Каждый современный социально активный человек в Украине использует мобильные устройства и пользуется интернетом, государственные органы переходят на электронный документооборот, стабильная деятельность банковского сектора, железнодорожного сообщения и авиатранспорта, крупных предприятий зависит от стабильности киберпространства, с которым они работают, и базируется на коммуникации с помощью электронных средств связи.
Где развиваются новые социальные взаимосвязи, там возникает и преступность. Согласно официальной статистике Офиса Генерального прокурора Украины, только за последние 8 лет количество выявленных киберпреступлений увеличилось почти в 7,5 раз (и это без учета классических правонарушений с использованием компьютерной техники, а также уровня латентности такой преступности).
В начале ХХІ века преступник - это не обязательно хладнокровный вооруженный человек. Информационная революция привела к тому, что преступником может оказаться обычный студент с ноутбуком и доступом в сеть.
В условиях войны такой преступник становится боевой единицей, а его основной инструмент - кибератаки и взломы. Кроме того, во время военного положения атаки возможны не только со стороны врага, использующего инфопространство для нанесения ущерба обороноспособности Украины, но и со стороны тех, кто решил воспользоваться ситуацией, когда правоохранительные органы перегружены, и поживиться средствами наших граждан. В течение полутора месяцев войны киберпреступность в Украине стабильно растет.
В настоящее время война в информационном пространстве может нанести не меньший вред, чем война на поле боя. Понимая это, в первый месяц войны парламент оперативно оптимизировал уголовное и уголовно-процессуальное законодательство, усовершенствовав основания и процессуальные механизмы привлечения к уголовной ответственности киберпреступников. Изменения сосредоточены в двух законах:
· «О внесении изменений в Уголовный кодекс Украины о повышении эффективности борьбы с киберпреступностью в условиях действия военного положения» № 2149-IX от 24.03.2022.
Если первый принят почти месяц назад, то закон № 2149-IX вступил в силу достаточно недавно - только 03.04.2022. Предлагаем разобраться, какие именно изменения он предполагает.
Что такое киберпреступление и в чем его опасность во время войны?
Прежде чем анализировать закон, следует определиться с терминологией. Законодатель предоставляет собственное определение киберпреступления, которое не является новым. Киберпреступление (компьютерное преступление) - общественно опасное виновное деяние в киберпространстве и/или с его использованием, ответственность за которое предусмотрена законом Украины об уголовной ответственности (УКК) и/или признано преступлением международными договорами Украины (п. 8 ч. 1 ст. .1 Закона Украины "Об основных принципах обеспечения кибербезопасности Украины" от 05.10.2017 N 2163-VIII).
Цель таких действий - хищение или разрушение информации в информационных системах и сетях. В условиях войны киберпреступления могут совершаться с целью дестабилизации ситуации в стране, воровства необходимых (конфиденциальных) данных, выведения из строя государственных институций, техники, нанесения иного материального ущерба.
С начала войны стало известно о большом количестве кибератак в Украине.
· Стоит вспомнить неудачную попытку атаки хакерской группировки Strontium, которые пытались получить доступ к компьютерным сетям в Украине, США и ЕС, чтобы обеспечить тактическую поддержку физического вторжения России в Украину и похитить конфиденциальную информацию.
· Недавно Госспецсвязи сообщило о получении украинскими пользователями новых опасных электронных писем с темой «№ 1275 от 07.04.2022», открытие которых приводит к получению хакерами полного контроля над вашим компьютером и чревато воровством и повреждением компьютерных данных.
· Ранее, 4 апреля, Госспецсвязи предупреждало о распространении электронных писем под названием «Военные преступники РФ.htm», открытие которых приводит к тому, что злоумышленники получают удаленный доступ к компьютеру жертвы.
· Под прицелом находятся объекты критической инфраструктуры. Украинский провайдер Укртелеком подвергся мощной атаке 28 марта 2022 года , во время которой хакеры пытались проанализировать, как устроена ИТ-инфраструктура, вывести из строя оборудование и сервисы, а также получить контроль над сетью и оборудованием компании.
