Предисловие
Все события вымышлены, мысли и предложения — фантазия, совпадения — случайны.
Статья представляет собой субъективные вольные измышления об имеющимся несоответствии в реальности сферы ИТ и применения к ней некоторых элементов соответствующей статьи Уголовного кодекса РФ. За этот «эпос» меня может быть осудят товарищи, но, так или иначе, на затрагиваемые в статье вопросы необходима реакция, любая. Статья разбита на 3 части, по количеству Причин.
К написанию настоящей статьи меня сподвигли несколько причин:
Причина Первая
Каждый раз когда я сталкиваюсь с очередным Инцидентом информационной безопасности, тем я лучше понимаю, что я ничего не знаю, даже наверно нет, не так категорично, каждый раз понимаю, что с новым Инцидентом постоянно не хватает какого-то нового кирпичика, мелочи, но, в независимости от того, где не хватает этого элемента, в «фундаменте» или с краю в «трубе на крыше», все сложнее и сложнее строить логические пути, связи, плести паутину, которая бы симметрично и логично склеивала бы объективную реальность, отразившуюся в Инциденте, и Наши законы. Тем удручающе, до введения на грань депрессии, я понимаю как в принципе легко развалить объединенный результат трудов экспертов, специалистов, оперуполномоченных, следователей. Наши законы, это и Уголовный кодекс, и закон «об ОРД», и УПК, и обязательно не забыть остальные, имеющие отношение к «информационной» тематике федеральные законы. Причем, на мой взгляд, если очень педантично разбирать каждый случай, многие инциденты вообще никак нельзя связать, «подвести» под какую-либо статью УК. Кодекс об административных правонарушениях вообще не рассматриваю, я считаю, что для сфер «связь», «информация» — его фактически не существует. Поэтому, первой причиной написания статьи выступает желание довести до Хабр сообщества свое виденье обстановки в этой сфере, краем затянуть читателей в свой многолетний когнитивный диссонанс. Поэтому в этой части будет краткий поверхностный юридический ликбез по статье 272 УК РФ (ст.273 и 274 УК РФ рассматривать не буду, дабы не усложнять и так тяжелый для осмысленного понимания текст).
Размышления о статье 272 УК РФ
Рассмотрим часть 1 статьи 272 УК РФ «Неправомерный доступ к компьютерной информации»
Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
Самое важное — это два элемента статьи: к чем осуществлен неправомерный доступ — к охраняемой законом информации, и второй момент, наступление последствий в виде уничтожения, блокирования, модификации либо копирования (Примечание: причем Законодатель не указал прямо в последствиях «охраняемой законом», но, видимо, нам как бы понятно, что доступ к информации и последствия— это все в отношении одной и той же информации, или как?). Правомерность или нет такой — рассматривать не будем, конечно, бывают нюансы, но они не основные, мне кажется, понятно, что есть что, и при каких технических и правовых условиях.
Что же это такое — охраняемая законом информация, те немногие здравомыслящие мои знакомые следователи, опираясь на законодательство РФ, хотят и считают так: предмет посягательства — охраняемая законом компьютерная информация, под информацией понимается — сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. Информация признается охраняемой при соблюдении двух условий: закон ставит под защиту данные от несанкционированного доступа. Так, Указом Президента РФ от 06.03.1997 № 188 утвержден Перечень сведений конфиденциального характера. К ним относятся персональные данные, кроме установленных законом случаев, тайна следствия и судопроизводства, сведения о защищаемых лицах и мерах государственной защиты, применяемых в отношении потерпевших, свидетелей или иных участников уголовного судопроизводства, служебная тайна, врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д., коммерческая тайна, сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них. В соответствии с ФЗ «О персональных данных» от 27.07.2006 г. № 152-ФЗ, под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемого физическому лицу (субъекту персональных данных). И это не все, я почти забыл указать о государственной тайне.
Более того, законный обладатель информации должен предпринимать меры по ее охране.
