суббота, 10 сентября 2016 г.

Закон и хакеры: истории о преступлениях и наказании

Мы очень часто слышим и читаем новости в которых рассказывается о новом взломе компьютерных систем, краже конфиденциальных данных, мошенничестве с финансами, утечки баз данных пользователей крупнейших интернет-магазинов или социальных сетей. Причем действия одних хакеров, например, группы Fancy Bears, которые взломали антидопинговое агенство WADA и опубликовали ряд документов, свидетельствующих о том, что американские атлеты на олимпиаде в Рио принимали запрещенные препараты, вызывают скорее симпатию, нежели чем желание их наказать. То же самое можно сказать и о взломах в результате которых материалы компрометирующие АНБ или ЦРУ были выложены на WikiLeaks. Однако не смотря на это компьютерный взлом и несанкционированный доступ к информации приравнивается к преступлениям, и как для любых других правонарушений, для них предусмотрены меры ответственности.

В сегодняшней публикации мы рассмотрим хакерскую активность с правовой точки зрения. Кратко пробежимся по западному законодательству в сфере кибер преступлений, и более подробно остановимся на санкциях предусмотренных в отечественной нормативной базе. Так же немного расскажем о самых крупных в современной истории хакерских взломах и приведем примеры преступлений и последовавших за ними наказаний

Введение

Из многочисленных сводок и новостных лент, распространяемых интернет СМИ, а также на специализированных порталах посвященных ИБ, в отчетах аналитиков  и других материалах мы каждый день узнаем о новых инцидентах, взломах, утечках, хакерской активности. Преступления в компьютерном мире стали обыденностью, а ущерб порой даже больше чем от преступлений совершаемых в реальной жизни. Поэтому не удивительно, что во всех развитых странах в той или иной форме имеется свой набор законодательных актов, посвященных противостоянию и наказанию за хакерство, электронные кражи, мошенничество с использованием ИТ-технологий. Более того, активистами все чаще предпринимаются попытки сделать подобные законы еще более строгими.

Ответственность за кибер преступления в России

В России разрешено свободное распространение информации при соблюдении всех требований, установленных законодательством Российской Федерации. Так базисным законом, регулирующим свободу доступа к информации, является  ФЗ-149 "Об информации, информационных  технологиях и защите информации". Данный законодательный акт призван регулировать отношения, возникающие между субъектами при осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий, а так же обеспечении защиты информации

Так же в законе сказано, что ограничение доступа к информации любого вида может устанавливаться федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
Закон так же говорит: запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо его воли. 
Такую информацию принято относить к Персональным данным, который регулирующий одноименный федеральный закон ФЗ-152 "О Персональных данных"
Все выше описанное относится к фундаментальным основам права связанных с информацией , и в частности с  информационными технологиями. Конкретные деяния и ответственность за них на территории РФ в зависимости от цели и мотивов могут предполагать уголовную, административную и гражданско правовую ответственность.
Наиболее легкая форма это административная ответственность за хакерскую деятельность, которая может возникнуть в случае нарушения Статьи 13 Кодекса РФ об административных правонарушениях РФ. Данная статья предполагает ответственность за разглашение информации с ограниченным доступом, а также нарушение установленного порядка хранения, использования или распространения информации персональных данных. Ответственность налагается в виде штрафа, и в зависимости от тяжести правонарушения варьируется от нескольких тысяч до сотен тысяч рублей.

За более серьезные серьезные правонарушения предусмотена уголовная ответственность. Наиболее известный раздел в УК РФ это 28 глава, преступления в сфере компьютерной информации. Раздел включает в себя три статьи - 272, 273, 274
И так, давайте более подробно о каждой.

