Правонарушения в области информационной безопасности: взгляд ФСБ
С правонарушениями в области информационных технологий, наносящими немалый ущерб, в последнее время сталкиваются многие компании и частные лица. При этом нередко можно наблюдать полную неосведомленность пользователей, IT-специалистов и даже руководителей компаний в том, какие действия относятся к указанным правонарушениям и каковы могут быть их последствия для тех, кто их совершает. Данный вопрос любезно согласился прокомментировать Владимир Иванович Непомнящий, эксперт подразделения компьютерно-информационной безопасности Федеральной службы безопасности Российской Федерации.
омпьютерПресс: Расскажите, пожалуйста, что входит в сферу обязанностей подразделения компьютерно-информационной безопасности?
Владимир Непомнящий: В сферу обязанностей нашего подразделения входит не только борьба с преступлениями в области компьютерной информации, но и контрразведывательная деятельность, и обеспечение безопасности функционирования объектов связи. Эта деятельность регламентируется Федеральным законом от 03.04.1995 № 40-ФЗ «Об органах Федеральной службы безопасности в Российской Федерации». Такие подразделения есть в каждом субъекте Российской Федерации.
КП: Где проходит граница между сферами деятельности этого отдела и ФАПСИ (Федерального агентства правительственной связи и информации при Президенте Российской Федерации)?
В.Н.: В соответствии с законодательством ФАПСИ не является правоохранительным органом. В компетенции Агентства находится, в частности, обширная сфера деятельности, связанная с защитой информации. К правоохранительным органам, помимо ФСБ, относятся например, прокуратура, МВД, суды, таможня, налоговая полиция. ФАПСИ же относится к спецслужбам, выполняющим совсем другие функции.
КП: Считаете ли вы, что подразделение компьютерно-информационной безопасности обладает достаточным количеством ресурсов?
В.Н.: У нас достаточно сил и средств для осуществления своих функций. Результаты нашей работы примерно такие же, как и результаты работы ФБР, хотя и при несоизмеримо меньшем финансировании. Наверное, я не ошибусь, сказав, что в области информационной безопасности у нас лучшее в России экспертное подразделение.
КП: Какие действия можно отнести к правонарушениям в области информационных технологий?
В.Н.: Ответ на этот вопрос сформулирован в статьях 272, 273 и 274 Уголовного кодекса Российской Федерации (УК РФ). К подобным правонарушениям относятся неправомерный доступ к компьютерной информации (ст. 272), создание, использование и распространение вредоносных программ для ЭВМ (ст. 273) и нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274). Приведу типичный пример. Гражданин Судана, проживавший в одном из городов нашей страны, изготовил устройство, имитирующее таксофонную карту и позволяющее бесплатно пользоваться услугами телефонной связи. Подобные действия квалифицируются как неправомерный доступ к охраняемой законом компьютерной информации, повлекший ее модификацию, согласно статье 272 УК РФ.
КП: Какова статистика правонарушений в области информационных технологий?
В.Н.: Сейчас в год возбуждается около 100 уголовных дел, связанных с перечисленными выше статьями Уголовного кодекса, при этом количество рассмотренных дел ежегодно растет, и все они доходят до суда. Отмечу, однако, что рост числа рассмотренных дел не означает роста преступности как таковой, поскольку латентность в этой сфере довольно высока.
Приговоры суда бывают разными, иногда достаточно мягкими1. Например, не так давно состоялся судебный процесс над несколькими молодыми людьми, обвинявшимися в похищении и продаже паролей доступа в Интернет. Обвиняемые были признаны судом виновными, но освобождены от уголовной ответственности, поскольку суд счел их утратившими социальную опасность. Кроме того, они возместили пострадавшим нанесенный ущерб. Сведения о подобных судебных процессах, если таковые являются открытыми, становятся достоянием гласности (в частности, информацию об этом можно найти на нашем Web-сайте http://www.fsb.ru/). В целом скажу, что в связи с совершенным правонарушением могут возникнуть и иные негативные последствия, которые остаются на совести правонарушителей.
КП: Что вы можете рассказать о раскрываемости подобных преступлений?
В.Н.: Что касается раскрываемости преступлений, то виновные обычно находятся. Но, к сожалению, довольно часто пострадавшие от таких правонарушений компании и граждане не обращаются в правоохранительные органы, дабы не нанести ущерба своей репутации. Бывает, что пострадавшие компании пытаются самостоятельно решить свои проблемы и наказать виновных. Однако их руководителям следует отдавать себе отчет в том, что их действия обязательно должны быть законными.
