та інші «послуги». 

Ініціатори та виконавці подібних «послуг» намагаються залишатись анонімними, але їм це не завжди вдається. Існують методики та механізми, що використовуються для боротьби та відстеження такої активності. В результаті за правопорушення в інформаційному просторі, зловмисника може бути притягнуто до абсолютно реальної відповідальності. 

Потрібно враховувати, що кожний вид атаки має значну варіативність та чисельні механізми реалізації. Тому кожен випадок є унікальним, як і його кваліфікація. 
Уявімо декілька типових кібератак та як вони можуть бути кваліфіковані за законодавством України. 

Програми-вимагачі  

Кібератака з використанням програм-вимагачів полягає в ураженні системи спеціальним шкідливим програмним забезпечення. Після потрапляння коду у систему починається прихована фаза атаки. Шкідливий код може знаходитись у режимі очікування відповідної події чи сигналу,  множитися та намагатися отримати відповідні права доступу, або уражати інші системи у мережі. Через різні підходи та тактики фаза може займати як секунди, так і неділі.   

Після успішного захоплення системи починається активна фаза – настає час викласти карти на стіл та показати користувачу, що його файли більше йому не належать. Шкідливе програмне забезпечення блокує операційну систему та шифрує дані користувача, а ключ до відновлення даних є тільки у зловмисника. Це і використовується, як важіль впливу для вимагання. Зазвичай така атака не має конкретного спрямування та розрахована на максимальну кількість уражень. Досить часто для поширення використовують піратські програми чи розсилки.  

На відміну від більшості інших кібератак, зловмисник має налагодити контакт з потерпілим. Це може бути повідомлення з контактною інформацією або інструкції. Зазвичай використовуються анонімні адреси електронної пошти чи одноразові криптогаманці.

Приклад: На ніч пристрої в офісі залишаються у режимі сну. На початку робочого дня на моніторі з’явився напис: «Цей пристрій заблоковано, для  розшифрування файлів необхідно відправити 0.35 ЕТН на цей криптогаманець ……. та відіслати код транзакції на електронну пошту: ….. ». Після реконструкції подій було встановлено, що шкідлива програма була на накопичувачі, наданого клієнтом компанії, а вірус  був замаскований під виглядом іншого файлу, що автоматично запускався при підключенні.  

За законодавством України така діяльність може кваліфікуватись за Кримінальним кодексом України

Стаття 189. Вимагання

1. Вимога передачі чужого майна чи права на майно або вчинення будь-яких дій майнового характеру з погрозою насильства над потерпілим чи його близькими родичами, обмеження прав, свобод або законних інтересів цих осіб, пошкодження чи знищення їхнього майна або майна, що перебуває в їхньому віданні чи під охороною, або розголошення відомостей, які потерпілий чи його близькі родичі бажають зберегти в таємниці (вимагання), –

караються обмеженням волі на строк до п’яти років або позбавленням волі на той самий строк.

2. Вимагання, вчинене повторно, або за попередньою змовою групою осіб, або службовою особою з використанням свого службового становища, або з погрозою вбивства чи заподіяння тяжких тілесних ушкоджень, або з пошкодженням чи знищенням майна, або таке, що завдало значної шкоди потерпілому, –

карається позбавленням волі на строк від трьох до семи років.

Стаття 361-1. Створення з метою протиправного використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут

1. Створення з метою протиправного використання, розповсюдження або збуту, а також розповсюдження або збут шкідливих програмних чи технічних засобів, призначених для несанкціонованого втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж, –

караються штрафом від двох тисяч до чотирьох тисяч неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або позбавленням волі на строк до трьох років.

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, –

караються позбавленням волі на строк до п’яти років.

 

Інсайдерська атака 

Така атака може відноситись не тільки до кібератак, але ми розглянемо її у контексті інформаційних технологій.  Ключовим за такої атаки є не програмне забезпечення чи технологія, а людина, що вже має доступ до системи, де зберігається чи обробляється цінна інформація. Інсайдерська атака не має єдиного сценарію, однак із всіх варіацій можливо виділити декілька спільних аспектів:

✓ Особа є співробітником, аутсорс-спеціалістом, має доступ до корпоративного обладнання чи корпоративних облікових записів.

