Виктимологическая характеристика компьютерных преступлений, совершенных в отношении юридических лиц Текст научной статьи по специальности «Право»

УДК 34

DOI 10.24411/2078-5356-2019-10133

Александрина Наталья Михайловна Natalia M. Alexandrina

преподаватель кафедры управления

Нижегородская академия МВД России (603950, Нижний Новгород, Анкудиновское шоссе, 3) lecturer of the department in management

Nizhny Novgorod academy of the Ministry of internal affairs of Russia (3 Ankudinovskoye shosse, Nizhny Novgorod, Russian Federation, 603950)

E-mail: [email protected]

Виктимологическая характеристика компьютерных преступлений, совершенных в отношении юридических лиц

Victimological characteristics of computer crimes committed

against legal entities

В статье рассматриваются вопросы виктимизации юридических лиц, выделены группы угроз и жертв компьютерных преступлений. Проведенный анализ статистических данных свидетельствует об увеличении зарегистрированных преступлений в сфере компьютерной информации и уменьшении направления их в суд с обвинительными заключениями. Исследованы причины латентности и низкой раскрываемости киберпреступлений, предложены профилактические меры безопасности организаций.

Ключевые слова: жертвы - юридические лица, компьютерные угрозы, киберпреступления, преступления в сфере компьютерной информации, потерпевшие - юридические лица, латентность, превентивные меры, безопасность организаций.

The article discusses the issue of victimization of legal entities, highlighted groups of victims and threats of computer crimes. The analysis of statistical data indicates an increase in recorded crimes in the field of computer information and a decrease in referral to court with indictments. The reasons for the latency and low detection of cybercrime are investigated, and preventive security measures of organizations are proposed.

Keywords: victims, legal entities, computer threats, cybercrime, computer crime, victim legal entities, latency, preventive measures, security organizations.

На современном этапе развития диапазон применения электронных данных настолько велик в различных сферах деятельности, что вызывает интерес не только у правоохранительных органов и ученых, но и у правонарушителей. Среди многочисленных положительных моментов современных 1Т-технологий стали проявляться слабые и уязвимые места компьютерных систем. Полностью быть уверенным в том, что юридическое лицо защищено от киберпреступлений, невозможно. Вопрос о виктимизации и становлении жертвой - вопрос времени. Тем более что для мошенников привлекатель-

ность организаций, предприятий и учреждений намного выше, чем физических лиц, в связи с тем что у юридического лица содержится намного больше конфиденциальной информации и денежных средств.

Актуальность проблемы киберпреступлений была отражена в многочисленных научных публикациях и диссертационных исследованиях, проведенных как в России, так и за рубежом. Многие из них были посвящены уголовно-правовым, уголовно-процессуальным и криминологическим аспектам исследования преступлений в сфере компьютерной информации.

© Александрина Н.М., 2019

На современном этапе считаем особенно важным проводить исследование не только преступников, но и самих жертв киберпреступле-ний, а также осуществлять профилактические меры, связанные с безопасностью физических и юридических лиц. Виктимологическим аспектам характеристики и профилактики компьютерных преступлений посвящены научные работы В.А. Бессонова [1], Д.А. Зыкова [2], Т.М. Лопа-тиной [3], И.М. Мацкевича [4], К.И. Попова [5], Д.Н. Туктарова, О.А. Логинова [6] и многих других.

В зависимости от права собственности на компьютерную систему следует выделить 3 группы жертв - юридических лиц:

- во-первых, обладатели компьютерных систем - юридические лица, которые несут ответственность за обработку персональных данных (учет, хранение, передачу, использование, уничтожение) базы своих клиентов и сотрудников своей организации;

- во-вторых, клиенты - жертвы компьютерных преступлений, организации, которые пострадали в результате преступных деяний;

- в-третьих, непосредственные организации - разработчики компьютерных программ, которым наносится ущерб в результате как нанесения удара по слабым местам компьютерной разработки, так и незаконного копирования, продажи различных компьютерных программ.

