Правове регулювання відповідальності за кіберзлочини в Україні

Кіберзлочин (комп’ютерний злочин) –  суспільно небезпечне винне діяння в кіберпросторі та/ або з його використанням, відповідальність за яке передбачена законом України про кримінальну відповідальність та/або яке визнано злочином міжнародними договорами України.

Кіберзлочинність – сукупність кіберзлочинів.

Кіберпростір – середовище (віртуальний простір), яке надає можливості для здійснення комунікацій та/або реалізації суспільних відносин, утворене в результаті функціонування сумісних (з’єднаних) комунікаційних систем та забезпечення електронних комунікацій із використанням мережі Інтернет та/або інших глобальних мереж передавання даних.

Активний розвиток кібертехнологій та ІТ-бізнесу в останні роки так само активно спонукає і можливості для вчинення злочинів онлайн та у сфері інформаційних технологій. Відповідно до викликів сучасності необхідно і враховувати наявне правове регулювання таких правовідносин.

Так, ще у 2001 році Радою Європи була прийнята Конвенція про кіберзлочинність, яку Україна ратифікувала 07.09.2005 та яка стала основою для гармонізації національного законодавства у сфері кіберпростору, яка продовжується і зараз.

Разом з тим, у чинному Кримінальному кодексі наявний «спеціалізований» розділ, який визначає відповідальність за кіберзлочини — Розділ XVІ «Кримінальні правопорушення у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку», який складається із 6 статтей:

1. ст. 361 – несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку;
2. ст. 361-1 – створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут;
3. ст. 361-2 – несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або на носіях такої інформації;
4. ст. 362 – несанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї;
5. ст. 363 – порушення правил експлуатації електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку або порядку чи правил захисту інформації, яка в них оброблюється;
6. ст. 363-1 – перешкоджання роботі електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку шляхом масового розповсюдження повідомлень електрозв’язку

А тепер давайте розберемо кожну із зазначених статей і надамо коментар адвоката із відповідною спеціалізацією:

Стаття 361. Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку.

1. Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації, –

карається штрафом від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк від двох до п’яти років, або позбавленням волі на строк до трьох років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до двох років або без такого.

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, –

караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років.

Примітка. Значною шкодою у статтях 361-363-1, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян.

Так, склад злочину, передбаченого ст. 361 КК України, встановлює відповідальність за так званий «взлом» чи «хакінг» конкретних комп’ютерів, автоматизованих систем та комп’ютерних мереж. Зазначений злочин має матеріальний склад, що означає можливість настання кримінальної відповідальності лише при настанні конкретних наслідків — витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації, при цьому нанесення шкоди у вигляді матеріальних втрат чи збитків не є обов’язковою кваліфікуючею ознакою для кваліфікації дій особи за ч. 1 ст. 361 КК України. Такі кваліфікуючі ознаки як вчинення злочину повторно або за попередньою змовою групою осіб або заподіяння значної шкоди (яка для всіх злочинів, зазначених в Розділі XVI визначається розміром сто і більше неоподаткованих мінімумів громадян) є обов’язковими для утворення в діях особи складу злочину, передбаченого ч. 2 ст. 361 КК України.

Водночас, практика демонструє, що кіберзлочини найчастіше вчиняються у сукупності із іншими злочинами, насамперед — проти  власності та проти прав і свобод людини, що і розглянемо на прикладах:

• Вирок Луцького міськрайонного суду Волинської області, яким особу засуджено за вчинення злочинів, передбачених ч.2 ст.185 — крадіжка; ч.1 ст.357 — викрадення та привласнення офіційних документів з корисливих мотивів; ч.1, ч.2 ст.361 — несанкціоноване втручання в роботу автоматизованої системи, що призвело до витоку, підробки інформації та порушення встановленого порядку її маршрутизації; ч.1, ч.2 ст.182 — незаконне зберігання, використання конфіденційної інформації про особу; ч.2 ст.190 КК України — шахрайство (https://reyestr.court.gov.ua/Review/100321832). Проаналізувавши цей вирок можемо зрозуміти, що кіберзлочин у даному контексті являється складовою частиною плану, метою якого є протиправне заволодіння чужим майном та грошовими коштами.
• Вирок Києво-Святошинський районний суд Київської області, яким особу засуджено за вчинення злочину, передбаченого ч. 2 ст. 361 КК України (https://reyestr.court.gov.ua/Review/92922928). Даний вирок «демонструє» іще одну досить популярну схему вчинення кіберзлочину — так зване «кіберрейдерство», коли посадові особи, уповноважені на внесення змін до державних реєстрів прав власності та юрижичних осіб вносять до них неправдиві відомості, які дають їх спільникам можливість до протиправного заволодіння як майном, так і цілими підприємствами, що потребує негайної та професійної допомоги адвоката із відповідною кваліікацією.

Стаття 361-1. Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут. 