✓   Особа  має доступ до комерційної таємниці, конфіденційних даних або здатна отримати подібний рівень доступу.

✓   Шкода наноситься через маніпуляції з даними (редагування, знищення, розкриття чи привласнення даних)

✓     Здійснюється таємно.

Приклад: Компанія випустила мобільний додаток та має велику кількість користувачів. Одного дня вихідний код додатка та дані користувачів з’явились у відкритому доступі. Дані було викрадено з сервера компанії, до якого мали доступ виключно внутрішні співробітники. Розслідування встановило, що конкурент запропонував одному з програмістів кращі умови та заробітну плату в обмін на «випадковий виток» коду додатка та конфіденційних даних користувачів, що спричинить фінансову та репутаційну шкоду  компанії. 
  

За законодавством України така діяльність може кваліфікуватись за Кримінальним кодексом України

Стаття 362. Несанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї

1. Несанкціоновані зміна, знищення або блокування інформації, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах чи комп’ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї, –

караються штрафом від двох тисяч до чотирьох тисяч неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років.

  . 2. Несанкціоновані перехоплення або копіювання інформації, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або зберігається на носіях такої інформації, якщо це призвело до її витоку, вчинені особою, яка має право доступу до такої інформації, –

караються позбавленням волі на строк до трьох років з позбавленням права обіймати певні посади або займатися певною діяльністю на той самий строк.

 

Фішинг 

Назва атаки говорить сама за себе, бо результат її здебільшого залежить від місця, наживки для лову та вдачі. Зловмисник видає себе за іншу особу чи організацію та намагається отримати особисті дані чи комерційну інформацію від цілі. Часто використовується такі фактори, як неуважність, раптовість, приголомшливі відомості  чи погана поінформованість потерпілих. 

Приклад: Спеціалісту з відділу підтримки клієнтів надійшло повідомлення, начебто, від одного з топ менеджерів головного офісу компанії з таким змістом: 

“Колеги, увага! Відбувся виток даних акаунтів співробітників з СРМ сервера компанії. Відділ інформаційної безпеки проводить розслідування та оцінює масштаби витоку. Для попередження повторного витоку впроваджується нова система авторизації працівників. 

До письма додано посилання на онлайн ресурс для оновлення Ваших даних та перенесення облікового запису. “

                                                      

За посиланням буде доступний інтерфейс, що є копією оригінального з запитом про внесення актуальної інформації облікового запису та, нібито, вимогою змінити пароль та логін до неї. Однак ці дані будуть відправлені прямісінько до зловмисника, який з їх допомогою спробує увійти до корпоративної системи. 

Така ситуація можлива тому, що:

Дані про керівників компанії та підрозділів часто є у мережі на офіційних сторінках. 

У великих компаніях не завжди є можливість відстежувати всіх робітників, особливо дистанційних, аутсорс чи з інших філіалів.

За подібним зразком можливо скопіювати оформлення електронного листа чи веб сторінки.    

Також можливо створити електронну адресу, що буде легко сплутати зі справжньою. Часто використовують подібність літер чи додаткові символи.   

Використовують психологію та патерни поведінки: типове оформлення листів чи інтерфейсу, спосіб комунікації між колегами, страх перед викраденням персональних даних, небажання ускладнень через повільність у терміновій ситуації. 

За законодавством України така діяльність може кваліфікуватись за Кримінальним кодексом України

Стаття 190. Шахрайство

1. Заволодіння чужим майном або придбання права на майно шляхом обману чи зловживання довірою (шахрайство) –

карається штрафом від двох тисяч до трьох тисяч неоподатковуваних мінімумів доходів громадян або громадськими роботами на строк від двохсот до двохсот сорока годин, або виправними роботами на строк до двох років, або обмеженням волі на строк до трьох років.

3. Шахрайство, вчинене у великих розмірах, або шляхом незаконних операцій з використанням електронно-обчислювальної техніки, –

карається позбавленням волі на строк від трьох до восьми років.

