Киберпреступность и закон

Дата: 19.06.2009
Источник: Cripo.com.ua
Автор: Дэвид Эмм


... компьютерных технологий. Нарушения Положения должны доводиться до сведения Управления Уполномоченного по информации, которое должно решить, подавать ли на организацию-нарушителя в суд. Нарушитель может быть оштрафован на сумму до 5000 фунтов стерлингов по решению мирового суда или на любую сумму по решению суда присяжных.

Имеется и более серьезное ограничение. Закон может быть применен только к отправителям, находящимся на территории Соединенного Королевства. Однако большая часть спама рассылается не оттуда (в настоящее время ведущими источниками спама являются Россия и Соединенные Штаты) (Источник: Kaspersky Security Bulletin. Спам в 2008 г.), поэтому законодательство Соединенного Королевства не окажет на спамеров почти или совсем никакого воздействия. Такое положение — наглядная иллюстрация проблемы, возникающей в связи со всеми мерами по борьбе с киберпреступниками: из-за геополитических ограничений законодательные и правоохранительные органы, в отличие от киберпреступников, не имеют возможности действовать через границы государств и юрисдикций.
Новое вино в старых мехах

Как уже упоминалось во введении, характер угрозы для компаний и отдельных людей, исходящей от вредоносного ПО, коренным образом изменился за время, прошедшее с появления первых вирусов в 1986 году. Технология с тех пор продвинулась далеко вперед и проникла практически во все сферы нашей жизни. В результате развития онлайн-рынков изменилась мотивация авторов вредоносных программ и появилась «теневая экономика», в которой вредоносные программы и личные данные пользователей продаются и покупаются на коммерческой основе.

Несмотря на то что положения законов носят общий характер, что позволяет охватить максимально широкий диапазон существующих и будущих правонарушений, законодательство, как правило, отстает от реальности из-за быстрого развития технологий. Не факт, что законы, принятые для борьбы с кибервандалами, занимающимися распространением вирусов и взломом компьютерных систем, эффективны против сегодняшних — гораздо более сложных — вредоносных программ, предназначенных для кражи данных, рассылки спама и вывода компьютерных систем из строя.

В ноябре 2004 года судья постановил, что молодой человек, обвинявшийся в выводе из строя сервера путем отправки по электронной почте нескольких миллионов сообщений, не нарушил положения Закона о неправомерном использовании компьютерных технологий, поскольку в его действиях не содержалось предусмотренное Законом несанкционированное внесение изменений в компьютерную систему(viruslist.com, 4 ноября 2005 г.). Несмотря на то, что впоследствии это решение было отменено апелляционным судом (viruslist.ru, 12 мая 2006 г.), это дело усилило позиции тех, кто сомневался в эффективности закона, принятого в эпоху, когда главенствовали технологии, уже устаревшие на момент описываемых событий — такие как DOS, дискеты и электронные доски объявлений.

В 2002 году граф Нортеск, член Межпартийной парламентской группы по интернету, внес личный законопроект с поправками к Закону о неправомерном использовании компьютерных технологий. Авторы законопроекта, в частности, старались прояснить положения Закона, относящиеся к DoS-атакам (т.е. атакам с целью вызвать отказ в обслуживании). Эта попытка оказалась неудачной, но она придала еще больший вес призывам к обновлению существующего законодательства.

В принятом в 2006 году Закон о полиции и юстиции [PDF 748Кб] (регулирующем более широкий круг проблем, чем только компьютерные преступления) содержались поправки к Закону о неправомерном использовании компьютерных технологий. Максимальный срок тюремного заключения за правонарушения, подпадающие под действие раздела 1 первоначальной редакции Закона, был увеличен с шести месяцев до двух лет. Формулировка «несанкционированное изменение компьютерных материалов» в разделе 3 Закона была изменена на следующую: «несанкционированные действия, умышленно или по неосторожности препятствующие нормальной работе компьютера и т.п.». При этом максимальное наказание по данной статье было увеличено до 10 лет тюремного заключения.

В Закон был также добавлен новый раздел: «изготовление, предоставление или приобретение товаров для использования в правонарушениях, связанных с неправомерным применением компьютерных технологий», предусматривавший до двух лет лишения свободы. В этом разделе говорится:
Лицо является виновным в совершении преступления, если оно изготавливает, приспосабливает, предоставляет или предлагает предоставить товар в целях его использования для совершения преступления, подпадающего под положения раздела 1 или 3 настоящего закона, или для того, чтобы способствовать совершению такого преступления.
Лицо является виновным в совершении преступления, если оно предоставляет или предлагает предоставить товар, осознавая, что этот товар, возможно, будет использован для совершения преступления, подпадающего под положения раздела 1 или 3 настоящего закона, или способствовать совершению такого преступления.
Лицо является виновным в совершении преступления, если оно приобретает товар в целях его дальнейшего предоставления для совершения преступления, подпадающего под положения раздела 1 или 3 настоящего закона, или для того, чтобы способствовать совершению такого преступления.
В данном разделе под «товаром» понимается любая программа или данные в электронной форме.

