Разделы

Безопасность Стратегия безопасности Бизнес Законодательство Кадры Интернет ИТ в госсекторе

Основатель российской киберполиции против новых ИТ-статей в Уголовном кодексе

Основатель подразделений МВД и ФСБ по борьбе с киберкриминалом Борис Мирошников в своей книге «Сетевой фактор» выступил против расширения перечней статей Уголовного кодекса, посвященных различным видам ИТ-преступлений. Также Мирошников считает необходимым создать единый орган по борьбе с киберпреступлениями.

Новая книга Бориса Мирошникова

CNews продолжает публикации на основе второй редакции книги Бориса Мирошникова «Сетевой фактор», вышедшей ограниченным тиражом 1500 экземпляров.

Борис Мирошников в 1998 г. был первым руководителем Управления компьютерной и информационной безопасности ФСБ (нынешнее название - Центр информационной безопасности ФСБ).

В 2001 г. Мирошников перешел в органы МВД, где возглавил Бюро специальных технических мероприятий (БСТМ). Под руководством Мирошникова в БСТМ было создание Управление «К», занимающееся борьбой с киберпреступностью. В 2011 г Мирошников в звании генерал-полковника уволился из правоохранительных органов. Некоторое время он работал в банке «Уралсиб» и платежной системе Cyberplat, а сейчас работает в разработчике решений для информационной безопасности «Гарда Технологии» (входит в состав «ИКС Холдинга»).

Почему не стоит вводить новые ИТ-статьи в Уголовный кодекс

В своей книги Борис Мирошников затронул вопросы, связанные со статьями в Уголовном кодексе РФ (УК), посвященными преступления в сфере ИТ. Сейчас таких статей три: неправомерный доступ к компьютерной информации (статья 272); создание, использование и распространение вредоносных программ для ЭВМ (статья 232); нарушение правил эксплуатации ЭВМ, системы ЭВМ и их сети (статья 274).

Кроме того, недавно в УК добавилась статья о неправомерном воздействии на критическую информационную инфраструктуру (274.1).

Автор книги высказался против расширения ИТ-статей в УК.

«Параллельно с развитием собственно ИТ-преступности начался этап активного проникновения информационных технологий в так называемые традиционные составы преступлений. Сегодня все больше и больше всяких злодейств совершается с помощью высокотехнологичного оборудования - от сотового телефона и сканера при краже автомобиля до вирусов и ботсетей в интернете при шантаже, вымогательстве и даже шпионаже.

Автор книги «Сетевой фактор» Борис Мирошников, основатель подразделений МВД и ФСБ по борьбе с киберпреступностью, ныне сотрудник «Гарда Технологий»

Какие еще виды криминальной активности может обслуживать глобальная сеть? Это: торговля людьми, оружием, наркотиками; незаконная миграция; нарушения авторских прав, торговля контрафактным товаром; пропаганда межнациональной и религиозной розни, экстремистской идеологии, расовой дискриминации; вербовка террористов и их финансирование; отмывание денег, вымогательство; распространение детской порнографии.

Каждый из этих видов деятельности можно разложить на составляющие, обеспечивающие такие функции, как изучение рынка, поиск сообщников и поиск покупателей, реклама, обмена информацией, управление процессами, обеспечение конспирации, финансовые операции. Все эти возможности предоставляет интернет своими многочисленными сервисами.

В связи с таким «проникновением» ИТ-технологий в иную зону Уголовного кодекса часто слышаться голоса любителей статей прямого действия - расширить в Кодексе перечень компьютерных преступлений. Действительно, почему бы в второй список сразу не внести такие составы, как вымогательство и шантаж, шпионаж и др. с конкретной припиской «с помощью компьютера».

Но это только на первый взгляд кажется целесообразными. Эти идеи рождаются в ленивых мозгах ленивых (или малопрофессиональных) правоохранителей, не желающих (или не умеющих) гибко и комплексно применять имеющиеся возможности. Границ тут нет и не будет, состав преступлений имеет комплексный характер и далее будет только усложняться. Это нужно понимать и не тратить силы на ненужную детализацию и систематизацию. Это удавка, которая затянется на шее защищаемого.

Почему для клеветы в интернете нужная отдельная статья, если в Уголовном кодексе уже давно есть статья о клевете? Почему интернет-мошенничество нужно описывать в отдельной статье, если есть статья о мошенничестве? Ведь мы не пишем отдельной статьи для наказания за убийство, совершенное табуреткой или скалкой. А для «наперсточников» не придумали статьи «мошенничество с помощью наперстка». И так далее. Гораздо корректнее сегодня просто признать существование такой расширяющейся группы преступлений, совершаемых с помощью информационных технологий. Это тема не новая и не имеющая конца. Юристы-практики это хорошо знают, хотя и понимают по-разному. В конце концов, в оценке деяния важная мотивация – самая трудная область доказательства. Сегодня мотивация в основном корыстная».

Второе издание книги Бориса Мирошникова «Сетевой фактор»

В качестве неудачного, на его взгляд, примера Борис Мирошников приводит историю с расширением статей УК, посвященных различным видам мошенничества.

«В ноябре 2012 г. состоялся очередной пример реализации принципа «правосудия прямого действия». В статью о мошенничестве УК РФ сразу введено целых шесть (!) уточняющих составов: мошенничество в сфере кредитования, мошенничество при получении выплат, мошенничество с использованием платежных карт, мошенничество в сфере предпринимательской деятельности, мошенничество в сфере страхования и мошенничество в сфере компьютерной информации.

Анна Кабанова, ПСБ: Нас ждет интенсивная гонка финансовых технологий
ИТ в банках

При этом старая классическая формулировка определения мошенничества как «хищение или приобретение права на чужое имущество путем обмана или злоупотребления доверием» в УК останется! Видимо, без нее все-таки не обойтись, так как она универсальна и охватывает весь спектр мошеннических действия в отличие от предложенной «отраслевой» нарезки. А «отраслевая» детализация (кредиты, страховка, инвестиции) представляется весьма сомнительной услугой законодательству. Посмотрим, чем «обогатилось» оно в результате нововведения? Фразами «предоставление заведомо ложных и (или) недостоверных сведений». А что, по старой формулировке эти действия не подлежали наказанию? Или «путем обмана уполномоченного работника кредитной, торговой или иной организации». А что, других можно обманывать? С теми же картами? Или «преднамеренное неиспользование договорных обязательств в предпринимательской деятельности». А в других видах деятельности можно не выполнять «договорные обязательства». Или «путем ввода, удаления, блокирования, модификации компьютерной информации, либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей». Эти фразы вообще перетянуты с западных образцов. Только зачем?

Понятно сиюминутное желание откликнуться на актуальные болячки общества - финансовые пирамиды, обманутых дольщиков и т.п. Понятно вообще-то странное желание законодателей выпекать новые и новые законы. Но закон – не злободневная карикатура «утром в газете – вечером в куплете». Специалисты с сомнением смотрят на такое совершенствование. Причем как обвиняющая сторона, так и защищающая. Обвинение видит для себя сковывание конкретными условиями преступлений, подлежащими доказывания, и одновременно для преступника – легкий уход от наказания при несовпадении этих подробно прописанных условий. Защищающаяся сторона опасается, то даже новые формулировки позволят произвольно трактовать деяния защищаемого и привлекать к ответственности невиновных. Лукавят и те и другие, но это и есть состязательность. Практика покажет. Только какой ценой? Ведь эксперимент будет проводиться на живых людях. Единственно, что отмечается как положительный сдвиг, так это возможность более сурового наказания для преступных групп, что, пожалуй, соответствует высокой степени общественной опасности деятельности современных мошенников».

О нежелании зарубежных полицейских сотрудничать с российскими коллегами в вопросах борьбы с киберпреступлениями

Борис Мирошников рассказал и о международном сотрудничестве в сфере борьбы с киберпреступлениями, посетовав на нежелание зарубежных коллег помогать российским правоохранительным органам.

«В одном из городов в России молодой человек изготовил взрывчатое вещество, по неосторожности взорвал себя, погибли рядом стоявшие люди. Расследование показало ,что он руководствовался сайтами в интернете, которые обучают изготовлению взрывчатки. Сайты, в которых две недели до рокового взрыва «сидел» юноша, расположенные интернет-пространстве другой страны. Немедленно правоохранительные органы этой страны по партнерским каналам были проинформированы об адресах и содержании этих сайтов для принятия мер в отношении них.

Достаточно быстро в Москве получили ответ – просим прислать международное следственное поручение, чтобы мы начали заниматься вашей просьбой. Формально это правильно. А по сути? Неужели в этой стране людям безразлично, что их дети, так же как и наши, имеют свободный доступ в таким опасным материалам? И сюжет может повториться и у них? Неужели можно считать, что это частная проблема России и угрозы касается только России? Наверное, это не так. И меры нужно бы принимать, не опираясь на официальную просьбу (международное следственное поручение) из России, а руководствуясь собственным уголовным законодательством, защищая и своих граждан».

В то же время российские правоохранительные органы, по словам Мирошникова, своим зарубежным коллегам, наоборот, помогают в борьбе с киберпреступлениями.

Какие требования предъявляет рынок к современной ERP-системе
Маркет

«В Москве на базе Управления «К» МВД функционирует Национальный контактный пункт для обмена информацией и совместных расследований компьютерных преступлений и актов компьютерного терроризма. Не просто заставить работать такой разветвленный международный механизм. Однако сама жизнь заставляет. Например, известный случай террористической угрозы в адрес нью-йоркского метро.

