Автор: Павел Протасов
Давным-давно, когда так называемое «информационное право» только зарождалось, в ходу был вопрос о том, нужно ли судьям и следователям, ведущим уголовные дела о «компьютерных преступлениях», разбираться в технике. Может показаться, что ответ на него лежит на поверхности: для того, чтобы разъяснить вещи, требующие специальных познаний, в Уголовно-процессуальном кодексе существует институт экспертов. Увы: для того, чтобы правильно вопрос задать, надо знать половину ответа. В случае с «компьютерными преступлениями» это верно как никогда.
Псевдоследствие против псевдохакеров
Не стоит винить вопрошавших в наивности: настоящих хакеров тогда никто и не видел. Да и сейчас в милицейских пресс-релизах за них выдают любителей «халявного интернета», натаскавших чужих паролей и причинивших хозяевам оных бааальшущий материальный ущерб. (Забавный, кстати, возникает эффект, когда о пользовании интернетом по стянутому паролю пресса рассуждает сплошь в страшных официальных терминах вида «компьютерный взломщик осуществлял неправомерный доступ», и так далее…)
И это происходит вовсе не потому, что никто не крадёт деньги с чужих кредиток, не использует ботнеты и троянцев. Все это есть, но львиная доля таких преступлений остаётся нерасследованной: в результате поиска нашей милицией лёгких путей возбуждаются по преимуществу те самые «дела о халявном интернете». Плюс к этому — типовые дела о «несанкционированном доступе к информации» и «вредоносных программах». Да и расследуются они с неимоверным количеством нарушений закона: в документах, которые "отделами "К" обнародованы в качестве демонстрации своих успехов, очень мало таких, к которым нельзя было бы придраться.
Но почему же уголовные дела, «слепленные» с нарушениями закона, тем не менее, проходят суд и не заканчиваются оправдательными приговорами? По очень простой причине: судьи просто не знают половины ответов на те вопросы, которые им нужно выяснять при рассмотрении дела. Наша задача — научиться объяснять им то, чего они не знают. Я говорю «наша задача», потому что при существующей практике возбуждения уголовных дел их «фигурантом» может оказаться чуть ли не каждый пользователь компьютера.
«Собственность на информацию»
Одним из поводов к написанию этой статьи стало очередное дело о «несанкционированном доступе к информации». Однажды со мной связался человек, которого сотрудники "отдела "К" поймали на «оперативном эксперименте», заключавшемся в том, что он по просьбе милиционеров изготовил копию SIM-карт, им принадлежащих.
Технология изготовления проста, для этого требуется SIM-ридер и мульти-SIM-карта, специальное устройство, имитирующее карту обычную, но с возможностью записи в него данных с нескольких симок. То есть мульти-SIM можно использовать вместо нескольких обычных карт. У многих читателей наверняка имеется несколько контрактов с разными операторами, и если вам по каким-то причинам захочется пользоваться их услугами попеременно, то симки придётся перетыкать туда-сюда, перезагружая телефон. Мульти-SIM успешно решает эту проблему, а также много других.
Для того чтобы прочитать информацию с SIM-карты, нужно, во-первых, воткнуть её в ридер, а во-вторых, знать пин-код. Для копирования также нужно некоторое время, так что в тайне от хозяина сделать это вряд ли получится. Как результат, в общем случае это может сделать только сам владелец карты. Тем не менее, таких «народных умельцев» милиция ловит, приравнивая к хакерам.
В своё время я писал в «Компьютерре» о том, что такое «право собственности на информацию» [12], и почему это вредное словосочетание употреблять ни в коем случае не нужно. Именно из-за него стали возможны ситуации, подобные описанной выше — когда человека обвиняют в «несанкционированном доступе» к собственному телефону, или аппарату, переданному ему владельцем. По логике милиционеров, «информация» в телефоне объявлялась «собственностью» его производителя, а её изменение — соответственно, «несанкционированным доступом». Однако, это — не более чем плод воображения оперативников из "отделов "К". Какой-то умник первым придумал, «раскрыл преступление» и распространил передовой опыт. Другие сделали так же — благодаря интернету обмениваться опытом стало гораздо легче. Заманчиво было бы установить первооткрывателя «собственности», да отрубить какой-нибудь из парных органов, но это, к сожалению, недостижимо…
«Информация» сейчас действительно есть в списке «объектов гражданских прав», который закреплён в статье 128 Гражданского кодекса. Но, во-первых, право собственности — вещное, и нематериальные субстанции к ней быть отнесены никак не могут. Во-вторых, с 1 января 2008 года в силу вступит новая редакция этой статьи, в которой никакой «информации» уже не будет [см. 5, ст. 17, п. 8]. А из действующего в настоящий момент закона «Об информации, информационных технологиях и защите информации» [ …так же ласково прозванного «треглавым». Чтобы соблюсти традицию, я так и буду, для краткости, их именовать: «старый» и «новый треглавые законы». Или «Закон», с большой буквы — это про «новый»] [4] «собственность на информацию» пропала.
