Эффективны ли существующие методы борьбы с киберпреступностью в решении проблем, связанных с кражей данных?
В данном исследовании рассматривается вопрос современного регулирования кражи данных и критически оцениваются проблемы существующих составов киберпреступлений на основе проекта Конвенции ООН о киберпреступности в сравнении с действующим законодательством Российской Федерации. Проект Конвенции ООН о киберпреступности направлен на укрепление международного сотрудничества в борьбе с некоторыми преступлениями, совершаемыми с помощью систем информационных и коммуникационных технологий, и на обмен доказательствами серьезных преступлений в электронной форме. Недавно Специальный комитет ООН, проходивший в Нью-Йорке, достиг соглашения по проекту конвенции, и в ближайшее время он будет представлен Генеральной Ассамблее ООН для официального принятия.
Введение
8 января 2024 года украинская хакерская группа «Киборг» выложила в открытый доступ полную клиентскую базу крупного российского Альфа-Банка.[1] Хакеры описывают себя как «проект журналистов и IT-специалистов, объединившихся в борьбе с агрессией в информационном пространстве». Они слили огромное количество конфиденциальных банковских и персональных данных (базу данных, содержащую полные имена, даты рождения, номера телефонов и данные о счетах 38 миллионов клиентов) на общедоступный сайт.[2] Этот пример наглядно показывает, насколько незащищенными могут быть данные в руках киберпреступников, даже если они хранятся в профессиональных компаниях с жесткими мерами кибербезопасности. И это поднимает вопрос о том, как бороться и предотвращать подобные эксцессы в будущем, как привлекать преступников к ответственности, особенно в экстерриториальном порядке.
I. Современная распространенность преступлений, связанных с кражей цифровых данных
В декабре 2023 года была взломана студия, создавшая популярную видеоигру Spider-Man 2, и похищены детали готовящейся игры, а также данные сотрудников и компании[3]. В ноябре 2023 года в темную паутину утекли данные клиентов Британской библиотеки[4]. В июле 2022 года Crypto.com, ведущая мировая криптовалютная биржа, была взломана, и личные данные более 700 000 пользователей были украдены[5].
На сегодняшний день количество кибератак с целью кражи и компрометации персональных и корпоративных данных растет, увеличиваясь в количестве и масштабах. Кража данных - это акт кражи компьютерной информации в цифровой форме, совершаемый обычно с целью компрометации информации или ее присвоения, дальнейшей продажи или распространения. Поскольку данные бесплотны (в отличие от телесных активов) и по-прежнему остаются у владельца, кража фактически означает получение доступа к данным.
Люди, имеющие опыт нарушения мер кибербезопасности, предоставляют свои услуги за плату (преступление как услуга) и могут находиться в любой точке мира: им не нужны специальные инструменты, приборы или физический доступ в помещение, а только подключение к Интернету и компьютер. Таким образом, компьютерные преступления широко распространены во многих странах и территориях, хотя чаще всего они связаны с определенными категориями конфиденциальной информации, такими как персональные данные, данные финансовых и кредитных карт, контактная информация, коммерческие тайны, интеллектуальная собственность, информация, касающаяся национальной безопасности, и т. д. [6] Мы также должны учитывать огромный масштаб киберпреступлений, например, в 2020 году в США был подан иск против 4 граждан Китая за взлом компьютерной сети компании Equifax (штат Джорджия, США) и кражу конфиденциальной персональной информации примерно 145 миллионов американских жертв.[7] В 2016 году северокорейская хакерская группа Lazarus успешно похитила миллионы долларов, атаковав глобальную систему банковских денежных переводов SWIFT. Lazarus также похитил криптовалюты на сумму более 500 миллионов долларов.[8] Во время кампании по краже MSP,[9] Чжу, Чжан (из Китая) и их соучастники в группе APT10 успешно получили несанкционированный доступ к компьютерам, предоставляющим услуги или принадлежащим компаниям, расположенным как минимум в 12 странах, включая Бразилию, Канаду, Финляндию, Францию, Германию, Индию, Японию, Швецию, Швейцарию, ОАЭ, Великобританию, США. Группа APT10 похитила сотни гигабайт конфиденциальных данных из компьютерных систем жертв и продолжает свою деятельность.
Этот экстерриториальный аспект значительно усложняет регулирование преступлений, в частности кражи данных, поскольку источник информации (цель) может находиться в одной стране, а преступник - в другой. В результате осуждение и арест преступника становятся крайне сложной задачей. Экстерриториальный характер кражи данных создает проблему решения вопроса о том, какое законодательство должно применяться к преступлению, преступнику, жертве и как решить проблему коллизии законов. Важно отметить, что из-за удаленного характера работы киберспециалистов они часто переезжают с места на место (цифровой номадизм), поэтому зачастую гражданство отличается от места жительства.
