Легче создавать законы, чем следовать им::БИТ 06.2016
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
октябрь    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

11.10.2024

Николай Нашивочников, «Газинформсервис»: в нефтегазовом секторе изменился ландшафт угроз

Читать далее 

10.10.2024

В Москве обсудят применение искусственного интеллекта в строительстве

Читать далее 

08.10.2024

«ГенИИ» расскажут о кейсах и вызовах ИИ в производстве

Читать далее 

08.10.2024

Зарулили на 1-е место: победителем «Биржи ИБ- и IT-стартапов» стал проект по автомобильной кибербезопасности

Читать далее 

01.10.2024

«Киберарена»: «Газинформсервис» запускает новый формат киберсоревнований

Читать далее 

показать все 

Статьи

11.10.2024

Технологический ИИ-арсенал

Читать далее 

28.09.2024

Чем страшен ИИ, и с чем его едят

Читать далее 

18.09.2024

Готов ли рынок АСУ ТП к переменам?

Читать далее 

12.09.2024

Отрыв длиной в год. Российские ИИ-решения незначительно уступают иностранным аналогам

Читать далее 

09.09.2024

Лейсан Чистая: «КулибИТ для каждого из нас это больше, чем просто проект – это наша миссия»

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

показать все 

Легче создавать законы, чем следовать им

Главная / Архив номеров / 2016 / Выпуск №06 (59) / Легче создавать законы, чем следовать им

Рубрика: Особое мнение


Леонид Шапироархитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M

Легче создавать законы,
чем следовать им

Наполеон Бонапарт, произнося эти слова, и не подозревал, какими пророческими они окажутся. Принятый «закон Яровой/Озерова» еще раз подтвердил это. Каковы же могут быть его последствия с точки зрения ИБ?

Любой эксперт в сфере информационной безопасности отлично понимает, что подход к защите должен быть комплексным. Технические меры – не единственный способ добиться минимизации рисков. Существенную роль играют меры организационного характера, в том числе и эффективно работающее законодательство.

Защищает ли Уголовный кодекс Российской Федерации от преступлений в сфере ИТ? Какие преступления в этой области представляют наибольшую угрозу для бизнеса?

Прежде чем ответить на эти два вопроса, обратимся к части второй статьи 43 УК РФ [1], в которой говорится: «Наказание применяется в целях восстановления социальной справедливости, а также в целях исправления осужденного и предупреждения совершения новых преступлений».

То есть одна из задач – предупреждение новых преступлений. Запомним это, нам пригодится эта формулировка чуть позже. Предупреждение новых преступлений, или превенция, – важная составляющая, поскольку она дает возможность воздействовать устрашающе на тех, кто при определенных условиях может пойти на совершение преступления. Причем важна не столько строгость, сколько неотвратимость наказания.

Теперь давайте обратимся к УК РФ в сфере информационных технологий. Глава № 28 «Преступления в сфере компьютерной информации» [2]. Мы здесь видим три статьи:

  • Статья 272. Неправомерный доступ к компьютерной информации.
  • Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.
  • Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Пусть читатель наберется терпения, статья 272 достаточно интересна, чтобы привести ее полностью:

1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.

3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, наказываются лишением свободы на срок до семи лет.

Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей.

Обратите внимание на слова об уничтожении, блокировании и копировании. Теперь вернемся к ИТ-безопасности. Что означают эти термины на юридическом языке?

  • Блокирование информации – обеспечение недоступности к ней, невозможности ее использования в результате запрещения дальнейшего выполнения последовательности команд либо выключения из работы какого-либо устройства, а равно выключения реакции какого-либо устройства ЭВМ, системы ЭВМ или сети ЭВМ при сохранении самой информации [3].
  • Модификация (переработка) информации – это любые изменения компьютерной информации, не являющиеся адаптацией, в том числе внесение изменений в программы, базы данных, текстовую информацию, находящуюся на материальном носителе [3].

Опасность DDoS-атак

Теперь, когда мы закончили с определениями на сухом юридическом языке, нетрудно заметить, что любые атаки киберпреступников, например DoS/DDoS [3], атаки, относящиеся к OWASP Top 10 [4], похищение данных подпадают под действие этого закона. Отлично, нашу инфраструктуру защищает Уголовный кодекс. Кстати, обратим внимание на п. 4. Санкция – до семи лет, в случае тяжких последствий или угрозы их наступления. DDoS-атаки, а уж тем более проникновение и модификация данных крайне опасны.

