Кожна сучасна соціально активна людина в Україні використовує мобільні пристрої та користується інтернетом, державні органи переходять на електронний документообіг, стабільна діяльність банківського сектору, залізниці й авіатранспорту, великих підприємств залежить від стабільності кіберпростору, з яким вони працюють, та базується на комунікації за допомогою електронних засобів зв'язку.
Де розвиваються нові суспільні відносини, там з'являється й злочинність. Відповідно до офіційної статистики Офісу Генерального прокурора України, лише за останні 8 років кількість виявлених кіберзлочинів збільшилась майже в 7,5 разів (і це не враховуючи класичні правопорушення з використанням комп'ютерної техніки, а також рівня латентності такої злочинності).
На початку ХХІ століття злодій - це не обов'язково холоднокровна озброєна людина. Інформаційна революція призвела до того, що злодієм може виявитися звичайний студент із ноутбуком та доступом до мережі.
В умовах війни такий злодій стає бойовою одиницею, а його основний інструмент - кібератаки і злами. Крім того, під час воєнного стану атаки можливі не лише з боку ворога, який використовує інфопростір для завдання шкоди обороноздатності України, а й з боку тих, хто вирішив скористатися ситуацією, коли правоохоронні органи перевантажені, та поживитися коштами наших громадян. Протягом півтора місяця війни кіберзлочинність в Україні стабільно зростає.
В наш час війна в інформаційному просторі може завдати не меншої шкоди, аніж війна на полі бою. Розуміючи це, у перший місяць війни парламент оперативно оптимізував кримінальне та кримінально-процесуальне законодавство, удосконаливши підстави та процесуальні механізми притягнення до кримінальної відповідальності кіберзлочинців. Зміни зосереджено у двох законах:
· «Про внесення змін до Кримінального кодексу України щодо підвищення ефективності боротьби з кіберзлочинністю в умовах дії воєнного стану» № 2149-ІХ від 24.03.2022.
Якщо перший прийнято майже місяць тому, то закон № 2149-ІХ набрав чинності досить недавно - лише 03.04.2022. Пропонуємо розібратися, що саме він змінює.
Що таке кіберзлочин та в чому його небезпека під час війни?
Перш ніж аналізувати закон, варто визначитися із термінологією. Законодавець надає власне визначення кіберзлочину, яке не є новим. Кіберзлочин (комп'ютерний злочин) - суспільно небезпечне винне діяння у кіберпросторі та/або з його використанням, відповідальність за яке передбачена законом України про кримінальну відповідальність (ККУ) та/або яке визнано злочином міжнародними договорами України (п. 8 ч. 1 ст. 1 Закону України "Про основні засади забезпечення кібербезпеки України" від 05.10.2017 N 2163-VIII).
Мета таких дій - розкрадання або руйнування інформації в інформаційних системах і мережах. В умовах війни кіберзлочини можуть здійснюватися з метою дестабілізації ситуації в країні, крадіжки необхідних (конфіденційних) даних, виведення з ладу державних інституцій, техніки, завдання іншої матеріальної шкоди.
Від початку війни стало відомо про велику кількість кібератак на Україну:
· Варто згадати невдалу спробу атаки хакерського угруповання Strontium, які намагалися отримати доступ до комп'ютерних мереж в Україні, США та ЄС, щоб забезпечити тактичну підтримку фізичного вторгнення росії в Україну та викрасти конфіденційну інформацію.
· Нещодавно Держспецзв'язку повідомило про отримання українськими користувачами нових небезпечних електронних листів з темою «№ 1275 від 07.04.2022», відкриття яких призводить до отримання хакерами повного контролю над вашим комп'ютером та загрожує крадіжкою та пошкодженням комп'ютерних даних.
· Раніше, 4 квітня, Держспецзв'язку попереджувало про розповсюдження електронних листів з назвою «Військові злочинці РФ.htm», відкриття яких призводить до того, що зловмисники отримують віддалений доступ до комп'ютера жертви.
