Правовое регулирование ответственности за киберпреступления в Украине

Киберпреступность  – совокупность киберпреступлений.

Киберпространство  – среда (виртуальное пространство), предоставляющая возможности для осуществления коммуникаций и/или реализации общественных отношений, образованная в результате функционирования совместимых (соединенных) коммуникационных систем и обеспечения электронных коммуникаций с использованием сети Интернет и/или других глобальных сетей передачи данных.

Активное развитие кибертехнологий и ІТ-бизнеса в последние годы также активно побуждает и возможности для совершения преступлений онлайн и в сфере информационных технологий. Согласно вызовам ХХ века необходимо и учитывать имеющееся правовое регулирование таких правоотношений.

Так, еще в 2001 году Советом Европы была принята Конвенция о киберпреступности, которую Украина ратифицировала 07.09.2005 и стала основой для гармонизации национального законодательства в сфере киберпространства, которая актуальна и теперь.

Вместе с тем, в действующем Уголовном кодексе имеется «специализированный» раздел, определяющий ответственность за киберпреступления — Раздел XVI «Уголовные правонарушения в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей и сетей электросвязи» , состоящий из 6 статей:

1. ст. 361 – несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи;
2. ст. 361-1 – создание с целью использования, распространения или сбыта вредоносных программных или технических средств, а также их распространение или сбыт;
3. ст. 361-2 – несанкционированный сбыт или распространение информации с ограниченным доступом, хранящейся в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или на носителях такой информации;
4. ст. 362 – несанкционированные действия с информацией, которая обрабатывается в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или хранится на носителях такой информации, совершенные лицом, имеющим право доступа к ней;
5. ст. 363 – нарушение правил эксплуатации электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи или порядка или правил защиты обрабатываемой в них информации;
6. ст. 363-1 – препятствование работе электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи путем массового распространения сообщений электросвязи

А теперь давайте разберем каждую из указанных статей и предоставим комментарий адвоката с соответствующей специализацией:

Статья 361. Несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи.

1. Несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи, что привело к утечке, потере, подделке, блокированию информации, искажению процесса обработки информации или нарушению установленного порядка ее маршрутизации., 

– наказывается штрафом от шестисот до тысячи не облагаемых налогом минимумов доходов граждан или ограничением свободы на срок от двух до пяти лет, или лишением свободы на срок до трех лет, с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет или без такового.

2. Те же действия, совершенные повторно или по предварительному сговору группой лиц, или если они причинили значительный ущерб,

– наказываются лишением свободы сроком от трех до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью сроком до трех лет.

Примечание. Значительным вредом в статьях 361-363-1, если он заключается в причинении материального ущерба, считается такой ущерб, который в сто и более раз превышает не облагаемый налогом минимум доходов граждан.

Так, состав преступления, предусмотренного ст. 361 УК Украины, устанавливает ответственность за так называемый «взлом» или «хакинг» конкретных компьютеров, автоматизированных систем и компьютерных сетей. Указанное преступление имеет материальный состав, что означает возможность наступления уголовной ответственности только при наступлении конкретных последствий — утечки, потери, подделки, блокирования информации, искажения процесса обработки информации или к нарушению установленного порядка ее маршрутизации, при этом причинение вреда в виде материальных потерь или ущерба. является обязательным квалифицирующим признаком квалификации действий лица по ч. 1 в. 361 УК Украины. Такие квалифицирующие признаки как совершение преступления повторно или по предварительному сговору группой лиц или причинение значительного ущерба (который для всех преступлений, указанных в Разделе XVI определяется размером сто и более не облагаемых налогом минимумов граждан) являются обязательными для образования в действиях лица состава преступления, предусмотренного ч. 2 ст. 361 УК Украины.