· 23 марта враг пытался осуществить кибератаку на государственные учреждения Украины с использованием вредоносной программы Cobalt Strike Beacon, поражающая компьютер в случае ее открытия.
Это примеры только массированных атак. Вероятно, об атаках меньших масштабов и частных случаях персональных взломов просто не сообщается.
Ответственность за киберпреступления предусмотрена разделом XVI УКУ, именно 2 нормы из этого раздела и претерпели изменения в соответствии с новым Законом 2149-IX.
Цели нового Закона 2149-IX
· Усиление возможностей и оптимизация национальной системы кибербезопасности для противодействия киберугрозам.
· Внедрение действенных уголовно-правовых механизмов противодействия киберпреступности.
· Обеспечение надежности и безопасности использования цифровых услуг.
Изменение терминологии
Согласно Закону Украины «Об электронных коммуникациях» и требованиям другого законодательства Украины в сфере кибербезопасности термин «электронно-вычислительные машины (компьютеры), автоматизированные системы, компьютерные сети или сети электросвязи» заменено на «информационные (автоматизированные), электронные коммуникационные, информационно-коммуникационные системы, электронные коммуникационные сети».
Соответствующие изменения теперь формализованы в ст. 361 УКУ.
В то же время непонятно, почему терминология изменена частично, ведь без изменений остались формулировки названия раздела и других статей из него, где юридические составы других правонарушений также охватываются понятием «киберпреступления». Есть и другие открытые вопросы. Почему, например, усилена ответственность за распространение или сбыт вредоносных программ (ч. 1 ст. 361-1 УКУ), а санкции за сбыт или распространение информации с ограниченным доступом остались без изменений (ч. 1 ст. 361-2 УКУ)? Возможно, законодатель считал остальные нормы в настоящее время оптимальными, существующие наказания достаточными, а возможно, следует ожидать дополнительных изменений или комментариев в ближайшем будущем.
Обновлен основной юридический состав преступления ст. 361 УК
Кроме терминологических, ч. 1 ст. 361 УКУ претерпела и конструктивные изменения - формальный состав заменил материальный. Отныне для квалификации деяний как преступных по такой норме достаточно совершения лицом действия (несанкционированное вмешательство), и не требуется наступления никаких последствий (например, утечка, потеря, подделка, блокировка информации). Это упрощение одновременно является криминализацией деяний, уголовная ответственность за которые раньше отсутствовала. С другой стороны, санкции за «упрощенный состав» также стали более мягкими.
Главное научно-экспертное управление Аппарата ВРУ высказывало по этому поводу замечание, указывая на отсутствие необходимого уровня общественной опасности в деянии без последствий. Мы же считаем, что подобная формулировка отвечает требованиям текущей ситуации, ведь несанкционированное вмешательство уже предполагает достаточный уровень риска, а последствия могут не проявляться или не реализовываться по причинам, не зависящим от субъекта совершения. Дополнительно это упрощает осуществление производства, поскольку перечень обстоятельств, подлежащих доказыванию в процессе, уменьшается.
Расширены и разграничены квалифицированные юридические составы преступления по ст. 361 УК
Новая редакция статьи предусматривает как старые, так и новые квалифицированные юридические составы.
К старым относится:
· Несанкционированное вмешательство, совершенное повторно или по предварительному сговору группой лиц (ч. 2 ст. 361 УКУ).
· Несанкционированное вмешательство, причинившее значительный ущерб (частично ч. 4 ст. 361 УКУ).
В новой редакции к предыдущим составам прилагаются следующие квалифицированные:
· Действия, предусмотренные частью первой или второй настоящей статьи, если они привели к утечке, потере, подделке, блокированию информации, искажению процесса обработки информации или к нарушению установленного порядка ее маршрутизации ( ч. 3 ст. 361 УКУ, новый квалифицированный состав, однако в предыдущей редакции диспозиция относилась к описанию основного состава).
· Действия, предусмотренные частью первой или второй настоящей статьи, если они (…) создали опасность тяжких технологических аварий или экологических катастроф, гибели или массового заболевания населения или других тяжких последствий (ч. 4 ст. 361 УКУ).