Під прицілом знаходяться також об'єкти критичної інфраструктури. Український провайдер Укртелеком зазнав потужної атаки 28 березня 2022 року, під час якої хакери намагались · проаналізувати, як влаштована ІТ-інфраструктура, вивести з ладу обладнання та сервіси, а також отримати контроль над мережею та обладнанням компанії.
· 23 березня ворог намагався здійснити кібератаку на державні установи України з використанням шкідливої програми Cobalt Strike Beacon, яка уражає комп'ютер у випадку її відкриття.
Це приклади лише масованих атак. Ймовірно, про атаки менших масштабів та окремі випадки персональних зламів просто не повідомляється.
Відповідальність за кіберзлочини передбачена розділом XVI ККУ, саме 2 норми із цього розділу і зазнали змін відповідно до нового Закону 2149-IX.
Мета нового Закону 2149-IX
· Посилення спроможностей та оптимізація національної системи кібербезпеки для протидії кіберзагрозам
· Впровадження дієвих кримінально-правових механізмів протидії кіберзлочинності
· Забезпечення надійності та безпеки використання цифрових послуг
Зміна термінології
Відповідно до Закону України «Про електронні комунікації» й вимог іншого законодавства України у сфері кібербезпеки, термін «електронно-обчислювальні машини (комп'ютери), автоматизовані системи, комп'ютерні мережі чи мережі електрозв'язку» замінено на «інформаційні (автоматизовані), електронні комунікаційні, інформаційно-комунікаційні системи, електронні комунікаційні мережі».
Відповідні зміни відтепер формалізовано у ст. 361 ККУ.
Водночас незрозуміло, чому термінологію змінено лише частково, адже без змін залишилися формулювання назви розділу та інших статей з нього ж, де юридичні склади інших правопорушень також охоплюються поняттям «кіберзлочини». Є й інші відкриті питання. Чому, наприклад, посилено відповідальність за розповсюдження або збут шкідливих програм (ч. 1 ст. 361-1 ККУ), а санкції за збут або розповсюдження інформації з обмеженим доступом залишилися без змін (ч. 1 ст. 361-2 ККУ)? Можливо, законодавець вважав решту норм на цей час оптимальними, існуючі покарання достатніми, а можливо, варто очікувати на додаткові зміни чи коментарі у найближчому майбутньому.
Оновлений основний юридичний склад злочину за ст. 361 ККУ
Окрім термінологічних, ч. 1 ст. 361 ККУ зазнала й конструктивних змін - формальний склад замінив матеріальний. Відтепер для кваліфікації діянь як злочинних за такою нормою достатньо вчинення особою дії (несанкціоноване втручання), і не вимагається настання жодних наслідків (як, наприклад, виток, втрата, підробка, блокування інформації). Це спрощення одночасно є криміналізацією діянь, кримінальна відповідальність за які раніше була відсутня. З іншого боку, санкції за «спрощений склад» також стали помітно м'якшими.
Головне науково-експертне управління Апарату ВРУ висловлювало щодо цього зауваження, вказуючи на відсутність необхідного рівня суспільної небезпеки у діянні без наслідку. Ми ж вважаємо, що подібне формулювання відповідає вимогам поточної ситуації, адже несанкціоноване втручання вже передбачає достатній рівень загрози, а наслідки можуть не проявлятися або не реалізовуватися з причин, що не залежать від суб'єкта вчинення. Додатково це спрощує здійснення провадження, оскільки перелік обставин, які підлягають доказуванню у процесі, зменшується.
Розширено і розмежовано кваліфіковані юридичні склади злочину за ст. 361 ККУ
Нова редакція статті передбачає як старі, так і нові кваліфіковані юридичні склади.
До старих належить:
· Несанкціоноване втручання, вчинене повторно або за попередньою змовою групою осіб (ч. 2 ст. 361 ККУ).
· Несанкціоноване втручання, що заподіяло значну шкоду (частково ч. 4 ст. 361 ККУ).
В новій редакції до попередніх складів додаються такі кваліфіковані:
· Дії, передбачені частиною першою або другою цієї статті, якщо вони призвели до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації (ч. 3 ст. 361 ККУ, новий кваліфікований склад, проте в попередній редакції диспозиція належала до опису основного складу).