Обратите внимание, еще раз какая информация охраняется. Теперь вопрос — введен ли на Вашем предприятии, в Вашей организации, небольшой команде разработчиков, например, режим коммерческой тайны? Если кратко, то обладатель информации имеет право отнести ее к коммерческой тайне. Чтобы информация получила статус коммерческой тайны, ее обладатель должен исполнить установленные законом «О коммерческой тайне» процедуры. После получения статуса коммерческой тайны, введения режима — информация начинает охраняться законом. «Задним числом», при «разборе полетов» по Инциденту, эти процедуры увы навряд ли получиться осуществить (хотя почему бы нет, но выглядеть будет крайне криво). Примитивно, но, если кто-то каким либо образом осуществит проникновение в вашу сеть к серверам и наступят последствия в отношении информации, которую вы по наитию считаете коммерческой тайной, но в отношении ее не введен режим — увы, следователь вправе утверждать, что состав преступления отсутствует. И так, в принципе, с каждой «охраняемой информацией», по каждой из указанного перечня есть свои режимы, правила, нормы, что считать, что нет и так далее.
Теперь о том, что «законный обладатель информации должен предпринимать меры по ее охране». Что это? Это комплекс мероприятий правового, организационного, технического и прочих характеров. Всяческие более или менее серьезные организации по обеспечении Информационной безопасности и правовой поддержки «съели на этом не одну собаку», распечатали ни одну коробку бумаги, заработали ни один «стог» денег.
Отступление:
И вот именно тут я скажу, почему лично я считаю, что кодекс об административных правонарушениях не играет никакой значимой роли для сфер «связь», «информация». Возьмем с наскока прямо яркую тему, так любимую этими структурами по обеспечению информационной безопасности — тему «персональных данных». Любимую, потому как регулярно читая блоги специалистов и руководителей этих структур, мне кажется я начинаю понимать чего они о ней так много пишут, муссируют — чистой воды профанация истинной цели — безопасности данных, и, наверно, лишь призванно обеспечить зарабатывания структурами денег. Нет, поймите правильно, тема бесспорно важная, как персональные данные, так и зарабатывание денег, но вот какое дело, я не понимаю для чего введена статья в КОАП. Конечно, конечно очевидно, что Государство считает, что обрабатываемые персональные данные граждан должны быть защищены, поэтому Законодатель разработал Федеральный закон N 152-ФЗ «О персональных данных», ввел административную ответственность лиц, виновных в нарушении указанного Федерального закона. Но закон работает лишь в таких случаях, как прошлогодний эпик фэйл с содержимым смс абонентов одного известного оператора связи. Закон почти работает, но что в итоге, в сухом остатке: штраф на смешные 30 тысяч рублей(или сколько там еще копеек?). Как часты такие провалы, согласитесь — это случайность, да грандиозная, но случайность.
Теперь смоделируем более реальную на мой взгляд ситуацию, завтра в торрентах, на всех крупных файлообменниках появляется база абонентов, клиентов какой угодно организации, пусть в базе будут информация, подпадающая под персональные данные. Что должно произойти? Сначала Роскомнадзор должен об том узнать. Если это будет база кого-либо из операторов «большой тройки» или крупного кредитно-финансового учреждения, то узнает сразу, а если это регионального уровня организация? Я не помню, чтоб Роскомнадзору вменяли обязанности мониторинга всей Сети на предмет выявления опубликованных «сливов», и даже если похожий функционал есть — то в объективной реальности он не осуществляется, а с учетом некоторых производимых в настоящее время изменений, сокращений в структуре, реального мониторинга не стоит ожидать. Далее, Роскомнадзор инициирует проверку организации на предмет соблюдения 152-ФЗ., причем предварительно согласовав проверку с Прокуратурой, обосновав крайнюю необходимость в ней, отмечу, не всегда это бывает просто. Ну да ладно, Роскомндазор узнал, что дальше, в рамках проверки затребовали сотрудники Роскомнадзора документацию, организация представила все возможные документы, лицензии, сертификаты, контракты и прочее прочее (ведь не зря упомянутые ранее структуры по информационной безопасности готовили документацию и получали деньги), так же результаты внутренней проверки, независимой экспертизы. И по бумагам все отлично, законный обладатель информации предпринял все меры по охране обрабатываемых персональных данных. Что делать? Надо что то делать, кем-то, как-то информация ведь «ушла» — предварительное следствие, и какая статья, самая первая?
