THE DOS-ATTACKS IN MODERN LEGAL REGULATION

Full Text

Характерной чертой современного мира является стремительное развитие электронно-вычислительной техники. Повсеместное использование компьютерных вычислений порождает собой множество правовых проблем, таких как: компьютерное хулиганство (то есть несанкционированное проникновение с помощью персональных компьютеров в чужие информационные сети; нарушение функционирования компьютерных систем посредством выведения из строя программного обеспечения и другое); борьба с так называемой компьютерной преступностью, включающей хищение информации, в том числе конфиденциального или секретного характера, а также хищение денежных сумм, хранящихся в банках, путём изменения программы ЭВМ, мошенничества или подлога. Всеобщая информатизация различных банковских услуг порождает серьёзную проблему безопасности. Часто при разработке программного обеспечения банковских систем невозможно предусмотреть защиту от мошенничества, так как пользователи самостоятельно предоставляют преступникам (мошенникам) доступ к данным. Рассмотрим несколько нарушений закона в компьютерной сфере. 1. Мошенничество путём обмана и злоупотребления доверием пользователя. Этот способ распространён среди пользователей банковских приложений. Мошенник получает пароль или код для входа в систему или для подтверждения перевода от самого пользователя, представляясь сотрудником банка или любым другим способом обмана. При этом данная ситуация подпадает под статью 159 УК РФ (мошенничество) и наказывается лишением свободы до 10 лет и (или) штрафом до 1 миллиона рублей. 2. Снятие денег с предварительно похищенной банковской карты. В такой ситуации при потере или краже платёжной карты и отсутствии её блокировки в течение некоторого времени возможно снятие или перевод денежных средств. Действует статья 159.3 УК РФ (мошенничество с использованием платёжных карт), наказывается лишением свободы до 10 лет и (или) штрафом до 1 миллиона рублей. 3. Подмена страницы сайта для изъятия учётных данных пользователя. Мошенник размещает на домене со схожим названием сайт идентичного дизайна, при этом в случае ввода учётных данных они фиксируются, а затем используются заинтересованными лицами в незаконных целях. Статьи 159.6 (мошенничество в сфере компьютерной информации), 273 (создание, использование и распространение вредоносных компьютерных программ) УК РФ. 4. Атака на банковский сервер. При таком развитии событий преступник может неправомерно завладеть информацией о чужих лицевых счетах, модифицировать их в свою пользу, при этом страдает не только конечный пользователь, то есть клиент банка, но и сам банк. Обычно банковские сервера обладают довольно высоким уровнем защиты, однако они защищены лишь от взлома и копирования информации с них и практически беззащитны перед DoS-атаками (англ. Denial of Service). В случае если происходит кража информации у банка, рассматривается статья 272 УК РФ (неправомерный доступ к компьютерной информации). 5. DoS-атака - это хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён [1]. DDoS-атаки (англ. Distributed Denial of Service) отличаются своей распределённостью как по месту, так и по кругу лиц, совершающих такую атаку. В данный момент DDoS- и DoS-атаки в зависимости от их мотива относят к статьям 272-274 УК РФ, что, на наш взгляд, не совсем соответствует действительности. Рассмотрим эти статьи подробнее. Статья 272. Неправомерный доступ к компьютерной информации. 1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации <...> [2]. При DDoS- или DoS-атаке обычно не совершается неправомерного доступа к информации, а сама информация не представляет никакого интереса для злоумышленника. Поэтому эта статья кажется не совсем подходящей для такого преступления. Статья 273. Создание, использование и распространение вредоносных компьютерных программ. 1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации <...> [2]. Эта статья может применяться только в случае, если хакер, осуществлявший попытку атаки, преследовал при этом цель «уничтожения, блокирования, модификации, копирования» информации, и при этом использовал программы или информацию для той же цели, а не для выведения из строя конкретного оборудования потерпевшей стороны. Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей. 1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникацион-ных сетей, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб <...> [2]. Эта статья применима только к нарушениям правил эксплуатации и правил доступа, а DDoS-атаки отнести к ним можно с большой натяжкой, так как они лишь превышают ограничение использования имеющихся ресурсов сети. При этом такое ограничение нельзя назвать правилом, скорее, оно является технической характеристикой сети. Более того, правовая система не имеет определения правил эксплуатации, и, исходя из этого, не совсем понятно, что именно следует использовать в их качестве. Стоит рассмотреть также статью 213 (хулиганство). Хулиганство, то есть грубое нарушение общественного порядка, выражающее явное неуважение к обществу, совершённое: а) с применением оружия или предметов, используемых в качестве оружия; б) по мотивам политической, идеологической, расовой, национальной или религиозной ненависти или вражды либо по мотивам ненависти или вражды в отношении какой-либо социальной группы <...> [2]. Можно было бы описать DoS-атаку этой статьей, если бы не расшифровка термина «хулиганство». Из неё видно, что такая атака не подпадает ни под один пункт настоящей статьи и не может расцениваться как хулиганство. Таким образом, как же расценивать DDoS- и DoS-атаки? Законодательство не предусматривает их, а между тем, они стали очень популярны. Так, например, совсем недавно, 21 октября 2016 года, в США произошла массивная DDoS-атака на сервера Twitter, Sound Cloud, Spotify, Shopify, а также Ebay и Netflix, Vox, Airbnb [3]. Кибер-атаки нанесли огромный ущерб российской экономике, который оценивается суммой более 200 млрд. руб. только за 2016 год [4]. Тем не менее, многие считают атаки законным способом граждан проводить «виртуальные митинги» и согласны с узакониванием таких актов выражения своего мнения. Так, известная группа хакеров Anonymous в начале 2013 года собирала подписи на сайте белого дома с целью признать DDoS-атаки защищённой формой выражения свободы слова [5]. Кеес Верховен считает, что такая легализация возможна, если обязать протестующих согласовывать время и сроки проведения онлайн-акции протеста заранее, как это делается в случае традиционных протестных действий [6]. Таким образом, преследуется цель отделить «мирные» атаки протеста от атак в связи с личной неприязнью, конкуренцией, развлечением или вымогательством и шантажом. Наказание зачинщиков DDoS-атак усложняется в связи с распространённым характером последних, который достигается путём использования ботнетов. Ботнет (англ. botnet) - компьютерная сеть, состоящая из некоторого количества узлов, с запущенным автономным программным обеспечением (ботов). Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера [7]. Использование ботнетов усложняет поиск компьютеров, с которых проводилась атака, и процесс доказывания факта совершения преступления. Зарубежное законодательство имеет более развитые перспективы для достижения законного регулирования DDoS-атак и других киберпреступлений в сравнении с российским. Так, британский Закон о судопроизводстве и полиции 2006 года [8] предусматривает до 10 лет лишения свободы за действия, повлёкшие за собой нарушение работы сети, совершённые с преступным умыслом или вследствие небрежности. Интересно, что даже сам факт использования программного обеспечения, предназначенного для совершения кибератак, в рамках Закона является преступлением. В 36-й статье этого закона учитывается распределённость атак и их временный эффект. Законодатель даёт определение DoS-атаке как однократному или многократному действию, совершённому лицом или группой лиц с целью ограничения доступа к некоторой информации или программам, хранимых на одном или нескольких компьютерах. Статья достаточно полно отражает суть атак, что позволяет с долей успеха применять Закон в судебной практике. Таким образом, анализ российских нормативных документов в сфере киберпреступлений показал, что оценить существующим законодательством кибератаку не представляется возможным, что показывает необходимость внесения поправок в главу 28 УК РФ «Преступления в сфере компьютерной информации», касающихся DoS-атак. Вместе с правками в законодательстве необходимо внести изменения в процесс следствия таких дел, а также повысить уровень компетенции сотрудников правоохранительных органов. Вместе с тем, и в зарубежном законодательстве до сих пор нет чёткого мнения насчёт такого типа атак, что говорит о том, что судебные системы всего мира оказались не готовы к резкому развитию киберпреступности.

About the authors

Anastasia Michailovna Kuzennaya

Samara University

Email: 4ervya4-ok@mail.ru
443086, Russia, Samara, Moskovskoye shosse, 34

Dmitriy Alexandrovich Komarov

Samara University

Email: ehpgms@gmail.com
443086, Russia, Samara, Moskovskoye shosse, 34

References

Supplementary files