Нам известен случай незаконной оплаты при покупке дорогостоящего бытового устройства с помощью чужой кредитной карты. При этом пострадавшая сторона (компания, действовавшая в сфере электронной торговли) сумела самостоятельно найти злоумышленника и вынудила его компенсировать ущерб (что в данном случае было непросто — сумма была немалой), при этом ее действия были законными, поскольку в Гражданском кодексе Российской Федерации (ГК РФ) есть статья 19 о самозащите имущественных прав. К тому же, в соответствии со статьей 76 УК РФ, подобное дело можно было бы закончить примирением сторон.
Еще раз повторю: при защите своих интересов от правонарушений в сфере информационных технологий (как, впрочем, и от других правонарушений) компании, равно как и правоохранительные органы, не должны совершать неправомерных действий.
КП: Какими правами пользуется ФСБ при реализации своих полномочий?
В.Н.: Для этого существует Федеральный закон от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности», где описано 14 типов оперативно-розыскных мероприятий и указано, какие из них можно осуществлять без санкции суда, а какие — нет.
КП: Каковы наиболее часто встречающиеся виды компьютерных правонарушений?
В.Н.: Самый распространенный сегодня вид компьютерных правонарушений — похищение учетных записей для доступа в Интернет по коммутируемой телефонной сети. Решением этой проблемы может быть предоставление возможности запретить данному абоненту доступ в Интернет с любых телефонных номеров, кроме одного конкретного. К сожалению, пока далеко не все провайдеры предоставляют подобные услуги.
Второй по распространенности вид правонарушений — это использование несовершенства телефонных сетей для незаконного бесплатного получения услуг связи. Например, недавно в Ростове был ликвидирован целый подпольный цех по созданию так называемых клонированных трубок — аппаратов для сотовой связи, позволяющих избежать оплаты. Данное правонарушение, являющееся по своей сути внесением изменений в биллинговую систему оператора сотовой связи, квалифицируется как неправомерный доступ к компьютерной информации, повлекший уничтожение или блокирование информации, а также (по совокупности) причинение имущественного ущерба методом обмана или злоупотребления доверием. Кстати, лица, купившие такой телефонный аппарат или использующие украденную учетную запись для доступа в Интернет, также считаются правонарушителями и несут уголовную ответственность.
Еще один часто встречающийся тип правонарушений — это так называемые классические хакерские действия: осуществляется взлом какого-либо ресурса, а затем владельцу ресурса предлагается устранить дефект в защите этого ресурса за деньги под угрозой разглашения сведений об этом дефекте. Такие действия квалифицируются согласно уже упомянутой статье 272 УК РФ как доступ к охраняемой законом компьютерной информации. Кроме того, угрозу публичного разглашения сведений о дефекте в защите, если она будет доказана, можно квалифицировать как шантаж, а сам факт такого публичного оглашения — как нанесение ущерба деловой репутации компании (на этот счет есть соответствующая статья в ГК РФ). Не является правонарушением только добровольное сообщение владельцу ресурса о наличии дефекта в защите, если, конечно, при этом не было произведено копирования или уничтожения информации и не нанесен иной вред владельцу этого ресурса.
Еще один серьезный вид преступлений в сфере информационных технологий — хищение и распространение баз данных. Нередко его совершают сотрудники компаний, владеющих такими данными. Отмечу, однако, что по российскому законодательству защите подлежит только информация, охраняемая законом.
КП: Можно ли сделать корпоративную базу данных информацией, охраняемой законом?
В.Н.: База данных может быть признана персональными данными, объектом авторского права или коммерческой тайной. Один из способов сделать корпоративную базу данных информацией, охраняемой законом, — издать по компании приказ о том, что эта база данных является коммерческой тайной, и ознакомить с ним всех сотрудников под расписку. Решение о том, как именно хранить информацию и считать ли ее коммерческой тайной, должен принимать сам владелец информации.
Отмечу, что производство и продажа контрафактных дисков с программным обеспечением, являющиеся нарушением авторских прав производителей программного обеспечения, относятся к сфере деятельности органов внутренних дел, а не ФСБ. А вот хищение баз данных (то есть тот же неправомерный доступ к компьютерной информации, повлекший копирование этой информации) относится уже к компетенции ФСБ, хотя нередко работа по раскрытию подобных правонарушений производится совместно с органами внутренних дел и прокуратуры.
КП: Что вы можете рассказать о таких видах преступлений, как распространение вирусов и других вредоносных программ?
