Чтобы оценить криминогенный потенциал "всемирной паутины", достаточно просмотреть Уголовный кодекс. По сути, посредством эксплуатации возможностей сети могут совершаться самые разнообразные преступления. Все предусмотренные Особенной частью УК РФ составы преступлений условно разделим на две группы:
· деяния, совершение которых с помощью компьютерных сетей теоретически возможно;
· деяния, совершение которых таким способом невозможно.
Вторая группа, к сожалению, становится все меньше. Пока к ней с уверенностью можно отнести лишь такие преступления, как побои, истязание, заражение венерической болезнью и некоторые другие.
Говорить о невозможности совершения с помощью компьютерной сети, например, доведения до самоубийства, пожалуй, нельзя. А с учетом того, что постепенно компьютеризируются многие процессы жизнеобеспечения людей, нельзя исключить даже совершения убийства (преступник может, к примеру, ввести искажения в программу изготовления лекарственных препаратов и в результате добиться смерти пациента медицинского учреждения). Реально осуществление и многих других деяний, признаваемых преступными[7].
Итак, компьютерная преступность набирает обороты и настало время подумать, как от нее защищаться и чем с ней бороться. В настоящее время все меры противодействия компьютерным преступлениям можно подразделить на технические, организационные и правовые.
К техническим мерам можно отнести защиту от несанкционированного доступа к компьютерной системе, резервирование важных компьютерных систем, принятие конструкционных мер защиты от хищений и диверсий, обеспечение резервным электропитанием, разработку и реализацию специальных программных и аппаратных комплексов безопасности и многое другое.
К организационным мерам относятся охрана компьютерных систем, подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п. В мире и нашей стране техническим и организационным вопросам посвящено большое количество научных исследований и технических изысканий.
К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. Только в последние годы появились работы по проблемам правовой борьбы с компьютерной преступностью, (в частности, это работы Ю. Батурина, В. Вехова, М. Карелиной, В. Крылова и др.) и совсем недавно отечественное законодательство встало на путь борьбы с компьютерной преступностью. И поэтому, представляется весьма важным расширить правовую и законодательную информированность специалистов и должностных лиц, заинтересованных в борьбе с компьютерными преступлениями[8].
Но как справедливо указал В.Н. Лопатин, «что, не смотря, на применяемые меры по законодательному закреплению прав и свобод в информационной сфере, остается немало пробелов, помогающих избегать ответственности за совершение действий, наносящих ущерб в сфере информации»[9]. С другой стороны, Н.Л. Симарев отметил, что «информационные технологии - это сплошное непрерывное движение. Поэтому истинную защиту информации, представленной компьютерным способом, может создать только постоянно изменяемый комплекс всех мер защиты, включая и правовое регулирование»[10].
Другие юристы предлагают определенные направления работы по криминализации, например, С.А. Денисов считает, что «внедрение компьютерных технологий повлекло за собой изменение в самой структуре преступности. Представляется, что нормы, содержащиеся в ст. 272-274 УК РФ, не в полной мере отражают правовую базу борьбы с компьютерными преступлениями. При сложившейся ситуации весьма актуальным кажется моделирование новых составов преступлений против собственности, в которых компьютерные системы выступают в качестве способа совершения хищения»[11].
Мысль о моделировании новых составов или внесения некоторых изменений в существующие, нужно признать правильной. Уже выявились некоторые деяния на которое следовало бы обратить внимание.
Например, как сообщали СМИ «Хакеры атаковали сайт Интернет-банка «St. George Bank». 31 августа 2001 банк подвергся атаке типа «отказ в обслуживании» (DoS), но данные о клиентах не были получены хакерами». В последнее время DoS-атаки стали одним из самых распространенных видов киберпреступности благодаря тому, что они не требуют особой квалификации. Однако надежного механизма защиты от них пока никто предложить не смог. Возможно, следует применить правовое регулирование и смоделировать новый состав?