В новом «треглавом» законе введено понятие «обладателя информации», то есть лица, которое либо создаёт её самостоятельно, либо имеет право ограничивать доступ к ней. Кроме этого, есть там понятие «оператора информационной системы» — лица, осуществляющего деятельность по её эксплуатации, в том числе по обработке информации, содержащейся в базах данных. Также в законе чётко прослеживается общий принцип: любые ограничения на доступ к информации должны устанавливаться на уровне федерального закона. На этом же уровне должны устанавливаться преимущества применения технологий обработки и защиты информации [Это к вопросу о применении «решений Microsoft» в учебном процессе, кривых «программ по сдаче информации» куда-либо и прочих софтовых кадаврах] .
Принципиально ничего нового этот «треглавый закон» по сравнению со старым не внёс. Правомерность работы с данными ставится в зависимость не от абстрактного «права собственности» на них, а от режима использования «информационной системы», в которую входят, кроме «информации», ещё «информационные технологии и технические средства», а проще говоря, программы и компьютеры, информацию обрабатывающие. То есть, собственность на средства, которыми обрабатывается информация, все же влияет на правомерность такой обработки, и, как следствие, на разграничение доступа к информации.
А как на самом деле?
Попробуем теперь уложить нашу ситуацию с телефоном в прокрустово ложе нового «треглавого закона». Телефон будет «информационной системой». В себя эта «система» включает собственно «информацию», то есть данные, которые в телефоне содержатся. Кроме того, там есть «технические средства» — это сам телефон. А все это заставляют работать «информационные технологии» — под ними закон понимает «процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов». Если не умничать, то можно выразиться проще: это «прошивка» телефона. Именно она все эти «процессы и методы» обеспечивает.
Кстати, здесь мы подошли к важному моменту: разнице между «обыденным» и «законным» пониманием «информации». С точки зрения банальной эрудиции она делится на программы и данные («сведения» в терминологии закона). Так вот «треглавыми» законами как «информация» рассматриваются только данные. Программы же являются частью средств, обеспечивающих их обработку («технологий»). То есть пока программа рассматривается просто как набор битов, она является «информацией», а как заработает — все, «технология»…
Владелец же нашего подзаконного телефона, как и программа, попав под «треглавый» закон, может выступать в двух ипостасях. Он может сам создавать информацию, или, например, записывать в телефонную книгу чужие персональные данные — это относится к полномочиям «обладателя». Кроме этого, он может пользоваться телефонной прошивкой по прямому назначению, и поскольку он эксплуатирует нашу «информационную систему», в этом случае он получает статус «оператора».
Говоря иными словами, «оператор» — это человек, имеющий доступ к информационной системе. Понятие доступа расшифровывается в самом законе как «возможность получения информации и её использования», однако есть ещё один подзаконный акт: один из руководящих документов ГТК [7], содержащий в себе определения многих ключевых понятий. Под «доступом» в нём понимается «ознакомление с информацией, её обработка, в частности, копирование, модификация или уничтожение».
В соответствии со статьёй 6 Закона, «обладатель» имеет право ограничивать «доступ» к информации. Насколько мне известно, во многих инструкциях по эксплуатации телефонов такие ограничения прописаны, а за их нарушение производитель грозится лишить гарантии. И это — единственная санкция, которая может быть применена в случае «перепрошивок» или каких-либо «апгрейдов» ПО в телефоне.
