<strong> </strong>Преступления, совершаемые с использованием информационных технологий (в дальнейшем будем использовать термины «преступления, совершаемые с использованием информационных технологий», «компьютерные преступления», «киберпреступления» в качестве синонимов) и благодаря трансграничности сети Интернет и цифровизации большинства коммуникаций (в том числе экономических, банковских), сегодня являются одними из самых массовых, а учитывая анонимность в Глобальной сети – сложно раскрываемых. Относительная новизна используемых технологий и сложность сбора доказательств приводит к неэффективности традиционных методов противодействия преступлениям.

Статистика подтверждает эти выводы. В частности, согласно данным портала tadviser.ru¹, эксперты «Лаборатории Касперского» сообщили о росте количества целевых кибератак на промышленные предприятия в России (количество атак на системы автоматизации с помощью вредоносных документов в первом полугодии 2022 г. выросло на 80%). Согласно статистике, в Италии также совершается 800 киберпреступлений в день², а средняя стоимость, например, атаки программы-вымогателя составила около 680 тыс. долл.³ В 2021 г. потери от различных видов преступлений в США составили $4 млрд⁴.

Не может справиться с исследуемым видом правонарушений и одно из самых технически развитых государств – Республика Сингапур. Доля преступлений в сфере информационных технологий (обозначаются термином “cybercrime”, киберпреступления) в общем количестве преступлений велика и растет – от 7.9 % в 2014 г. до 43% в 2020 г.⁵

Таким образом, проблема рассматриваемого вида преступлений масштабна, сложна, и из-за свойств виртуального пространства должна решаться комплексно, на всех уровнях: международном, государственном, региональном, персональном. Если выделить государственный уровень, проблема противодействия данного вида правонарушений должна рассматриваться в различных аспектах: с точки зрения профилактики, предотвращения, пресечения и формирования санкционных механизмов. Однако в любой случае противодействие должно быть системным и иметь теоретический фундамент, иначе оно будет неэффективным. В сфере противодействия компьютерным преступлениям это, к сожалению, не всегда так: в силу специфики ИТ-отрасли законодатель должен реагировать оперативно, что иногда приводит к нарушению принципов уголовного закона при конструировании данных норм (например, при введении уголовной ответственности по ст. 207¹и 207² УК РФ)⁶. Для исследований в таких случаях необходимо использование инструментов правовой политики, включая разработку комплекса приоритетов, целей и средств их реализации.

Поскольку информационные технологии развиваются достаточно быстро, многие из них (например, блокчейн, искусственный интеллект, интернет вещей) требуют формирования принципиально новых подходов к правовому регулированию. Отдельные страны, будучи лидерами в ИТ-сфере, столкнулись с некоторыми видами компьютерных преступлений раньше, чем другие, и, соответственно, имеют больший опыт – удачный и неудачный – в сфере вырабатывания новых юридических конструкций или приспособления старых. В силу сказанного выше представляется необходимым провести сравнительный анализ направлений совершенствования соответствующего сегмента законодательства в различных государствах (особенно в тех, которые являются признанными технологическими лидерами) – даже несмотря на то что проблема компьютерных правонарушений не решена ни в одном государстве, многие из них имеют опыт правового регулирования, полезный и при выстраивании данного сегмента правовой политики и в Российской Федерации.

Конечно, речь идет не об автоматическом применении существующих международно-правовых норм и простом заимствовании удачных конструкций (согласимся с мнением А.Н. Савенкова о неприемлемости такого подхода⁷), но вместе с тем отдельные конструкции по противодействию компьютерным правонарушениям могут быть использованы для правового регулирования виртуального пространства.

В рамках исследования целесообразно обратиться к зарубежному занодательству.

Следует отметить, что нормативные правовые акты зарубежных государств обычно не дают нормативного определения понятия «киберпреступность»⁸, так как оно представляет собой широкую категорию правонарушений, прямо или косвенно связанных с компьютерами и компьютерными сетями. Киберпреступления, как правило, определяются по средствам описания видов противоправной деятельности – чаще всего в уголовном законодательстве.