В зависимости от возникновения компьютерных угроз в отношении организаций их следует разделить на две группы: внешние и внутренние.

К первой группе следует отнести угрозы, поступающие от лиц или группы лиц, не состоящих в правовых отношениях с потенциальной или реальной жертвой предприятия, организации или учреждения. К ним следует отнести как хакеров, никаким образом не связанных с юридическим лицом, так и лиц, заинтересованных в получении информации, в том числе конкурентов, которые таким образом пытаются устранить мешающие им организации.

Ко второй группе возможно отнести угрозы от лиц, работающих на предприятии, учреждении или организации, а также тем или иным образом связанных правовыми отношениями с юридическим лицом, ставшим жертвой преступления. Это могут быть заинтересованные лица, непосредственно работающие на материальном носителе, содержащем персональные данные, а также сотрудники, случайно или специально получившие доступ к охраняемой информации.

Жертвы могут быть как случайные (при веерной рассылке вирусов), так и целенаправлен-

ные, выбранные правонарушителем путем отбора данных о юридическом лице.

Деятельность криминальных структур в компьютерной области ведется независимо от местонахождения жертвы с использованием современных достижений техники: компьютеров, интернет-видеокамер, роутеров и других технических средств. Отсутствие границ в интернете позволяет дифференцировать угрозы и возможные риски юридических лиц на российские и зарубежные.

Чаще всего юридические лица сталкиваются с хакерскими атаками на операционную систему. Среди них следует выделить кражу или блокировку конфиденциальных сведений, а также угрозу их уничтожения с целью выкупа.

С каждым годом количество DDoS-атак, а также их последствия увеличивается в разы. Особо привлекательна для компьютерных мошенников банковская сфера. В ноябре 2016 года пять крупных банков на территории Российской Федерации подверглись таким атакам, среди которых оказался Центральный банк Российской Федерации [7].

Жертвами таких противоправных манипуляций являются не только клиенты банка (физические или юридические лица), а также непосредственно сам банк, на счетах которого находятся денежные средства клиентов. Последствия таких преступлений могут нанести невосполнимый ущерб пострадавшему лицу, как имущественный (непосредственный, упущенная выгода), так и неимущественный вред. Возможные судебные иски клиентов банка, невосполнимый репутационный ущерб, нанесенный конкретным банкам и банковской сфере, - это далеко не полный перечень последствий вмешательства в сферу деятельности организации.

Одна из масштабных атак в отношении как государственных, так и негосударственных юридических лиц, в частности, организаций и учреждений здравоохранения, наблюдалась в феврале 2017 года. Существенных изменений данных в организациях с мощной системой защиты не произошло, что нельзя сказать о жертвах небольших предприятий и учреждений со слабой защитой.

Так, в апреле 2018 года аналитики компании «Доктор Веб» зафиксировали вредоносную программу, нацеленную на клиентов Сбербанка, которая крадет информацию о банковских картах, выводит со счетов деньги, блокирует зараженные устройства, требуя выкуп. Возможный ущерб от таких действий превышает 78 млн рублей [8].

Как показало исследование, проведенное компанией PricewaterhouseCoopers (PwC) в 2018 году, респонденты всемирного обзора считают, что по своим последствиям одним из самых разрушительных и серьезных видов мошенничества в ближайшие годы станет кибер-преступность.

В результате всемирного и российского обзора были выделены виды кибератак, с которыми чаще всего сталкивались юридические лица:

- вредоносные программы (в России были подвержены 43% организаций, за рубежом - 36%);

- хищение персональных данных (в России -20%, в мире - 33%);

- сканирование сети (в России - 11%, в мире - 13%);

- атака посредника - «злоумышленник посередине» (в России - 11%, за рубежом - 7%);

- тотальный перебор ключей (в России -10%, за рубежом - 8%) [9].

Такие данные существуют наряду с заявлениями на высшем уровне о значительном увеличении компьютерных преступлений и причиненном крупном ущербе. Так, премьер-министр Российской Федерации Дмитрий Медведев назвал ущерб, который нанесли экономике кибе-ратаки в 2017 году. По его словам, за прошедший год из-за хакеров Россия потеряла около 600 млрд рублей [10].

