информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Страшный баг в WindowsSpanning Tree Protocol: недокументированное применениеПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / закон / статьи
ЗАКОН
главная
обозрение
статьи
форум
рассылка
free soft





И снова кризис жанра


Чем только не занимаются люди! Параллельно большому миру, в котором живут большие люди и большие вещи, существует маленький мир с маленькими людьми и маленькими вещами.

И.Ильф, Е.Петров "Золотой теленок"

Знакомясь со сравнительно скудным набором нормативных актов, посвященных информатике вообще и компьютерам в частности, довольно трудно избавиться от проведения параллелей с текстом, фрагмент из которого вынесен в эпиграф. Причиной тому -- не столько мое подсознание, сколько то слегка снисходительное отношение, которое наблюдается как со стороны официальных инстанций, пытающихся взять все, да и урегулировать, так и в рядах ламеров, чайников, хакеров и прочей сетевой общественности, взирающей на эти попыт ки как кот из крыловской басни, который слушает, да ест. (Вот заодно, кстати, границы миров и обозначились...) Отсюда -- эпиграфы и общий тон изложения: не люблю наступать на горло собственной песне.

...Ильф и Петров строки эти писали довольно давно, но отличительной особенностью любого классического произведения является его актуальность независимо от правящего режима, эпохи и того, чем вообще занимаются люди. В большом мире -- пишут "Мертвы е души" и программы с удивительно ласковыми названиями: "Верба", "Титан", "Аккорд"[1]... Неблагодарные обитатели мира маленького программы эти игнорируют, предпочитая Diskreet с PGP. Да и от других высоких материй (в частности, законов, указов и постановлений) мир этот весьма далек. Сказал же кто-то из древних, что хороший закон -- тот, существования которого люди не замечают, -- вот они и не замечают...

Такое откровенное разделение на компьютерный истеблишемент и простых смертных ведет свое начало, несомненно, еще с застойных времен, как, впрочем, и все то, что в отечественном праве носит название "защиты информации". Но тогда, по крайней мере, так было принято... А по какой причине обломки былого официоза живы по настоящий момент, я, честно говоря, понять затрудняюсь...

Однако, вопрос о шифровании понадобился мне не для того, чтобы внести в его обсуждение свой скромный вклад (впрочем, и для этого тоже) -- просто подобная участь ожидает на практике любой нормативный акт, составители которого, мягко говоря, не позаботи лись о его выполнении. А на стыке двух миров могут происходить чудеса и похлеще. Для того, чтобы это понять, не надо читать ни Стругацких, ни Стивена Кинга -- теперь у нас есть новый УК.

Но прежде, чем перейти к разбору самого кодекса, нужно, по-моему, сделать небольшое отступление, посвященное правоприменительной практике вообще.

О судебой практике

Дело помощи утопающим -- дело рук самих утопающих.

И.Ильф, Е.Петров "Двенадцать стульев"

Законы, как мы помним, принимают для того, чтобы они исполнялись. А вот само исполнение регулируется более детально подзаконными нормативными актами -- постановлениями и инструкциями, принимаемыми на уровне министерств. Из-за этого часто возникает ситуац ия принятия законов, которые на практике просто игнорируются -- из-за отсутствия соответствующих министерских инструкций. Отдельные чиновники так и говорят, открытым текстом: нам закон не указ, а вот выйдет указ министра -- будем выполнять.

Я не говорю уже о Конституции, которая вроде бы является непосредственно действующей. На практике например, призывник, подавший в военкомат заявление о своих убеждениях, не позволяющих ему служить в армии, в одном случае остается дома -- ждать приняти я закона, в соответствии с которым он мог бы пройти альтернативную службу, а в другом -- идет в армию из-за отсутствия этого самого закона (последнее -- гораздо чаще). Механика исполнения нормативного акта достаточно сложна и запутана. Механика его неисп олнения гораздо проще: просто не укажите, кто должен этим заниматься или, например, забудьте упомянуть о мерах ответственности за нарушение -- и дело в шляпе.

С УК ситуация принципиально иная -- его применяют всегда. Для этого никаких подзаконных актов, вроде бы, не нужно -- практика его исполнения уже сложилась. Но при рассмотрении уголовных дел судами кроме самого кодекса применяются многочисленные постан овления пленума Верховного суда РФ, которые, не являясь формально источниками права, тем не менее дают определение тех понятий, которые не определены в законе, а также разъяснение вопросов, возникающих при применении Кодекса. Надо ли говорить, что для ко мпьютерных преступлений таких постановлений еще нет?.. А появятся они только тогда, когда дело о таком преступлении после рассмотрения в суде первой инстанции дойдет в порядке кассационного или надзорного производства до ВС.

Ну, а раз уж никаких разъяснений не существует, то каждый судья может, в принципе, пользоваться при работе своими собственными, а также тем скудным набором нормативных актов, которые уже существуют и применяются в основном в организациях. Ну и конечно , есть научные работы, разного рода комментарии и разъяснения, учебники, наконец. Силы закона они, разумеется, не имеют, но куда судьи и следователи чаще всего будут заглядывать, ясно, -- в комментарий к УК. Печатному слову человек вообще склонен доверять больше, чем чьему-то мнению, пусть даже и обоснованному, но произнесенному устно. Хотя юридическую силу они имеют одинаковую -- то есть, не имеют никакой[2]. Но в случае с компьютерными преступлениями (которых, напомню, ни в одном из предыдущих кодексов в помине не было) существующих нормативных актов для того, чтобы получить полное представление обо всех ситуациях, могущих возникнуть при реализации норм УК, на мой взгляд, маловато. Да и прецедентов тоже пока нет... Очень многие работы иногда просто противоречат друг другу. Исход дела может зависеть буквально от того, какой комментарий попадет в руки судьи. Сами понимаете, стабильности и определенности в рассмотрение дел это никоим образом не прибавляет.

