12 сентября 2016 г.
Киберпреступление хотят приравнять к краже. Соответствующий законопроект разработан при участии Сбербанка и Министерства внутренних дел (МВД) и поддержан Центробанком. Об этом «Известиям» рассказал замначальника Главного управления безопасности и защиты информации Банка России Артем Сычев в кулуарах банковского форума в Сочи. По словам Артема Сычева, новация «является одной из важнейших законодательных инициатив на данный момент». Эксперты поддержали законопроект, но предостерегли авторов о риске перегнуть палку. Ведь скачивание нелицензионной версии программы в этом случае тоже можно будет приравнять к киберпреступлению.
Артем Сычев рассказал «Известиям», что законопроект содержит два принципиальных изменения: требование признать киберпреступление кражей (а не квалифицировать в качестве мошенничества, как сейчас) и установить за его совершение более серьезное наказание.
— По существующей судебной практике наказание совершенно не соответствует сумме ущерба. Люди похищают сотни миллионов рублей, а получают три года условно, — считает он.
Артем Сычев уточнил, что максимальный срок за кибермошенничество в соответствии с текущей практикой «может составить пять лет». Это совершенно не коррелирует с мировой практикой. В США наказание по такому виду преступлений составляет 25 лет, в Китае — от 10.
Так, в конце июля Хамовнический суд Москвы признал группу кибермошенников — Олега Лузянина, Рината Ирмогамбетова и Александра Андреева — виновными по ст. 159.6 УК за ущерб от их хакерской деятельности в 160 млн рублей. Каждому фигуранту дела назначено «наказание в виде лишения свободы сроком на пять лет… без штрафа, с отбыванием наказания в исправительной колонии общего режима».
Казалось бы, в ст. 159.6 УК («Мошенничество в сфере компьютерной информации») установлены аналогичные мировым максимальные санкции для нарушителей: тюремный срок в 10 лет и штраф в 1 млн рублей. При этом крупным размером ущерба считается 1,5 млн рублей, особо крупным — 6 млн. Получается, хакерам, совершившим, например, атаку на банк «Кузнецкий» и получившим по ее результатам 500 млн рублей прибыли, должны «насчитать» максимальное наказание.
Однако, по словам близкого к ЦБ источника, проблема в том, что киберпреступления не всегда удается квалифицировать как состав, предусматривающий максимальное наказание по этой статье. В то же время, приравняв этот вид преступления к краже (денежный ущерб очевиден), преступников удастся привлечь к более серьезным, чем сейчас, санкциям. Ведь по ст. 158 УК («Кража») ущербом в крупном размере признается сумма в 250 тыс. рублей, а в особо крупном — 1 млн рублей.
Руководитель Zecurion Analytics Владимир Ульянов поддерживает законопроект.
— На мой взгляд, новация справедлива, — отметил он. — И то, что сейчас на практике не так, — очевидный пробел законодательства, обусловленный технологическим скачком. Кроме того, нужно учесть, что в настоящее время изменился и сам характер киберпреступлений. Из шалостей, массового фишинга и относительно немногочисленных случаев профессионального хакерства кибермошенничество стало огромной индустрией с многомиллиардными оборотами.
По словам руководителя Zecurion Analytics, риски, которые сегодня закладывают компании в связи с угрозами в киберпространстве (хакеры, инсайдеры), не менее критичны, чем другие типы рисков (например, правовые или экономические).
— По статистике Zecurion, в российских компаниях Enterprise-сегмента ежегодно фиксируется от 14 до 20 крупных инцидентов, связанных с утечкой информации, — пояснил Владимир Ульянов. — Поэтому совершенно нормально расценивать кражу денег с помощью высокотехнологических инструментов именно как кражу денег.
При этом, по словам собеседника, важно не перегнуть палку и четко определить в законопроекте, что такое киберпреступление.
— Ведь по большому счету скачивание нелицензионной версии программы тоже можно приравнять к киберпреступлению, — рассуждает эксперт. — Именно за киберпреступления ответственность должна быть усилена. Фактическая безнаказанность, относительная простота реализации (есть готовые схемы и инструменты), сложность расследования инцидентов (у правоохранительных органов не всегда есть необходимые кадры и техническая возможность) способствовали росту числа преступлений и количества вовлеченных в мошеннические схемы людей. Суммы привлечения к ответственности за кибермошенничество можно приравнять к тем, что действуют по другим экономическим преступлениям.
Алексей Тюрин, директор департамента аудита защищенности Digital Security, напоминает о важном нюансе: рассматривая возможность заключения в тюрьму киберзлоумышленника на 10–20 лет, надо быть точно уверенным, что он виновен.
— Если речь идет о хакерской атаке, доказать вину — далеко не самое простое дело, — указал эксперт. — Довольно легко «подставить» невиновного или посадить какую-то мелкую сошку, а не организаторов. Не будем забывать и о том, что столь крупные кражи происходят в том числе по вине банков, и им нужно больше внимания уделять вопросам обеспечения дистанционных сервисов (интернет- и мобильного банка), чтобы исключить возможность возникновения инцидентов в системе.
Другой вариант — перевести хакеров на «светлую сторону».
— Практика сотрудничества с успешными хакерами есть во многих странах, и я допускаю, что и сейчас она успешно работает, — отмечает Владимир Ульянов. — Не обязательно подводить под это законодательную базу. Тем более спрос на опытные кадры растет в связи с обострением противостояния государств в киберпространстве, разработкой всё более агрессивных политик в области кибербезопасности.
По прогнозам Центробанка, объем киберхищений к концу 2016 года составит 4 млрд рублей. При том, что в 2015 году эта сумма была почти в четыре раза меньше — 1,14 млрд рублей.
Анастасия Алексеевских, Анна Каледина