Часть 1 статьи 272 УК РФ. А подозреваемого нет, и скорее все не будет в объективно перспективном с точки зрения процесса времени (VPN в Перу, TOR с выходом в Дублине, начальная точка входа в Интернет публичная сеть Wi-Fi, логи, на которой в момент обнаружения оперативниками, будут многократно стерты новыми клиентами, данные на камерах видеонаблюдения в округе по десять раз переписаны, а мак-адрес сетевой карты злоумышленника — фейк, без привязки к производителю). Но все-таки, допустим самое невероятное, нашелся подозреваемый, и даже допрошен, и опять «очевидное-невероятное» он, помимо отсрочки для себя, как обычно бывает при использовании статьи 51 Конституции РФ, что-то говорит следователю. Срок уже явно прошел более 3-х месяцев, а вот говорит он следующее, и пусть его слова правда: «… я использовал банальный эксплоит 5-летней давности...». Для нас с Вами станет наверно понятно, что «законный обладатель информации» предпринял не все должные меры по охране данных, но срок привлечения к административной ответственности давно истек — «всем спасибо, все свободны», база данных клиентов давно обрела свободу в Сети, оператор персональных данных наказания не понесет, ибо на этот момент уже все дыры закрыты, новые коробки соответсвующих бумаг распечатаны.
Поэтому я считаю, что все эти шаманские пляски вокруг 152 — ФЗ и исполнение прочих, разнообразных инициатив Регулятора, меры, консалтинг структур по информационной безопасности имеет лишь один основной вектор защиты — от Государства в лице Роскомнадзора и его проверок «на соответствие...», и лишь вторично направлен непосредственно на безопасность персональных данных. И что это получается, это правильно, это цель? И еще, в завершении Отступления про персональные данные и КОАП, я что-то не наблюдаю, ни в жизни, ни информации в Сети о множествах проверок в отношении тех или иных организаций, чьи базы данных распространяются в Сети, в метро, где угодно. У меня вообще есть коррупционной направленности черные мысли, моделируем в таком вот направлении: в каждом регионе есть свои небольшие телекоммуникационные компании или филиалы того же Ростелекома, базы абонентов по местных обменникам, или в торрентах регулярно публикуются «со времен царя Гороха», что мешает мне или кому-либо еще скачать базу, несколько ее модифицировать, опубликовать, от «левых людей» пропиарить этот «эпик файл» и инициировать, от тех же «левых граждан» обращение в Прокуратуру и Роскомнадзор, пусть помучается этот оператор персональных данных, и потом фактически «троллить» оператора n-раз, а правоохранительные органы пусть ищут перуанца с дублинской пропиской.
Примечание к Отступлению:
Уже заканчивая часть статьи, в блоге одного из специалистов я обнаружил коррелирующую с моими мыслями направленность, просто процитирую: «В этом плане мне вспомнился на днях PHD, лозунг которого был «Реальная безопасность». И действительно — взломы АСУ ТП, банкоматов, браузеров, обход защитных механизмов, мошенничества с ДБО — вот то, чем должны заниматься службы ИБ. А у них банально на это времени не хватает, т.к. они вынуждены заниматься выполнением многостраничных манускриптов, построенных на уже устаревшей парадигме защищенного периметра, защите гостайны и противодействии иностранным техническим разведкам.»
Однако, вернемся к статье 272. В отношении информации и ее охране законом мы в общем на примитивном уровне разобрались. И понятно, что не все так просто, более того, доказыванию подлежит факт неправомерного доступа к именно охраняемой законом информации, то есть если на носителе, к которому был доступ (я де-факто рассматриваю доступ дистанционный, посредством любого рода коммуникаций, случай, когда кто-то у кого то украл сам носитель — не интересно), содержится множество файлов, структур данных— и ведь не все из данных будут охраняться законом, и доказать следователю надо будет, что именно к охраняемым законом осуществлен неправомерный доступ. Причем следователь потребует конкретный список файлов, баз данных, охраняемых законом, с подтверждением неправомерного доступ к ним. Как-то так… кстати, чем однозначно подтверждать будем?
Теперь другой важный элемент статьи, процитирую своего знакомого, достаточно опытного следователя, но не факт, что здравомыслящего:
«преступление имеет материальный состав, считается оконченным с момента наступления хотя бы одного из указанных в ч.1 ст. 272 УК РФ последствий в виде уничтожения, блокирования, модификации или копирования информации. Ознакомление с информацией при отсутствии последствий не образует состава преступления, предусмотренного ст. 272 УК РФ».
Вот так, до смешной грусти, если найдется «хакер» с феноменальной зрительной или слуховой памятью — то он никогда не будет осужден по этой статье.