В то же время, практика демонстрирует, что киберпреступления чаще всего совершаются в совокупности с другими преступлениями, прежде всего против собственности и против прав и свобод человека, что и рассмотрим на примерах:

• Приговор Луцкого горрайонного суда Волынской области, которым лицо осуждено за совершение преступлений, предусмотренных ч.2 ст.185 – кража; ч.1 ст.357 – похищение и присвоение официальных документов по корыстным мотивам; ч.1, ч.2 ст.361 — несанкционированное вмешательство в работу автоматизированной системы, что привело к утечке, подделке информации и нарушению установленного порядка ее маршрутизации; ч.1, ч.2 ст.182 – незаконное хранение, использование конфиденциальной информации о лице; ч.2 ст.190 УК Украины — мошенничество ( https://reyestr.court.gov.ua/Review/100321832 ). Проанализировав этот приговор, можем понять, что киберпреступление в данном контексте является составной частью плана, целью которого является противоправное завладение чужим имуществом и денежными средствами.
  
  
• Приговор Киево-Святошинский районный суд Киевской области, которым лицо осуждено за совершение преступления, предусмотренного ч. 2 ст. 361 УК Украины ( https://reyestr.court.gov.ua/Review/92922928 ). Данный приговор «демонстрирует» еще одну довольно популярную схему совершения киберпреступления — так называемое «киберрейдерство», когда должностные лица, уполномоченные на внесение изменений в государственные реестры прав собственности и юридических лиц, вносят в них ложные сведения, которые дают их сообщникам возможность противоправного завладения. имуществом, и целыми предприятиями, что требует немедленной и профессиональной помощи адвоката с соответствующей квалификацией.

Статья 361-1. Создание с целью использования, распространения или сбыта вредоносных программных или технических средств, а также их распространение или сбыт. 

1. Создание с целью использования, распространения или сбыта, а также распространение или сбыт вредоносных программных или технических средств, предназначенных для несанкционированного вмешательства в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи;

– наказываются штрафом от двух тысяч до четырех тысяч не облагаемых налогом минимумов доходов граждан или исправительными работами на срок до двух лет, или лишением свободы на тот же срок.

2. Те же действия, совершенные повторно или по предварительному сговору группой лиц, или если они причинили значительный ущерб, 

– наказываются лишением свободы сроком до пяти лет.

Статьей 361-1 УК Украины предусмотрена ответственность за создание, сбыт, распространение так называемого «вредоносного программного обеспечения», то есть данная статья является хакерской «классикой». 
Что можно отнести к указанным программным продуктам и как отличить их от обычного ПО?

К сожалению, законодатель четко не определил перечень и способы отнесения софта к ШПЗ, поэтому в каждом конкретном случае необходимо проводить соответствующую судебную компьютерно-техническую экспертизу, а такая правовая неопределенность создает возможность давления на разработчиков ПО. В то же время, чрезвычайно важно определение назначения исследуемого софта, а именно создание его для несанкционированного вмешательства в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи.

А теперь давайте рассмотрим, за что конкретно суды привлекают к ответственности по изучаемой статье УК Украины:

• Приговор Винницкого городского суда Винницкой области, которым лицо осуждено за совершение преступления, предусмотренного ч. 1 ст. 361-1 УК Украины ( https://reyestr.court.gov.ua/Review/99190754 ). Указанный приговор осужден за разработку и распространение программного продукта, который имитирует почтовый клиент и направлен на массовую рассылку и получение доступа к информации почтовых сервисов. Так, ШПЗ данного вида может использоваться в широком спектре противоправной деятельности — от несанкционированного доступа к чувствительной конфиденциальной информации, промышленного шпионажа до похищения данных доступа в банковские системы и последующего завладения средствами со счетов.
  
  
• Приговор Подольского районного суда г. Киева, которым ФЛП осужден фактически за создание анонимного хостинга, на котором другими лицами был размещен ШПЗ в виде «троянов» и «кейлоггеров», которые похищали и передавали владельцам пароли от почтовых ящиков и персональные данные «жертв» . ( https://reyestr.court.gov.ua/Review/98125869 ).
  
  

 

Статья 361-2. Несанкционированный сбыт или распространение информации с ограниченным доступом, хранящейся в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или на носителях такой информации. 

1. Несанкционированный сбыт или распространение информации с ограниченным доступом, хранящейся в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или на носителях такой информации, созданной и защищенной в соответствии с действующим законодательством, 

– наказываются штрафом от двух тысяч до четырех тысяч не облагаемых налогом минимумов доходов граждан или лишением свободы на срок до двух лет.

2. Те же действия, совершенные повторно или по предварительному сговору группой лиц, или если они причинили значительный ущерб, –

– наказываются лишением свободы на срок от двух до пяти лет.

Статья 361-2 УК является одной из наиболее часто применяемых «киберстатей» действующего УК Украины. Да, именно по этой статье привлекают к ответственности за так называемую «продажу информации», как из государственных баз и реестров, так и конфиденциальной и коммерческой информации.

Характерной особенностью данного преступления является его общий субъект, что означает возможность несанкционированного сбыта или распространения информации не только лицом, являющимся субъектом властных полномочий, но и любого другого лица, в частности, довольно часто к ответственности по ст. 361-2 УК Украины привлекаются сотрудники ГНС, банковских учреждений и их сообщники, которые опосредуют целые массовые механизмы по сбыту такой информации, что можем изучить в следующих приговорах суда:

• Приговор Коминтерновского районного суда г. Харькова, которым лицо осуждено за совершение преступления, предусмотренного ч. 1 ст. 361-2 УК Украины ( https://reyestr.court.gov.ua/Review/93639586 ). Указанным приговором лицо осуждено за сбыт информации с ограниченным доступом, создателем которой являлись таможенные органы. Характерной особенностью данного преступления является то, что осужденный не являлся работником таможни и вообще не был допущен к информации, которую в дальнейшем сбывал.
  
  
• Приговор Октябрьского районного суда г. Днепропетровска, которым бывший сотрудник ГФС осужден за сбыт информации с ограниченным доступом, к которой он имел допуск в силу занимаемой должности. ( https://reyestr.court.gov.ua/Review/67186667 ).

 

Статья 362. Несанкционированные действия с информацией, обрабатываемой в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или хранящейся на носителях такой информации, совершенные лицом, имеющим право доступа к ней. 

1. Несанкционированные изменения, уничтожения или блокировка информации, обрабатываемой в электронно-вычислительных машинах (компьютерах), автоматизированных системах или компьютерных сетях или хранящейся на носителях такой информации, совершенные лицом, имеющим право доступа к ней, 

– наказываются штрафом от двух тысяч до четырех тысяч не облагаемых налогом минимумов доходов граждан или исправительными работами на срок до двух лет.

2. Несанкционированные перехваты или копирование информации, которая обрабатывается в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или хранится на носителях такой информации, если это привело к ее утечке, совершены лицом, имеющим право доступа к такой информации ,

– наказываются лишением свободы сроком до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на тот же срок.

3. Действия, предусмотренные частью первой или второй настоящей статьи, совершены повторно или по предварительному сговору группой лиц, или если они причинили значительный ущерб, 

– наказываются лишением свободы сроком от трех до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью сроком до трех лет.

Статья 362 УК имеет достаточно яркие характерные особенности в объективной стороне совершаемых преступлений. Так, состав преступления, предусмотренный ч. 1 изучаемой статьи включает в себя несанкционированные изменения, уничтожение или блокирование информации, совершенные специальным субъектом – лицом, допущенным к такой информации. Часто такие действия совершаются в ходе корпоративных конфликтов и недоразумений подчиненных и руководства.

Состав преступления, предусмотренный ч. 2 изучаемой статьи, предусматривает ответственность за несанкционированный перехват или копирование информации, обрабатываемой в компьютерах с обязательным условием утечки такой информации и специальным субъектом — лицом, имеющим право доступа к такой информации. Состав преступления, предусмотренного ст. 362 УК Украины по формальным признакам часто трудно отграничить от состава преступления, предусмотренного ст. 361-1 УК Украины с учетом отнесения ст. 362 УК Украины к тяжким преступлениям, за совершение которого предусмотрено наказание в виде лишения свободы сроком до 6 лет, требует высококвалифицированной правовой помощи адвоката с пониманием специфики квалификации действий лица, которое возможно будет привлечено к ответственности за указанные выше преступления.