Так, в США основным механизмом судебного преследования за киберпреступления является Закон о компьютерном мошенничестве и злоупотреблениях 1986 (Computer Fraud and Abuse Act 1986⁹, далее – CFAA), который запрещает: несанкционированный доступ (или превышение санкционированного доступа) к компьютеру и получение информации, связанной с национальной безопасностью; несанкционированный доступ (или превышение разрешенного доступа) к компьютеру, используемому в межгосударственной или внешней торговле; несанкционированный доступ к частному компьютеру, используемому правительством США; умышленный доступ к защищенному компьютеру без разрешения с целью мошенничества; повреждение компьютера умышленно или по неосторожности; торговля паролями; передача угроз вымогательства, в частности угроз повреждения защищаемого компьютера и угроз получения информации или нарушения конфиденциальности информации; кибервымогательство, связанное с требованием денег или имущества.

Италия как член Европейского Союза в 2001 г. подписала, а в 2008 г. ратифицировала Конвенцию Совета Европы о преступности в сфере компьютерной информации ETS от 23 ноября 2001 № 185 (The Budapest Convention (ETS No. 185)¹⁰ (далее – Будапештская конвенция)¹¹. В Будапештской конвенции определения киберпреступности тоже нет, есть перечисление видов киберпреступлений. По тому же пути идет и итальянский законодатель.

Согласно Будапештской конвенции к киберпреступлениям относятся: 1) преступления против конфиденциальности, целостности и доступности компьютерных данных и систем: противозаконный доступ, неправомерный перехват, воздействие на данные, воздействие на функционирование системы, противозаконное использование устройств; 2) правонарушения, связанные с использованием компьютерных средств: подлог с использованием компьютерных технологий, мошенничество с использованием компьютерных технологий; 3) правонарушения, связанные с содержанием данных: правонарушения, связанные с детской порнографией; 4) правонарушения, связанные с нарушением авторского права и смежных прав.

В Сингапуре основным нормативным правовым актом в рассматриваемой области является уголовный Акт о злоупотреблениях в компьютерных сетях и кибербезопасности (Computer Misuse and Cybersecurity Act 1993¹² (далее – СМА, изменения внесены в 2017 г.), но непосредственного определения понятия «киберпреступность» в нем также не содержится, однако на сайте Национального совета по предупреждению преступности Сингапура (National crime prevention council, www.ncpc.org.sg) можно обнаружить определение киберпреступлений как преступных деяний, связанных с использованием компьютеров, в том числе: получение несанкционированного доступа к компьютеру для просмотра, изменения или уничтожения его данных; совершение преступлений с использованием Интернет в качестве средства массовой информации (например, сексуальные преступления, вымогательство, торговля наркотиками, мошенничество на онлайн-аукционах, порнография); получение несанкционированного доступа к компьютеру в своих целях (для совершения преступления); похищение номеров кредитных карт или информации о личности; мошенничество через сеть Интернет¹³.

Приведенную дефиницию конечно нельзя считать нормативной, но она дает представление о подходах к определению киберпреступлений органами государственной власти и в совокупности с описаниями действий в случае, если гражданин стал жертвой компьютерного преступления, является примером правового информирования населения относительно официальной позиции органов государственного управления по данному вопросу.