Продавая пользователю телефон, «обладатель информации» доступ к ней разрешает: в общем случае никаких ограничений на подобные действия с информацией в законодательстве не содержится. Так вот, дальше следует самое главное: как только доступ разрешён, наш «оператор» телефона сразу же пропадает из поля зрения Закона, в сферу действия которого входят только право на «поиск, получение, передачу, производство и распространение информации». Про доступ, то есть ознакомление и обработку, там ничего нет. И до тех пор, пока не начался «поиск, получение…» и так далее, законодательство об информации нарушено быть не может в принципе: все, что охватывается понятием «доступа», им не регулируется, для этого есть другие законы (например, «О персональных данных», «О коммерческой тайне» и т.д.)
Если при обработке информации нарушается какое-то другое законодательство, например, авторское, то ответственность определяется именно им. На своём компьютере и со своим телефоном владелец может делать все, что угодно: пока он изменяет информацию в пределах «системы», или копирует её для своих нужд, «треглавый закон» не нарушен. Обычно в обвинительных заключениях пишется, что производитель телефона «не разрешал копировать или изменять информацию», однако если помнить о том, что «доступ» как раз копирование и изменение в себя включает, то данное утверждение становится бессмысленным: составляющие санкционированного доступа несанкционированными быть никак не могут. А если мы сравним определение «доступа» с формулировкой статьи 272 УК, то увидим, что писалась она явно с оглядкой на документ ГТК (принятый на четыре года раньше, чем Кодекс). Кроме последствий доступа, указанных в «руководящем документе», в УК добавлено «блокирование» и «нарушение работы ЭВМ».
Если пользоваться определением ГТК, становится очевиден ответ ещё на один часто возникающий вопрос: «а попадает ли под статью 272 простое ознакомление с информацией?» В статье в качестве последствий, которые должен повлечь за собой неправомерный доступ, указаны только те, что входят в «обработку» информации. То есть доступ, при котором произошло только ознакомление, состава преступления не содержит. Нет, можно, конечно, считать, что при просмотре происходит «копирование на экран», но и в этом случае обработка происходит помимо воли просматривающего. Ею занимается компьютер, с которого, ясное дело, не спросишь.
Коммерческая тайна?
Правда, та ситуация, с которой эта статья началась, несколько сложнее: копировалась не просто информация из телефона, а SIM-карта. Не обойтись без закона «О связи» [6].
Одно из самых первых утверждений, которое пытается отстоять следствие по таким делам — что информация с SIM-карты является «коммерческой тайной» сотового оператора. На самом деле, с точки зрения упомянутого уже закона «О связи», данные на ней относятся к «нумерации», под которой понимаются любые коды или обозначения, предназначенные для идентификации самой сети, её элементов или абонента в ней. Так вот: отнесение информации об изменении «ресурса нумерации» к коммерческой тайне невозможно, что прямо установлено частью 4 статьи 26 закона «О связи». Под «ресурсом нумерации» можно понимать любую часть «вариантов нумерации», в том числе и информацию, содержащуюся на одной конкретной SIM-карте [Возможно, это и расширенное понимание «нумерации», но все сомнения при применении уголовного законодательства толковать нужно в пользу обвиняемого].
Вдобавок, какая информация может составлять «коммерческую тайну»? Одноимённый закон устанавливает, что для этого она должна иметь коммерческую ценность, действительную или потенциальную, в силу неизвестности её третьим лицам [То есть достаточно будет простого мнения обладателя этой информации о том, что он может получать доход, сохраняя её в тайне], к ней должен отсутствовать свободный доступ на законном основании, и для неё обладателем должен быть установлен так называемый «режим коммерческой тайны». Нетрудно убедиться, что информация на SIM-карте может быть «тайной» разве что абонента, но не оператора.
Как следует из определения, «тайна» должна «иметь ценность» для её обладателя. Которым, в соответствии с определением из статьи 5 «треглавого» закона будет владелец абонентского номера: это его конфиденциальная информация и он, а не сотовый оператор, может ограничивать к ней доступ. Поэтому второму условию эти SIM-карты вроде бы удовлетворяют: доступ к ним ограничен. Но опять же абонентом…
А вот «режима коммерческой тайны» в отношении информации, записанной на SIM-карту, в общем случае не установлено. Законом «О коммерческой тайне» [2] (ст. 10) введён исчерпывающий перечень так называемых «мер по охране конфиденциальности». Их пять, и в их число входят такие, как определение перечня подобной информации, круга лиц, имеющих к ней доступ, регулирование доступа договорами…
Также все носители информации должны быть промаркированы соответствующей надписью, с указанием организации, которой «тайна» принадлежит. Вы когда-нибудь видели на SIM-карте надпись «коммерческая тайна»? Нет? Ну так все, вопрос закрыт. Режим «тайны» может считаться установленным только после того, как приняты все пять упомянутых мер.
Ещё одно распространённое возражение против мультисимок — то, что они-де не сертифицированы и могут вызвать проблемы в сети оператора. Ну, во-первых, получение сертификата — головная боль производителей с продавцами, а обычный пользователь может на такие вещи не обращать внимания. Во-вторых, как я уже говорил, все, что входит в понятие «доступа», «треглавым» законом уже не регулируется: мобильный оператор, если обнаружит несертифицированную мультисимку, может отключить абонента от сети, но уж никак не сажать его на скамью подсудимых. К тому же есть мнение, что «средства связи», которые должны быть сертифицированы — это только телефоны, и SIM-карты к ним не относятся.
Не имеет значения и то, что данные, необходимые для создания клона SIM-карты, так называемые IMSI— и KI-коды, хранятся на ней в зашифрованном виде (при клонировании происходит фактически их подбор). Закона, который обязывал бы мобильного оператора шифровать эти данные, нет. Зато есть норма законодательства о защите прав потребителей [1, ст. 10, ч. 2], обязывающая продавца предоставить покупателю всю информацию о товаре, правилах и условиях эффективного его использования. Так что пока не «наехал» Потребнадзор, лучше бы мобильным операторам изыскать возможность указывать нужные сведения в конвертике, рядом с PIN— и PUK-кодами.
«Халвный интернет»
Напоследок — самое массовое применение статьи 272, вернее, то, подо что её, как всегда, «приспособили» наши «органы». Это так называемые дела о «неправомерном доступе к сети интернет», или, проще говоря, пользование услугами провайдера по «утянутому» паролю. Кстати, иногда по таким делам «вешают» и «коммерческую тайну», то есть статью 183 УК [10]. Как мы только что убедились, делают это незаконно. Что касается доступа в Сеть за чужой счёт — говорить здесь можно исключительно о преступлении, предусмотренном статьёй 165 УК («Причинение имущественного ущерба путём обмана или злоупотребления доверием»).
Но прежде всего замечу: в том случае, когда пароль с логином для доступа воруются с чужого компьютера, претензий к «органам» у меня нет. Здесь действительно есть «неправомерный доступ» в чистом виде, а если использовались какие-то «троянцы», сюда же плюсуем и 273-ю статью.
Правда, при обсуждении таких «краж» периодически возникает вопрос о том, к какой категории «охраняемой законом информации» относится пароль. В этом самом месте и пытаются «подвести» его под какую-то из тайн, чаще всего — под коммерческую. На мой взгляд, все проще: часть 6 статьи 13 «треглавого» закона устанавливает, что порядок эксплуатации негосударственной информационной системы определяется её оператором, включая и «правила разграничения доступа». В десятой статье отмечено, что предоставление информации должно происходить в том порядке, который определён соглашением между лицами, участвующими в обмене ею. Разумеется, порядок может определяться и неявно, путём «запароливания» или другого ограничения доступа к ресурсу. Так что: не пожелал владелец компьютера делать что-то общедоступным — все, эта информация охраняется «треглавым» законом. Вдобавок, по отношению к информации, созданной им самим, компьютеровладелец является ещё и «обладателем».
Но вернёмся к «халявному интернету». Во многих случаях его любители получают пароли, не совершая взломов чужих компьютеров: ну, скажем, от знакомых или на форумах, и прочими внешне законными способами. В других случаях, тоже весьма многих, взлом не удаётся доказать, и тогда в следственных документах появляется формулировка о пароле, «полученном неустановленным способом». Но великие мастера по «натягиванию на статью» и здесь нашли выход.
Посмотрите на один из многих приговоров по этой статье [8] и вы найдёте там любопытную формулировку: «действия Советова А. С. (доступ в интернет. — П.П.) повлекли изменение статистической информации на сервере ЗАО „Крафт-С“ об объёме услуг, представленных абоненту — Опарину В. В., то есть модификацию компьютерной информации». Чуете, до чего додумалась современная правовая мысль? Доступ в Сеть квалифицируется как «неправомерный доступ», повлекший за собой модификацию информации, в данном случае — изменение лог-файлов, в которых фиксируется работа пользователя.
Даже если не изучать законодательство, сразу же появляются сомнения в такой вот квалификации. Действия «хакера» направлены исключительно на пользование за чужой счёт «интернетом», а о том, что при этом на сервере провайдера какая-то информация меняется, он не знал и знать не мог. К тому же в логах отражается и информация о соединениях добропорядочных пользователей, но на это правовая мысль нашла ответ без труда: те, кто заплатил, изменяют логи санкционированно, а кто не заплатил — хакеры и есть…
Как мы помним, доступ это «ознакомление с информацией, её обработка». Ознакомление со статистикой соединений напрямую из лог-файлов ни один нормальный провайдер никому не предоставит, в большинстве случаев это возможно только через веб-интерфейс. А «обработку» информации о соединениях осуществляет оборудование провайдера, а вовсе не абоненты. То есть «доступа» к информации на сервере провайдера как такового не происходит, и статья 272 — опять лишняя… Услуга по «доступу к интернет» включает в себя в основном «правомерный доступ» к общедоступной информации.
Нельзя здесь говорить и о «блокировании» доступа к информации законного пользователя, как тоже очень часто происходит [9]. Препятствия в данном случае создаются исключительно к пользованию услугой.
Ну, и в заключение — ещё один приговор [11] за «НСД». Но на этот раз — «доступ» был к информации, которая находилась в эфире и передавалась со спутника, а подсудимые «несанкционированно копировали» её. Сведений, приведённых мной, достаточно для того, чтобы вы самостоятельно смогли обосновать, почему это — ахинея [Хотя на тот момент действовал «старый треглавый», но попробуйте разобрать ситуацию по действующему законодательству].
Статью эту я начал с противопоставления «теоретиков» от юриспруденции, в компьютерах не разбирающихся, и «практиков», ломающих чужие компьютеры. Увы, сейчас в области права, связанного с «высокими технологиями», это два параллельных мира, друг с другом не пересекающихся. Вдобавок, в юридическом мире есть свои «практики», и именно на их совести все те условно законные способы «навешивания» лишних статей людям в обвинение, которые описаны выше. «Теоретики» же, если показать им уголовное дело по разобранным здесь типовым ситуациям, скажут примерно то же, что написал я, разве что никому ничего отрубать не предложат.
В итоге складывается удручающая ситуация: «теоретики» отражают в своих работах преимущественно теорию. «Практики» делают вид, будто «ловят хакеров», теорией пренебрегая и фабрикуя в массовом порядке уголовные дела. Объединять усилия с «теоретиками» они, похоже, не собираются. Хакеры спокойно продолжают свою деятельность: под молотки вместо них попадают вполне законопослушные граждане
Нормативные акты
[1] Закон РФ от 7 февраля 1992 г. №2300-I «О защите прав потребителей» (с изменениями от 2 июня 1993 г., 9 января 1996 г., 17 декабря 1999 г., 30 декабря 2001 г., 22 августа, 2 ноября, 21 декабря 2004 г., 27 июля 2006 г.).
[2] Федеральный закон от 29 июля 2004 г. №98-ФЗ «О коммерческой тайне» (с изм. от 2 февраля 2006 г.).
[3] Федеральный закон от 20 февраля 1995 г. №24-ФЗ «Об информации, информатизации и защите информации» (с изм. от 10 января 2003 г.). [4] Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и защите информации».
[5] Федеральный закон от 18 декабря 2006 г. №231-ФЗ «О введении в действие части четвёртой Гражданского кодекса Российской Федерации».
[6] Федеральный закон от 7 июля 2003 г. №126-ФЗ «О связи» (с изменениями от 23 декабря 2003 г., 22 августа, 2 ноября 2004 г., 9 мая 2005 г., 2 февраля, 3 марта, 26, 27 июля 2006 г.).
[7] Руководящий документ Гостехкомиссии России «Защита от несанкционированного доступа к информации. Термины и определения».
Документы
[8] Кировского районного суда г. Самары по делу Советова А.С. от 1 декабря 2004 г.
[9] уголовного дела №2010077 (г. Уфа).
[10] уголовного дела №1010056 (г. Уфа).
[11] Мещанского межмуниципального (районного) суда г. Москвы по делу Гаврилина О.В. и Безлепкина А.В.
Литература
[12] Протасов П., .