Статья посвящена анализу необходимости криминализации целевых хакерских атак, а также введение в УК РФ понятия DDOS атак. Автор предлагает проект новой статьи и примечания к ней, содержащей понятие DDOS атаки.
Ключевые слова: преступления, хакер, Уголовный Кодекс РФ, DDOS-атаки, целевая атака, криминализация.
The article analyzes the need to criminalize targeted hacker attacks, as well as the introduction of the concept of DDOS attacks in the criminal code. The author proposes a new draft article and its notes containing the concept of DDOS attacks.
Keywords: crime, the hacker, the penal Code, DDOS attack, targeted attack, criminalization.
За период 2016 и 2017 года стали набирать популярность хакерские группировки, целью которых становились конкретные организации. «За 2017 год наблюдалась активность около ста хакерских группировок, работающих в этой области. По сравнению с 2016-м их число выросло вдвое. При этом только десять из них, имеют коммерческие интересы, тогда как цель остальных — кибершпионаж и охота за данными государственных ведомств и компаний нефтегазовой отрасли» [1]. Новым направлением становятся атаки на производителей программного обеспечения, продуктами которых пользуются крупные компании. Дело в том, что злоумышленникам проще атаковать не защищенные системы целевых предприятий, а сторонний программы, которыми они пользуются. «Ярким примером может служить атака группировки Axiom на известного производителя программного обеспечения «CCleaner»: хакеры внедрили в обновление программы вредоносный код, который скачали порядка двух млн. пользователей по всему миру» [2].
Сфера компьютерной информации является динамичной, находящеяся в постоянном развитии. На данный момент, перед законодателем и юристами стоит проблема расширения перечня составов преступлений в сфере информационных технологий. Имеется три варианта решения данного вопроса: 1) Добавления в УК РФ новых составов преступлений. Законодатель уже частично пошел по этому пути, так как с 01.01.2018 года в силу вступила новая ст. 274.1 УК РФ; 2) Добавление квалифицирующего признака в виде конструкции «совершенного в сфере информационных технологий» в уже действующие статьи УК РФ; 3) Внесение в ч.1 ст. 63 УК РФ нового обстоятельства, отягчающего наказание: «совершение преступления в сфере информационных технологий». Рассмотрим первый вариант.
В рамках главы 28 УК РФ имеет ввести новый уголовный состав, который будет регулировать уголовную ответственность за целевые атаки на конкретных лиц или организации, а также за так называемые DDOS-атаки, о чем профессиональное сообщество высказывалось неоднократно [3]. Данный вид атак не признается в данный момент преступным, его суть в выведении конкретного средства информационной технологии (сайт, сервер, компьютер и т. п.) из строя. При этом, используется легальный метод, суть которого в большом количестве запросов, поступающих от зараженных компьютеров к цели атаки, в результате чего повышается нагрузка на систему, выводя её из строя. Целью DDoS-атак является перегрузка сервиса, влекущая за собой отказ или ухудшение в обслуживании пользователей. Причинами атаки могут быть различными: политические и корыстные мотивы, недобросовестная конкуренция, хактивизм. Нередко, DDoS-атака используется для маскировки целенаправленной атаки [4].
Опасность от указанного деяния велика, так помимо нанесения крупного материального ущерба владельцу атакуемого ресурса, потенциально возможно наступление тяжких последствий, которые могут выражаться в создании угрозы жизни и здоровью, в случае, когда целью атаки становится инфраструктура медицинский учреждений, их баз данных. Под угрозой могут оказаться коммерческая, государственная и частная тайна. Опасность целевых атак заключается еще и в том, что с наибольшей вероятностью преступник будет действовать не один, а в организованной группе, которая координирует свои действия, а также грамотно маскирует факт атаки [5].
Таким образом, на наш взгляд, целесообразно ввести следующею норму в УК РФ:
ст. 273.1 «Целевая атака с помощью информационных технологий».
1. Осуществление вмешательства в цифровую инфраструктуру пользователя с целью несанкционированного воздействия на информацию или нейтрализации средств её защиты, причинившее крупный ущерб, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок со штрафом в размере до двух миллионов пятисот тысяч рублей.
2. Деяния, предусмотренные частью первой настоящей статьи, причинившие особо крупный ущерб, либо повлекшие тяжкие последствия или создавшие угрозу их наступления, — наказываются лишением свободы на срок до восьми лет.
3. Осуществление вмешательства в цифровую инфраструктуру с целью указанной в части первой настоящей статьи с помощью DDOS- атак, — наказываются ограничением свободы на срок до пяти лет, либо принудительными работами на тот же срок со штрафом в размере до двух миллионов пятисот тысяч рублей.
Примечание. Под DDOS- атакой в данной статье следует понимать атаку на средство информационной технологии, основной целью которой является выведение его из строя путём подачи большого количества ложных запросов на сервер, который в результате обрабатывания чрезмерный объём ложных запросов становится недоступным для использования.
Важно отметить, что данный состав должен быть материальным. Так же в случае совершения преступлений, предусмотренных иными статьями главы 28 УК РФ, квалификация деяния будет проводиться в совокупности с ними.
Таким образом, введение в УК РФ новой статьи позволит ужесточить уголовно-правовое преследование за преступные деяния в сфере компьютерной информации, что должно благотворно сказаться на ситуации с киберпреступностью в РФ.
Литература:
1. 2017: как это было и чего нам ждать дальше // «Лаборатория Касперского» URL: https://www.kaspersky.ru/blog/kaspersky-end-of-the-year-2017/19335. (дата обращения20.03.2018).
2. Avast: Взлом приложения CCleaner был атакой на крупные ИТ-компании // «VC» URL: https://vc.ru/26611-avast-ccleaner-hack. (дата обращения21.03.2018).
3. Андреев Н. О. Современные проблемы безопасности корпоративных сетей // Прикладная информатика. 2008. № 1. С.25–31
4. Отчет Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России за период с 01 июня 2015 г. по 31 мая 2016 г. // Официальный сайт ЦБ РФ URL: http://www.cbr.ru/credit/Gubzi_docs/fincert_survey.pdf (дата обращения 25.03.2018).
5. Терновой О. С. Методика и средства раннего выявления и противодействия угрозам нарушения информационной безопасности в результате ddos атак // Известия АлтГУ. 2013. № 1 (77).