Разумеется, остается возможность обжалования приговора, но на практике ею, во-первых, пользуется далеко не каждый, а во-вторых, даже подозрение в совершении преступления доставляет человеку определенные неприятности -- от подписки о невыезде до СИЗО[3]. И если в вашем компьютере покопается милиция, радость предстоящего освобождения из-под стражи в зале суда "за отсутствием состава преступления" будет, я думаю, сильно омрачена. Поэтому при написании статьи пришлось исходить не из того, как долже н применяться УК, а из того, как он может и, скорее всего, будет применяться[4]. Каждый, кто сталкивался с нашими органами, знает или, по крайней мере, догадывается, что разница между этими вещами есть, и немалая.

А сейчас -- обещанный разбор полетов. Постатейно.

Статья 272

Стараясь не запачкаться о голого, Остап подошел к двери, сунул в щель американского замка длинный желтый ноготь большого пальца и осторожно стал поворачивать его справа налево и сверху вниз.

И.Ильф, Е.Петров "Двенадцать стульев"

Бендера, который хакнул эту дверь, можно считать одним из первых прототипов современных компьютерных нелегалов, а Ильфа с Петровым -- первыми идеологами хакерства. Будут называть фамилию "Гибсон" -- не верьте: хакерство, наряду с радио и пар овозом тоже изобретено русскими. А вот лекарство от хакерства, изобретенное русскими, содержится в УК, занимая там всего одну статью. Классики писали обстоятельнее.

Прежде всего нужно сказать, что не всякий взлом попадает под действие этой статьи. Если будет доказано, что он совершен с определенными преступными намерениями, то лицо подлежит ответственности по статье, предусматривающей наказание за эти самые намер ения. А если цели преступник не достиг -- то за покушение на преступление. Выражаясь юридическим языком, при квалификации действий преступника будет иметь место конкуренция уголовно-правовых норм -- ситуация, при которой одно и то же преступление охватыв ается двумя и более статьями УК. В такой ситуации применяться будет та статья, которая с большей полнотой описывает признаки совершенного деяния.

Неправомерный доступ, таким образом, должен выступать как средство совершения другого преступления. Это же правило применяется и в случае с 273 и 274 статьями. Так что использование поддельного номера кредитки в виртуальном магазине -- это чистейшей в оды мошенничество, а проникновение в банковский компьютер с целью перевода на свой счет энной суммы -- кража. И так далее. По статьям двадцать восьмой главы УК действия лица могут быть квалифицированы только тогда, когда они направлены непосредственно на компьютерную информацию. Правда такие деяния, скорее всего, будут рассматриваться как совокупность преступлений -- соответствующий состав плюс двести семьдесят третья статья. Тоже выход. Если, разумеется, доступ к информации не охватывается определением соответствующего состава: например, взлом провайдера может быть квалифицирован по ст. 165 (Причинение имущественного ущерба путем обмана или злоупотребления доверием), поскольку объектом преступления в данном случае является не конкретная информация, а услуга по доступу к Интернет.

Есть, правда, и другая точка зрения -- когда компьютерным считается любое преступление, совершенное с помощью или при участии, как говорят в кругах, близких к академическим, "сабжа". На мой взгляд, она обречена на постепенное умирание, так к ак была распространена еще при старом Кодексе[5], да и тогда бесспорной не была. Правда, и сейчас она высказывается довольно часто, но это, скорее, стоит отнести на счет того, что укоренившиеся идеи вообще неохотно сдают пози ции...

Под неправомерным доступом в уголовном праве, скорее всего будут пониматься любые действия с информацией, не разрешенные ее законным пользователем. Существует, правда, руководящий документ Гостехкомиссии РФ под названием "Защита от несанкциониров анного доступа к информации. Термины и определения"[6], но во-первых, он не обязателен к применению в уголовном судопроизводстве, так как принят не пленумом Верховного суда, а во-вторых для уголовного судопроизводства он вообще непригоден, ибо определяет НСД как "доступ к информации, нарушающий правила разграничения доступа". Правила такие существуют, разумеется, только для организаций и вычислительных центров.

Вдобавок, и легитимного (то есть, данного в законе) определения пользователя информации тоже не существует. В том же руководящем документе есть, правда, понятие "субъект доступа", но под ним понимается "лицо или процесс, действия которы х регламентируются правилами разграничения доступа", -- та же история. Существует близкое по смыслу понятие "собственник информации" , определенное в статье 10 закона "О государственной тайне". Правда, не слишком вразумительное: под собственником понимается предприятие, учреждение, организация или гражданин, "в собственности которого находится информация[7]". Еще можно вспомнить статьи 139 и 150 Гражданского кодекса, в которых говорится соответственно о служебной и коммерческой тайне и нематериальных благах (в число которых входит личная и семейная тайна). Однако, все это -- только бли зкие по смыслу статьи, которые писались для других целей и других отраслей права.

Еще один из больных вопросов -- можно ли привлечь к ответственности за простое ознакомление с информацией, когда преступник не копирует ее, не уничтожает, не блокирует и не модифицирует, а просто выводит на экран и читает. Исходя из общего смысла стат ьи и понятия неправомерного доступа[8], это должно караться. Но в тексте статьи ответственность за ознакомление с данными прямо не предусмотрена, что дает повод авторам некоторых работ утверждать, что оно не попадает под опре деление неправомерного доступа. Другие пишут, что попадает -- не приводя никаких аргументов. Но хитрее всего вопрос был решен так: об ознакомлении с информацией не было сказано ни слова, зато в отдельный абзац была вынесена фраза: "Представляется, ч то определением неправомерного доступа может охватываться также и разглашение информации" (или что-то вроде этого -- цитирую по памяти)[9]. Попробую высказать свое мнение, об аргументированности которого судите сами.