Примеры противоправных действий продемонстрированы в следующих приговорах суда:

• Приговор Ровенского городского суда Ровенской области, которым работник банковского учреждения осужден за получение неправомерной выгоды и незаконное копирование информации, составляющей банковскую тайну ( https://reyestr.court.gov.ua/Review/76581459 ).
• Приговор Индустриального районного суда г. Днепропетровска, которым сотрудник одного из почтовых и финансовых операторов осужден за несанкционированное изменение информации, обрабатываемой в автоматизированных системах, совершены лицом, имеющим право доступа к ней, что привело к присвоению осужденным денежных средств предприятия в сумме 166 3 ,00 гривен. ( https://reyestr.court.gov.ua/Review/100244109 ).
• Приговор Приморского районного суда г. Одессы, которым государственный регистратор осужден за несанкционированное изменение информации, обрабатываемой в автоматизированной системе Государственного реестра прав на недвижимое имущество, результатом чего стало противоправное завладение производственными мощностями предприятия ( https://reyestr.court.gov.ua /Review/100257670 ).
  
  

Статья 363. Нарушение правил эксплуатации электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи или порядка или правил защиты обрабатываемой в них информации. 

1. Нарушение правил эксплуатации электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи или порядка или правил защиты обрабатываемой в них информации, если это причинило значительный вред, причиненные лицом, отвечающим за них эксплуатацию, 

– наказываются штрафом от двух тысяч до четырех тысяч не облагаемых налогом минимумов доходов граждан или ограничением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на тот же срок.

Статья 363 УК Украины является «киберпреступлением», документируемым правоохранителями чрезвычайно редко. Причиной такой ситуации является специфика совершения указанного преступления, а именно то, что нарушения правил эксплуатации могут быть совершены только на компьютерах, автоматизированных системах или сетях с соответствующим, установленным действующим законодательством уровнем защиты информации. Это означает, что в большинстве случаев сети или автоматизированные системы с таким уровнем защиты информации достаточно качественно защищены от нарушений правил эксплуатации и их использование строго регламентированы, в связи с чем практика привлечения к ответственности за совершение преступления, предусмотренного ст. 363 УК Украины не наработана правоохранительными органами.  

 

Статья 363-1. Предотвращение работы электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи путем массового распространения сообщений электросвязи. 

1. Умышленное массовое распространение сообщений электросвязи, осуществленное без предварительного согласия адресатов, повлекшее нарушение или прекращение работы электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи, 

наказывается штрафом от двух тысяч до четырех тысяч не облагаемых налогом минимумов доходов граждан или ограничением свободы на срок до трех лет.

2. Те же действия, совершенные повторно или по предварительному сговору группой лиц, если они причинили значительный ущерб, 

– наказываются ограничением свободы сроком до пяти лет или лишением свободы на тот же срок, с лишением права занимать определенные должности или заниматься определенной деятельностью сроком до трех лет.

По правовой конструкции статья 363-1 УК Украины предусматривает ответственность за ряд противоправных действий в сети — от «спама» электронных писем, рассылок СМС-сообщений до массовых целенаправленных DDos-атак, которые могут парализовать работу почти любого онлайн-ресурса и нанести достаточно существенный вред.

Так, обязательным условием для формирования данного состава преступления является следствие последствий в виде нарушения или прекращения работы электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи, что должно быть обязательно зафиксировано в ходе досудебного расследования.

В силу высокого уровня анонимизации в сети исследуемое преступление достаточно редко документируется стражами порядка, а также может совершаться в совокупности с рядом как «киберпреступлений», так и преступлений имущественного характера — вымогательства, мошенничества и т.д.

Рассмотрим пример классической DDos-атаки в данном приговоре суда:

• Приговор Королевского районного суда г. Житомира, которым лицо осуждено за совершение преступления, предусмотренного ч. 1 ст. 363-1 УК Украины ( https://reyestr.court.gov.ua/Review/80006556 ). Указанным приговором лицо осуждено за массовую отправку запросов на получение обратного звонка «callback» и обратной связи «feedback» web-сайта, что привело к нарушению его работы.