Юрисдикционная проблема киберпреступности проявляется в трех аспектах: отсутствие уголовного законодательства, отсутствие процессуальных полномочий и отсутствие вступивших в силу положений о взаимопомощи с иностранными государствами. Создатель вируса «Я люблю тебя» до сих пор не наказан, потому что на Филиппинах (место его проживания) на момент атаки отсутствовал соответствующий закон о компьютерных преступлениях.[10] Преступление может быть совершено на территории одного государства, но ущерб причинен на территории другого государства или в глобальном масштабе.
Таким образом, существующая система киберпреступлений неэффективна для решения проблем, связанных с «кражей» данных. Поэтому единственный способ решить эту проблему - использовать единое глобальное регулирование (если это вообще достижимо в мире с различными правовыми системами, политическими режимами и напряженностью).
II. Конвенция Организации Объединенных Наций о киберпреступности как международный документ по борьбе с кражей данных
1. Общий обзор
Попытка унификации была предпринята Организацией Объединенных Наций в ее проекте Конвенции о киберпреступности,[11] но он не имеет окончательной формы и все еще находится в процессе переговоров, при этом к нему поступило множество замечаний от разных стран-участниц[12], обусловленных различиями в правовых системах и политической напряженностью.[13] По мнению Electronic Frontier Foundation, «договор, если он будет одобрен, может изменить уголовное законодательство и расширить полномочия трансграничной полиции по наблюдению за доступом к пользовательским данным и обмену ими, затрагивая частную жизнь и права человека миллиардов людей по всему миру»[14].
Обсуждаемую международно-правовую базу сложно оценить с точки зрения ее эффективности в борьбе с кражей данных, поскольку она еще не вступила в силу, и предварительные выводы можно будет сделать только после ее вступления в силу и применения на практике. Предлагаемое регулирование кражи данных отражено в проекте Конвенции в статье 12 «Кража или мошенничество, связанные с компьютером». В стандартном варианте договаривающимся сторонам предлагается принять внутреннее законодательство, предусматривающее уголовное наказание за «умышленное и бесправное причинение имущественного ущерба другому лицу <…> с обманным или нечестным намерением получить для себя или для другого лица, без права, экономическую выгоду или [компьютерные данные] [цифровую информацию], содержащую персональные данные, включая информацию, относящуюся к банковскому счету лица <…>».
Действующими и эффективными международными правовыми документами по краже данных являются Будапештская конвенция о киберпреступлениях 2001 года и Директива Европейского союза 2013/40/EU. Последняя не предусматривает именно такого вида киберпреступлений - кражи данных - и ее приходится трактовать через ряд других правонарушений, незаконный доступ и, при необходимости, неправомерное использование инструментов. Будапештская конвенция в ст. 8 «Мошенничество, связанное с компьютером» затрагивает потерю собственности путем удаления данных или вмешательства в функционирование компьютерной системы.[15] Таким образом, в новом тексте Конвенции ООН достигнут большой прогресс в определении самого популярного глобального компьютерного преступления, и оно наконец-то получит отдельную статью, создавая четкую и недвусмысленную правовую базу.
В проекте Конвенции ООН определены все элементы, необходимые для эффективной борьбы с кражей данных: определение кражи (даже в названии статьи), определение компьютерных данных и (или) цифровой информации как объекта «присвоения» и получения экономической выгоды, особое упоминание персональных данных и банковских счетов как уязвимых видов информации (actus reus), нечестный умысел, намеренное обязательство и действия «без права» в отношении соответствующего лица (mens rea). Важным моментом здесь является то, что цифровая информация, будучи нематериальной, признается явным объектом, который может быть украден. Участие и покушение на кражу данных также криминализированы (ст. 19).
Тем не менее, само по себе определение нового состава преступления не гарантирует успеха в борьбе с кражей данных, для этого необходим комплекс правил (и их беспрепятственное внедрение на практике). Его эффективность также должна быть подкреплена статьей 16 о борьбе с отмыванием доходов от преступлений, которая предусматривает уголовную ответственность за сокрытие доходов от преступлений, поскольку понятно, что большинство случаев кражи данных совершается из корыстных интересов. И что еще более важно, эффективность новой статьи будет зависеть также от положения о юрисдикции (статья 22 проекта Конвенции ООН) и главы IV «Процессуальные меры и правоприменение».
