Хакерство может быть приравнено к краже

Киберпреступников хотят приравнять к ворам. Сбербанк при поддержке Центробанка и совместно с МВД завершил разработку соответствующего законопроекта. Как заверил заместитель начальника ГУ безопасности и защиты информации Банка России Артем Сычев, данная новация сегодня - одна из важнейших инициатив в сфере законодательства. Экспертами законопроект поддержан, но авторам было сказано о риске перегиба палки, так как по нему, если человек скачает нелицензионную версию программы, его тоже могут назвать киберпреступником.

По словам Сычева, проект закона дополнен двумя принципиальными изменениями: требованием признания киберпреступления в качестве кражи (без квалификации его как мошенничества) с установлением за его совершение более серьезного наказания.

Существующая сегодня судебная практика говорит о несоответствии наказания сумме ущерба. Людьми похищаются миллионы рублей, а наказание они получают условное и всего на 3-5 лет. Максимальный срок для кибермошенников, исходя из текущей практики, составит 5 лет, что совершенно противоречит мировой практике. В США за такие преступления предусмотрено наказание в виде 25 лет лишения свободы, в Китае — от 10-ти лет.

В июле столичный Хамовнический суд признал кибермошенников виновными по ст. 159.6 УК за 160-миоллионный ущерб от их хакерских действий. Каждый фигурант дела был наказан лишением свободы сроком на пять лет, причем, без применения штрафных санкций, а наказание они отбывают в исправительной колонии с общим режимом.

Что интересно, статья 159.6 УК («Мошенничество в сфере компьютерной информации») устанавливает схожие с мировыми максимальные санкции для преступников: тюремное заключение на 10 лет плюс штраф в сумме 1 млн рублей. При этом крупный размер ущерба - это 1,5 млн рублей, особо крупный — 6 млн. Выходит, что хакеры, атаковавшие, например, банк «Кузнецкий» и получившие по результатам атаки прибыль в 500 млн рублей, должны быть наказаны по максимуму.

Но, как считает источник, близкий к ЦБ, проблема состоит в том, что киберпреступления не всегда квалифицируются как состав, который предусматривает максимальное наказание. Вместе с тем, с уравнением этого вида преступления с кражей (очевидность денежного ущерба), преступников можно будет наказать более серьезными, чем сейчас, санкциями.

По словам руководителя Zecurion Analytics Владимира Ульянова, выразившего поддержку законопроекту, новация вполне справедлива. И то, что сегодня практика сложилась иная, можно назвать пробелом в законодательстве, обусловленным технологическим прорывом. Важно принять во снимание изменение и самого характера киберпреступлений. Это уже не шалость, не массовый фишинг и относительно немногочисленные случаи профессионального хакерства. Сегодня кибермошенничество - это огромная индустрия, имеющая многомиллиардные обороты.

Как считает руководитель Zecurion Analytics, сегодня риски, закладываемые компаниями в связи с киберугрозами (хакеры, инсайдеры), ничуть не менее критичны, нежели другие виды рисков (к примеру, правового или экономического характера).

Если посмотреть на статистику Zecurion, то по ней видно, что каждый год в российских компаниях Enterprise-сегмента фиксируется 14-20 крупных случаев, имеющих отношение к утечке информации. Поэтому будет совершенно правильным оценивать кражу денежных средств с помощью высокотехнологического инструментария именно как их воровство.

При этом, как считает собеседник, важно не переборщить, чтобы в проекте закона было дано четкое определение киберпреступления. И если говорить серьезно, то человека. скачавшего нелицензионную версию программы можно приравнять к киберпреступнику. А за киберпреступление должна быть высокая ответственность. По факту сегодня мы имеем дело с безнаказанностью, относительной простотой реализации (с готовыми схемами и инструментами), сложностью расследования таких случаев (правоохранительные органы не всегда располагают необходимыми кадрами и технической возможностью), и все это в комплексе только увеличивает число преступлений и количество вовлеченных в мошенничество людей.

По словам директора департамента аудита защищенности Digital Security Алексея Тюрина, не менее важна возможность заключить киберпреступника в тюрьму на 10–20 лет, но в этом случае нужно быть на 100% уверенным в его виновности. Если мы говорим о хакерской атаке, доказать вину сложно, ведь тут очень легко «подставить» непричастного к преступлению человека или посадить какую-нибудь ничего не значащую "шестерку" вместо организаторов. Не стоит забывать и про то, что в крупных кражах в том числе виноваты сами банки, которые должны были уделять больше внимания уделять вопросам безопасности дистанционных сервисов (интернет- и мобильный банк) для полного исключения возможности киберпреступлений. Можно попытаться сделать так, чтобы хакеры перешли на «светлую сторону».

По словам Ульянова, многие страны давно уже практикуют сотрудничество с успешными хакерами, и вполне возможно, что и сейчас это сотрудничество успешно продолжается. Причем это не требует обязательной подводки под это законодательной базы. Тем более наблюдается рост спроса на опытные кадры из-за обострения того, что страны противостоят друг другу в киберпространстве, разрабатывая всё более агрессивные политики в сфере кибербезопасности.

Как прогнозирует Центробанк, объем киберкраж к концу текущего года может составить 4 млрд рублей, тогда как в прошлом году это было всего 1,14 млрд рублей (в 4 раза меньше).