· Дії, передбачені частиною першою або другою цієї статті, якщо вони (…) створили небезпеку тяжких технологічних аварій або екологічних катастроф, загибелі або масового захворювання населення чи інших тяжких наслідків (ч. 4 ст. 361 ККУ).
· Дії, передбачені частиною третьою або четвертою цієї статті, вчинені під час дії воєнного стану (ч. 5 ст. 361 ККУ).
Цікаво, що така ознака як вчинення злочину в умовах воєнного стану є кваліфікуючою лише щодо кваліфікованих складів (ч.ч. 3, 4 ст. 361 ККУ). Отже, вчинення діянь, передбачених ч. 1 або ч. 2 ст. 361 ККУ під час дії воєнного стану кваліфікації за ч. 5 цієї статті не підлягає, хоча це й буде розцінюватися як обставина, що обтяжує покарання відповідно до ст. 67 ККУ.
Змінено оцінку категорії шкоди за ст.ст. 361...363-1 ККУ
За новою редакцією закону, шкода вважається значною, якщо вона полягає у заподіянні матеріальних збитків на суму від 372,15 тис грн. Таким чином, нижню межу збільшено втричі.
Змінено підхід до формулювання юридичного складу злочину за ст. 361-1 ККУ
Диспозиція статті доповнюється словом «протиправним». Тепер юридичний склад виглядає наступним чином: створення з метою протиправного використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут.
Можемо розглядати такі зміни як часткову декриміналізацію норми, однак залишається відкритим питання, що вважатиметься «правомірним» створенням шкідливих засобів. Ймовірно, мова йде про Bug Bounty та діяльність нашої КіберАрмії, проте варто очікувати, що тут будуть додаткові роз'яснення і врегулювання.
Посилено санкції за відповідні кримінальні правопорушення
Якщо враховувати зміну основного складу за ст. 361 ККУ, санкції зазнали суттєвого посилення, що можна простежити у таблиці нижче. Яскраво різниця простежується на кваліфікованих складах.
Кваліфікація в редакції закону 2149-IX | Санкція за попередньою редакцією | Санкція в редакції закону 2149-ІХ |
Несанкціоноване втручання (ч. 1 ст. 361 ККУ) | Відсутня | Штраф від 17 тис до 51 тис грн або обмеження волі на строк до 3 років |
Ті самі дії, вчинені повторно або за попередньою змовою групою осіб (ч. 2 ст. 361 ККУ) | Позбавлення волі від 3 до 6 років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до 3 років* | Штраф від 51 тис грн до 119 тис грн або обмеження волі строком від 2 до 5 років, або позбавлення волі на той самий строк |
Дії, передбачені ч.ч. 1 або 2 ст. 361 ККУ, якщо вони призвели до витоку, втрати, блокування інформації (ч. 3 ст. 361 ККУ) | Штраф від 10,2 тис до 17 тис грн, або обмеження волі від 2 до 5 років, або позбавлення волі до 3 років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до 2 років або без такого | Штраф від 119 тис до 170 тис грн або позбавлення волі на строк від 3 до 8 років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до 3 років або без такого |
Дії, передбачені ч.ч. 1 або 2 ст. 361 ККУ, якщо вони заподіяли значну шкоду чи створили небезпеку тяжких технологічних катастроф, загибелі або масового захворювання населення чи інших тяжких наслідків (ч. 4 ст. 361 ККУ) | В частині заподіяння значної шкоди - позбавлення волі від 3 до 6 років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до 3 років* В інших частинах - відсутня | Позбавлення волі від 8 до 12 років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до 3 років або без такого |
Дії, передбачені ч.ч. 3 або 4 ст. 361 ККУ, вчинені під час дії воєнного стану (ч. 5 ст. 361 ККУ) | Відсутня | Позбавлення волі на строк від 10 до 15 років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до 3 років |
Створення з метою протиправного використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут (ч. 1 ст. 361-1 ККУ) | Штраф від 34 тис грн до 68 тис грн або виправні роботи на строк до 2 років, або позбавлення волі на строк до 2 років | Штраф від 34 тис грн до 68 тис грн або виправні роботи на строк до 2 років, або позбавлення волі на строк до 3 років |
*За умови, якщо вказані дії призвели до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації |
Хакери в законі
Також Закон 2149-IX передбачає, що втручання в роботу інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж не вважатиметься несанкціонованим, якщо таке втручання вчинено відповідно до Порядку пошуку та виявлення потенційних вразливостей таких систем чи мереж, текст якого Держспецзв'язку зараз активно напрацьовує.