· Действия, предусмотренные частью третьей или четвертой этой статьи, совершенные во время действия военного положения (ч. 5 ст. 361 УК).
Интересно, что такой признак как совершение преступления в условиях военного положения является квалифицирующим только относительно квалифицированных составов (ч.ч. 3, 4 ст. 361 УКУ). Поэтому, совершение деяний, предусмотренных ч. 1 или ч. 2 ст. 361 УКУ во время действия военного положения квалификации по ч. 5 этой статьи не подлежит, хотя это и будет расцениваться как обстоятельство, что тяготит наказание согласно ст. 67 УК.
Изменена оценка категории ущерба по ст.ст. 361...363-1 УК
По новой редакции закона, ущерб считается значительным, если он заключается в причинении материального ущерба на сумму от 372,15 тыс грн. Таким образом, нижний предел увеличен в триджы.
Изменен подход к формулированию юридического состава преступления по ст. 361-1 УК
Диспозиция статьи дополняется словом "противоправным". Теперь юридический состав выглядит следующим образом: создание с целью противоправного использования, распространения или сбыта вредоносных программных или технических средств, а также их распространение или сбыт.
Мы можем рассматривать такие изменения как частичную декриминализацию нормы, однако остается открытым вопрос, что можно считать «правомерным» созданием вредных средств. Вероятно, речь идет о Bug Bounty и деятельности нашей КиберАрмии, однако следует ожидать, что здесь будут дополнительные разъяснения и урегулирования.
Ужесточены санкции за соответствующие уголовные правонарушения
Если учесть изменение основного состава по ст. 361 УКУ, санкции подверглись существенному усилению, которое можно проследить в таблице ниже. Особенно разница наблюдается в квалифицированных складах.
Квалификация в редакции закона 2149-IX | Санкция в предыдущей редакции | Санкция в редакции закона 2149-ІХ |
Несанкционированное вмешательство (ч. 1 ст. 361 УКУ) | Отсутствует | Штраф от 17 тыс. до 51 тыс. грн. или ограничение свободы на срок до 3 лет |
Те же действия, совершенные повторно или по предварительному сговору группой лиц (ч. 2 ст. 361 УКУ) | Лишение свободы от 3 до 6 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет* | Штраф от 51 тыс грн до 119 тыс грн или ограничение свободы сроком от 2 до 5 лет, или лишение свободы на тот же срок |
Действия, предусмотренные ч.ч. 1 или 2 ст. 361 УКУ, если они привели к утечке, потере, блокированию информации (ч. 3 ст. 361 УКУ) | Штраф от 10,2 тыс до 17 тыс грн, или ограничение свободы от 2 до 5 лет, или лишение свободы до 3 лет, с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового | Штраф от 119 тыс. до 170 тыс. грн. или лишение свободы на срок от 3 до 8 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такого |
Действия, предусмотренные ч.ч. 1 или 2 ст. 361 УК, если они причинили значительный ущерб или создали опасность тяжких технологических катастроф, гибели или массового заболевания населения или других тяжких последствий (ч. 4 ст. 361 УК) | В части причинения значительного вреда - лишение свободы от 3 до 6 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет* В других частях - отсутствует | Лишение свободы от 8 до 12 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового |
Действия, предусмотренные ч.ч. 3 или 4 ст. 361 УК, совершенные во время действия военного положения (ч. 5 ст. 361 УК) | Отсутствует | Лишение свободы сроком от 10 до 15 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет |
Создание с целью противоправного использования, распространения или сбыта вредоносных программных или технических средств, а также их распространение или сбыт (ч. 1 ст. 361-1 УКУ) | Штраф от 34 тыс грн до 68 тыс грн или исправительные работы сроком до 2 лет, или лишение свободы на срок до 2 лет | Штраф от 34 тыс грн до 68 тыс грн или исправительные работы сроком до 2 лет, или лишение свободы на срок до 3 лет |
*При условии, если указанные действия привели к утечке, потере, подделке, блокировке информации, искажению процесса обработки информации или к нарушению установленного порядка ее маршрутизации | ||
Хакеры в законе
Закон 2149-IX предусматривает, что вмешательство в работу информационных, электронных коммуникационных, информационно-коммуникационных систем, электронных коммуникационных сетей не будет считаться несанкционированным, если такое вмешательство совершено в соответствии с Порядком поиска и выявления потенциальных уязвимостей таких систем или сетей, текст которого Госспецсвязи сейчас активно нарабатывает.