1. Створення з метою використання, розповсюдження або збуту, а також розповсюдження або збут шкідливих програмних чи технічних засобів, призначених для несанкціонованого втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, –

караються штрафом від двох тисяч до чотирьох тисяч неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або позбавленням волі на той самий строк.

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, –

караються позбавленням волі на строк до п’яти років.

Статтею 361-1 КК України передбачено відповідальність за створення, збут, розповсюдження так званого «шкідливого програмного забезпечення», тобто дана стаття являється хакерською «класикою». Що ж можливо віднести до зазначених програмних продуктів та як відрізнити їх від звичайного ПЗ?

На жаль, законодавець чітко не визначив переліку та способів віднесення софту до ШПЗ, тому в кожному конкретному випадку необхідно проводити відповідну судову компютерно-технічну експертизу, а така правова невизначенність створює можливість тиску на розробників ПЗ. Водночас, надзвичайно важливим є визначення призначення досліджуваного софту, а саме створення його для несанкціонованого втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку.

А зараз давайте розглянемо за що конкретно суди притягують до відповідальності за досліджуваною статтею КК України:

• Вирок Вінницького міського суду Вінницької області, яким особу засуджено за вчинення злочину, передбаченого ч. 1 ст. 361-1 КК України (https://reyestr.court.gov.ua/Review/99190754). Зазначеним вироком особу засуджено за розробку та розповсюдження програмного продукту, який імітує поштовий клієнт та спрямований на масову розсилку та отримання доступу до інформації поштовиї сервісів. Так, ШПЗ даного виду може використовуватись у досить широкому спектрі протиправної діяльності — від несанкціонованого доступу до чутливої конфіденційної інформації, промислового шпигунства до викрадення даних доступу у банківські системи і подальшого заволодоння коштами із рахунків.
• Вирок Подільського районного суду м. Києва, яким ФОПа засуджено фактично за створення ананімного хостингу, на якому іншими особами було розміщено ШПЗ у вигляді «троянів» та «кейлоггерів», які би викрадали та передавали власникам паролі від поштових скриньок та персональні дані «жертв». (https://reyestr.court.gov.ua/Review/98125869).
  
  

 

Стаття 361-2. Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або на носіях такої інформації. 

1. Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або на носіях такої інформації, створеної та захищеної відповідно до чинного законодавства, –

караються штрафом від двох тисяч до чотирьох тисяч неоподатковуваних мінімумів доходів громадян або позбавленням волі на строк до двох років.

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, –

караються позбавленням волі на строк від двох до п’яти років.

Стаття 361-2 КК України являється однією із найбільш часто застосовуваних «кіберстатей» чинного КК України. Так, саме за цією статтею притягують до відповідальності за так званий «продаж інформації», як із державних баз та реєстрів, так і конфіденційної і комерційної інофрмації.

Характерною особливістю даного злочину є його загальний суб’єкт, що означає можливість несанкціонованого збуту чи розповсюдження інофрмації не лише особою, яка є субєктом владних повноважень, а й будь-якої іншої особи, зокрема досить часто до відповідальності за ст. 361-2 КК України притягуються співробітники ДПС, банківських установ та їх спільники, які оганізовують цілі масові механізми по збуту такої інформації, що можемо вивчити у наступних вироках суду:

• Вирок Комінтернівського районного суду м. Харкова, яким особу засуджено за вчинення злочину, передбаченого ч. 1 ст. 361-2 КК України (https://reyestr.court.gov.ua/Review/93639586). Зазначеним вироком особу засуджено за збут інформації з обмеженим доступом, створювачем якої були митні органи. Характерною особливістю даного злочину є те, що засуджений не являвся працівником митниці та не був взагалі допущений до інформації, яку у подальшому збував.
• Вирок Жовтневого районного суду м. Дніпропетровська, яким колишнього співробітника ДФС засуджено за збут інформації з обмеженим доступом, до якої він мав допуск в силу займаної посади. (https://reyestr.court.gov.ua/Review/67186667).

 

Стаття 362. Несанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї. 

1. Несанкціоновані зміна, знищення або блокування інформації, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах чи комп’ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї, –

караються штрафом від двох тисяч до чотирьох тисяч неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років.

2. Несанкціоновані перехоплення або копіювання інформації, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або зберігається на носіях такої інформації, якщо це призвело до її витоку, вчинені особою, яка має право доступу до такої інформації, –

караються позбавленням волі на строк до трьох років з позбавленням права обіймати певні посади або займатися певною діяльністю на той самий строк.

3. 3. Дії, передбачені частиною першою або другою цієї статті, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, –

караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років.

Стаття 362 КК України має досить яскраві характерні особливості у об’єктивній стороні скоюваних злочинів. Так, склад злочину, передбачений ч. 1 досліджуваної статті   включає в себе несанкціоновані зміну, знищення або блокування інформації, вчинені спеціальним суб’єктом — особою, яка допущена до такої інформації. Часто такі дії вчиняються у ході корпоративних конфліктів та непорозумінь підлеглих та керівництва.