Ще до початку війни, після кібератак 14 січня на сайти державних органів влади, відчувалася необхідність запровадження невідкладних змін в українському законодавстві для узаконення процедури Bug Bounty (залучення зовнішніх фахівців до пошуку помилок і вразливостей програмних продуктів, інформаційно-комунікаційних систем тощо). Тож на сьогодні ІТ-спільнота зможе легально тестувати державні інформаційні системи на наявність вразливостей, а держава отримає інструмент для значного підвищення ступеня захисту таких систем.
З іншого боку, запровадження ч. 6 ст. 361 ККУ є логічним продовженням змін у конструкції ч. 1 ст. 361 ККУ. Адже те, про що вказано у частині 6, раніше не визнавалося злочином відповідно до частини 1.
Цікаво: електронна система публічних закупівель Prozorro заявила, що тимчасово призупиняє програму Bug Bounty у зв'язку з введенням воєнного стану в Україні до завершення воєнних подій. Незважаючи на припинення програми, дії багхантерів не будуть вважатися правопорушеннями, а нові звіти про знайдені вразливості будуть прийняті до розгляду після завершення воєнного стану та відновлення програми пошуку вразливостей Bug Bounty.
Варто визнати й певну неповноту закону в цій частині. Від початку війни в Україні активізувався неофіційний громадський рух кіберопору ворогові, так звана "КіберАрмія". Звичайні люди, поряд із професіоналами сфери ІТ, атакують ворога у кіберпросторі, завдаючи йому збитків та зриваючи плани. Формально такі дії можуть підпадати під ознаки складів злочинів, що передбачені ст. ст. 361, 361-1 ККУ. Ймовірно, що навіть при ініціюванні відповідного кримінального провадження проти таких осіб, правоохоронні органи та суди використовуватимуть загальні механізми їх звільнення від відповідальності, адже дії таких осіб відповідають інтересам України та українського народу та не є суспільно небезпечними. Незважаючи на це, формалізація подібного звільнення від відповідальності на рівні приміток чи окремих частин відповідних спеціальних статей ККУ є бажаною у майбутньому, аби правоохоронні органи не витрачали власних зусиль на "дружній вогонь" чи пошук юридичних шляхів його уникнення.
Попередні зміни до КПК України
Як ми вже зазначали, змінам до ККУ передували зміни до КПКУ. 22 березня набрав чинності Закон України № 2137-ІХ від 15.03.2022, який запроваджує низку важливих оновлень з тим, аби підвищити ефективність кримінального провадження щодо кіберзлочинів. Ось лише деякі з них:
· Може накладатися арешт на комп'ютерні системи чи їх частини, якщо вони отримані внаслідок вчинення кримінального правопорушення або є засобом його вчинення, або необхідні для проведення експертного дослідження, а також якщо доступ до них обмежується власником (абз. 2 ст. 170 КПК).
· Під час обшуку слідчий, прокурор зможе отримувати доступ до комп'ютерних систем або їх частин, мобільних терміналів систем зв'язку без попереднього дозволу, за умови, що інформація, яка на них міститься, має значення для встановлення обставин у кримінальному провадженні (абз. 2 ч. 6 ст. 236 КПК).
· Огляд комп'ютерних даних проводиться слідчим, прокурором шляхом відображення у протоколі огляду інформації, яку вони містять, у формі, придатній для сприйняття їх змісту (фото, відео тощо) (ч. 2 ст. 237 КПК).
· Запроваджується нова слідча (розшукова) дія - зняття показань технічних приладів та технічних засобів, що мають функції фото-, кінозйомки, відеозапису, чи засобів фото-, кінозйомки, відеозапису, яка проводиться на підставі постанови слідчого, прокурора (ст. 245-1 КПК).