Еще до начала войны, после кибератак 14 января на сайты государственных органов власти, чувствовалась необходимость введения неотложных изменений в украинском законодательстве для легализации процедуры Bug Bounty (привлечение внешних специалистов к поиску ошибок и уязвимостей программных продуктов, информационно-коммуникационных систем). Сегодня ИТ-сообщество может легально тестировать государственные информационные системы на наличие уязвимостей, а государство получит инструмент для значительного повышения степени защиты таких систем.
Кроме того, введение ч. 6 ст. 361 УК является логическим продолжением изменений в конструкции ч. 1 ст. 361 УКУ. Ведь то, что указано в части 6, ранее не признавалось преступлением в соответствии с частью 1.
Интересно: электронная система публичных закупок Prozorro заявила, что временно приостанавливает программу Bug Bounty в связи с введением военного положения в Украине до завершения военных событий. Несмотря на прекращение программы, действия багхантеров не будут считаться правонарушениями, а новые отчеты о найденных уязвимостях будут приняты к рассмотрению после завершения военного положения и восстановления программы поиска уязвимостей Bug Bounty.
Следует признать и определенную неполноту закона в этой части. С начала войны в Украине активизировалось неофициальное общественное движение киберсопротивления врагу, так называемая "КиберАрмия". Обычные люди, наряду с профессионалами сферы ІТ, атакуют врага в киберпространстве, нанося ему ущерб и срывая планы. Формально подобные действия могут подпадать под признаки составов преступлений, предусмотренных ст. ст. 361, 361-1 УКУ. Вероятно, что даже при инициировании соответствующего уголовного производства против таких лиц, правоохранительные органы и суды будут использовать общие механизмы их освобождения от ответственности, ведь действия таких лиц соответствуют интересам Украины и украинского народа и не являются общественно опасными. Несмотря на это, формализация подобного освобождения от ответственности на уровне примечаний или отдельных частей соответствующих специальных статей УКУ желательна в будущем, чтобы правоохранительные органы не тратили собственных усилий на "дружеский огонь" или поиск юридических путей избегания такового.
Предыдущие изменения в УПК Украины
Как уже отмечалось, изменениям в УКУ предшествовали изменения в УКП. 22 марта вступил в силу Закон Украины № 2137-ІХ от 15.03.2022, который вводит ряд важных обновлений для того, чтобы повысить эффективность уголовного производства в части киберпреступлений. Вот только некоторые из них:
· Может налагаться арест на компьютерные системы или их части, если они получены в результате совершения уголовного правонарушения или являются средством его совершения, или необходимы для проведения экспертного исследования, а также если доступ к ним ограничивается собственником (абз. 2 ст. 170 УПК).
· При обыске следователь, прокурор сможет получать доступ к компьютерным системам или их частям, мобильным терминалам систем связи без предварительного разрешения, при условии, что содержащаяся в них информация имеет значение для установления обстоятельств в уголовном производстве (абз. 2 ч. 6 статьи 236 УПК).
· Обзор компьютерных данных проводится следователем, прокурором путем отражения в протоколе осмотра информации, содержащейся в форме, пригодной для восприятия их содержания (фото, видео и т.д.) (ч. 2 ст. 237 УПК).
· Вводится новое следственное (розыскное) действие - снятие показаний технических приборов и технических средств, имеющих функции фото-, киносъемки, видеозаписи или средств фото-, киносъемки, видеозаписи, проводимой на основании постановления следователя, прокурора (ст. 245-1 УПК).