И ведь действительно, нет единства во мнениях по поводу последствий, так, например, «копирование», определяют по разному, как кому угодно, удобно, подстраивают под конкретные ситуации, откровенный мухлеж, адвокаты, которые соображают в ИТ (я таких за 10 лет не видел, только читал о них в Сети), могут говорить о том, что копирование — это непосредственно создание дубликата файла, файлов, данных, или копии сведений и сообщений при сохранении неизменности первоначальной компьютерной информации, следователи же могут посчитать за «копирование», данные, полученные в виде, например, пакетов настроек от DHCP сервера локальной сети, подвергнувшейся «взлому» (автор кается, грешен, был перегиб, когда около 7 лет назад участвовал в таком деле, за охраняемую информацию «выдали» данные, полученные от DHCP Wi-Fi точки, человек осужден был на штраф по двум статьям: ч.1 ст. 272 и ч.1 ст. 165 УК РФ «Причинение имущественного ущерба путем обмана или злоупотребления доверием», оправдываясь, скажу — просто устали «пеленговать» любителя Интернета за чужой счет), адвокаты могут уверять, что технические данные, получаемые «объектом» в процессе работы браузера (те же HTTP cookie), сетевых устройств и другой служебной информации не могут выступать в качестве объекта «копирования».
Отступление:
Мне вот интересно, как, с учетом всего ранее сказанного, охарактеризовать ситуацию, при которой, данные, полученные в результате работы sniffer -а, будь то обычный перехват пакетов на канале, или в результате проведения Man in middle атаки со спуфингом устройств в сети провайдера, если перехваченная информация представляет собой данные для аутентификации, логин и пароль «plain text» — ом в smtp или pop, либо пресловутые HTTP cookies, которые позволят «объекту» осуществить доступ к некому ресурсу с аккаунтом «потерпевшего».
Моделируем, доступ осуществляется, и «объект» просто визуально запоминает, а фактически запускает запись экрана — «рабочего стола». Вот интересно, «запись с экрана» программным способом или установленной напротив монитора цифровой камерой в FullHD. Что это? Как одна и та же — идентичная информация по смысловому содержанию, но разная по форме хранения, представления влияет на состав, скопировал на носитель информации охраняемые законом письма, документы с ресурса, есть оконченный состав. Прочитал же так как я указал с видео фиксацией, либо запомнил, благодаря феноменальным способностям — нет состава. Я почему то уверен, что «потерпевшему» абсолютно все равно в какой форме, каким методом его данные стали достоянием кого то еще, но есть следователь, прокурорский работник, судья — которые будут опираться исключительно на букву Закона, причем для них это буква должна быть написана на бумаге, бумага утверждена, подписана ручкой или чернилами, с печатями и прочей атрибутикой, я думаю, моя ирония понятна. Очень сложно, практически нереально на практике объяснить следователю, прокурорскому работнику, что если «объект» «увидел» на экране данные, значит он их «автоматически» скопировал.
Подобным неоднозначным родом обстоят дела и с «модификацией», «блокированием». Я встречал в практике (очень давно, правда) и читал в Сети, что, например, под «модификацию» охраняемой информации «подписывали» иногда и изменение биллинговых данных у провайдеров, вследствие доступа в сеть по чужим реквизитам, и тут же возникало «блокирование» — клиент не мог выйти в Сеть, достучаться до аккаунта (например, когда две одновременные сессии запрещены).
И вот, наконец-то, «уничтожение», может показаться на бытом уровне — «тут то все просто». Увы, нет, и тут сложности, и некоторые моменты я постараюсь донести до читателей во второй части статьи.
В заключение хочу сказать, все перечисленное — это вопросы и размышления, на практике вопросов больше, необходимо по каждому элементу статьи объяснять следователю, отвечать на вопросы и обязательно иметь фактическое подтверждения в Инциденте каждого слова и буквы из статьи УК РФ. Причем, одновременно учитывать, моделировать ответы предполагаемого подозреваемого и его адвоката, располагать доводами и доказательствами, которыми можно «разбить» любой околонаучный бред «нарушителя» (на эту тему можно отдельный «эпос» писать).
И надеюсь, вы теперь понимаете, как мероприятия по обычному рядовому Инциденту выливаются в огромный труд, который при нынешнем состоянии дел с законодательством, при противоречивых, неоднозначных трактовках легко разрушить, или как минимум поставить под сомнение.
Продолжение следует...
Автор: AndrewFoma