Следует отметить, что, несмотря на то что репутационные потери непросто посчитать, ущерб от них огромен и может приводить к краху бизнеса

Представим, что сайт крупного банка не работает неделю из-за атаки или, что хуже, его взломали. Получив все данные о клиентах, их счетах и транзакциях, киберпреступники смогут похитить деньги со счетов банка.

Другой пример, касающийся малого бизнеса: атакован сайт интернет-магазина, остановлена его деятельность. Конкуренты торжествуют, заказчики уходят к ним.

Такие истории происходят с завидной регулярностью. Россия не является исключением в общемировом тренде. К сожалению, приходится констатировать, что за последние полтора года мы можем наблюдать постоянный рост активности в сфере кибератак различной направленности.

Следует отметить, что, несмотря на то что репутационные потери непросто посчитать, ущерб от них огромен и может приводить к краху бизнеса. Так что, возвращаясь к юридическому аспекту, вполне допустимо инкриминировать «угрозу наступления тяжких последствий».

Большинство участников опросов, проводившихся компаниями, специализирующимися на защите от DDoS-атак, подтверждают, что их клиенты оценивают репутационные потери как наиболее значимые.

DDoS-атаки, похищение частной и конфиденциальной информации (не будем также забывать о базах данных различных ведомств, содержащих информацию о гражданах и их имуществе, которые оказались в свободном доступе) создают в этом смысле очень серьезную угрозу и подпадают под действие 272-й статьи УК РФ.

Мотивация злоумышленников может быть разной, нередко она может оставаться неизвестной, но в основном это нечестная конкуренция, месть и хактивизм, что. собственно говоря, мы и видели еще в первой статье цикла о DDoS-атаках [4].

Судебная практика за 2015-2016 годы

На первый взгляд, статья 272 должна обеспечивать информационную безопасность компаний и частных лиц, осталось понять, как именно она работает, для этого ознакомимся с судебной практикой…

Посмотрим открытые источники информации [5]. К сожалению, приходится отметить, что за последние полтора года не было ни одного разбирательства в области серьезных киберпреступлений. Большая часть уголовных дел, которые были представлены, связана с нарушением авторских прав, неправомерной установкой программного обеспечения и похищиением учетных данных пользователей.

Возможно, в открытых источниках, которыми пользовался автор, не были приведены все дела по 272-й статье, дошедшие до суда, но тем не менее очевидна низкая раскрываемость, когда речь идет о DDoS-атаках и похищении информации. Посмотрев информационные ленты, мы увидим массу сообщений об успешных атаках за 2015 и 2016 годы, но не найдем информации о поимке злоумышленников.

Согласно данным «Лаборатории Касперского», каждая шестая компания в России подверглась DDoS-атакам [6]. Qrator labs также приводит неутешительную статистику [7], Radware публикует отчеты команды противодействия атакам (ERT)на постоянной основе [8].

Что в итоге мы видим? DDoS-атаки и атаки на уязвимости веб- приложений только возрастают, ущерб от них достаточно серьезен, но пока трудно найти упоминания о раскрытии подобных преступлений. Кстати, а как там с предотвращением новых преступлений и неотвратимостью наказания, о котором говорится в 43-й статье УК РФ, приведенной в начале статьи?

Интернет создает угрозы? Так и есть, но ведь и самолет, и автомобиль тоже потенциально опасны. Однако человечество не отказывается от авиации и автомобилей, а совершенствует их

Получается, что ничего не остается, кроме как полагаться только на технические меры противостояния киберугрозам, потому что не обращать на них внимание уже давно не получается. В соответствие с отчетами Radware на сегодняшний день нет ни одной индустрии, деятельность которой не была бы интересна киберпреступникам [8].

Недавно принятые резонансные поправки к закону «О противодействии терроризму» [6] подробно обсуждались как экспертами, так и широкими слоями общества. Ознакомиться с текстом этих поправок можно на сайте Государственной думы РФ [9].

Мы не будем касаться экономической составляющей этих поправок, которая вызывает недоумение не только у специалистов, но и у не вовлеченных в сферу ИТ и телекоммуникаций людей, поскольку очевиден резкий рост коррупционной составляющей, связанный с необходимостью массовой закупки систем хранения данных и другого оборудования, создания новых центров обработки данных и прочее.

Разговор пойдет только о вопросах безопасности, с одной стороны, и несоответствия принятых поправок Конституции Российской Федерации – с другой.

Не может не вызывать озабоченности поправка о передаче ключей шифрования правоохранительным органам. Здесь можно предположить прямое нарушение статей 23 [10] и 24 [10] Конституции Российской Федерации.

Статья 23 гарантирует гражданину право на неприкосновенность частной жизни и, в частности, тайну переписки, телефонных разговоров и прочее, ограничение – только по решению суда.

Статья 24 напрямую запрещает сбор и использование информации о частной жизни всех лиц без их согласия. Предлагаемые поправки в закон приводят к нарушению этих основополагающих прав. Вся передаваемая информация будет храниться до полугода, неизвестно кем и в каких целях использоваться. Ни для кого не секрет, что, скажем, базы данных ГИБДД давно можно свободно приобрести на черном рынке и не слишком дорого.

Приведем простой пример. Некий банк X передает третьей стороне свой приватный ключ, с помощью которого расшифровывает зашифрованный на публичном ключе трафик своих клиентов. Обращаясь в личный кабинет, клиенты банка передают аутентификационные данные, а затем выполняют какие-то действия, также сопряженные с необходимостью передачи конфиденциальной информации. Исходя из предыдущего опыта нет никаких сомнений в отрицательных перспективах передачи ключевой информации, не доверенной третьей стороне.

Читатель без труда сможет моделировать и другие подобные ситуации. Крайне туманной будет выглядеть перспектива использования популярных программ обмена сообщениями (мессенджеров). Некоторые представители индустрии уже отказались передавать ключи шифрования кому бы то ни было.

Остается надеяться, что ни протоколы, обеспечивающие конфиденциальность передаваемых данных (трафик SSL уже занимает порядка 60% от общего объема и его доля в интернете продолжает расти), ни популярные программы передачи сообщений, ни возможность шифрования хранимых данных, например EFS [11] и BitLocker [12], не будут запрещены на территории РФ. Их запрет никак не поможет борьбе с терроризмом, напротив, создаст еще больше угроз для граждан страны благодаря возможным утечкам конфиденциальной информации. Кроме того, непонятно, как технически это будет осуществляться.

Интернет создает угрозы? Так и есть, но ведь и самолет, и автомобиль тоже потенциально опасны. Однако человечество не отказывается от авиации и автомобилей, а совершенствует их. А «закон Яровой/Озерова» выглядит как попытка запретить современные ИТ. Это ровно так же возможно, как попытка отменить действие законов Ньютона на территории отдельно взятого государства.

Вся исходная информация, использованная при подготовке этой статьи, была опубликована в открытых источниках. Читатель может без труда проверить всю последовательность рассуждений автора.

  1. Уголовный кодекс, №63-ФЗ | ст. 43 УК РФ| Статья 43. Понятие и цели наказания – http://www.zakonrf.info/uk/43.
  2. Уголовный кодекс РФ. Глава 28. Преступления в сфере компьютерной информации – http://base.garant.ru/10108000/29.
  3. Комментарии к 272-й статье УК РФ – http://www.ukrf.net/s272.html.
  4. Шапиро Л. Атаки DDoS. Часть 1. Война объявлена... // «БИТ», №5, 2015 г. – С. 28-31 (http://bit.samag.ru/archive/article/1504).
  5. Примеры практики – судебные решения и приговоры по статье 272 УК РФ – https://rospravosudie.com/law/Статья_272_УК_РФ.
  6. http://tass.ru/ekonomika/2618044.
  7. Исследование DDoS-атак и уязвимостей в веб-приложениях – https://qrator.net/ru/company/news/issledovanie-ddos-atak-i-uiazvimostei-v-veb-prilozheniiakh-v-pervoi-polovine-2015-goda; http://ria.ru/economy/20160602/1441980928.html.
  8. 2015-2016 Global Application & Network Security Report – https://security.radware.com.
  9. О внесении изменений в Федеральный закон «О противодействии терроризму» – http://asozd2.duma.gov.ru/main.nsf/%28SpravkaNew%29?OpenAgent&RN=1039149-6&02; http://kremlin.ru/events/president/news/52486.
  10. Конституция Российской Федерации – http://www.constitution.ru/10003000/10003000-4.htm.
  11. The Encrypting File System (EFS) – https://technet.microsoft.com/ru-ru/library/cc700811.aspx.
  12. Bitlocker – https://technet.microsoft.com/ru-ru/library/mt404675(v=vs.85).aspx.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №06 (139) 2024г.
Выпуск №06 (139) 2024г. Выпуск №05 (138) 2024г. Выпуск №04 (137) 2024г. Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

БИТ рекомендует

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика