10.09.2019 @ 12:05 Информационная безопасность: преступление и наказание law, Pentestit, Законодательство РФ Источник изображения В соответствии с УК РФ преступлением признаётся противоправное, общественно опасное деяние, ответственность за совершение которого предусмотрена УК РФ. В отечественном УК отдельная глава посвящена преступлениям в сфере компьютерной информации, однако на практике грань между преступным и правомерным настолько тонка, что возникают сложности при квалификации тех или иных деяний. В данной статье мы постараемся рассмотреть некоторые составы преступлений на примере конкретных ситуаций. Проводя обучение по программам практической подготовки в области информационной безопасности, мы сталкиваемся с вопросами, которые по сути относятся к теме, но выходят за пределы этих программ. Такие вопросы мы решили разбирать отдельно. Использование «патчей», «активаторов», «кряков» Судебная практика по данному вопросу неоднозначная. В одних случаях, когда дело касается преступлений, связанных с нарушением авторских прав, данное ПО признаётся вредоносным, в других – нет. Это связано с тем, что отсутствуют чёткие критерии «вредоносности» программы. Если обратиться к статье 273 УК РФ, можно выделить два критерия «вредоносности» программы: 1) программа работает несанкционированно; 2) работа программы приводит к одному из правовых последствий: уничтожению, блокированию, модификации, копированию информации, к нарушению работы ЭВМ, системы ЭВМ, сетей ЭВМ. Кроме того, лишь определённые уголовным законом действия влекут за собой ответственность. Таковыми являются: создание вредоносных программ или внесение изменений в существующие; использование таких программ; их распространение, в том числе на материальном носителе. Также следует учитывать и значение самого термина «компьютерная информация». В настоящий момент данное понятие в законодательстве отсутствует, но исходя из системного толкования норм ФЗ «Об информации, информационных технологиях и о защите информации», термин «компьютерная информация» можно сформулировать следующим образом: это те или иные сведения, представленные в электронной форме, пригодной для восприятия человеком с использованием ЭВМ. Таким образом, исходный код программы понятием «компьютерная информация» не охватывается. Следовательно, и использование перечисленных «вредоносных» программ не является действием по модификации и блокированию компьютерной информации, а значит, и состав преступления по ст. 273 УК отсутствует. Но, несмотря на это, пользователь такой «вредоносной» программы может быть привлечён к уголовной ответственности по статье 146 УК РФ «Нарушение авторских и смежных прав», если стоимость лицензионного ПО превышает 100 тысяч рублей. DDoS-атака Исходя из материалов судебной практики (Приговор от 29.12.2016 г. по делу № 1-389/2016 Лазаревского районного суда г. Сочи; Постановление от 25.11.2013 г. По делу № 10-11502/2013 Московского городского суда и др.), можно сделать вывод о том, что DDoS-атака является уголовно наказуемым деянием, если её реализация привела к блокированию, нарушению работы ЭВМ, систем ЭВМ или сетей ЭВМ, получению возможности неправомерного, несанкционированного доступа к защищённой законом компьютерной информации. SQL-инъекции Вновь обратимся к материалам судебной практики (Приговор от 21.12.2018 г. по делу № 1-163/2018 Железнодорожного районного суда г. Красноярска, Приговор от 03.10.2018 г. по делу № 1-139/2018 Рассказовского районного суда). Некто Х. установил на свою ЭВМ программу «SQLi Dumper», ввёл необходимые параметры и настройки и осуществил её запуск, в результате чего были осуществлены компьютерные воздействия типа «SQL-инъекция» на различные Интернет-ресурсы. Воздействия, направленные на сайт, заключались в попытках обнаружения уязвимостей исполняемых скриптов, целью которых являлся «захват контроля» (повышение прав) над удалённой вычислительной системой, либо получение доступа к данным без ведома владельца удалённой ЭВМ, либо её дестабилизация, либо отказ в обслуживании. Данная программа позволяла заблокировать ресурсы, уничтожить или похитить имеющуюся на них информацию. Запуск и работа программы осуществлялись под управлением пользователя, при скачивании данной программы Х. не мог не понимать ее функционал. Судом действия Х. квалифицированы по ч. 1 ст. 273 УК РФ – как использование компьютерных программ, заведомо предназначенных для несанкционированного копирования компьютерной информации. Brute force Гражданин А. с целью проверки своих знаний и навыков в сфере практической информационной безопасности взломал электронную почту В., используя метод перебора. Применив специальную программу, получил пароль к электронной почте В. и для проверки корректности пароля осуществил вход. Суд квалифицировал данное деяние по ч. 1 ст. 273 УК РФ — незаконное использование компьютерной программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации (Приговор от 03.10.2018 г. по делу № 1-139/2018 Рассказовского районного суда). Таким образом, если вы интересуетесь практической информационной безопасностью, будьте крайне осторожны при применении ваших знаний на практике. Подумайте, действительно ли то, что вы собираетесь сделать, не является преступным. Помните, что каждое действие влечёт за собой определённые последствия. pentestit-team 7927 Законодательство Читать дальше >>