Критический взгляд на формулировку статьи 273 УК РФ: «Создание, использование и распространение вредоносных программ для ЭВМ»
Дата: 02.04.2004Источник: www.crime-research.ru
Автор: Игорь Дикшев
Указанная формулировка гласит:
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.
Дело в том, что вполне похожие деяния (например, грабёж и кража - похищение имущества) имеют разные определения и различимы Законом. Кроме того, отношение деяния к разряду преступных происходит лишь при строгом соответствии этого деяния к определению, данному в законе (принцип запрета аналогий в уголовном законодательстве).
Авторы вирусов (вирмейкеры) не являются людьми «вне закона». Они имеют такие же права и свободы, как и любые другие люди и граждане своих государств.
В законе «О правовой охране программ для электронных вычислительных машин и баз данных» в статье 1 дано следующее определение: «Программа для ЭВМ – это объективная форма представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определённого результата. Под программой для ЭВМ подразумеваются также подготовительные материалы, полученные в ходе её разработки, и порождаемые ею аудиовизуальные отображения».
Недостатком такой формулировки является ее неприменимость ко всем компьютерным платформам (архитектурам) и в первую очередь к IBM-совместимым компьютерам с операционными системами типа MS DOS или MS Windows. Дело в том, что ни для процессора, ни для операционной системы не существует различия между командами и данными. Команды могут интерпретироваться как данные (например, при копировании исполняемого файла все его команды превращаются в копируемые данные), а данные могут интерпретироваться как команды (именно на этом, к примеру, основаны уязвимости по переполнению буфера, используемые в программных и сетевых атаках). Отсутствие такого различия между данными и командами является одной из основных причин возможности существования компьютерных вирусов. В данном случае корректнее было бы считать программой любое адресное пространство (блок памяти, файл на диске, запись в загрузочном секторе и т.д.), содержащее информацию, так как содержимое любой информации может интерпретироваться как команды.
В статье 2 части 2 Закона сказано:
Программы для ЭВМ и базы данных относятся настоящим Законом к объектам авторского права. Программам для ЭВМ предоставляется правовая охрана как произведениям литературы, а базам данных - как сборникам.
Отсюда следует, что вполне возможно рассуждать в дальнейшем о программах для ЭВМ как о произведениях литературного творчества. Заметим, что в соответствии с определением программы для ЭВМ компьютерные вирусы являются одной из разновидностью компьютерных программ.
Получается интересный юридический казус. Если компьютерный вирус не является программой, то статья 273 УК РФ не может быть применена в силу принципа «запрета аналогии». Если же вирус является программой, то эта статья вступает в противоречие с международными договорами РФ и с её Конституцией, образуя запрет на:
• создание литературного произведения;
• использование информации в целях недопустимого ограничения права человека на образование и самообразование (при условии, что вирус создаётся и используется именно в этих целях);
• распространение информации любыми законными способами.
Законом не оговорены критерии, по которым программы могут быть отнесены к разряду вредоносных, и в законах отсутствует перечень программ, называемых вредоносными. Дать определение термину «вредоносный» в отношении программ не представляется возможным. Сложность заключается в том, что даже при наличии причинённого значительного ущерба в результате использования программы отнести эту программу к разряду вредоносных не всегда возможно.
Компьютерный вирус перестаёт быть самостоятельной программой после внедрения его в файл. Он становится частью той программы, в которую внедрился. При этом сама инфицированная программа не получает возможности самокопирования, а стало быть вирусом не является. Поскольку в формулировке статьи 273 УК РФ говорится о «вредоносных программах», то такими программами, очевидно, нужно считать все инфицированные программы, если внедрившийся в них вирус несёт в себе деструктивные функции.
Создание и опубликование компьютерных вирусов может иметь целью проверку надёжности выбранной системы защиты информации. Многолетний опыт публикаций вирусов в электронных конференциях, электронных журналах, печатных изданиях и на WEB-страницах показывает, что эта цель доминирует.
Однако самым главным достоинством опубликования вирусов и распространения информации о них является повышение грамотности пользователей персональных компьютеров. Не секрет, что нашумевшие в последнее время эпидемии компьютерных червей, таких как LoveScan, Sobig или MyDoom, стали возможны только благодаря отсутствию у пользователей персональных компьютеров элементарных знаний в области безопасности.
Строго говоря, «распространение» и «опубликование» - два разных понятия. Распространение - это предоставление доступа к программе на материальном носителе (CD, дискете, жестком диске и так далее). Под сетевым способом распространения подразумевается предоставление доступа к работающей программе через специальный протокол. Опубликование - это помещение программы (в том числе и исходных кодов) на WEB-странице, в журнале или посылка в конференцию (электронные конференции не являются материальной формой представления информации) в качестве информации. Опубликование будет являться использованием лишь в том случае, если целью опубликования является введение в оборот опубликованной программы
Закон «Об авторском праве и смежных правах» гласит, что возникает нарушение авторских прав антивирусными компаниями во время добавления их в вирусные базы. Кроме того, финансовые доходы антивирусных компаний имеют прямую зависимость от использования ими компьютерных вирусов.
Интересно, что, когда программист устраивается на работу, часто подписывается договор, содержащий следующую формулировку: «Любой код, произведённый за время работы, является собственностью компании». В некоторых случаях это условие может распространяться и на нерабочее время. Означает ли это, что компьютерный вирус, созданный программистом, работающим по контракту, является собственностью работодателя?
Из закона «О государственной тайне» следует, что создание и использование компьютерного вируса как программы для ЭВМ с целью контроля эффективности защиты информации (например, для тестирования антивирусных программ) является не созданием и использованием вредоносной программы, а созданием и использованием средства защиты информации.
В приведенной ниже статье рассмотрены различные взгляды на определение термина «компьютерный вирус», приведены пояснения к российскому законодательству в сфере компьютерных преступлений и примеры применения этого законодательства. В результате этой работы сформулированы правила безопасности при опубликовании вирусов. Суть их в следующем:
• Необходимо оценить, насколько высока вероятность возможного вреда от прямого использования публикуемого вируса без дополнительной модификации или уточнения. Это может следовать, например, из того, что вирус был распространён до появления рассматриваемой публикации. В этом случае пользователи ЭВМ уже должны были предпринять все необходимые меры безопасности, а антивирусные компании уже должны были включить этот вирус в свои базы.
• В случае публикации собственного вируса необходимо заранее собственноручно разослать его антивирусным компаниям и желательно дождаться выхода обновлений антивирусных программ. В случае игнорирования антивирусными компаниями посланного им вируса можно обвинить их в преступном бездействии.
• Если возможно, то перед публикацией следует привести публикуемый вирус в нерабочее состояние, чтобы любое его использование без дополнительной модификации было невозможно. Однако требовать этого в обязательном порядке нельзя.
• Публикация должна быть сопровождена соответствующими текстами, в которых получателям информации должно быть сообщено, что это вирус. Также в сопровождении должны быть указаны условия использования публикуемого вируса (для исследовательских целей, для самообразования пользователей, для разработки антивирусной программы и т.д., то есть для того, что не может считаться общественно опасным деянием) и напоминание о том, что недопустимо использование вируса в противозаконных целях.
• Чтобы гарантировать попадание публикуемого вируса только в руки вменяемых, грамотных лиц, способных прочитать сопроводительную информацию и адекватно на неё реагировать, следует упаковать публикуемый вирус архиватором и использовать при этом пароль (текст пароля должен содержать такое количество символов, которое исключало бы возможность случайного набора). Сообщить этот пароль необходимо отдельно (например, в отдельном документе или в сопроводительной информации). Дополнительно такой приём обезопасит людей, использующих почтовую программу или браузер, которые могут в силу различных причин исполнить автоматически любой обнаруженный код (на странице в Internet или в прилагаемом к E-mail приложении).
• Публикацию...