Если порыться в близлежащих нормативных актах, которых не так уж и много, то в законе "О правовой охране программ для электронных вычислительных машин и баз данных"[10] можно обнаружить определение понятия " воспроизведение", которое в сущности эквивалентно копированию (термин "копирование" в этом законе не используется). Под воспроизведением программы для ЭВМ или базы данных понимается "изготовление одного или более экземпляров программы для ЭВМ и ли базы данных в любой материальной форме, а также их запись в память ЭВМ". Вот эта самая "запись в память ЭВМ" и происходит, когда злоумышленник читает файл с экрана.

Таким образом, просмотр информации полностью попадает под определение воспроизведения, а следовательно, и копирования. Но -- только в том случае, если пользоваться вышеуказанным законом. С другой стороны, отсутствие в тексте статьи упоминания об ознак омлении с информацией как раз и может служить косвенным свидетельством того, что при конструировании этого состава законодатель исходил из понимания копирования близким к "воспроизведению[11]".

С упомянутым законом связано еще одно обстоятельство, которое вполне может вызвать трудности при применении УК. Нормативные акты, как известно, действуют не по отдельности, а в системе. Тот их набор, который уже существует и рядом с которым стоит Угол овный кодекс, далеко не полон. А один из основных законов -- "О правовой охране программ для электронных вычислительных машин и баз данных" вообще рассчитан на охрану имущественных прав автора программы. Применение его в принципиально иной отра сли права может оказаться просто опасным. Тем не менее, использоваться он будет, хотя бы потому, что это -- закон и многие ключевые понятия компьютерного права содержатся только в нем. Других нет.

Еще один больной вопрос -- что считать уничтожением информации. Как известно, после использования стандартных средств, таких, как F8 в клонах Norton Commander'а или "del" в MS-DOS, файл можно восстановить, а для истинного уничтожения требует ся что-нибудь более серьезное типа Wipeinfo. Но, несмотря на то, что файл сохраняется на диске, на его место могут быть записаны другие данные, поскольку это место считается свободным. Таким образом, подобные действия стоят между модификацией информации и ее уничтоже нием -- вопрос в том, к чему их причислить. (Вообще-то статья 272 предусматривает ответственность за сам неправомерный доступ к информации, а не за наступившие последствия, но от последствий может зависеть тяжесть наказания, так что вопрос принципиальный .)

...В судебной практике обычно никто не вдается в технические подробности, которые приведены выше. Действует простой общий принцип: под причинением преступных последствий понимаются любые действия, в результате которых при нормальном течении событий эт и последствия наступают. Так что в случае псевдоуничтожения информации, на мой взгляд, действия эти следует квалифицировать как уничтожение: преступник, выполняя действия с информацией, сознает, что при нормальной работе компьютера на ее место, скорее вс его, будет записано что-либо другое. Умысел на уничтожение можно считать доказанным и квалификацию проводить по его направленности.

Статья 273

Я пишу, ты пишешь, он пишет, она, оно пишет.
И.Ильф, Е.Петров "Золотой теленок".

Начав рассматривать вопрос о вредоносных программах, неплохо было бы узнать, что такое программа вообще, тем более, что в самой статье это, конечно же, не определено. Вопрос о том, что в уголовном праве должно считаться вредоносной программой и, следо вательно, караться, на мой взгляд, довольно важен: коллекции вирусов собираются компьютерщиками довольно часто, а творения ребят из NuKe можно найти даже на www.shareware.com.

До тех пор, пока Верховный суд не дал определения, на практике можно либо пользоваться своим, либо искать его в каком-нибудь близлежащем законе. Наиболее вероятный кандидат на роль "какого-нибудь" называется "О правовой охране программ для электронных вычислительных машин и баз данных"[12]. Но если использовать его, то под определение попадут исходные тексты, а также другие, как написано в статье 1 Закона, "подготовительные материалы" (под к оторыми понимать можно все, что угодно -- вплоть до схем вида: "вирус- пишет- себя- в- конец- файла- и- на- него- передается- управление- при- запуске- программы- etc- etc- etc").

Впрочем, не спешите стирать с дисков свои виварии: для того, чтобы окончательно под это определение попасть, подготовительные материалы должны быть получены в ходе разработки программы, как того требует та же статья того же закона. Причем доказать пос ледний факт нужно будет органам следствия -- из-за известной всем презумпции невиновности. Вдобавок, понятие "программа" охватывает еще и "порождаемые ею аудиовизуальные отображения" ("Вставьте 10 долларов в дисковод А:!").

Совершенно ясно, что определение, рассчитанное прежде всего на охрану имущественных интересов создателя программы, будучи перенесенным в сферу действия принципиально иной отрасли права, работать в ней просто не будет. А другого пока нет... Да и вряд л и оно появится. Способов как-то повлиять на ситуацию так, чтобы исключить использование в уголовном судопроизводстве определения из закона "О правовой охране..." или, скажем, побудить Верховный Суд дать разъяснение, исключив из понятия программ ы исходники, я, честно говоря, не вижу.

...Для автора, написавшего программу и захотевшего извлечь из этого прибыль, основное значение имеет ее исходный текст. С точки же зрения уголовного права написание исходного текста вируса -- подготовительный этап к тому, чтобы причинить вред потерпев шему, причем в подавляющем большинстве случаев сам текст этого сделать не может: его надо откомпилировать. Отдельный разговор -- об интерпретируемых программах и макросах типа вордовских[13], но лучше, по-моему, установить и сключение из одного правила, чем применять другое, пригодность которого под сомнением. Однако, в большинстве виденной мной литературы говорилось как раз о том, что исходные тексты попадают под определение вредоносной программы. При этом определение брало сь, естественно, из закона "О правовой охране..."

Конечно, наличие подобных "материалов" может служить свидетельством намерения совершить преступление, но по общему правилу, обнаружение умысла не карается -- то есть, пока не началась непосредственная подготовка к преступлению, лицо наказано быть не м ожет[14]. А тексты вирусов вполне можно использовать при обучении программированию и создании антивирусных программ. Кроме того -- в некоторых программах используются те же принципы функционирования, что и у вирусов. Наприме р, в одной из статей в "Компьютерре"[15] описана программа, работающая так же, как сетевые "черви" и используемая для демонстрации недостатков стандарта шифрования. К тому же, подобные программы может исп ользовать и законный владелец информации при утере пароля и уже одно это служит оправданием их существованию. Хотя, с другой стороны, обычные инструменты для совершения преступления не способны к самостоятельным действиям, в отличие от вируса и поэтому к созданию и распространению последних, возможно, следует относиться с большей строгостью. В общем, вопрос открытый...

Основная особенность первой части статьи -- независимость ответственности от целей, которые преследует преступник и наступивших последствий. Выражаясь юридическим языком, это -- формальный состав. Вирусы, таким образом, просто приравнены к вещам, огра ниченным в обороте -- оружию, наркотикам, взрывчатым веществам.

Но из того, что программа способна выполнять определенные действия, еще не следует, что действия эти -- несанкционированные: если пользователь сознательно запускает вирус, то тем самым разрешает его работу. (Надеюсь, никто не будет спорить с тем, что человек вправе причинять вред себе и своему имуществу при условии, что это не затрагивает интересов других лиц?) Именно благодаря этой особенности перед подозреваемым открывается возможность доказать свою невиновность. В самом деле, другие вещи, ограниче нные в обороте, имеют способствовавшие этому объективные признаки. А вот несанкционированность каких-либо действий сама по себе субъективна. Разрешил пользователь эти самые действия -- они санкционированные. Ну а нет -- извините... То есть, когда человек имеет исходник вируса -- он заведомо знает обо всех его функциях, а значит, состава преступления нет. Вдобавок, статья предусматривает ответственность за программы, выполняющие несанкционированные действия заведомо для преступника, а не способные на это в потенциале. Если четко разделить между собой эти понятия, то получится, что в объективную сторону состава должно входить не только написание кода, но и действия, направленные на реализацию его деструктивных возможностей -- скажем, помещение программы, зараженной вирусом, на BBS[16]...

Но уж если будет дано официальное определение, под которое попадут и исходники, то основная масса коллекционеров вирусов скорее всего, просто сотрут накопленное и перейдут на что-нибудь менее криминогенное. А вот кто действительно может пострадать -- так это тот, кто на свою голову вздумал зарабатывать на жизнь написанием антивирусов. Если автор антивирусной программы захочет испытать свое детище в боевых условиях, ему придется заручиться лицензией, выданной Государственной технической комиссией при Пре зиденте РФ. До тех пор, пока точка зрения, высказанная мною в предыдущем параграфе не возобладала на практике, большинство правоприменителей считает, что работать с "живыми" вирусами можно только при наличии соответствующей лицензии.

С лицензированием написания программ вообще дело темное. Сначала оно устанавливалось Положением о государственном лицензировании деятельности в области защиты информации[17], утвержденном решениями Государственной техниче ской комиссии при Президенте и ФАПСИ, в соответствии с которым сертификации подлежали любые средства защиты информации, под определение которых попадали, разумеется, и антивирусы -- в первом приложении к этому документу упоминаются "программные сред ства защиты информации". Но затем Государственной Думой 16 сентября 1998 года был принят федеральный закон "О лицензировании отдельных видов деятельности"[18], в восемьнадцатой статье которого устанавливается, что введение лицензирования каких-либо видов деятельности может вводиться только путем изменения этого самого закона. А все ранее действовавшие нормативные акты о лицензировании теперь применяются в той части, которая не противоречит закону. То есть, пр о Положение можно забыть и руководствоваться исключительно законом, а в нем разработка шифровальных средств не упоминается вовсе.

Есть там деятельность по распространению шифровальных средств и их техническому обслуживанию, есть предоставление услуг в области шифрования информации... Все. Неясно, причисляет ли законодатель разработку к распространению, но, тем не менее, лицен зии на нее продолжают выдаваться, не исключено, по той же самой причине, по которой соблюдается еще отмененный четвертый пункт Указа #334. Привычка, говорят, вторая натура[19]...

Крупные фирмы -- производители антивирусов, лицензии, разумеется, получат, если уже не получили. А вот как быть фирмам мелким и частным лицам? Остается только нарушать закон... Разумеется, обнаружить это будет практически невозможно, если программист хоть чуть-чуть позаботился о заметании следов. Но дело в другом: закон, который должен, казалось бы, подкрепить уже сложившуюся практику написания и распространения программ, просто ее игнорирует. Правда, если не удастся доказать, что программист действи тельно использовал вирусы, ничего кроме "необходимых мер" ему не грозит[20].)

Но отсутствие определения программы, пригодного для практического использования -- не самое худшее. А вот того, что написано пером, уже не вырубить... Это я о тексте статьи, -- своя ложка дегтя нашлась и там. Перечитайте внимательно первую ее часть. Д о слов: "машинных носителей с такими программами" -- вот на них и остановимся. Если кодекса у вас под рукой нет, сообщаю: введя в текст упоминание о машинных носителях, законодатель приравнял их к самим вредоносным программам -- со всеми вытека ющими отсюда последствиями.

Для чего это было сделано -- не понимаю. Вероятно, для того, чтобы жизнь компьютеровладельца не казалась ему той самой бочкой меда. Ведь ответственность теперь может наступить не только за программу, но и за действия с дискетами, компактами и прочими носителями, на которых эта программа записана. Думаете, это одно и то же? Отнюдь.

Разумеется, состава преступления не будет в случае, когда лицо не знало и не могло знать о том, что на носителе записана зараженная программа -- из-за отсутствия вины; и если лицо могло или должно было знать о вирусе -- в этом случае действия его буду т признаны совершенными по неосторожности, а статья 273 предусматривает ответственность только при умышленной форме вины. Но уж если будет установлено, что лицо знало о том, что программа заражена и, тем не менее, пользовалось носителем, ответственности оно подлежит. Но, разобравшись, можно увидеть, что и в этом случае возможно несколько причин для этого.

Во-первых -- желание причинить вред с помощью программы. Тут все ясно -- преступник передает жертве например, дискету, в рассчете на то, что вредоносная программа будет запущена. Необходимость ответственности за такие действия сомнений не вызывает.

Во-вторых -- лицо может не желать причинения вреда и пользоваться носителем не ради вируса, а ради других программ, записанных на нем же -- на компакт-диске их могут содержаться сотни[21]. Казалось бы, ничего страшного не т -- пользуйся на здоровье, не запускай только вирус. Но из-за того, что носители приравнены к программам, их использование также влечет за собой уголовную ответственность.

На первый взгляд, бред: не должны караться действия, не ставящие целью причинение вреда. Но одной из особенностей статьи 273 является то, что для ответственности по ней вообще не требуется преследовать какие-либо цели или желать наступления каких-то п оследствий. Использование или распространение носителя -- уже основание для ответственности. Вдобавок, если мы вернемся назад, к вопросу о причинах, побуждающих лицо пользоваться зараженным носителем, то увидим, что в первом случае он используется как ср едство для того, чтобы причинить вред с помощью программы, на нем записанной. А раз умысел преступника направлен на использование программы, то и рассматривать его действия нужно соответственно... Получается, что ответственность за носители просто не нуж на -- из-за нее под действие статьи попадает то, что, казалось бы, никак не должно караться. Дадите вы приятелю компакт поиграться, даже предупредив о том, что одна из программ на нем заражена -- а ведь это уже распространение. Считывание файлов с дискет ы, у которой заражен boot-сектор -- использование. (Никаких "потом отформатирую" по смыслу статьи во внимание приниматься не будет.) И так далее...

Вирусофобия -- вещь, вообще-то терпимая, до тех пор, пока она не затрагивает интересы окружающих. А здесь мы, судя по всему, имеем дело с вирусофобией, возведенной в ранг закона. И если кто-то считает, что судьи будут исполнять УК так, как он должен и сполняться, то я вынужден его разочаровать. Любой правоприменитель исходит прежде всего из того, что закон написан компетентными разработчиками и принят компетентными депутатами (о распространенности этого полезного обычая вы уж судите сами). И судья вов се не обязан разбираться досконально в предмете преступления -- на это есть закон и, в крайнем случае, экспертиза. Написано в УК, что ответственность наступает за носители, -- она и будет наступать. Разумеется, она зависит от конкретных обстоятельств дел а и наказание может быть минимальным. Но, во-первых, любое наказание -- это уже судимость, а во-вторых, наказывать, в сущности, не за что...

Вдобавок, неясно еще и то, почему статья 273, называясь "Создание, использование и распространение вредоносных программ для ЭВМ", об этих самых вредоносных программах ничего не говорит. Говорит она о программах, выполняющих несанкционированн ые действия, что, согласитесь, не одно и то же. Это мы можем видеть на примере временных файлов и файлов подкачки, создаваемых многими программами без какого бы то ни было согласия на это пользователя. А ведь в том случае, если бы для наличия состава пр еступления требовалось выполнение именно вредоносных действий, было бы очень легко отграничить и вирусы -- от невинных программ с их свопами, и конкурентов Касперского (а сам AVP давно уже лицензирован) -- от вирусописцев с их манией самоутверждения. &qu ot;Несанкционированный", видимо, являясь более привычным для отечественного законодательства, послужило для составителей УК символом понятия "противозаконный".

Ну и в конце главы имеет смысл упомянуть о нескольких заблуждениях.

Цитирую: "Власти могут привлечь гражданина только за копирование и распространение порнографии, а создатели Web-страниц ничего не копируют и не распространяют. Они создают елинственную копию своего сайта, а переносит ее на свой компьютер -- и тем самым распространяет -- каждый входящий пользователь"[22].

Если вы, уверившись в своей безнаказанности, сейчас уже верстаете свой собственный порносайт (впрочем, и к распространителям вирусов это относится тоже), то прочтите сначала вот что.

По уголовным делам накоплена большая практика. И я не вижу оснований, почему бы часть этой практики не применить к компьютерным преступлениям. Как я уже говорил, в уголовном праве существует общий принцип: под причинением преступных последствий понима ются любые действия, в результате которых при нормальном течении событий эти последствия наступают[23]. И законодатель с вероятностью в девяносто и более процентов будет понимать под распространением вируса любые действия, к оторые привели к получению третьими лицами хотя бы одной его копии. Включая верстку веб-страницы и вставку ссылок. Разумеется, это будет противоречить самой идее Интернет, но такой вариант наиболее вероятен.

Вдобавок, в околокомпьютерной среде слишком распространен еще один опасный предрассудок -- о том, что отечественное правосудие не в состоянии привлечь к ответственности веб-мастера, разместившего сайт на иностранном сервере. Но из того, что охотятся н а порно-гифы и MP3 исключительно сами администраторы серверов, еще не значит, что тем же самым в принципе[24] не могут заниматься и наши органы тоже.

В уголовном праве существуют такие понятия, как место совершения действий, направленных на достижение противоправного результата и место наступления последствий этих действий. Если страница верстается в новой России и выкладывается на старые добрые Ge ocities, то эти места не совпадают и задача суда усложняется. Ненамного.