Статья 272 "Неправомерный доступ к компьютерной информации"
Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, 

Это наиболее ходовая статья в делах по кибер преступлениях, так как именно она предусматривает такие квалифицирующие деяние признаки, как уничтожение и копирование информации, модификация информации (дефейс), блокирование работы системы ЭВМ (DoS-атака), нарушение работы системы ЭВМ и блокирование доступа (использование malware или уязвимостей системы). По этой статье как раз и осуждается большая часть людей, которых СМИ и правоохранительные органы называют "хакерами".

Статья 273 "Создание, использование и распространение вредоносных программ для ЭВМ"
Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации или копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами.

Это вторая наиболее ходовая статья, направленная на распространителей вирусного ПО, а также грозящая ответственностью тем, кто занимается взломом программ (reversing) с помощью эмуляторов и прочих специальных средств. Также эту статью можно применить к тем кто использует или просто распространяет софт для DDoS-атак и различные хакерские тулзы и т.п.

Статья 274 "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети"
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сетей лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред.

Как сообщает источник, статья некогда была рассчитана на наказание нерадивых сотрудников руководством фирм за неправильную эксплуатацию техники приведшую к каким либо негативным последствиям. На данный момент практически не работает - частично из-за того, что не относится к категории преступлений даже средней тяжести. 

Если же речь идет об использовании чужих логинов и паролей (фактически работа под чужой учетной записью), то в дела включаются еще и статьи ст.165 УК РФ "Причинение имущественного ущерба путем обмана или злоупотребления доверием", в некоторых случаях так же действия злоумышленника можно подписать под ст.183 УК РФ "Незаконное получение и разглашение сведений, составляющих коммерческую тайну", и банальная ст.159 УК РФ "Мошенничество".

Совсем недавно стало известно, что Сбербанк и Министерство внутренних дел (МВД) разработали совместный законопроект, который также был поддержан представителями Центробанка. Законопроект требует признать киберпреступления кражами, а не квалифицировать их как мошенничество, а также установить за их совершение более серьезное наказание.

Зарубежная практика в наказании кибер преступников

1. Законодательство США
Как известно первые ИТ компании зародились в США. Поэтому и первый законопроект, устанавливающий уголовную ответственность за преступления в сфере информационных технологий, был разработан в США еще в далеком 1977 году. А уже позднее, на основе данного законопроекта в октябре 1984 года был принят закон о мошенничестве и злоупотреблении с использованием компьютеров (Computer Fraud and Abuse Act) .
Закон устанавливает ответственность за несколько основных составов преступлений: компьютерный шпионаж; 
  • несанкционированный доступ к информации;
  • компьютерное мошенничество;
  • умышленное или по неосторожности повреждение защищенных компьютеров; 
  • угрозы, вымогательство, шантаж, совершаемые с использованием компьютерных технологий и другие.
Ответственность за указанные кибер преступления предусматривают солидные денежные штрафы, а так же вполне реальное тюремное заключение. Наказание зависит от многих факторов, т.к. тяжесть совершенного преступления, размер экономического ущерба, причиненного деянием, криминального прошлого подсудимого и многих других.

2. Законодательство Великобритании
В туманном Альбионе с августа 1990 года действует Акт о компьютерных злоупотреблениях. Первый параграф этого документа касается "неуполномоченного доступа к компьютерным данным". Им установлено, что лицо совершает преступление, когда оно использует компьютер для выполнения любой функции с намерением обеспечить доступ к любой программе или данным, содержащимся в любом компьютере, если этот доступ заведомо неправомочен.

Так же стоит сказать об одним подтверждений серьезности проблемы компьютерных преступлений это вступление в действие в соединенном королевстве Закона о терроризме 2000 года. В законе определение терроризма впервые расширяется до области киберпространства. К примеру, благодаря данному документу, английские правоохранительные органы вправе считать террористическими действия, которые "серьезно вмешиваются или серьезно нарушают работу какой‑либо электронной системы".

3. Законодательство Германии
Немецкий Уголовный кодекс использует специальный термин – Daten, определение которого дается в статье 202 УК – это данные, которые сохранены или передаются электронным, магнитным или иным, непосредственно визуально не воспринимаемым способом, т.е. говоря языком обывателя, это компьютерные данные.