Законодательство Российской Федерации идет в целом по тому же пути, однако не давая дефиницию понятия компьютерных преступлений, зарубежный законодатель определяет их составы более подробно. Кроме того, можно отметить, что в исследуемых странах, как в Уголовном кодексе РФ, есть тенденция выделять нормы уголовного права в данной области в единый документ, т.е. обособлять. Но перечень составов в гл. 28 УК РФ узкий и включает неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных компьютерных программ (ст. 273); нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274); неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации; нарушение правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации сети Интернет и сетей связи общего пользования (ст. 274¹). Однако есть ст. 207³ (фактически статья об уголовном наказании за «фейки» (недостоверные новости) о Вооруженных Силах РФ), ст. 159³(мошенничество с использованием электронных средств платежа) и др. То есть нормы обнаруживаются по всему Уголовному кодексу РФ, и понимание того, что относится к компьютерным преступлениям, получить сложно. Поэтому в рамках рассматриваемого сегмента правовой политики представляется необходимым в качестве приоритета выделить изменение уголовного законодательства в части систематизации и уточнения составов компьютерных преступлений и переструктурированию гл. 28 УК РФ.

Что касается профилактики киберпреступлений, то анализ законодательства зарубежных стран показывает, что данное направление описывается и задается в стратегических документах.

Так, в мае 2022 г. итальянское правительство в рамках действующей Национальной стратегии кибербезопасности в период до 2026 г. поставила в общей сложности 82 цели¹⁴.

План реализации начинается с указания источников денежных средств для содействия инновациям и кибербезопасности (налоговые льготы для компаний; создание национального налогового льготного района для строительства Национального парка кибербезопасности и ряда узлов по всей Италии; выделение 623 млн евро из Национального плана восстановления и устойчивости на инновации и кибербезопасность и др.). Интересно, что в стратегии отсутствует направление по работе с населением в целях повышения его цифровой грамотности, что можно считать минусом итальянского подхода к профилактике киберпреступности.

Данный вывод подтверждается опытом Сингапура, сделавшего упор в своем развитии на технологии и человеческий потенциал, – здесь законодательные механизмы профилактики киберпреступлений также представлены стратегическими документами, но выбран подход, основанный на повышении цифровой грамотности населения. Аргументация выбора данного подхода следующая: неосведомленность или поверхностное отношение к кибербезопасности среди конечных пользователей может быть слабым местом даже самых безопасных систем. Стратегия кибербезопасности Сингапура 2021 г. (The Singapore Cybersecurity Strategy 2021) предусматривает расширение возможностей киберискушенного населения относительно «здорового цифрового образа жизни»: предполагается в сотрудничестве с бизнес-структурами повысить осведомленность, изменить отношение к кибербезопасности и содействовать внедрению передовой киберпрактики. Кроме того, во исполнение данных положений правительство Сингапура организует целевые информационные мероприятия с охватом отдельных групп населения (студенты, работающие взрослые, пожилые люди). Помимо повышения осведомленности правительство страны планирует поддерживать и поощрять частных лиц и предприятий при организации их защиты.

В Сингапуре существует орган государственной власти, обеспечивающий координацию действий по профилактике киберпреступлений, – Агентство кибербезопасности Сингапура (далее – CSA). Портал CSA Go Safe Online предоставляет действенные советы и подсказки для населения и предприятий по организации защиты от киберпреступлений. Предполагается также запустить добровольный знак доверия SG Cyber Safe и знак кибергигиены для предприятий, что позволит предприятиям иметь четкое представление об уровне их кибербезопасности; рекомендовано обучение сотрудников навыкам обеспечения кибербезопасности; использование ресурсов и наборов инструментов для повышения осведомленности о кибербезопасности в организации, разработанных CSA.

Для владельцев критической инфраструктуры Стратегией кибербезопасности Сингапура 2021 г. в качестве профилактики предписано: придерживаться риск-ориентированного подхода к кибербезопасности; использование цепочки поставок объектов критической инфраструктуры; использование системы компетенций кибербезопасности Operational Technology (OT) в качестве инструмента для создания процессов и структур для управления кибербезопасностью.

Учитывая другую форму организации правовой системы в США, здесь присутствует и другой подход к профилактике киберпреступлений. Безусловно, есть и стратегические документы (например, Киберстратегия ФБР¹⁵), но они ориентированы скорее на реагирование на киберинценденты, чем на профилактику. Тем не менее там описан основной подход к профилактике – обеспечить неотвратимость наказания за кибернарушения.