2. Альтернативные предложения по регулированию комплекса кражи данных
Еще один интересный момент можно найти в дополнениях, или изменениях, которые предлагает группа стран России, Китая, Ирана, Венесуэлы, против которых протестуют ЕС и западные страны. Речь идет о предложении криминализировать предоставление услуг (ст.10.ter Конвенции ООН) и техническую поддержку или создание веб-сайтов, коммуникационных сетей с намерением использовать их для совершения хищений (или даже предоставление сетевых услуг - в ст.10.quarter). Действительно, это предложение, возможно, стоит рассмотреть, учитывая распространение форумов даркнета, где хакеры не только предлагают свою помощь в совершении преступлений, но и рекламируют и продают незаконные результаты таких преступлений. Форумы и сайты являются для них основным каналом связи для монетизации результатов незаконных краж.
Например, RaidForums взимал плату за предоставление доступа и скачивание украденной финансовой информации, средств идентификации и данных из взломанных баз данных. Интересным фактом было то, что главным администратором форума был 15-летний ребенок, который продолжал деятельность форума в течение 7 лет. Проблема заключалась в том, что потребовались годы и значительные ресурсы и сотрудничество правоохранительных органов, чтобы проникнуть в темную паутину и закрыть платформу[16].
Более того, в свете приведенного выше примера с кражей данных 38 миллионов банковских клиентов запрет на публикацию, хранение и публичный доступ к ним на сайтах вовсе не был бы чрезмерной мерой. На момент написания данной статьи упомянутая база данных все еще находится в открытом доступе на сайте Kiborg[17] (она остается в открытом доступе уже 10 месяцев подряд, беспрецедентно нарушая законы о конфиденциальности). Нет никаких справедливых причин не блокировать этот сайт и его содержимое в качестве одного из средств правовой защиты. Если бы хозяева или владельцы сайта четко понимали, что эти действия незаконны под угрозой уголовного преследования, то распространение украденных данных не было бы таким массовым. Конечно, данные могут утекать в даркнет или меняться носителями, но, по крайней мере, информация не будет так легко доступна.
Еще одним предложением в проекте Конвенции ООН является создание отдельного уголовного преступления в отношении конкретно персональных данных - ст. 10.quinquies «Нарушение персональных данных». Это предложение касается криминализации продажи, предоставления или иного обеспечения доступа к любым материалам, содержащим персональные данные, любым другим лицам с использованием системы/устройства информационно-коммуникационных технологий.
III. Регулирование кражи данных в Российской Федерации
В соответствии со ст. 5.1 Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» информация может быть объектом общественных, гражданских и иных правоотношений, свободно использоваться любым лицом и передаваться одним лицом другому лицу. Таким образом, информация является объектом правовой охраны и может быть похищена (продана, передана, скопирована и т.д.). Действующее уголовное законодательство Российской Федерации не содержит специального состава преступления[18] по краже данных, и это преступление частично охватывается незаконным нарушением доступа, как в Будапештской конвенции 2011 года.
Неправомерный доступ (ст. 272 УК РФ), неправомерное использование средств (ст. 273), нарушение правил эксплуатации ЭВМ (ст. 274), воздействие на критическую инфраструктуру (ст. 274.1) и нарушение правил безопасности (ст. 274.2) - вот и весь перечень киберпреступлений в главе 28 УК РФ. Кроме того, в главе 21 есть отдельная статья 159.6, посвященная преступлениям против собственности - «Мошенничество в сфере компьютерной информации». Это хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации, но это не хищение информации, это мошенничество, совершенное с использованием цифровой информации или средств.
Таким образом, уголовное наказание по российским правилам будет зависеть от типа похищенной информации:
(1) если информация носит личный характер, то есть персональные данные, то виновный будет привлечен к ответственности по статье 137 УК РФ «Нарушение неприкосновенности частной жизни»: незаконное собирание или распространение сведений о частной жизни лица либо распространение таких сведений в общедоступном месте. Санкции: штраф и (или) лишение свободы.
(2) если информация носит деловой характер, то есть является налоговой, банковской, корпоративной или коммерческой тайной, то виновный будет привлечен к ответственности по статье 183 «Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»: сбор информации путем похищения документов и иным незаконным способом (в том числе с использованием цифровых средств). Санкции: штрафы и (или) лишение свободы.
Кроме того, преступление будет квалифицировано и по статье 272 «Незаконный доступ», поскольку проникновение было осуществлено с помощью цифровых средств. Незаконный доступ означает неправомерный доступ к охраняемой законом компьютерной информации, если это деяние привело, например, к копированию компьютерной информации. Если информация не носит личного или делового характера, то ее кража будет преследоваться только как преступление, связанное с незаконным доступом.