От коллег из США поступила информация о полученном на сайте ЦРУ обращении о готовящемся террористическом акте в метро Нью-Йорка. Они определили, что угроза пришла из российского сегмента интернета. Уже в течение суток нашим специалистам удалось установить и задержать лиц, причастных к совершению данного преступления. Ими оказались студенты одного из высших учебных заведений Барнаула Алтайского края, которые из хулиганских побуждений направили ложное сообщение по электронной почте. О результатах розыска немедленно известили коллег, и огромный город мог вернуться к нормальной жизни. Директор ФБР поблагодарил российских киберполицейских, факт взаимодействия состоялся, прецедент создан. А ведь некоторые горячие головы в США пытались нас повоспитывать: если Россия не присоединится к Конвенции по киберпреступности, то мы с ней не будем обмениваться информацией. Ну и кому от этого польза?

Так или иначе, система контактных пунктов работает и развивается. Уже в 2010 г. от нас за рубеж было направлено 683 сообщения, 254 запроса и 316 ответов на запросы. А ответов от партнеров получено аж 141! Действительно работает».

Об экспертах, утверждающих, что полицейские способны вычислить любого пользователя интернета

Мирошников раскритиковал экспертов, утверждающих, что интернет находится под контролем правоохранительных органов различных стран.

«К сожалению, часто приходиться слышать высокомерно-ленивые рассуждения так называемых экспертов о том, что якобы никакой анонимности в интернете не существует. А существуют лишь малокомпетентные и нерадивые полицейские, которые просто не хотят и не умеют работать. Эти болтуны ни разу сами никого не искали и не находили. Конечно, речь идет о преступлениях, скрывающихся от правосудия. Они пользуются многочисленными анонимайзерами, главное, иностранными зонами, где нет ни технологических, ни правовых возможностей для быстрого розыска. Это проблема актуальная для США, для Германии, для Бельгии и так далее. Разумеется, и для России.

Зачем они это делают? Чтобы скрыть свою некомпетентность, чтобы скомпроментировать правоохранительные органы. Но самое отвратительное, что некоторые из них, хорошо знающие реальное положение вещей и понимающие тенденции по упорядочению сети, запускают ядовитую ложь в мозг обывателя, чтобы не допустить ужесточения режима регистрации пользователей интернета, не допустить никакого контроля и регулирования. Зачем? Чтобы продолжать совершать преступления, клеветать, гадить и скрываться от ответственности за пеленой анонимности».

О необходимости создания единого органа по борьбе с киберпреступлениями в России

Касательно внутрироссийской борьбы с киберпреступностью, Мирошников высказался за создание единого регулятора в данной сфере.

«Возможно, появится и в России, как это случилось во многих странах, федеральное ведомство, ответственное за безопасность и информационного пространства, и за безопасность в информационном пространстве. Примеров таких ведомств в мире, как видим, уже множество, и при желании эту тему можно глубоко и познавательно исследовать.

Работы у такого ведомства невпроворот: разработка стратегии, проведение политики и управления в области информационной безопасности; защита от кибератак критической инфраструктуры страны; информационное противоборство в ИТКС; противодействие акциям информационной войны; защита госсекретов, банковской, коммерческой и других тайн; защита информационных ресурсов юридических и физических лиц; защита от вирусов и других вредоносных программ; защита персональных данных; борьба с незаконным контентом в информационных телекоммуникационных сетях (ИТКС); защита от психологического управляемого воздействия на групповое и индивидуальное сознание с использованием ИТКС; борьба с кибертерроризмом и киберэкстремизмом, включая международное взаимодействие; борьба с преступлениями в ИТ-сфере, включая международное сотрудничество; формирование и совершенствование законодательства в ИТ-сфере, включая международное; разработка стандартов в области ИБ, их внедрение и контроль за исполнением; защита авторского права в ИТКС; организация экспертно-криминалистической службы в области ИТ; подготовка кадров для участия в обеспечении ИБ-страны.

Но ведомства пока нет. За информационную безопасность отвечают многие ведомства: ФСБ, МВД, Минобороны, МИД, ФСО, Минсвязи, ФСТЭК, Россвязьнадзор, Минобр, Минздрав, Совет безопасности и еще многие-многие. Причем все - в части касающейся их самих непосредственно. А кто главный? Кто определяет политику, стратегию и т.д.? А, главное, кто объединяет и обобщает, кто смотри вдаль, кто командует, координирует и контролирует? Каждое ведомство видит проблему и участвует в ее решении исключительно с собственных позиций, исходя из своей основной функции, собственных экономических интересов, считая при этом функцию обеспечения ИБ второстепенной».

Игорь Королев