На уровне штатов, где проблема стоит достаточно остро в силу многочисленности совершаемых атак, направленных на объекты социальной сферы (школы, колледжи, медицинские учреждения и др.), подход к профилактике киберпреступлений другой. В 2022 г. по крайней мере 40 штатов и Пуэрто-Рико представили или рассмотрели более 250 законопроектов или резолюций, которые в значительной степени касаются кибербезопасности¹⁶. Среди предлагаемых изменений есть и положения профилактического характера, направленные на: обеспечение требований от государственных учреждений проводить обучение сотрудников кибербезопасности; разрабатку формальных политик, стандартов и практик информационной безопасности; обеспечение обязательного обучения сотрудников; установление обязанности сообщать об инцидентах в области безопасности, включая атаки программ-вымогателей; обеспечение финансирования программ и практик кибербезопасности в государственных учреждениях, местных органах власти и школах; разработку или поддержку программ и стимулов для обучения для сотрудников негосудартсвенных организаций по кибербезопасности.

Таким образом, законодательные механизмы профилактики компьютерных преступлений в зарубежных странах представлены стратегическими документами.

В Российской Федерации действует Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента РФ от 5 декабря 2016 г. № 646¹⁷ (далее – Доктрина). Конечно, за шесть лет Доктрина частично утратила свою актуальность, особенно на фоне текущей геополитической обстановки. В частности, в Доктрине мало внимание уделено внутрегосударственному уровню и личностному уровню защиты от кибератак. Представляется, что при формировании новой Доктрины стоит ориентироваться на опыт Сингапура, предполагающий повышение осведомленности разных групп населения, изменение отношения к кибербезопасности и содействие внедрению передовой киберпрактики защиты.

Киберпреступления имеют специфические характеристики, которые усложняют процесс их обнаружения¹⁸, поэтому механизмы реагирования в зарубежных государствах связаны с существованием групп реагирования на киберинциденты.

Так, в Италии есть несколько групп реагирования на компьютерные чрезвычайные ситуации (CERT), которые охватывают государственный и частный секторы, а также граждан.

В Сингапуре на базе CSA для борьбы с атаками на объекты критической инфраструктуры существуют группы реагирования на инциденты, которые готовы расследовать, сдерживать и устранять кибератаки.

В США у ФБР есть специально обученные киберотряды в каждом из 56 полевых офисов, группа быстрого реагирования Cyber Action Team может быть развернута по всей стране в течение нескольких часов для реагирования на крупные инциденты.

Кроме того, международные стандарты информационной безопасности (ISO 27001) требуют от организаций разработки планов управления реагированием на киберинциденты.

В зарубежных странах в качестве меры реагирования предусмотрена обязанность организаций уведомлять о компьютерных инцидентах соответствующие органы: введенная в действие в итальянском законодательстве, как и в других государствах Евросоюза, Директива NIS предусматривает для всех компаний и организаций, предоставляющих основные услуги (энергетика, транспорт, банки, цифровая инфраструктура, здравоохранение и т. д.), обязанность уведомлять о компьютерных инцидентах отраслевой национальный орган; если произошла утечка личных данных, организация обязана сообщить об этом их владельцам; в Сингапуре организации, которые относятся к владельцам объектов критической инфраструктуры, имеют установленную уголовным законом (СМА) обязанность сообщать об инцидентах в соответствующие органы (разные по отраслям для разных объектов), для прочих организаций СМА предусмотрена обязанность сообщать об инцидентах в Сингапурскую группу реагирования на компьютерные чрезвычайные ситуации, а в случае несанкционированного доступа к компьютерным системам организации, необходимо подать заявление в полицию; в США в марте 2022 г. было принято соответствующее законодательство (Закон об отчетности о важных киберинцедентах в отношении критически важной киберструктуры, Cyber Incident Reporting for Critical Infrastructure Act, CIRCIA¹⁹), согласно которому организации критической инфраструктуры обязаны сообщать о важных киберинцедентах (технические детали находятся в стадии разработки).