Таким образом, в соответствии с действующей редакцией российского законодательства, отдельная статья за кражу информации отсутствует, что делает регулирование данного вида преступлений крайне неэффективным. И это в условиях, когда каждое четвертое преступление совершается с использованием цифровых технологий[19] (по данным последнего известного официального статистического отчета МВД РФ за 2022 год).
Заключение
Конвенция Совета Европы о киберпреступности была создана для решения вопроса юрисдикции, чтобы помочь успешному преследованию киберпреступников.[20] Только укрепление международного сотрудничества позволит более эффективно предотвращать и бороться с киберпреступлениями на национальном, региональном и международном уровнях. Кроме того, необходимо более четко прописать законы о краже данных, чтобы разъяснить, кто должен нести ответственность за кражу данных клиентов или слабую защиту компьютерных сетей[21] на международном и национальном уровнях, поскольку на сегодняшний день ни в одной из правовых систем не существует отдельного преступления «кража данных». В целом, однако, законодательство о киберпреступности является крайне ограниченным механизмом борьбы с неправомерными действиями в Интернете[22] и не может само по себе предотвратить кражу данных; необходимо правильное применение законов и процессуальных механизмов, а также строгие меры безопасности, предпринимаемые владельцами и пользователями компьютерной информации. В любом случае, проект Конвенции о киберпреступности представляет собой улучшение, поскольку в нем дается определение преступления кражи данных, что может стать отправной точкой в надежде на более эффективную защиту в будущем.
[1] Новая газета Европа https://novayagazeta.eu/articles/2024/01/08/hackers-publish-personal-data-of-20-million-alfa-bank-customers-en-news доступ 14 ноября 2024 г.
[2] Хакеры опубликовали данные 38 млн клиентов «Альфа-банка». Банк опровергает утечку - CNews/ по состоянию на 14 ноября 2024
[3] БиБиСи https://www.bbc.com/news/topics/cp3mvpdp1r2t по состоянию на 14 ноября 2024
[4] БиБиСи https://www.bbc.com/news/entertainment-arts-67544504 по состоянию на 14 ноября 2024
[5] Техрадар, https://www.techradar.com/features/top-data-breaches-and-cyber-attacks-of-2022 по состоянию на 14 ноября 2024
[6] Джонатан Клаф, «Кража данных? Киберпреступность и растущая криминализация доступа к данным». (2011) 22 Crim LF 149
[7] Александра Харис и Брюс Загарис, «Киберпреступность» (2020) 36 IELR 69
[8] Брюс Загарис, «Киберпреступность» (2022) 38 IELR 161 - ресурсы, 15y o forum
[9] Брюс Загарис, «Киберпреступность» (2019) 35 IELR 32
[10] Амали М. Вебер, «Конвенция Совета Европы о киберпреступности» (2003) 18 Berkeley Tech LJ 426
[11] Организация Объединенных Наций https://www.unodc.org/unodc/en/cybercrime/ad_hoc_committee/ahc_sixth_session/main по состоянию на 14 ноября 2024
[12] https://www.unodc.org/documents/Cybercrime/AdHocCommittee/6th_Session/DTC/DTC_rolling_text_31.08.2023_PM.pdf
[13] https://foreignpolicy.com/2023/08/31/united-nations-russia-china-cybercrime-treaty/
[14] https://unric.org/en/a-un-treaty-on-cybercrime-en-route/
[15] Совет Европы < https://rm.coe.int/1680081561> по состоянию на 14 ноября 2024
[16] Брюс Загарис, «Киберпреступность» (2022) 38 IELR 161 - ресурсы, 15y o forum
[17] <Хакеры опубликовали личные данные более 20 млн клиентов «Альфа-Банка». Сам банк отрицает факт утечки>, доступ 14 ноября 2024 г.
[18] Кодексы и законы https://www.zakonrf.info/uk/?ysclid=lr7t7h0byt332707849 по состоянию на 14 ноября 2024
[19] МВД РФ https://xn--b1aew.xn--p1ai/reports/item/35396677/?year=2023&month=1&day=20 по состоянию на 14 ноября 2024
[20] Амали М. Вебер, «Конвенция Совета Европы о киберпреступности» (2003) 18 Berkeley Tech LJ 425
[21] Лилиан Аблон и Мартин Либицки, «Журнал для хакеров: Рынки инструментов для киберпреступлений и украденных данных» (2015) 82 Def Counsel J 151
[22] Джонатан Майер, «Судебное разбирательство по делам о киберпреступлениях» (2016) 164 U Pa L Rev 1506
Дарина Шаматонова