Натомість, склад злочину, передбачений ч. 2 досліджуваної статті передбачає відповідальність за несанкціоноване перехоплення або копіювання інформації, яка оброблюється в комп’ютерах із обов’язковою умовою витоку такої інформації та спеціальним суб’єктом — особою, яка має право доступу до такої інформації. Склад злочину, передбаченого ст. 362 КК України за формальними ознаками часто важко відмежувати від складу злочину, передбаченого ст. 361-1 КК України, що, із врахуванням віднесення ст. 362 КК України до тяжких злочинів, за вчинення якого передбачено покарання у вигляді позбавлення волі на строк до 6 років, потребує висококваліфікованої правової допомоги адвоката із розумінням специфіки кваліфікації дій особи, яка можливо буде притягнута до відповідальності за зазначені вище злочини.

Приклади протиправних дій продемонстровано у наступних вироках суду:

• Вирок Рівненського міського суду Рівненської області, яким працівника банківської установи засуджено за отримання неправомірної вигоди та незаконне копіювання інформації, що становить банківську таємницю (https://reyestr.court.gov.ua/Review/76581459).
• Вирок Індустріального районного суду м. Дніпропетровська, яким співробітника одного із поштових та фінансових операторів засуджено за несанкціоновану зміну інформації, яка оброблюється в автоматизованих системах, вчинені особою, яка має право доступу до неї, що призвело до привласнення засудженим грошових коштів підприємтсва у сумі 166 317,00 гривень.(https://reyestr.court.gov.ua/Review/100244109).
• Вирок Приморського районного суду м. Одеси, яким державного реєстратора засуджено за несанкціоновану зміну інформації, яка обробляється в автоматизованій системі Державного реєстру речових прав на нерухоме майно, результатом чого стало протиправне заволодіння виробничими потужностями підприємства (https://reyestr.court.gov.ua/Review/100257670).
  
  

Стаття 363. Порушення правил експлуатації електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку або порядку чи правил захисту інформації, яка в них оброблюється. 

1. Порушення правил експлуатації електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку або порядку чи правил захисту інформації, яка в них оброблюється, якщо це заподіяло значну шкоду, вчинені особою, яка відповідає за їх експлуатацію, –

караються штрафом від двох тисяч до чотирьох тисяч неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років з позбавленням права обіймати певні посади чи займатися певною діяльністю на той самий строк.

Стаття 363 КК України являється «кіберзлочином», який документується правоохоронцями надзвичайно рідко. Причиною такої ситуації є певна специфіка вчинення вказаного злочину, а саме те, що порушення правил експлуатації можуть бути здійснені лише на комп’ютерах, автоматизованих системах чи мережах із відповідним, встановленим чинним законодавством рівнем захисту інформації. Це означає, що у більшості випадків мережі чи автомтизовані системи із таким рівнем захисту інформації досить якісно захищені від порушень правил експлуатації та їх використання суворо регламентоване, у зв’язку з чим практика притягнення до відповідальності за вчинення злочину, передбаченого ст. 363 КК України наразі не напрацьована правоохоронними органами.  

 

Стаття 363-1. Перешкоджання роботі електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку шляхом масового розповсюдження повідомлень електрозв’язку. 

1. Умисне масове розповсюдження повідомлень електрозв’язку, здійснене без попередньої згоди адресатів, що призвело до порушення або припинення роботи електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, –

карається штрафом від двох тисяч до чотирьох тисяч неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років.

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, якщо вони заподіяли значну шкоду, –

караються обмеженням волі на строк до п’яти років або позбавленням волі на той самий строк, з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років.

За правовою конструкцією стаття 363-1 КК України передбачає відповідальність за цілий ряд протиправних дій в мережі — від «спаму» електронних листів, розсилок СМС-повідомлень до масових цілеспрямованих DDos-атак, які можуть паралізувати роботу майже будь-якого онлайн-ресурсу та нанести досить суттєву шкоду.

Так, обов’язковою умовою для формування даного складу злочину є настаття наслідків у вигляді порушення або припинення роботи електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, що має бути обов’язково зафіксовано у ході досудового розслідування.

В силу високого рівня анонімізації в мережі досліджуваний злочин досить рідко документується правоохоронцями, а також може вчинятись у сукупності із рядом як «кіберзлочинів», так і злочинів майнового характеру —  вимагання, шахрайства тощо.

Розглянемо приклад класичної DDos-атаки у даному вироку суду:

• Вирок Корольовського районного суд м. Житомира, яким особу засуджено за вчинення злочину, передбаченого ч. 1 ст. 363-1 КК України (https://reyestr.court.gov.ua/Review/80006556). Зазначеним вироком особу засуджено за масовове надсиланнія запитів на отримання зворотнього дзвінка «callback» та зворотнього зв’язку «feedback» web-сайту, що призвело до порушення його роботи.