Этот раздел вызвал много нареканий. Очевидно, что он писался с целью запретить применение хакерских утилит. Но под его действие также подпали предназначенные для законного использования программы, которые возможно было применять не по назначению — для взлома компьютерных систем, а также программы riskware, могущие использоваться как для законных, так и для незаконных целей. Многие представители общественности, в том числе и некоторые члены Межпартийной парламентской группы по интернету надеются, что в этот раздел Закона будут внесены изменения.
Европейская конвенция о киберпреступности

Как упоминалось ранее, одно из наиболее серьезных ограничений национального законодательства о компьютерных преступлениях состоит в том, что оно не позволяет эффективно бороться с глобальным явлением киберпреступности. Европейская конвенция о киберпреступности, разработанная с целью создания международной структуры для борьбы с киберпреступлениями, была принята Комитетом министров Совета Европы в ноябре 2001 года.

Конвенция охватывает широкий круг вопросов, в том числе все аспекты киберпреступности, включая незаконный доступ к компьютерным системам и перехват данных, воздействие на данные, воздействие на работу системы, противозаконное использование устройств, подлог и мошенничество с использованием компьютерных технологий, правонарушения, связанные с детской порнографией, и правонарушения, связанные с авторским правома и смежными правами. При подготовке конвенции также преследовались цели формирования общей правоохранительной системы для борьбы с киберпреступностью и создания условий для обмена информацией между всеми странами, подписавшими конвенцию.

На сегодняшний день конвенцию подписали 46 стран (Convention on Cybercrime CETS No. 185, по состоянию на: 26 марта 2009 г.), но ратифицировали ее лишь 24 страны. Важно отметить также, что в число стран, не подписавших конвенцию, вошли Китай, несколько латиноамериканских государств и Россия. Все эти страны можно отнести к крупнейшим в мире источникам вредоносного кода. Соединенное Королевство пока не ратифицировало конвенцию, но ожидается, что это будет сделано в 2009 году (Hansard [дебаты Палаты общин], 27 января 2009 г.).
Личная безопасность в интернете

Дискуссия о том, какие меры необходимы для решения проблемы киберпреступности, разгорелась еще жарче после опубликования в августе 2007 года отчета Комитета Палаты лордов по науке и технике о личной безопасности в интернете [PDF 2,78Мб]. В отчете содержалась критика правительства Соединенного Королевства за перекладывание основной ответственности за безопасность работы в интернете на индивидуальных пользователей. По мнению авторов отчета, такой подход «укрепляет восприятие интернета как «дикого запада», где царит беззаконие». В отчете говорится об интернете как об «игровой площадке для киберпреступников» и подчеркивается, что «многие организации, имеющие прямое отношение к интернету, могли бы делать больше для обеспечения личной безопасности пользователей в интернете». В число таких организаций включены производители аппаратного и программного обеспечения, интернет-провайдеры, компании онлайн-бизнеса, банки, полиция и правительство.

Комитет предложил, чтобы все заинтересованные стороны разделили ответственность за безопасность в интернете. В частности, предлагалось обязать компании сообщать об утечках данных (например, в случае взлома одного из серверов компании) всем, чьи интересы могут быть при этом затронуты. По мнению авторов отчета, интернет-провайдеры должны принимать меры в случаях, когда для подключения к интернету через данного провайдера используются зараженные компьютеры. Производители программного обеспечения должны нести ответственность за пробелы в защите своих продуктов, а правительство должно разработать систему сертификации качества приложений и онлайн-контента. По мнению парламентского комитета, банкам следует нести ответственность за убытки, понесенные в результате онлайн-мошенничества. Комитет также рекомендовал правительству страны довести до конца процесс ратификации Европейской конвенции о киберпреступности.

В своем ответе [PDF 89,7Кб], опубликованном в октябре 2007 года, правительство отвергло многие рекомендации комитета. В результате в июле 2008 года Комитет по науке и технике Палаты лордов опубликовал повторный отчет [PDF 713Кб], в который он снова включил многие из своих рекомендаций, отметив при этом «несколько более позитивный подход к реализации...

Добавить комментарий

Всего 0 комментариев