· Установлення місцезнаходження радіообладнання (радіоелектронного засобу) тепер за заявою його власника не потребує дозволу слідчого судді (ч. 5 ст. 268 КПК).
Це показує системність підходів законодавця. Запропоновані механізми дозволяють ефективно втілити в життя задум щодо кримінально-правового забезпечення кібербезпеки, своєчасно перевести проаналізовані вище норми ККУ в реальні вироки для тих, хто підриває безпеку України та українців.
Який маємо результат?
Підвищення ефективності боротьби з кіберзлочинністю під час війни та посилення відповідальності за відповідні злочини є давно назрілим кроком. Новий закон розширює межі діяльності правоохоронних органів щодо розслідування кіберзлочинів, передбачених статями 361, 361-1 ККУ. Посилення санкцій та додаткова криміналізація окремих діянь здатні частково стримати потенційних злочинців від вчинення нових злочинів.
Виправданим є й запровадження відповідальності за злочини, що скоєні у воєнний час. Настільки суворі санкції за їх вчинення продиктовані поточною ситуацією в країні, адже особа, яка завдає шкоди національним інтересам України чи українцям у кіберпросторі, тим самим допомагаючи агресору у цій війні, не може нести відповідальності меншої, ніж військові злочинці.
Сфера кіберпростору і раніше потребувала посиленого захисту та змін. Відкрите вторгнення росії стимулювало вдосконалення чинного законодавства та гарантій безпеки у сучасному інформаційному середовищі.
Що робити?
Під час війни в зоні ризику перебувають державні органи, великі підприємства, підприємства оборонної та критичної інфраструктури, а також підприємства, які забезпечують населення та оборону усім необхідним в умовах війни. Є ризики й для місцевих жителів, які перебувають в зоні бойових дій.
Під час воєнного стану кожному варто звернути увагу на декілька точок контролю:
1. Для компаній / органу влади / посадовців наявність залученого технічного спеціаліста / спеціалізованої компанії суттєво підвищить рівень кіберзахисту. Професіонали здатні ускладнити роботу ворогу через запровадження в компанії необхідних алгоритмів захисту, в тому числі організаційних. Варто відповідно проінструктувати працівників, які залучені до роботи із відповідними системами та мережами, адже багато атак досягають цілі лише через непродумані й необережні дії працівників.
2. Тим, хто перебуває в зоні кіберризику, варто слідкувати за відповідними повідомленнями на офіційних ресурсах Держспецзв'язку та CERT-UA. Ці органи публікують офіційні попередження не лише про можливі кіберзагрози, а й про те, як мінімізувати ризики.
3. Якщо ви все ж стали жертвою кібератаки, повідомте про це тих, на кого така атака може поширитися. Для фізичних осіб - це контакти, особливо ті, з якими здійснюється активна комунікація. Для компаній / органів влади - це інші співробітники, клієнти та контрагенти.
4. Найважливіше завдання кожного у момент виявлення атаки - інформувати офіційні суб'єкти забезпечення кібербезпеки України, CERT-UA та Кіберполіцію. Це дозволить не лише притягти до відповідальності винних, а й вжити невідкладних заходів з блокування шкідливих вебресурсів.
5. Для тих же, хто проводить кібератаки на ворога або займається багхантингом в цілях удосконалення української кібербезпеки в умовах війни, для уникнення непорозумінь із правоохоронними органами варто бути готовими довести відповідність своєї діяльності інтересам України.
Основи законодавчих механізмів для ефективного кіберзахисту в умовах воєнного стану закладені. Завдання кожного - при виявленні кібератаки якнайшвидше запустити цей механізм, щоб у майбутньому подібних атак та збитків від них ставало дедалі менше.
Микола Єрема, юрист, ЮФ INTEGRITES
Алла Борисенко, помічник юриста, ЮФ INTEGRITES
Як бізнесу діяти правильно в умовах воєнного часу? Завдяки LIGA360. Система доповнена новими розділами й інструментами, де зібрані зміни законодавства, новини й аналітика, консультації. Знаходь відповіді та слідкуй за змінами щодня.