В.Н.: Приведу несколько примеров подобных правонарушений. В 2001 году в адрес восьми зарубежных банков было разослано по электронной почте коммерческое предложение от одного из ирландских банков. В письме был заложен вирусоподобный документ, имеющий, как и многие вирусы в виде почтовых вложений, «мнимое расширение»: имя файла содержало короткую текстовую строку, за ней — точку и имя одного из «безобидных» трехбуквенных расширений, за ним — 256 пробелов, а затем — истинное расширение, приводящее к запуску совершенно другого исполняемого приложения, нежели ожидает пользователь. При открытии этого документа происходила установка в сети банка приложения для удаленного администрирования, позволяющего осуществлять полный контроль над системой, в том числе над получением средств из банка. Исполняемый код, содержащийся в документе, был реализован очень профессионально. Он не содержался в антивирусных базах, что свидетельствовало о факте заказной разработки, при этом он не выявлялся методами эвристического анализа. Исполняемый файл приложения для удаленного администрирования преобразовывался трижды по разным алгоритмам, прежде чем было начато выполнение. Наши эксперты охарактеризовали данную программу как «многослойную псевдополиморфную оболочку». Как нам удалось выяснить, заказчиком подобного правонарушения была банда международного террориста Хаттаба.
А вот пример другого правонарушения подобного класса. Пермский титано-магниевый комбинат выпускает на экспорт титановую губку очень ценный продукт. Все технологические параметры в процессе производства указанного продукта записываются на специальную электронную карту, которая носит название «тренд», и без этой карты продать произведенную продукцию на внешнем рынке невозможно. Однажды система записи на тренд перестала работать, и часть продукции комбината оказалась не подлежащей продаже, что нанесло комбинату определенные убытки (к счастью, это обнаружилось довольно быстро — всего через несколько часов). Расследование данного инцидента показало, что недавно уволенный с комбината программист, отвечавший за программу записи на тренд, заложил в нее так называемую логическую бомбу, прекращающую работу программы при определенных условиях. Как выяснилось, после увольнения он некоторое время шантажировал руководство комбината, требуя дополнительной оплаты за созданную им программу, хотя в действительности никакой оплаты ему не полагалось — по контракту весь произведенный им код являлся собственностью комбината. Согласно решению суда этот программист был осужден на 2 года условно и выплатил штраф в размере 200 минимальных размеров оплаты труда.
Что касается попыток взломов официального сервера ФСБ (всегда неудачных), то, по нашим данным, их производится более миллиона в год. В США же говорят о 2,5-3 млн. попыток взлома Интернет-ресурсов Пентагона в год.
КП: Как вы считаете: требует ли нынешнее законодательство каких-то изменений или поправок, касающихся правонарушений в сфере информационных технологий?
В.Н.: Мне кажется не совсем правильным наличие в наших законах формулировки «охраняемая законом информация» — любая информация должна охраняться законом. Сейчас же законом не охраняются даже сами тексты законов! Например, подмена текста закона в компьютере судьи, которая может привести к некорректному судебному решению, у нас не считается правонарушением. В американском же законодательстве есть понятие «государственные ресурсы» и есть четкая формулировка, что именно к ним относится. И это позволяет юридически корректно осуществлять защиту таких ресурсов.
Еще одна проблема — отсутствие четкого определения персональных данных. Из-за этого сейчас довольно сложно осуществлять защиту персональных данных и предъявлять обвинения тем, кто их похищает или разглашает.
КП: Не являются ли, на ваш взгляд, провокационными некоторые публикации в средствах массовой информации, рассказывающие о преступлениях в сфере информационных технологий?
В.Н.: Cкорее наоборот. Если благодаря публикациям о преступлениях в сфере информационных технологий кто-то откажется от совершения неправомерных действий, это будет замечательно.
КП: Не секрет, что многие молодые люди мечтают работать в ФСБ и заниматься раскрытием компьютерных преступлений. Что им нужно сделать, чтобы осуществить свою мечту?
В.Н.: Можно обратиться к нам, позвонив по телефону либо написав письмо по обычной или электронной почте (fsb@fsb.ru), и сообщить о своем желании. У нас есть высшее учебное заведение — Академия ФСБ, которая готовит специалистов именно для нас, но в ФСБ могут работать выпускники и других технических вузов, поскольку нам часто бывают нужны специалисты в области информационных технологий.
КП: Что бы вы хотели сказать напоследок нашим читателям?
В.Н.: Хотелось бы, чтобы мы избавились от правового нигилизма и не были равнодушны к правонарушениям, которые совершаются рядом с нами.
КП: Большое спасибо за интересную беседу! Мы желаем вашему подразделению успехов в нелегкой, но очень нужной работе.
Интервью подготовили Наталия Елманова и Алексей Доля.