Или же другой пример, где, опять же СМИ, стало распространителем скандала и сенсации, пугая компьютерную общественность тем, что «Жучки» в файлах Word пошлют ваши данные Гейтсу». Как выяснили специалисты, в программе Microsoft Word обнаружена недокументированная возможность отслеживать распространение документов в формате Word через Интернет с помощью скрытых "жучков", встроенных в документ. Что по сути является несанкционированным доступом к компьютерной информации. Но как пояснила компания разработчик Microsoft, что данная возможность установлена для отслеживания нелицензированного распространения их собственных программных продуктов. На что общественность справедливо возмутилась, утверждая, что «даже если, на компьютере используется неоплаченная программа, никто не имеет право производить какие-либо несанкционированные действия на чужом компьютере. А все свойства программы должны явно заявляться в описании. Встает вопрос, каким способом разрешить данный вопрос? Можно ли привлечь к уголовной ответственности и кого?
Кроме проблем криминализации деяний связанных с компьютерами, существуют и проблемы непосредственной борьбы с компьютерными преступлениями уже имеющимися уголовно-правовыми средствами, и в частности, уже возникшая проблема подготовки специалистов в данной сфере. Как отметил А.В. Аполлонский, «существуют, по крайней мере, два фактора, определяющих данную проблему. Это - объем и характер подготовки специалистов. Проведение компьютерных расследований требует долгих часов специальной подготовки, обязательных практических навыков, в том числе и по работе со специальным оборудованием. Анализ зарубежных программ показывает, что обучение ведется весьма интенсивно, даже с учетом высокой начальной подготовки обучаемых. При подготовке специалистов по расследованию компьютерных преступлений следует помнить, что образование хакера основывается на сильном любопытстве, связанном с его увлечением. Вероятно, в силу вышесказанного в каждом из них одну из основных ролей играет психологическая подготовка, что необходимо учесть при разработке подобных отечественных программ»[12].
§ 2. Сага о Хакере
Компьютерные преступления обычно общество связывает с деятельностью хакеров. Но общество редко задумывается, что означает понятие «хакер» и откуда оно пришло. Пришедшее непосредственно из среды профессиональных программистов, имеет строго определенное значение, как для юриста понятие «преступления». В связи с чем, имеет смысл уяснить суть данного понятия, чтобы при дальнейшем упоминании не было недоразумений.
Просматривая большое количество статей (главным образом, в электронных журналах) о компьютерных преступлениях, нельзя не обратить внимание на тот факт, что ни в одной из них не проводится та грань, которая четко разделяет всех, так или иначе связанных с компьютерной безопасностью. В основном мнение по этому поводу либо сугубо негативное (хакеры - это преступники), либо скромно-позитивное (хакеры – «санитары леса»). На самом деле у этой проблемы существует, по меньшей мере, две стороны, положительная и отрицательная, и между ними проходит четкая граница. Эта граница разделяет всех профессионалов, связанных с информационной безопасностью, на хакеров (hackers) и кракеров (crackers). И те, и другие, во многом занимаются решением одних и тех же задач - поиском уязвимостей в вычислительных системах и осуществлением на них атак (в частности "взлома").
Принципиальное различие между хакерами и кракерами состоит в целях, которые они преследуют. Основная задача хакера в том, чтобы, исследуя вычислительную систему, обнаружить слабые места (уязвимости) в ее системе безопасности и информировать пользователей и разработчиков системы с целью последующего устранения найденных уязвимостей. Другая задача хакера - проанализировав существующую безопасность вычислительной системы, сформулировать необходимые требования и условия повышения уровня ее защищенности.
Основная задача же кракера состоит в непосредственном осуществлении взлома системы с целью получения несанкционированного доступа к чужой информации – обычно для ее копирования, подмены или для объявления факта взлома. Итак, кардинальное различие между хакерами и кракерами в том, что первые - исследователи компьютерной безопасности, а вторые – непосредственно преступники. Хакер в терминологии профессионалов - это специалист. В частности специализированный словарь Guy L. Steele дает такое определение:
Хакер (HACKER), сущ.
1. Индивидуум, который получает удовольствие от изучения деталей функционирования компьютерных систем и от расширения их возможностей, в отличие от большинства пользователей компьютеров, которые предпочитают знать только необходимый минимум.