Так же пункт "b" статьи 303 УК охватывает такие преступления, как DNS‑атаки (компьютерный саботаж) и создание вредоносного ПО. В статье содержится термин компьютерный саботаж – вмешательство в обработку данных, которая является существенной для предприятия, государственных органов, или чьего‑либо способа ведения бизнеса, что является серьезным преступлением. Вмешательство может быть осуществлено путем уничтожения, повреждения, приведения в негодность, изменения компьютерной системы, или вмешательства в передачу данных

4. Законодательство Испании
Согласно статье 197 УК Испании, раскрытие и распространение тайных сведений без согласия их владельца, в том числе сведений из электронной почты, сведений, хранящихся в базах данных, перехват телекоммуникаций или использование записывающих и подслушивающих устройств предусматривает наказание в виде штрафа или заключения на срок от одного до четырех лет.

5. Законодательство Италии
Уголовный кодекс Италии запрещает "неправомочный доступ третьих лиц к компьютеру или телекоммуникационной системе", т.е. доступ к компьютерам или системам, защищенным мерами безопасности, либо доступ против выраженного или подразумеваемого желания владельца подобный доступ исключить. Ответственность за эти правонарушения ‑ лишение свободы на срок до трех лет (статья 615 УК).

Крупнейшие хакерские атаки и последствия

Представляем вам информацию любезно представленную новостным агентством Slon

1. Митник против Пентагона
В далеком 1983 году, тогда еще юный Кевин Митник, перед тем как дерзко взломать сайт Пентагона, на протяжении нескольких лет безнаказанно взламывал и использовал в своих целях телефонные сети США. В те годы, будучи еще студентом, с компьютера TRS-80 Митник проник в глобальную сеть ARPANet, предшественницу Internet, и через компьютер Лос-Анджелесского университета добрался до серверов министерства обороны США. 

Вскоре взлом был зафиксирован, и юного киберпреступника довольно быстро нашли, в итоге он отбыл полгода в исправительном центре для молодежи. Много позже, уже в середине девяностых Митника обвинили по ряду эпизодов в нанесении ущерба на $80 млн и после обвинительного приговора на несколько лет посадили в тюрьму. После отбывания срока в тюрьме пионер кибертерроризма исправился и теперь играет за команду сильных.

2. Левин и крупнейший взлом Citibank
Действия происходили в 1994 году. Это ограбление стало первым в цепи противостояния российских хакеров и западного гиганта Citibank. Из материалов дела известно, что середине 1990-х годов петербуржец Владимир Левин проник во внутреннюю сеть американского банка, взломав аналоговое модемное подключение, и сумел перевести $10,7млн на счета в разные страны: США, Финляндию, Германию, Израиль и Нидерланды. Сообщники выдали россиянина властям. После Левина арестовали в марте 1995 года в Лондоне, а через три года следствия приговорили к трем годам лишения свободы. 

3. 15-летний Джеймс нашел брешь в  НАСА
На дворе уже 1999 год. И 15-летний хакер Джонатан Джеймс первым вскрыл систему Национального космического агентства США. Ему удалось получить доступ, взломав пароль сервера, принадлежащего другому правительственному учреждению, после чего Джеймс украл несколько важных файлов у НАСА, включая исходный код международной орбитальной станции. В тот момент агенство  оценило ущерб в $1,7млн. Ввиду своего юного возраста Джеймс смог избежать тюрьмы. 

4. Русский след и платежная система PayPal
Уже 2000 год. Челябинские ребята, 26-летний Василий Горшков и его 20-летний друг Алексей Иванов были арестованы ФБР в ноябре 2000 года в Сиэтле. Их обвинили в незаконном проникновении в корпоративные компьютерные сети PayPal, Western Union, а также американского банка Nara Bank. С домашних компьютеров злоумышленники украли 16 тысяч номеров кредитных карт, чем причинили ущерб на $25млн. В итоге Иванов получил четыре года тюрьмы, а его подельник Горшков – три, но с обязательством выплатить $700 тысяч компенсации. 

5 Утечка исходного кода Windows 2000
Идем дальше, теперь 2004 год.  Весь мир облетала новость о том, что 12 февраля 2004 года компания Microsoft заявила о краже исходного кода операционной системы Windows 2000. Было украдено порядка 600 млн байт данных, 31 тысяча файлов и 13,5 млн строк кода. Утечка информации коснулась и системы Windows NT4. Сначала корпорация заявила, что код был украден через партнерскую компанию Mainsoft, однако позже выяснилось, что данные были украдены прямо из самой сети Microsoft. Это не привело к серьезным финансовым потерям, поскольку Microsoft к тому моменту уже отказалась от развития этой версии ОС, однако ни компания, ни ФБР так и не сумели найти злоумышленников.

6.  Снова русские хакеры против американской биржи
И вот уже 2013 год. В июле 2013 года власти США предъявили обвинения в мошенничестве и взломе компьютерных сетей пяти гражданам России и одному жителю Украины. Как утверждает следствие, речь идет об «одном из крупнейших киберпреступлений в истории». Обвиняемым удалось взломать системы безопасности электронной биржи NASDAQ, крупнейших торговых сетей и ведущих банков Европы и США. В результате были похищены данные 160 млн кредитных карт и сняты средства с 800 тысяч банковских счетов по всему миру. Перед судом в Ньюарке предстал только москвич Дмитрий Смилянец, он был арестован по запросу ФБР в Нидерландах. Остальным участникам гуроппы удалось скрыться и избежать наказания.

7. Малварь Stuxnet и ядерная программа Ирана. 
Не такой далекий 2010 год. Компьютерный червь Stuxnet успешно атаковал и частично вывел из строя ядерную систему Ирана. По иранским данным, осенью вирус заблокировал работу пятой части иранских центрифуг, при этом скопировал запись систем видеонаблюдения и прокрутил ее во время операции, чтобы служба безопасности ничего не заподозрила. Поскольку атака оказалась успешной, возникло предположение, что это разработка израильских спецслужб, которым помогали США. Позднее Эксперты «Лаборатории Касперского» увидели в нем «прототип кибероружия, создание которого повлечет за собой новую гонку вооружений».

8. Хактивисты Anonymous против всех
Место действия США, Израиль и Россия, период 2012–2014 годы. В январе 2012 года был закрыт сайт MegaUpload. В знак протеста Anonymous провела крупнейшую в истории DDoS-атаку с применением специальной программы LOIC. На несколько часов были выведены из строя сайты ведомств США: ФБР, Белого дома, Министерства юстиции, а так же холдинга звукозаписи Universal Music Group, Американской ассоциации звукозаписывающих компаний, Американской ассоциации кинокомпаний, Американского управления авторского права. В апреле 2013 года Anonymous атаковали более 100 тысяч израильских сайтов. Общий ущерб от атаки сами хакеры оценили в $3 млрд. Акция стала ответом на операцию «Облачный столп», прошедшую в ноябре 2012 года. Также хактивисты во время украинского кризиса в марте подвергли мощной атаке правительственные сайты РФ и сайты российских СМИ.

Преступление и наказание - показательные истории

Информация предоставлена порталом Securelist
За последние годы за хакерство и незаконный доступ к информации было осуждено множество людей. Вот некоторые из этих случаев:
  • И еще раз о Митнике. Его  арестовали 15 февраля 1995 года в городе Рэлей, Северная Каролина, после того как его сумел выследить компьютерный эксперт Цитому Шимомура. После признания Митником вины по большинству предъявленных ему обвинений, его приговорили к 46 месяцам реального и трем годам условного заключения. Вдобавок его обязали выплатить множество штрафов. Митника выпустили из тюрьмы 21 января 2000 года.
  • Пьер-Ги Лавуа (Pierre-Guy Lavoie), 22-летний канадский хакер, был приговорен к 12 месяцам общественных работ и условному заключению на 12 месяцев за подбор паролей с целью проникновения в чужие компьютеры. Его осудили по канадскому законодательству.
  • 38-летний Томас Майкл Вайтхэд из города Бока Рэйтон во Флориде, стал первым человеком, осужденным по американскому Digital Millennium Copyright Act (DMCA). Ему, в рамках программы генеральной прокуратуры по противостоянию компьютерному хакерству и нарушениям интеллектуальной собственности, предъявили обвинения в продаже устройств, которые можно использовать для нелегального приема вещания спутниковой системы DirecTV.
  • Серж Хампич (Serge Humpich), 36-летний инженер, был приговорен к 10 месяцам заключения и обязан выплатить 12 тысяч франков штрафа и символический один франк Groupement des Cartes Bancaires, организации, занимающейся обслуживанием электронных платежных карт.
  • Первого июля 2003 года Олег Зезев, известный как Alex, гражданин Казахстана, был приговорен манхэттенским федеральным судом к 51 месяцу заключения после признания его виновным в компьютерном вымогательстве.
  • Матеас Калин, румынский хакер, был арестован вместе с пятью гражданами США по обвинению в краже более 10 млн USD у компании Ingram Micro из Санта-Аны, Калифорния. В настоящее время (конец 2004 года) Матеас и его сообщники ожидают решения суда, которое грозит обернуться 90 годами тюремного заключения.
  • 27 марта 2006 года семейная пара из Великобритании Рут и Майкл Хефрати (Ruth и Michael Haephrati), осужденная в Израиле за разработку и продажу троянской программы, была приговорена к четырем и двум годам тюремного заключения соответственно. Их также обязали выплатить компенсацию в размере 2 миллионов шекелей (428 000 долларов). Они продали свою троянскую программу частным детективам, которые использовали ее для получения доступа к персональным данным конкурентов по бизнесу своих клиентов.
  • Ставший печально знаменитым британский хакер Гари Маккиннон (Gary McKinnon) ожидает экстрадиции в США за взлом в 2002 году 97 компьютеров американского военного ведомства и НАСА, который один американский прокурор назвал «величайшим военным компьютерным взломом всех времен». Адвокаты Гари Маккиннона подали серию апелляций и (на момент написания этой заметки в марте 2010 года) продолжают оспаривать процессуальные действия по экстрадиции. Если его привлекут к ответственности и осудят по американским законам, хакеру грозит до 70 лет тюрьмы.
Правительственные хакеры из ФСБ и ГРУ

Имя хакерской группировки Fancy Bear хорошо известно в среде специалистов по информационной безопасности, именно так  западные коллеги называют предположительно российскую группу правительственных хакеров, также известную под именами Sofacy, APT28, Sednit, Pawn Storm и Strontium и так далее.

Отмечается, что эти группы хакеров имеют отношение к взлому правительственных организаций, технологических компаний, военных подрядчиков, энергетических и производственных компаний и университетов в США, Канаде, Европе и Азии. В частности, группа Cozy Bear смогла получить несанкционированный доступ к системам электронной почты Белого Дома, Госдепартамента и Объединённого комитета начальников штабов в 2014 году.

А 13 сентября 2016 года хакеры, называющие себя Fancy Bears, опубликовали на своем сайте ряд документов, похищенных у Всемирного антидопингового агентства (ВАДА).  Так, хакеры обнародовали свидетельства того, что в ходе соревнований американские атлеты принимали запрещенные препараты, но все равно были допущены до участия в Олимпиаде. При этом представители ВАДА подтвердили факт взлома своих систем и утечку данных, заявив, что их атаковали хакеры из России.

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...