 

Атаки типу «відмова в обслуговуванні»

Атака полягає у штучному перенавантаженні ресурсу чи так званому «затопленні» мережі. Таким чином справжні користувачі блокуються, стикаються зі значними затримками та іншими ускладненнями. Така атака є не може бути випадковою, а завжди націлена на конкретний сервер чи пристрій.

 Існує велика кількість способів проведення DoS-атаки (атака з одного джерела) чи DDoS-атаки (скоординована атака з чисельних джерел), однак здебільшого вони базуються на зловживанні стандартними протоколами зв’язку. Зупинити атаку можливо тільки фільтруванням шкідливих сигналів, відсіканням джерела шкідливого сигналу чи від’єднанням від мережі. В будь-якому випадку створюються перешкоди для потерпілого.

Але подібний ефект «затоплення» може виникати і без спрямованої атаки.  Наприклад, у день запуску додатку велика кількість користувачів одночасно намагається отримати доступ до ресурсу, або коли компанія неправильно розрахувала навантаження на сервер. В обох випадках відбудеться перевантаження мережі.  

Приклад: У компанії є невеликий вебсайт, що розрахований, приблизно, на тисячу відвідувачів одночасно. Типовий трафік складав шістсот відвідувачів з невеличкими коливаннями. Раптово кількість запитів до сервера значно збільшилась, що призвело до перевантаження та блокування каналів зв’язку. Впродовж всієї атаки сервер залишався недоступним для користувачів. Аномальний трафік надходив переважно з однієї і тієї ж адреси, що дозволило відстежити зловмисника.  

За законодавством України така діяльність може кваліфікуватись за  Кримінальним кодексом України

Стаття 363-1. Перешкоджання роботі електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку шляхом масового розповсюдження повідомлень електрозв’язку

1. Умисне масове розповсюдження повідомлень електрозв’язку, здійснене без попередньої згоди адресатів, що призвело до порушення або припинення роботи електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, –

карається штрафом від двох тисяч до чотирьох тисяч неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років.

Атака «людина посередині» MitM 

Спрощено, йдеться про перехоплення даних. Зловмисник контролює канал передачі даних та переглядає увесь трафік, що проходить через нього. Зазвичай зловмисник намагається діяти таємно, та не вносити жодних змін до перехопленої інформації. Однак за необхідності такі операції можливі.   

Приклад: Зловмисник під виглядом майстра з комп’ютерних мереж отримав доступ до мережі офісу та протиправно встановив своє обладнання, щоб стежити за трафіком. Працівники користуються внутрішньою електронною поштою, передають файли, друкують документи тощо. Таким чином комерційна та конфіденційна інформація опиняється у зловмисника, що перепродає її конкурентам. За наступної перевірки мережі пристрій зловмисника було помічено та відстежено до його власника.  

За законодавством України така діяльність може кваліфікуватись за  Кримінальним кодексом України

Стаття 361. Несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж

1. Несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж – карається штрафом від однієї тисячі до трьох тисяч неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років.

3. Дії, передбачені частиною першою або другою цієї статті, якщо вони призвели до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації, – караються штрафом від семи тисяч до десяти тисяч неоподатковуваних мінімумів доходів громадян або позбавленням волі на строк від трьох до восьми років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років або без такого.

Висновки

У світі інформаційних технологій злочини відбуваються не рідше ніж у реальному світі. 

Сучасне законодавство у галузі кібербезпеки недосконале та знаходиться на стадії розвитку, однак воно вже охоплює базові види кібератак.

Деякі види кібератак базуються виключно на неуважності та психології потерпілого. Тому необхідно мати чіткі інструкції та протоколи для співробітників.

Сучасні методики розслідування кіберзлочинів поступово покращують свою ефективність, однак ще досі не гарантують позитивного результату через відсутність територіальних  кордонів у мережі та високого рівня анонімності користувачів.

Кібератаки мають велику варіативність, тому на практиці кваліфікація має враховувати всі аспекти конкретного кейса.