Следует заметить, что классификацию и наиболее масштабный анализ компьютерной преступности возможно проводить, основываясь на официальной статистике.

Анализ официальных данных свидетельствует о том, что, несмотря на увеличение зарегистрированных компьютерных преступлений, направление уголовных дел в суд с обвинительными заключениями уменьшается. Так, в 2016 году по главе 28 УК РФ «Преступления в сфере компьютерной информации» находились в производстве на начало года или зарегистрированы в отчетном периоде 2 570 уголовных дел, а в 2017 - 2 684. Направлены в суд уголовные дела с обвинительными заключениями, актами или постановлениями в 2016 году - 754, а в 2017 году только 526.

Следует отметить серьезные проблемы не только в выявлении преступлений в сфере компьютерной информации, но и в деятельности предварительного следствия при расследовании современных преступлений, в частности установлении лиц, совершивших противоправные деяния.

Так, в 2017 году из находившихся в производстве:

- по статье 272 УК РФ из 1 490 уголовных дел в суд с обвинительными заключениями направлено 245, приостановлено по части 1 статьи 208 УПК РФ - 621, а в 2016 году из 1 443 уголовных дел в суд направлено 454, приостановлено по части 1 статьи 208 УПК РФ - 458;

- по статье 273 УК РФ в 2017 году из 1 192 уголовных дел в суд с обвинительными заключениями направлено 281, приостановлено по части 1 статьи 208 УПК РФ - 410, а в 2016 году по статье 273 УК РФ из 1 124 уголовных дел направлены в суд 299, приостановлено по части 1 статьи 208 УПК РФ - 332.

Следует обратить внимание на незначительное количество зарегистрированных преступлений по статье 274 УК РФ. Так в 2017 году из 2 уголовных дел, находившихся в производстве по статье 274 УК РФ, в суд не направлено ни одно уголовное дело, в 2016 году в производстве находилось 3 уголовных дела и одно из них направлено в суд с обвинительным заключением.

Значительное снижение наблюдается по выявлению и расследованию уголовных дел, возбужденных по фактам мошенничества в сфере компьютерной информации (ст. 1596 УК РФ). Если в 2016 году по статье 1596 УК РФ находилось в производстве 5 380 уголовных дел и направлено в суд с обвинительными заключениями 284, то в 2017 году эти показатели значительно снизились до 2 911 зарегистрированных уголовных дел и 172 направленных в суд [11].

Анализ судебной статистики указывает на небольшое количество осужденных за преступления, связанные с мошенничеством в сфере компьютерной информации (ст. 1596 УК РФ): всего по основной статье за 2017 год осуждено 88 человек, по дополнительной квалификации - 22 [12].

Следовательно, можно констатировать, что, несмотря на увеличение реального количества компьютерных преступлений и причиненного ими ущерба, количество направленных в суд с обвинительным заключением преступлений сокращается. Большая часть уголовных дел приостанавливается на основании статьи 208 УПК РФ и не доходит до судебных инстанций.

Проблемы выявления и расследования фактов совершения преступлений, а также нанесенного ущерба возникают достаточно часто. Это вызывает взаимное недовольство потерпевших и правоохранительных органов: заявители жалуются на бездействие правоохранительных органов, которые в свою очередь ссылаются на недостаточный объем представленной потерпевшей стороной информации.

Помимо трудностей расследования преступлений, следует указать на высокий показатель латентности компьютерных преступлений. По оценкам специалистов, от 85 до 97% компьютерных преступлений остаются не обнаруженными или о них не сообщается по различным причинам в правоохранительные органы [13, с. 93].

Это связано со многими факторами, влияющими на сокрытие фактического количества жертв - юридических лиц, пострадавших от ки-берпреступлений. Среди них следует выделить:

- предоставление большого объема документов, необходимых при расследовании, является нежелательным для потерпевшей стороны. В процессе оперативных или следственных действий деятельность юридического лица может быть частично парализована, а также затребованы дополнительные персональные данные или выявлены невыполнения требования безопасности защиты информации юридическим лицом;

- отсутствие веры в правосудие: владение жертвой компьютерного преступления информацией об отказных материалах или нераскрытых преступлениях по аналогичным статьям УК РФ;

- резонансные компьютерные преступления и освещение материалов в СМИ помимо материального ущерба могут нанести непоправимый репутационный ущерб организации. Так, при расследовании преступления возможный материальный или репутационный ущерб может быть выше суммы возмещенного ущерба.

В связи с этим достаточно часто действующие в организации службы безопасности рассчитывают на свои возможности пресечения киберпреступлений и самостоятельно принимают меры по недопущению повторения подобных ситуаций. Стратегия защиты и выработки комплексных превентивных мер безопасности предприятия, учреждения или организации, а также минимизации последствий вмешательства киберпреступников становится приоритетной целью любого юридического лица.

Все вышеперечисленные причины латентно-сти и низкой раскрываемости киберпреступле-ний, также связанные с низкой квалификацией специалистов и сложностью преступных схем, способствуют безнаказанности преступников и их дальнейшей противоправной деятельности.

Анализ динамики компьютерных преступлений свидетельствует о том, что в 2019 году следует ожидать роста хакерских атак, преследующих политические и экономические цели

в отношении различных государственных и частных юридических лиц. Учитывая высокую латентность киберпреступлений, следует предположить, что в официальных статистических данных далеко не все нарушения законности будут отражены.

В целях совершенствования системы защиты информации, содержащейся на компьютере в коммерческих и некоммерческих организациях, необходимо возложить на руководителей или иных лиц обязанность осуществлять личный контроль за установкой и постоянным обновлением лицензионных антивирусных программ и иных средств и мер защиты персональных данных, коммерческой и служебной тайны [14, с. 273]. Соблюдать не формально, а реально требования, изложенные в нормативных правовых актах по охране информации.

Сотрудникам, ответственным за компьютерную безопасность на предприятии, а также правоохранительных органов, обеспечивающих экономическую безопасность, необходимо постоянно повышать свой профессиональный уровень. Следовательно, прохождение курсов обучения и повышения квалификации по подготовке специалистов по информационной безопасности необходимо осуществлять на регулярной основе в специализированных образовательных учреждениях.

Для того чтобы минимизировать современные виктимологические угрозы юридическим лицам в сфере компьютерных технологий необходимо не только усилить профилактические меры безопасности по защите информации в организации, но и наладить более тесное взаимодействие с правоохранительными органами.

Примечания

1. Бессонов В.А. Виктимологические аспекты предупреждения преступлений в сфере компьютерной информации: дис. ... канд. юрид. наук. Н. Новгород, 2000. 249 с.

2. Зыков Д.А. Виктимологические аспекты предупреждения компьютерного мошенничества: дис. ... канд. юрид. наук. Владимир, 2002. 211 с.

3. Лопатина Т.М. Виктимологическая профилактика компьютерных преступлений // Российская юстиция. 2006. № 4. С. 51-55.

4. Мацкевич И.М. Причины экономической преступности: учебное пособие. М.: Проспект, 2017. С. 179-190.

5. Попов К.И. Виктимологическая характеристика преступлений в сфере компьютерной информации // Виктимология. 2014. № 1. С. 66-68.

6. Туктаров Д.Н., Логинов О.А. Характеристика жертв компьютерных преступлений // Теория и практика современной науки. 2016. № 12-2 (18). С. 333-335.

7. Хакеры провели DDoS-атаку на Сбербанк и Альфа-банк. URL: https://www.rbk.ru (дата обращения: 18.12.2018).

8. Доктор Веб: Более 78 миллионов руб. клиентов Сбербанка под угрозой. URL http://www.tadviser. ru/index.php/ (дата обращения: 18.12.2018).