· Установление местонахождение радиооборудования (радиоэлектронного средства) теперь по ходатайству его владельца не требует разрешения следственного судьи (ч. 5 ст. 268 УПК).
Это указывает на системность подходов законодателя. Предложенные механизмы позволяют эффективно претворить в жизнь замысел относительно уголовно-правового обеспечения кибербезопасности, своевременно перевести проанализированные выше нормы УКУ в реальные приговоры для лиц, подрывающих безопасность Украины и украинцев.
Какой результат?
Повышение эффективности борьбы с киберпреступностью во время войны и усиление ответственности за соответствующие преступления является давно назревшим шагом. Новый закон расширяет границы деятельности правоохранительных органов в части расследованиий киберпреступлений, предусмотренных статьями 361, 361-1 УКУ. Ужесточение санкций и дополнительная криминализация отдельных деяний способны частично сдержать потенциальных преступников от совершения новых преступлений.
Оправдано и введение ответственности за преступления, совершенные в военное время. Столь суровые санкции за их совершение продиктованы текущей ситуацией в стране, ведь лицо, которое наносит ущерб национальным интересам Украины или украинцам в киберпространстве, тем самым помогая агрессору в этой войне, не может нести ответственности меньше, чем военные преступники.
Сфера киберпространства по-прежнему нуждалась в усиленной защите и изменениях. Открытое вторжение России стимулировало усовершенствование действующего законодательства и гарантий безопасности в современной информационной среде.
Что делать?
Во время войны в зоне риска находятся государственные органы, крупные предприятия, предприятия оборонной и критической инфраструктуры, а также предприятия, обеспечивающие население и оборону всем необходимым в условиях войны. Есть риски и для местного населения, находящегося в зоне боевых действий или в районах возможных наступлений.
Во время военного положения каждому следует обратить внимание на несколько точек контроля:
1. Для компаний / органов власти / чиновников наличие привлеченного технического специалиста / специализированной компании существенно повысит уровень киберзащиты. Профессионалы способны усложнить работу врагу путем внедрения в компании необходимых алгоритмов защиты, в том числе организационных. Следует соответственно проинструктировать работников, которые вовлечены в работу с соответствующими системами и сетями, ведь многие атаки достигают цели только из-за непродуманных и неосторожных действий сотрудников.
2. Тем, кто находится в зоне киберриска, стоит следить за соответствующими сообщениями на официальных ресурсах Госспецсвязи и CERT-UA. Эти органы публикуют официальные предупреждения не только о возможных киберугрозах, но и о том, как минимизировать риски.
3. Если вы все же стали жертвой кибератаки, сообщите об этом тем, на кого такая атака может распространиться. Для физических лиц это контакты, особенно те, с которыми осуществляется активная коммуникация. Для компаний / органов власти - это другие сотрудники, клиенты и контрагенты.
4. Важнейшая задача каждого в момент обнаружения атаки - информировать официальные субъекты обеспечения кибербезопасности Украины, CERT-UA и Киберполицию. Это позволит не только привлечь к ответственности виновных, но и принять неотложные меры по блокированию вредоносных веб-ресурсов.
5. Для тех же, кто проводит кибератаки на врага или занимается багхантингом в целях усовершенствования украинской кибербезопасности в условиях войны, во избежание недоразумений с правоохранительными органами следует быть готовыми доказать соответствие своей деятельности интересам Украины и предварительно проконсультироваться с адвокатом.
Основы законодательных механизмов для эффективной киберзащиты в условиях военного положения заложены. Задача каждого - при обнаружении кибератаки как можно быстрее запустить этот механизм, чтобы в будущем подобных атак и ущерба от них становилось все меньше.
Николай Ерема, юрист, ЮФ INTEGRITES
Алла Борисенко, помощник юриста, ЮФ INTEGRITES
Как бизнесу действовать правильно в условиях военного времени? Благодаря LIGA360. Система дополнена новыми разделами и инструментами, в которых собраны изменения законодательства, новости и аналитика, консультации. Находи ответы и следи за изменениями каждый день