Существует статья 11 УК ("Действие уголовного закона в отношении лиц, совершивших преступление на территории Российской Федерации"), в которой закреплен территориальный принцип действия кодекса. Это означает, что российский уголовный закон п рименяется в отношении всех лиц, совершивших преступление на территории России. Место наступления последствий значения не имеет[25].

Статья 274

После всего написанного о предыдущих статьях сил на то, чтобы разобрать эту, просто не остается. Да и не нужно ее особенно разбирать: наступление ответственности по ней поставлено в прямую зависимость от наличия правил эксплуатации ЭВМ, системы или се ти ЭВМ. Правила должны быть приняты в установленном порядке и доведены до сведения лица, которое только после этого сможет быть субъектом этого преступления. Если этого не сделано, а также в случае, когда нарушены не специальные, а общеизвестные правила эк сплуатации ЭВМ, действия могут быть квалифицированы по другим статьям УК.

Вместо эпилога

-- А как кривая проституции?-- с надеждой спросил Александр Ибн-Иванович.
-- Резко пошла на снижение,-- ответил неумолимый молодой человек.

И.Ильф, Е.Петров "Золотой теленок"

Все, написанное выше, несмотря на кажущуюся нелепость, не так уж и безобидно. Законы и другие нормативные акты, использованные при написании статьи -- действующие, и вполне возможна такая ситуация, когда нечто подобное описанным гипотетическим ситуациям, перекочует в уголовное дело. Короля, как известно, играет свита. УК, появившись, попал в окружение из других нормативных актов, писавшихся и рассчитанных на применение в абсолютно других условиях. Ничего хорошего из этого получиться не может.

В самом начале статьи я упоминал о разделении компьютерного мира на истеблишмент и безликую серую массу... Боюсь, что это -- диагноз. В самом деле: то, что называется сейчас информационным правом, ориентировано более на банковские технологии, в чем, в прочем, нет ничего плохого, и на государственные "компьютерные системы", чем на рядовых пользователей -- а вот это уже плохо...

И уже совсем отвратительно то, что некоторые вполне невинные действия с точки зрения закона могут быть расценены как противоправные.

Напоследок -- финальная бочка дегтя для тех, кто думает, что работа по усовершенствованию информационного законодательства идет полным ходом. Передо мной сейчас лежит "Комсомольская правда", целый разворот которой посвящен психотронному оруж ию. Номером первым идет статья, в которой председатель подкомитета по информационной безопасности Владимир Лопатин рассказывает о новом законопроекте, призванном защищать нас с вами не только от вышеупомянутого оружия, но и от порчи, сглаза, черной энерг ии и другой бесовщины[26]. В качестве одного из видов вредного информационного воздействия, кстати, упоминаются тоталитарные секты -- это, скорее всего, означает, что борьба с нечистым пойдет под знаменем Нашей Православной церкви. Казалось бы, Всевышний с ним, с проектом, но факт его появления достаточно красноречиво говорит о том, какие задачи являются для законодателя... ну, не то, чтобы приоритетными, а, скажем так, родными и близкими[27].. .

Не начали бы привлекать к суду людей, прочитавших 40hex[28]... Впрочем, если и начнут -- удивлюсь не сильно. То, как пишутся и принимаются околокомпьютерные законы, в последнее время все больше и больше напоминает знамени тые четыреста сравнительно честных способов отъема денег, ведомые Остапу Бендеру, с той только разницей, что в число этих способов не входили ни принятие нового закона, ни внесение поправок в уже действующий.

Поясню на примере. Достаточно показательна в этом отношении статья С.В. Вихорева под названием "Что есть что в компьютерном праве"[29], в которой он предлагает, ни много ни мало, -- применять по отношению к инфо рмации вещное право, для чего с помощью изящной комбинации доказывает ее, информации, "смешанную материально-идеальную природу"... На всякий случай сообщаю: С.В. Вихорев -- мало того, что эксперт журнала "Технологии и средства связи", но и заместитель начальника отдела Гостехкомиссии России (той самой) и, самое главное, -- участник рабочей группы по внесению изменений в закон "Об информации, информатизации и защите информации". Зато в случае, если подобная точка зрения полу чит отражение в законе -- с компьютерщиков наконец-то можно будет брать денюжку[30]. Бюджет-то поправить надо...

Или, например, история с поправками к закону "О средствах массовой информации", когда к этим самым средствам предлагалось приравнять "компьютерную информацию" (именно в такой формулировке)[31]. Предлаг алось, несомненно, с той же целью... Или вспомним "Концепцию информационной безопасности России", в которой угрозой этой самой безопасности называлась, например, покупка за рубежом средств защиты информации, имеющих не уступающие по характерист икам отечественные аналоги, а одной из основных задач -- охрана "духовной жизни общества[32]"... Впечатление, что и говорить, складывается довольно жалкое. Собственно, необходимость законодательного регулирования о тношений, связанных с компьютерной информацией, сомнений не вызывает. Но достаточно глянуть за ближайший бугор, чтобы понять, как это должно происходить на самом деле. Впрочем, к Уголовному Кодексу, который мы в данный момент разбираем, это отношения уже не имеет...

А на кривую компьютерной преступности мы еще посмотрим.

Примечания

  1. Ничего, впрочем, удивительного -- называют же тайфуны женскими именами.
  2. Вдобавок, не могу не затронуть вопроса о культуре книгоиздательства вообще. В одном из учебников, отштампованных (другого слова подобрать не могу) явно в рекордные сроки мне встретилось несколько раз слово "советский" в ра зных числах и падежах. Вероятно, невнимательно вычеркивали... С комментариями, вернее, со сроками их написания и выпуска -- та же история. Студенческие времена, когда курсовые и рефераты писались за одну ночь, видимо, не дают покоя многим их авторам. Это , впрочем, вовсе не повод для оценки качества литературы по дате выхода в свет, но все же...
  3. Вернее -- должны доставлять... Вспоминается факт, приводимый в одной старой статье о компьютерных преступлениях: при проверке отчетности в одном банке выяснилось, что из всех ощибок, совершенных компьютером, ни одна не была в пользу клиента. Но то компьютер... Статистика же ошибок судебных гораздо более прогнозируема. Именно поэтому в статье анализируется текст УК не сам по себе, а применительно к судебной практике. И именно поэтому близкое знакомство с этой практикой я вам не реко мендую.
  4. Под словами "может применяться" я имею в виду не откровенно клинические случаи, когда закон или приговор суда игнорируется (что бывает довольно часто). Представим, что все, написанное в УК исполняется беспрекословно и в то чности -- cбылись мечты идиота! Вот в этом идеальном мире мы и будем действовать. Но даже и в нем остается громадное пространство для импровизации в рамках различных толкований, разъяснений, определений и комментариев. Иногда при таких попытках выяснить, что же имелось в виду законодателем, практика может довольно сильно отдалиться от самого текста закона.
  5. Из-за этого во многих из дел, ставших уже классикой жанра (с тем же сакраментальным программистом ВАЗа, например, остановившим конвейр с помощью логической бомбы) следствие столкнулось с непреодолимыми трудностями при квалификации д ействий подозреваемых. Левина, например, взяли вообще с помощью комбинации, достойной анналов истории юриспруденции. В одном из английских "компьютерных" законов есть пункт, в котором записано, что ответственности по британскому законодательству подлежит лицо, соверш ившее преступление при помощи "конструкции", для этого предназначенной, -- в случае, если хотя бы одно из звеньев данной конструкции находится на территории Англии. Вот ведь как бывает -- преступление совершалось (т.е., производились действия, направленн ые на достижение противоправных последствий) в России, было совершено (последствия наступили) в США, а судили за все это в Англии. Кстати, всем coolhaцker'ам неплохо бы иметь сей факт в виду. Будете хакать -- следите, чтобы трафик не шел через домены &qu ot;uk", -- и стран, в которых вас смогут осудить, станет на одну меньше...
  6. Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомиссия России. Руководящий документ. (www.security.ru/windows-1251/normati v/terms.htm).
  7. А понятие собственности на информацию и ее правовой природы, естественно, не определяется...
  8. Понятия не легитимного, которого пока не существует, а, скажем так, общечеловеческого...
  9. Ссылок на конкретные комментарии я не даю не столько по той причине, что их не помню :), сколько потому, что подобный подход к комментированию двадцать восьмой главы УК -- это уже явление и выделять каких-то конкретных его представ ителей, видимо, нецелесообразно...
  10. "О правовой охране программ для электронных вычислительных машин и баз данных" Закон Российской федерации от 23 сентября 1992 г. // Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Ф едерации, 1992г., # 42, ст. 2325.
  11. ...В свое время возникла проблема, связанная с использованием машинной информации, являющейся объектом авторского права. Выяснилось, что при применении обычного законодательства об авторских правах программами и данными пользоватьс я просто нельзя: любой запуск программы (для чего ее нужно переписать в память ЭВМ) попадает под определение несанкционированного копирования для личных целей, которое разрешено для всех объектов авторского права кроме машинной информации. Это стало одно й из причин принятия только что упоминавшегося закона "О правовой охране программ для электронных вычислительных машин и баз данных". И это -- тоже одно из косвенных свидетельств того, что просмотр информации попадает под определение копировани я. Вероятно, даже если Пленуму ВС и придется специально давать определение, это будет в нем отражено.
  12. "О правовой охране программ для электронных вычислительных машин и баз данных" Закон Российской федерации от 23 сентября 1992 г. // Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Ф едерации, 1992г., # 42, ст. 2325.(http://www.security.ru/low1.html)
  13. Даже и в этом случае автор вируса вынужден все же совершить определенные действия для того, чтобы жертва вирусом воспольовалась.
  14. Специально изучением зарубежного опыта я не занимался, однако попавшееся на глаза определение программы из Уголовного закона штата Нью-Йорк гласит: "Компьютерная программа рассматривается как собственность и означает упорядоче нный набор данных, представляющих кодированные команды и предписания, которые при выполнении компьютером являются причиной, по которой компьютер обрабатывает данные или управляется, чтобы выполнить одну или большее количество операций компьютера, и может существовать в любой форме, включая магнитные носители данных, перфорированные ленты, платы, или быть сохраненной в памяти компьютера ". (New York Penal Law, Computer Crime, Section 156.00 Effective: 1986. Section 156.00 Offenses involving computer s; definitions of terms. www.computerdiscovery.com/news/8.htm. Цит. по: Крылов В.В. Информационные компьютерные преступления.- М.: Издательская группа ИНФРА-М - НОРМА, 1997.) Хотя в этом определении программа и "рассматривается как собственность ", что роднит его с законом "О правовой охране... ", тем не менее исходники прямо не упоминаются.
  15. Агамов А. Еще тот хранитель // Компьютерра, 1997 г., # 40, с. 12.
  16. Это всего-навсего мое личное мнение, спорное, к тому же... Однако, с помощью этой конструкции можно четко отделить явных злоумышленников от безобидных юзеров. Правда, доказывание усложнится: ведь в этом случае придется выяснять цель действий подозреваемого. Ну а пока вопрос не решен на уровне ВС и большинство авторов, да и правоприменителей тоже, придерживается прямо противоположного мнения.
  17. Положение о государственном лицензировании деятельности в области защиты информации (http://www.security.ru/sert5.html)
  18. Федеральный закон "О лицензировании отдельных видов деятельности ". Принят Государственной Думой 16 сентября 1998 года.
  19. Раз уж однажды отвлекся, продолжу мелким шрифтом... Лицензирование, наряду с так называемой "официальной регистрацией авторских прав ", является, на мой взгляд, той границей, которая отделяет компьютерный "истеблишмент" от простых смертных. Регистрация авторских прав на программы абсолютно никак не влияет на этих программ охраноспособность. Рискну предположить, что она, наряду с тем самым лицензированием Гостехкомиссии просто формирует рынок программ, получивших благосл овление высокого начальства. То есть, начальство менее высокое может при принятии решений об использовании той или иной программы ориентироваться на наличие лицензии или официальную регистрацию. Собственно, казалось бы, черт с ними, если бы не завышенное , весьма опрометчиво, значение лицензирования и регистрации. Не помню, где читал: продукты Microsoft, имеющие сертификат Гостехкомиссии, рекомендуется использовать в системах контроля за ядерными установками... А вообще, -- такое впечатление, что ведомственный софтверный рынок (если это можно так назвать) живет все еще в эпоху недоразвитого социализма. Недавно наблюдал за программой, прилагаемой к тестеру телефонных линий -- типичный пример софта "для слу жебного пользования ". В комплект программы входит демонстрашка -- набор текстов и картинок в формате PCX, для просмотра которых используется вьювер, выдранный явно из нортонкоммандера, о чем он по английски и рапортует, если запустить без параметро в. А про стиль ведомственного программирования я получил исчерпывающее представление, увидев программу составления фотороботов, в которой не был предусмотрен вывод на печать. Зато в ЭКУ УВД области, где оная программа используется, есть крутейшая цифрова я фотокамера. Она-то этот вывод на печать и заменяет... Вот так.
  20. Кстати, о птичках: Указ #334, в который так или иначе упираются многие вопросы информационного права, открыто противоречит статьям 6 и 21 закона "Об информации, информатизации и защите информации ", в первой из которых ( пункт 7) собственнику информации разрешается самостоятельно устанавливать режим и правила обработки и защиты принадлежащих ему информационных ресурсов, а во второй (пункт 1) закреплено, что режим защиты персональных данных устанавливается "федераль ным законом ". (Не совсем ясно, правда, каким, но что не "О ФАПСИ " -- это точно...). Вдобавок, возможность использования несертифицированных шифросредств прямо оговаривается в статье 22 того же закона (пункт 3) с отнесением риска на счет их собственника или владельца. А четвертый пункт Указа #334, тот самый, который запрещает юридическим и физическим лицам пользоваться шифровальными средствами, вообще не действует -- поскольку противоречит упоминавшемуся выше закону "О лицензировании отдельных видов деятельности ". Хотя, если в Думу будет внесен законопроект, возобновляющий запрет, не исключено, что его примут без особых затруднений. Но, пока не приняли -- пользуйтесь... "Почему же ",-- спросите вы,-- "выполняется не закон, а указ?.. " Вот то, почему так происходит, и явилось причиной, по которой я рекомендовал держаться подальше от какой бы то ни было судебной практики вообще...
  21. Только не надо мне говорить, что компакт с сотней программ, -- скорее всего, пиратский: сам знаю. Но к компьютерным преступлениям это отношения, разумеется, не имеет.
  22. Смирягин А. Исповедь владельца "порносайта " // Компьютерра, 1998 г., # 26-27, с. 32.(http://www.computerra.ru/1998/26-27/7.html)
  23. Явно по такому принципу сконструированы, например, определения поджога, изготовления, перевозки и сбыта наркотических веществ, а неявно -- множество других (стандартная формулировка "действие или бездействие, результатом кото рых явилось... ")
  24. ...помните анекдот: "Нигде ничего нету, а в принципе все есть "?..
  25. Возникает, правда, вопрос: а нельзя ли попытаться доказать, что место совершения преступления -- то, в котором наступили последствия? На мой взгляд -- нет... Одиннадцатая статья Кодекса, весьма обстоятельно разбирая случаи нахожден ия преступника в территориальных водах, воздушном пространстве и на континентальном шельфе Российской Федерации, а также водных и воздушных судах, к РФ приписанных, ни словом не упоминает о месте, в котором наступают последствия его действий. То есть, он о как раз в виду и не имеется...
  26. Михаил Рыбьянов. Депутаты Госдумы метят не в бровь, а в сглаз // Комсомольская правда, 1998 г, 31 июля, с. 18.
  27. Настоящим же апофеозом борьбы против психотронного оружия стала окончательная редакция второй части четвертой статьи закона "О средствах массовой информации ": "Запрещается использование в теле-, видео-, кинопрогра ммах, документальных и художественных фильмах, а также в информационных компьютерных файлах и программах обработки информационных текстов, относящихся к специальным средствам массовой информации, скрытых вставок, воздействующих на подсознание людей и (ил и) оказывающих вредное влияние на их здоровье. " Надо сказать, что в первоначальной редакции этой статьи компьютерные файлы и программы не упоминались. Тот товарищ, который придумал смертельный "вирус 666 " (а с ним я разговаривал лично), должно быть, гордится сейчас своим невольным лоббизмом не где-нибудь, а в Думе...
  28. Это, если кто не знает, журнальчик такой про вирусы. С исходниками.
  29. С.В.Вихорев Что есть что в компьютерном праве // Технологии и средства связи, 1998, #1, с. 80-84.
  30. Глядя на исполняемость компьютерных законов, я в этом сильно сомневаюсь, но напоминаю: мы договорились оперировать понятиями идеального мира...
  31. Д.Гапотченко Поправить нельзя оставить // Computerworld Россия, 1998, 10 марта, с. 48-49.
  32. Под угрозой этой самой "духовной жизни" в проекте концепции понималась, например "пропаганда нравственных ценностей, не соответствующих историческим традициям российских народов"...




Rambler's Top100
Рейтинг@Mail.ru




  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach