Ответственность за преступления в сфере компьютерной информации в Уголовном кодексе Российской Федерации предусматривается тремя статьями одноименной главы 28. Для рассмотрения возможной ответственности разработчиков программного обеспечения необходимо провести анализ данной главы. Стоит также отметить, что уже известные проблемы с терминологией, использующейся в УК РФ, рассмотрены в статье Е.М. Рахманина «Проблемные вопросы терминологии Уголовного кодекса Российской Федерации, используемой при регулировании вопросов в сфере информационной безопасности» [1]. В настоящей статье будет использоваться действующая на настоящий момент в УК РФ терминология.
Статья 272 УК РФ «Неправомерный доступ к компьютерной информации» предусматривает наступление ответственности при условии получения субъектом доступа к защищаемой информации (причем рассматривается только защищаемая законом информация, а не вся информация, которую хотел бы защитить обладатель). Преступление считается оконченным после наступления таких событий как уничтожение, блокирование, модификация или копирование информации (формально ознакомление можно также считать копированием информации в память субъекта) [на основе [2], [3]]. Даже при поверхностном анализе, становится очевидным, что субъектами преступления в настоящей статье могут быть только непосредственные пользователи информационной системы и лица, ставшие пользователями незаконно. Разработчик ПО лишь предоставляет виртуальную платформу для обработки той или иной информации, при этом требуя от оператора обязательной подписи контракта или согласия на использование ПО (физическому или юридическому лицу – пользователю ИС). Оператор, обрабатывающий информацию с использованием программных компонентов, делает это добровольно. Следовательно, незаконность доступа к информации со стороны разработчика исключается еще на этапе разработки ИС, так как юридически и технически грамотный разработчик обязательно включит в контракт или согласие правила обслуживания и модернизации своего программного обеспечения пункт о снятии ответственности за ознакомление с остаточной информацией или за недостаточность защиты информации от ознакомления со стороны разработчика в процессе легального и законного обслуживания своего ПО.
Статья 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». Ответственность субъекта, предусмотренная настоящей статьей, наступает за разработку, распространение или эксплуатацию программного обеспечения, утилит и других исполняемых файлов, назначение которых – несанкционированное уничтожение, блокирование, модификация, копирование информации или нейтрализация средств ее защиты. Иными словами, настоящая статья применяется в случае нарушения общественной безопасности по безопасному использованию информации в рамках законности [на основе [2], [3]]. Недостатком настоящей статьи является то, что она охватывает программное обеспечение типа вирусов, программ-сканеров, кейлогеров, червей, троянов и т.д., влияющих на программное обеспечение, которое непосредственно используется для обработки интересующей злоумышленника информации (средства защиты информации в данной статье упоминаются по причине наличия в них подсистемы контроля потоков информации, косвенно участвующей в обработке информации). Однако, в настоящей статье не упоминаются проблемы использования легитимных «невирусных» функций в целях, равнозначных целям при использовании вирусного ПО. Примером является простое зеркалирование потока информации в СЗИ для осуществления теневого копирования при отсылке документов на печать. Контейнеры СЗИ с теневыми копиями могут иметь недостаточно стойкую защиту в отличии от основных контейнеров хранения информации, так как требования к защите контейнеров с теневыми копиями законодательно не обусловлены. Таким образом, грамотному разработчику достаточно прописать снятие с себя ответственности за нецелевое использование функционала своего программного обеспечения, и тем самым полностью снять с себя ответственность за манипуляции злоумышленника по нецелевому использованию тех или иных функций ПО. А в совокупности с тем, что современные языки программирования, используемые для разработки ПО, дают обширнейший функционал встроенных процедур и операторов, однозначно описать ту или иную разработанную функцию без длительного и кропотливого его тестирования высококвалифицированными тестировщиками-разработчиками, практически невозможно. А легализация того или иного функционала в разработанном ПО может быть осуществлена простым его переводом в радел «необходимый для сервисного обслуживания функционал» и наложением запрета на его использования только путем организационных мер, что является недостаточным для обеспечения безопасности обрабатываемой информации.
Статья 274 УК РФ «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей». В настоящей статье ответственность субъекта наступает за нарушения, приводящие к уничтожению, блокированию, модификации или копированию информации, содержащейся в ИС или подключенных к ней носителях информации. Субъектами могут быть лица, которые имеют доступ к ИС с учетом официально выполняемых обязанностей (работников организации) или же лица, имеющие официальный доступ к средствам хранения информации (носителям информации) в ИС [на основе [2], [3]]. Таким образом, данная статья не затрагивает лиц, не имеющих допуска к ИС и ее компонентам. Настоящий факт продиктован наличием статьи 272 УК РФ. Однако, как и в предыдущих статьях, остается проигнорированным контроль разработчиков ПО, которые разрабатывают и адаптируют программные компоненты под те или иные ИС, проводят систематическую модернизацию, адаптацию и обновление своего ПО, тем самым имея легальный доступ к ИС и ее модулям памяти, одновременно без прав ознакомления с защищаемой информацией.
Таким образом, статья 274 УК РФ не распространяет свое действие на разработчиков ПО ни при каких обстоятельствах. Аналогично, не распространяется на разработчиков ПО и действие статьи 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», так как доказать целенаправленность внедрения вредоносного функционала разработчиком ПО при его использовании в элементах критической инфраструктуры на практике не представляется возможным в связи с использованием типовых процедур и функций языков программирования и отсутствием ответственности за недостаточность тестирования итогового продукта.
С учетом вышеописанных проблем в действующем на настоящий момент УК РФ, становится очевидной необходимость его дополнения статьей, предусматривающей следующие виды ответственности:
- ответственность разработчиков прикладного программного обеспечения за недостаточный контроль продаваемого программного продукта, приводящий к использованию функций и компонентов такого продукта в целях получения несанкционированного доступа к информации с последующим на нее воздействия;
- ответственность разработчиков прикладного программного обеспечения за недостаточный контроль продаваемого программного продукта, приводящий к утечке защищаемой информации при проведении технических работ с прикладным программным продуктом;
- ответственность разработчиков операционных систем за негласное расширение тех или иных возможностей функционала ОС без соответствующего уведомления потребителей, приводящих к предоставлению несанкционированного доступа к защищаемой информации;
- ответственность разработчиков средств защиты информации за отсутствие модуля блокирования функций СЗИ при попытке использования компонентов и подсистем СЗИ для совершения незаконных действий, предусмотренных статьями главы 28 УК РФ;
- ответственность разработчиков языков программирования за некорректное описание и отсутствие проработки «исключений» при разработке языков программирования, их функций и процедур, приводящих к непреднамеренному нарушению разработчиками прикладного ПО, СЗИ и ОС международного законодательства в сфере защиты информации;
- ответственность операторов за несвоевременное обращение к разработчикам прикладного ПО, СЗИ или ОС в целях их уведомления об обнаружении недекларированных функций программного обеспечения, уведомления об обнаружении уязвимостей программного обеспечения или возникающих «исключений» при работе с программным обеспечением, приводящим к нарушениям международного законодательства в сфере защиты информации.
Подводя итог настоящей статьи, стоит отметить, что скорость развития цифровых технологий столь высока и единственным возможным решением, позволяющим обеспечить безопасность защищаемой информации с точки зрения привлечения нарушителей к уголовной ответственности, является переход к прецедентному праву с соответствующей разработкой необходимых судебных экспертиз и проведением соответствующей подготовки кадров правоохранительной и судебной системы. Также очевидна необходимость модернизации понятийного аппарата в законодательстве Российской Федерации с приведением к единообразию всех технических и юридических терминов для обеспечения однозначности трактования всех нормативных актов РФ.
В ходе анализа соглашений и договоров, предоставляемых разработчиками программного обеспечения, оптимальным является внесение таких изменений в Федеральный закон № 149-ФЗ от 08.07.2006 г. «Об информации, информационных технологиях и о защите информации», так как настоящий Федеральный закон наиболее адаптирован к международным нормативным документам по защите информации и имеет достаточную юридическую гибкость и полностью охватывает виртуальную сферу жизни [на основе [4]].
Более подробная проработка рассмотренных в статье вопросов приведена в магистерской диссертации Рахманина Е.М. «Борьба с посягательствами на компьютерную информацию на примере отдела Организации защиты информации Главного Управления МВД России по Московской области» [5].
Библиографический список
- Рахманин Е.М. Проблемные вопросы терминологии Уголовного кодекса Российской Федерации, используемой при регулировании вопросов в сфере информационной безопасности. Москва, 2019 г.
- Российская Федерация. Уголовный кодекс Российской Федерации. [Текст] [принят Гос. Думой 24 мая 1996 г.: одобр. Советом Федерации 05 июня 1996 г.] – М.: – 318с.
- Комментарий к Уголовному кодексу Российской Федерации от 2018 г. [Текст] – М.: – 400с.
- Российская Федерация. Законы. Об информации, информационных технологиях и о защите информации. № 149-ФЗ. [Текст] федер. закон: [принят Гос. Думой 8 июля 2006 г.: одобр. Советом Федерации 14 июля 2006 г.] – М.: – 15с.; – (Актуальный закон).
- Рахманин Е.М. Борьба с посягательствами на компьютерную информацию на примере отдела Организации защиты информации Главного Управления МВД России по Московской области. Москва, 2019 г.
Количество просмотров публикации: Please wait