Интересная модель есть в Сингапуре: организации, которые относятся к владельцам объектов критической инфраструктуры, обязаны проводить регулярные проверки и оценки рисков для уязвимостей кибербезопасности, причем за несоблюдение этих обязательств законодательством предусмотрены значительные уголовные санкции²⁰.

Имеющиеся практики в законодательствах различных государств позволяют не только обеспечить высокую степень защиты, но и собирать статистическую информацию для дальнейших научных разработок механизмов защиты и реагирования на киберинценденты.

Что касается ситуации в Российской Федерации, то Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации была утверждена Президентом РФ еще 12 декабря 2014 г.²¹, однако специальные подразделения по борьбе с киберпреступлениями в структуре МВД России и Прокуратуры РФ были созданы только в 2020 г., и представляется, что в текущей систуации их для оперативного реагирования недостаточно. Обязанность сообщать о киберинцедентах законодательством не закреплена; механизмы сертификации критически важных информационных систем не отработаны. Хотя начало данной работе положено Указом Президента РФ от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»²², законодателю и правоприменителям предстоит еще много работы по формированию эффективной системы реагирования на киберинценденты, для чего необходимо использовать опыт стран, где разработки систем реагирования уже ведутся.

Санкционная политика в исследуемых государствах отличается, что обусловлено общими правовыми традициями.

Например, в Сингапуре законодательство о киберпреступлениях продолжает политику жесткого правового регулирования, когда даже небольшие правонарушения влекут серьезные последствия: в частности, для большинства компьютерных киберпреступлений (взлом компьютерных систем и / или повреждение веб-сайтов, распространение вредоносного программного обеспечения, DDOS атаки, мошенничество с использованием компьютерных технологий, неправомерное использование компьютера, нарушение авторских прав, кража личных данных, мошенничество с идентификацией, распространение недостоверной информации) характерны уголовно-правовые санкции, предусматривающие штрафы и лишение свободы. За отдельные виды компьютерных правонарушений могут быть предусмотрены иные меры воздействия: например, за нарушение авторских прав используются гражданско-правовые санкции, а за кражу личных данных и распространение недостоверной информации – административно-правовые.

В отличие от законодательства Сингапура странах Европейского Союза, в том числе в Италии, виды применяемых мер за компьютерные правонарушения разнообразнее, т.е. количество составов киберпреступлений меньше. Тем не менее большинство санкций носит уголовно-правовой характер, так как это предусматривает Будапештская конвенция (противозаконный доступ, неправомерный перехват, воздействие на данные, воздействие на функционирование системы, противозаконное использование компьютерных устройств, правонарушения, связанные с использованием компьютерных средств, правонарушения, связанные с нарушением авторского права и смежных прав, а также раскрытие информации, составляющей одну из тайн, кража личных данных, ограничения на содержание цифровых ресурсов), но могут применяться и административно-правовые (противозаконный доступ, воздействие на данные, воздействие на функционирование системы, противозаконное использование компьютерных устройств, правонарушения, связанные с использованием компьютерных средств, кража личных данных, ограничения на содержание цифровых ресурсов), гражданско-правовые (правонарушения, связанные с нарушением авторского права и смежных прав, а также раскрытие информации, составляющей одну из тайн) и иные (воздействие на функционирование системы, блокировка информационных ресурсов) меры.

В США на федеральном уровне CFAA предусматривает как уголовные, так и гражданские наказания (которые в уголовном контексте могут варьироваться от 10 до 20 лет лишения свободы за некоторые преступления с отягчающими обстоятельствами, с наказаниями за преступления без отягчающих обстоятельств, перечисленными ниже). Кроме того, есть еще законодательство, касающееся киберпреступлений, включая Закон о защите электронных коммуникаций (Electronic Communications Privacy Act of 1986, ЕСРА)²³, который обеспечивает уголовные санкции для защиты сообщений при хранении и передаче, включая преднамеренный перехват электронных сообщений в пути с некоторыми исключениями, доступными для правоохранительных органов, поставщиков услуг и других лиц. Закон об экономическом шпионаже от 1996 г.²⁴ и др. являются дополнительными источниками потенциальных уголовных и гражданских санкций. В дополнение к федеральным законам многие штаты приняли законы, запрещающие взлом и другие киберпреступления, некоторые из которых шире, чем федеральные законы. Меры предусмотрены в том числе и уголовные. Например, уголовный закон штата Нью-Йорк запрещает сознательное использование компьютера с целью получения доступа к компьютерным материалам (посягательство на компьютер), с наказанием в виде лишения свободы на срок до четырех лет²⁵.

Защита персональных данных в зарубежных странах предусматривает в основном административные санкции в виде больших штрафов.

Зарубежное законодательство предусматривает и санкции за противозаконное использование компьютерных устройств (в том числе распространение, продажу или предложение к продаже оборудования, программного обеспечения и других инструментов для совершения киберпреступлений или использование ИТ-систем без разрешения ее владельца на предмет уязвимости, а также любую другую деятельность, которая неблагоприятно или угрожает целостности, конфиденциальности или доступности компьютерной системы), включая достаточно развернутое описание того, что подразумевается под компьютерными устройствами.

И все же, несмотря на слишком суровые санкции, законодательство Сингапура в исследуемой сфере отличается максимальной степенью проработки. В частности, основной Закон о киберпреступлениях (CMA): описывает круг субъектов (любое лицо, независимо от национальности и гражданства, как в Сингапуре, так и за его пределами, при условии, если обвиняемый, компьютерная программа или данные находились в Сингапуре в момент совершения преступления и / или преступление причиняет и / или создает риск вреда для Сингапура²⁶); задает терминологический аппарат, что позволяет избежать сложностей при толковании законодательства в ходе судебных разбирательств; определяет основания для наступления ответственности (чаще всего связано с отсутствием полномочий у правонарушителя) и составы преступлений, позволяющие охватить максимальное количество противоправных деяний; вводит понятие «инструментов для взлома» с максимально широким определением таких инструментов как устройств или компьютерных программ, которые можно использовать для совершения киберпреступлений; при этом чтобы положение не стало всеобъемлющим, запрет применяется только в том случае, если инструменты получены с намерением совершить киберпреступление (обвинитель должен будет доказать такие намерения).

Ранее отмечалось, что в российском законодательстве составы преступлений не представлены в одном месте, а имеющихся дефиниций недостаточно, что приводит к сложностям в судебной практике.

* * *

Таким образом, сфера противодействия преступлениям, совершаемым с использованием информационных технологий, нуждается в новых подходах, т.е. требуется использование инструментов правовой политики. При выстраивании системы приоритетов последней имеет смысл обратить внимание на опыт отдельных стран – лидеров в сфере информационных технологий. Среди перспективных направлений совершенствования правовой системы на основе проведенного анализа можно выделить: структурирование видов компьютерных преступлений в Уголовном кодексе РФ и уточнение составов (включение, например, санкций за противозаконное использование компьютерных устройств); формирование новой Доктрины информационной безопасности с ориентацией на опыт Сингапура (повышение осведомленности разных групп населения, изменение отношения к кибербезопасности и содействие внедрению передовой киберпрактики защиты); создание специальных групп реагирования на киберинциденты, а также введение законодательно закрепленных обязанностей для организаций (минимально только для объектов критической инфраструктуры) уведомлять о компьютерных инцидентах соответствующие органы (при разработке соответствующих методических документов, определяющих время для сообщения, его состав и порядок действий) и проводить регулярные проверки и оценки рисков для уязвимостей кибербезопасности; дальнейшая разработка терминологического аппарата, позволяющего избежать сложностей при толковании соотвествующего сегмента законодательства в ходе судебных разбирательств.