9. Противодействие мошенничеству: какие меры принимают компании? // Российский обзор экономических преступлений за 2018 год. URL: https://www. pwc.ru/ru/publications/recs-2018.html/ (дата обращения: 18.12.2018).

10. Россия обеднела из-за хакеров. URL: http:// lenta.ru (дата обращения: 18.12.2018).

11. Преступления в сфере компьютерной информации. Отчет по России. Единый отчет о преступности за январь - декабрь 2016 г. URL: http:// mvd.ru Ф-491 кн. 1; Преступления в сфере компьютерной информации. Отчет по России. Единый отчет о преступности за январь - декабрь 2017 г URL: http://mvd.ru Ф-491 кн. 1.

12. Судебный Департамент. Данные судебной статистики. Сводные статистические сведения о состоянии судимости в России за 2017 год. Отчет о числе осужденных по всем составам преступлений Уголовного кодекса Российской Федерации. URL: http://www.cdep.ru/index.php?id=79 (дата обращения: 18.12.2018).

13. Амелин Р.В. Компьютерная безопасность. URL: https:// docviewer. yandex.ru/view/757079236 (дата обращения: 18.12.2018).

14. Пархоменко С.В., Евдокимов К.Н. Предупреждение компьютерной преступности в Российской Федерации: интегративный и комплексный подходы // Криминологический журнал Байкальского государственного университета экономики и права. 2015. Т. 9. № 2.

References

1. Bessonov V.A. Victimological aspects of crime prevention in the field of computer information. Dissertation... candidate of legal sciences. Nizhny Novgorod, 2000. 249 p. (In Russ.)

2. Zykov D.A. Victimological aspects of computer fraud prevention. Dissertation... candidate of legal sciences. Vladimir, 2002. 211 p. (In Russ.)

3. Lopatin T.M. Victimological prevention of computer crimes. Russian justice, 2006, no. 4, pp. 51-56. (In Russ.)

4. Matskevich I.M. The causes of economic crime: tutorial. Moscow: Prospect Pabl., 2017, pp.179-190. (In Russ.)

5. Popov K.I. Victimological characteristics of crimes in the field of computer information. Victimology, 2014, no. 1, pp. 66-68. (In Russ.)

6. Tuktarov D.N., Loginov O.A. Characteristics of victims of computer crimes. Theory and practice of modern science, 2016, no. 12-2 (18), pp. 333-335. (In Russ.)

7. Hackers conducted a DDoS attack on Sberbank and Alfa Bank. URL: https://www.rbk.ru (accessed 18.12.2018). (In Russ.)

8. Doctor Web: Over 78 million rubles. Sberbank's clients at risk. URL http://www.tadviser.ru/index.php/ (accessed 18.12.2018). (In Russ.)

9. Countering fraud: what measures are companies taking? // Russian review of economic crimes for 2018. URL: https://www.pwc.ru/ru/publications/recs-2018.html/ (accessed 18.12.2018). (In Russ.)

10. Russia poorer because of hackers. URL: http:// lenta.ru (accessed 18.12.2018). (In Russ.)

11. Crimes in the field of computer information. Report on Russia. Unified Crime Report for January - December 2016. URL: http://mvd.ru 0-491, book 1; Crimes in the field of computer information. Report on Russia. Unified Crime Report for January - December 2017. URL: http:// mvd.ru 0-491, book 1 (accessed 18.12.2018). (In Russ.)

12. Judicial Department. Judicial statistics. Summary statistics on criminal status in Russia in 2017. Report on the number of convicts in all elements of the crimes of the Criminal Code of the Russian Federation. URL: http://www. cdep.ru/index.php?id=79 (accessed 18.12.2018). (In Russ.)

13. Amelin R.V. Computer security. URL: https://docviewer. yandex.ru/view/757079236 (accessed 18.12.2018). (In Russ.)

14. Parkhomenko S.V., Evdokimov K.N. Computer crime prevention in the Russian Federation: integrative and integrated approaches. Criminological journal of the Baikal state University of Economics and law, 2015, vol. 9, no. 2, pp. 273. (In Russ.)