Компьютерные преступления: что это такое и можно ли с ними бороться?
9 марта 2004
Рубрика: Интернет и сети.
Автор: Алишер Хаджаев, Наргиза Юсупова.
pic

Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми, и этот процесс обречен на бесконечность в своей последовательности. Хотя, если уж быть точным, новые проблемы — это всего лишь обновленная форма старых. Вечная проблема — защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине XX века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества.

Главная тенденция, характеризующая развитие современных информационных технологий, — рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь.
Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированным доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте.

По данным www.for-ua.com, в 2002 году в мире было зафиксировано более 80 тыс. случаев нарушений режима безопасности компьютерных сетей (атаки хакеров, попытки краж информации и так далее). Их число резко увеличилось по сравнению с 2001 годом, когда было зафиксировано примерно 58 тыс. таких нарушений (в 2000 году — чуть более 20 тыс.).
Министерство промышленности и торговли Великобритании и компания Pricewaterhouse Coopers представили результаты исследования состояния дел с компьютерной безопасностью в британском бизнесе. Как оказалось, в 2001 году 44% компаний как минимум один раз страдали от компьютерных преступлений. При этом средний ущерб от одного такого инцидента составлял 30 тыс. фунтов стерлингов, а в исключительных случаях убытки достигали 500 тыс. фунтов (www.mdi.ru). Наибольший урон компьютерные преступления нанесли крупному бизнесу: к числу пострадавших относятся 78% британских компаний с числом сотрудников более 250 человек. Это можно объяснить тем, что электронной почтой и доступом к веб-сайтам активно пользуются свыше 90% крупных компаний страны, тогда как в целом по британской экономике уровень проникновения Интернета составляет около 70%. Как сообщает «Pcnews.ru», суммарный ущерб от хакеров, вирусов и прочих оценивается примерно в 10 млрд. фунтов в год.

pic

Динамика компьютерных инцидентов (по данным CERT)

Чаще всего мишенями злоумышленников становятся сети США. Начиная с 1996 года в этой стране зафиксирована тенденция роста числа случаев несанкционированного доступа в компьютерные сети федеральных ведомств и увеличения финансовых потерь от этих вторжений. По данным Института компьютерной безопасности, в 2002 году около 90% компаний США подверглись компьютерным атакам и примерно 80% из них понесли ущерб. Средний размер ущерба от одного компьютерного преступления в стране составляет 450 тыс. долларов. В целом ежегодные потери от промышленного шпионажа, в соответствии с отчетами ФБР — от 24 до 100 млрд. долл. (www.e-journal.ru). По оценкам Отдела науки и техники при президенте США, урон, наносимый американскому бизнесу иностранными компьютерными хакерами, достигает 100 млрд. долл. в год (www.e-journal.ru).
Основной причиной столь сильной в сравнении с другими странами зависимости США от сетевой инфраструктуры является значительное сосредоточение информационных и вычислительных ресурсов: согласно данным Агентства национальной безопасности, здесь сконцентрировано около 60% информационных ресурсов Internet и более 40% мировых вычислительных средств (для сравнения: в России — менее 1%) (www.e-journal.ru).
По прогнозам экспертов (www.systemservice.ru), в ближайшей перспективе основным видом компьютерных преступлений станет область финансовой и банковской деятельности: уже к 2005 году эти преступные деяния уйдут в «беловоротничковую сферу». В настоящее время ущерб, наносимый только одним компьютерным преступлением, в среднем составляет порядка 340 тыс. долларов, одним «беловоротничковым преступлением» — около 16 тыс. долларов, «традиционное преступление» против банковских структур — ограбление — порядка 9 тыс. долларов(www.systemservice.ru).
Исследование, проведенное в марте 2003 года компанией Dataquest Inc., показало, что большинство компаний не способно бороться с компьютерными атаками и минимизировать нанесенный ущерб. Каждая третья фирма в результате компьютерной атаки теряла важную информацию. У 24% компаний не было плана действий в случае подобной ситуации (www.for-ua.com).
Среди причин роста ущерба от компьютерных преступлений в первую очередь называется недостаточная компетентность сотрудников в вопросах безопасности. И хотя почти 100% компаний проводят инструктаж по электронной безопасности, его эффективность в результатах исследований ставится под сомнение. Нужно отметить и то, что, к примеру, только 27% из британских компаний тратят на обеспечение электронной безопасности более 1% своего ИТ-бюджета, хотя и признают данное направление одним из важнейших (www.for-ua.com).
При профессиональном подходе к вопросам безопасности проблемы в компаниях решают путем централизованной выдачи уникальных и сложных паролей или установкой жестких корпоративных правил для сотрудников и адекватных мер наказания за их несоблюдение. Однако ситуация осложняется тем, что в последнее время в роли компьютерных преступников все чаще выступают не «внешние» хакеры, а сами конечные пользователи. По словам одного из американских специалистов по информационной безопасности (www.alexia.com.ua): «Типичный компьютерный преступник сегодня — это служащий, имеющий доступ к системе, нетехническим пользователем которой он является». В США компьютерные преступления, совершенные служащими, составляют 70-80% ежегодного ущерба, связанного с современными технологиями. При этом только в 3% мошенничеств и 8% злоупотреблений происходило специальное разрушение оборудования, уничтожение программ или данных. В остальных случаях злоумышленники только манипулировали информацией — крали ее, модифицировали или создавали новую, ложную.
Решение проблемы информационной защиты современных автоматизированных информационных систем — сложный процесс. За всеми типами многоуровневых защит вслед идут многоуровневые приемы взлома; так и «развлекаются» обе стороны. К тому же следует иметь в виду, что компьютерная преступность характеризуется высокой латентностью. Только 10-15% этих правонарушений становятся достоянием гласности, так как сами пострадавшие, боясь потерять репутацию, весьма неохотно признаются о совершенных преступлениях. Попытка решения проблемы посредством «замков и заборов» обходится в 20-25% бюджета каждой семьи, а это не менее 50% потерь в динамике прироста ВНП государства (www.ipu.ru). В этом заключается как бы социально-экономический аспект проблемы информационной безопасности.
Узбекистан наряду с другими странами стремительными темпами входит в мировое информационное сообщество. Развитие компьютеризации и внедрение передовых информационно-коммуникационных технологий определены одним из приоритетных направлений экономики страны. Активизировался процесс разработки и принятия правовых (законодательных и нормативных) актов, определяющих взаимоотношения его субъектов. Обсуждаются вопросы о создании основ законодательства о компьютерных преступлениях в Узбекистане.
Как показывает анализ международного опыта, государственная политика в области регулирования ответственности за совершение правонарушений с использованием Интернета должна содержать следующие основные компоненты:
Определение правонарушений. Необходимо принятие законодательства, направленного против атак на безопасность и целостность компьютерных систем, то есть устанавливающего ответственность за взлом, незаконный перехват данных и вмешательство при помощи компьютерных систем.
Стандарты, определяющие доступ государственных органов к системам связи и хранящимся данным. Следует разработать четкие процессуальные нормы, отвечающие требованиям сохранности персональных данных для доступа государственных органов к системам связи и данным, когда это необходимо для расследования преступлений. Указанные нормы должны позволять государственным органам осуществлять расследование преступлений и в то же время гарантировать юридическим и физическим лицам осуществление мониторинга их коммуникаций со стороны государственных органов только в случаях острой необходимости.
Защита прав потребителей. Технические системы и правила их использования, разработанные для осуществления различных сделок или платежей, должны четко определять зоны ответственности каждого из участников с учетом гарантий защиты прав потребителей.
Безопасность компьютерных сетей — необходимо поддержание на должном уровне безопасности компьютерных сетей с технической точки зрения, требования к которому могут быть также установлены законодательством.
Для разработки норм правового регулирования, гармонизированного с уже действующим законодательством Узбекистана, представляется актуальным принятие концептуальной основы, устанавливающей направления и принципы реформирования правовой базы, связанной с использованием Интернета и ИКТ в общественной жизни, учитывающей необходимость и возможность пресечения правонарушений в этой области.
Один из проектов такой концепции («Право и Интернет в Узбекистане») разработан при участии Программы ПРООН «Инициатива цифрового развития». Указанный документ предусматривает следующие основные направления регулирования правонарушений с использованием Интернета в Узбекистане:
Предотвращение правонарушений с использованием Интернета. Необходимо разработать процессуальные нормы, позволяющие выявлять лиц, виновных в правонарушениях с возможностью рассматривать электронные документы и протоколы в качестве доказательств при расследовании преступлений с использованием Интернета. Для этого следует внести изменения и дополнения в Уголовно-процессуальный, Административный кодексы и другие соответствующие законодательно-нормативные документы, либо принять дополнительно специализированный закон «О компьютерных преступлениях».
При этом, ввиду яркой экстерриториальности Интернета, как информационной среды, необходимо участие Узбекистана в международном процессе регулирования борьбы с правонарушениями с использованием Интернета, в том числе ускорить присоединение Узбекистана к международным договорам, регулирующим борьбу с подобными правонарушениями.
Защита персональных данных. Возможности Интернета позволяют существенно упростить и расширить круг предоставляемых населению и бизнесу информационных и иных услуг, что требует накопления и хранения в сетевых ресурсах информации о гражданах, имеющей персональный характер, разглашение которой может нанести гражданам вред как материальный, так и моральный. Поэтому требуется разработка системы регулирования сбора и хранения персональной информации в Интернете, ответственности лиц за ее разглашение или недобросовестное хранение, создание особой компьютерной паспортной системы для хранения персональной информации. При этом граждане должны иметь возможность самостоятельно устанавливать уровень конфиденциальности (для хранения) их персональной информации.
Следует отметить, что наличие законодательства, регламентирующего ответственность конкретно за компьютерные преступления, само по себе не является показателем степени серьезности отношения общества к таким правонарушениям. К примеру, в Англии полное отсутствие специальных законов, карающих именно за компьютерные преступления, на протяжении многих лет отнюдь не мешает английской полиции эффективно расследовать дела такого рода. И, действительно, все эти злоупотребления можно успешно квалифицировать по действующему законодательству, исходя из конечного результата преступной деятельности (хищение, вымогательство, мошенничество или хулиганство). Ответственность за них предусмотрена уголовным и гражданским кодексами.
Тем не менее очевиден тот факт, что поднятая сегодня тема требует всестороннего и глубокого изучения с привлечением местных и международных экспертов. Полнота ее осмысления даст возможность создания основ законодательной и нормативной базы, способной в полной мере определять принципы надежной защиты взаимоотношения личности, общества и государства в информационной сфере.
Данная проблема и многие другие вопросы, связанные с ней, были предметом обсуждения участников «круглого стола», организованного Комитетом Олий Мажлиса Республики Узбекистан по вопросам промышленности, строительства, транспорта и связи, Узбекским агентством связи и информатизации при участии программ ПРООН «Инициатива цифрового развития» и «Глобальная инициатива по политике Интернет», Институтом мониторинга действующего законодательства на тему: «Вопросы совершенствования законодательства Республики Узбекистан по компьютерным преступлениям». Результатам этой дискуссии и конкретным концептуальным подходам по данной проблеме, разработанным в нашей республике, и будет посвящена одна из следующих наших статей.

pic
Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В Одноклассники
ВКонтакте