Гуцалюк М. Протидія комп'ютерній злочинності

провідний науковий співробітник МНДЦ з проблем боротьби з організованою злочинністю, кандидат юридичних наук

Проблема комп'ютерної злочинності привернула увагу криміналістів провідних зарубіжних країн з часу широкого впровадження комп'ютерної техніки, що викликало низку негативних наслідків та загострило ситуацію із захистом інформації, яка міститься у базах даних комп'ютерів і комп'ютерних систем. Статистика таких злочинів велася з 1958 р. Тоді під ними малися на увазі: випадки псування і розкрадання комп'ютерного устаткування; крадіжка інформації; шахрайство чи крадіжка грошей, здійснені із застосуванням комп'ютерів; несанкціоноване використання комп'ютерів чи крадіжка машинного часу. Записи велися у Стенфорд-ському дослідницькому інституті і тривалий час не становили великого

інтересу. До речі, у 1966 р. комп'ютер вперше використаний як інструмент для пограбування банку в Міннесоті[1].

Сьогодні всі економічно розвинені країни перейшли на широке використання нових інформаційних технологій у виробничій, комерційній, банківській сферах. Наведене пояснюється тим, що завдяки традиційним методам неможливо вірно орієнтуватися у сучасному інформаційному потоці, глибоко аналізувати динамічні процеси економічної діяльності підприємств [2]. Це, у свою чергу, ще більше загострило ситуацію із забезпеченням надійного захисту інформації. Найбільш

активно розвиваються технології, пов'язані з глобальною комп'ютерною мережею Інтер-нет, що призвело до появи нових категорій, як: е-торгівля, е-бізнес, е-уряд тощо. Графік зростання кількості користувачів мережі представлено на діаграмі 1.

Цей процес не минув і Україну, фінансові установи якої отримали доступ до міжнародних платіжних систем. Темпи зростання числа користувачів Інтернету в нашій державі продовжують залишатися високими, на відміну від західних країн. Сьогодні їх приблизно 2 млн. Проте це — тільки 4 зі 100 громадян. Водночас вже сьогодні обговорюються не лише конкретні проекти, як електронний уряд чи дистанційна освіта на основі Інтернету, а й такі комплексні програми як «Електронна Україна». Разом з тим значні переваги Інтер-нет-технологій для проведення наукових досліджень, електронного бізнесу та комерції у інформаційному суспільстві несуть із собою

нові загрози, основна з яких — активне використання злочинним світом нових технологій для шахрайства, крадіжок, «відмивання брудних коштів» тощо. За даними Інституту комп'ютерної безпеки (Computer Security Institute), у другій половині 2002 р. число хакерсь-ких атак збільшилося на 32% у порівнянні з аналогічним періодом 2001 р.

Останнім часом стрімко зросла кількість несанкціонованих проникнень до інформаційних систем (див. діаграму 2).

Інтернет, який став інформаційним джерелом номер один після подій 11 вересня 2001 p., миттєво реагує на політичне та економічне життя планети. У першу ж добу після початку військових дій у Іраці атаковано понад 400 сайтів, на яких розміщувалися антивоєнні заклики англійською та арабською мовами. Розробники «іракського» комп'ютерного вірусу, використовуючи загальний інтерес до перебігу зазначених подій, надсилали електронне повідомлення з написом «Go USA!!!» та пропозицією перегляду останніх фотографій з місця воєнних дій. В результаті перегляду такого повідомлення комп'ютер заражується «хробаком» [3].

У грудні 2002 р. у Лондоні відбувся Перший міжнародний стратегічний конгрес «E-CRIME CONGRESS 2002», присвячений проблемам електронної злочинності (автор даної публікації брав у ньому участь).

Його підготовку та проведення взяв на себе Національний центр по боротьбі зі злочинами у сфері високих технологій (National Hi-Tech Crime Unit — NHTCU) — перша у історії Великобританії національна правоохоронна організація, метою якої є боротьба з комп'ютерною злочинністю та співробітництво з іншими правоохоронними структурами.

На виконання стратегії боротьби з кіберзло-чинністю з державного бюджету виділено 25 млн. фунтів на три роки, 10 млн. з яких — на розвиток відповідних відділів на місцях та 15 млн. на створення Національного центру по боротьбі зі злочинами у сфері високих технологій. У роботі Конгресу «E-CRIME» взяли участь близько 400 делегатів (у тому числі з

Австралії, Нової Зеландії, Кореї, Гонконгу, Росії, Латвії, США тощо). Вони представляли державні, комерційні, наукові та правоохоронні органи, що займаються проблемами захисту інформації та розслідуванням комп'ютерних злочинів. Зокрема, своїх делегатів репрезентували МВС Великобританії, Інтерпол, Європол, ФБР, Управління «Р» (Росія), Microsoft, Symantec, IBM, Sun Microsystems Ltd., VISA, MasterCard, eBay, Bank of New York, Swedbank тощо.

На Конгресі зазначалося, що високотехно-логічна злочинність зростає високими темпами. Інтернет дозволяє організованим злочинним групам швидко отримувати прибуток з відносно невеликим ризиком бути викритими. Знаходячись у мережі, можна порушувати закон на відстані, швидко і незалежно від громадянства та місця перебування. Злочинцям легко ошукувати безліч людей, приховувати докази і награбоване. Вони стали значною загрозою для критичної інфраструктури розвинених країн. Так, за повідомленням інформаційного агентства Washington ProFile, терорист номер один — Усама Бен Ладен одержав комп'ютерну програму Promis (виробник — компанія Inslaw Inc.), що дозволяє йому проникати в урядові інформаційні мережі США. Програми, створені на базі розробок Inslaw Inc., використовуються, зокрема, ФБР(РВІ) і ЦРУ(СІ). Якщо Бен Ладен дійсно має Promis, то він може стежити за діями американських спецслужб, одержувати таємну інформацію про стратегічні об'єкти США, а також без проблем «відмивати брудні гроші». Крім того, не виключено, що це програмне забезпечення використовувалося «Аль Каі-дою» для підготовки терористичних атак на Нью-Йорк і Вашингтон, проведених 11 вересня 2001 р.

У доповіді віце-президент групи страхових компаній Вільям Барр виклав такі факти: 90% організацій виявляють порушення інформаційних систем щороку; 80% з них підтверджують фінансові збитки; тільки один вірус NIMDA призвів до шкоди понад 1,8 млрд, фунтів; у жовтні 2002 р. кібератака протягом однієї години вивела з ладу 9 з 13 головних комп'ютерів, які керують глобальним рухом у мережі Інтернет; щороку викрадається приватної інформації на суму понад 38 млрд, фунтів.

Тому, зважаючи, що загрози від кіберзло-чинності ніколи не зникнуть, доки світ залишається у електронній залежності, необхідно розробити стратегію захисту на кожному підприємстві, у національному масштабі та в

усьому світі. Протидія комп'ютерній злочинності передбачає, перш за все, створення відповідної законодавчої бази, комплексу організаційних заходів, у тому числі підготовку кадрів високої кваліфікації, а також відповідне спеціальне технічне забезпечення.

У Кримінальному кодексі України, який набув чинності у вересні 2001 p., комп'ютерним злочинам присвячено розділ XVI — «Злочини у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж», шо складається з трьох статей (361—363).

Звичайно, на відміну від попереднього Кодексу, досягнуто певного прогресу щодо кваліфікації зазначеного виду злочинів. Але, з урахуванням входження України до Європейського Співтовариства та підписанням нашою державою 23 листопада 2001 р. Європейської конвенції про кіберзлочинність, у якій чітко визначені види комп'ютерної злочинності та шляхи взаємодії урядів щодо боротьби з ними, виникла нагальна потреба реформування чинного законодавства. Адже відсутність міждержавних кордонів у глобальних інформаційних мережах є однією з основних особливостей, які потрібно враховувати при протидії та профілактиці комп'ютерних правопорушень.

Комітет у справах законодавства Ради Європи рекомендує уніфікувати кримінальне законодавство з питань комп'ютерних правопорушень та передбачити відповідальність за такі злочини: незаконний доступ (доступ до інформації без відповідної санкції або з порушенням його правил); нелегальне перехоплення інформації (технічними засобами комп'ютерної інформації чи перехоплення комп'ютерних випромінювань); втручання у дані (знищення, зміна або приховування інформації); втручання у систему (перешкоджання функціонуванню комп'ютерної системи); зловживання пристроями (виготовлення та розповсюдження пристроїв для вчинення комп'ютерних злочинів); підробка, пов'язана з комп'ютерами (дії для створення недійсних даних); шахрайство, пов'язане з комп'ютерами (дії, що призводять до втрати майна іншої особи внаслідок втручання у комп'ютерні системи); комп'ютерне шахрайство (втручання у роботу інформаційної системи з метою отримання економічної вигоди); розповсюдження дитячої порнографії; правопорушення, пов'язані з авторським правом.

Слід зазначити, що Конвенцією передбачена також необхідність прийняття низки процедурних питань про виявлення та документування комп'ютерних злочинів. Адже протидія комп'ютерній злочинності потребує принципово нових напрацювань щодо методології досудового розслідування. Зокрема, ст. 16 Конвенції встановлює, що кожна сторона вживає таких законодавчих та інших заходів, які можуть бути необхідними для надання можливості своїм компетентним органам видавати накази або іншим подібним шляхом спричиняти термінове збереження комп'ютерних даних, включаючи відомості про рух інформації, що зберігалися за допомогою комп'ютерної системи, зокрема, у разі, коли існують підстави вважати, що такі комп'ютерні дані особливо вразливі до втрати чи модифікації.

Зазначені положення у країнах Європейського Союзу врегульовані згідно з Резолюцією Ради про оперативні запити правоохоронних органів стосовно телекомунікаційних мереж загального користування та послуг від 20 червня 2001 р. № 9194/01 та Резолюції Ради про законне перехоплення телекомунікацій від 17 січня 1995 р. № 96/С 329/01.

Хоча в Україні комп'ютерна злочинність ше не набула значних масштабів, але її прояви вже зафіксовані. Так, 16—20 листопада 2001 р. зазнала вірусної атаки обчислювальна мережа Генеральної дирекції ВАТ «Укртелеком», яка налічує понад 700 комп'ютерів та десятки серверів. Як наслідок — це спричинило тимчасове відключення комп'ютерів від Інтернету, а також виведення з ладу системи корпоративної електронної пошти. Збитки від атаки становили понад 1млн. грн. [4]. Резонансні справи стосуються також фінансово-банківської системи [5]. Тенденція зростання цього виду злочинів в Україні повторює світову — щорічне збільшення у 2—3 рази (тільки у 2002 р., за даними Департаменту інформаційних технологій МВС України, виявлено 681 злочин, вчинений у сфері високих технологій).

Тому реалії сьогодення вимагають активного формування відповідних підрозділів у МВС, СБУ, ДПА України. Наприклад, створення у 2001 р. Управління по боротьбі зі злочинами у сфері високих технологій МВС України уможливило викриття злочинів та порушення кримінальних справ щорічно у декілька разів більше, ніж за всі попередні роки з моменту введення кримінальної відповідальності за них (1994 р.) [6]. Але діяльність цих підрозділів потребує координації з боку спеціально створеного органу, адже кіберз-лочини стосуються і неправомірного доступу до таємної інформації, і крадіжок коштів з пластикових карток та електронних рахунків банків, і ухилення від сплати податків, а також — використання електронних засобів терористами.

Виходячи з актуальності зазначеного питання для України, у МНДЦ з проблем боротьби з організованою злочинністю при Координаційному комітеті при Президентові України за останні роки накопичено досвід щодо дослідження наведених проблем. Так, за результатами дослідження науковцями МНДЦ підготовлено проект Концепції стратегії реалізації державної політики про боротьбу з кіберзлочинністю. Рішенням Урядової комісії

з питань аналітичного забезпечення органів виконавчої влади 6 жовтня 2000 р. прийнято за основу проект Концепції реформування законодавства України у сфері суспільних інформаційних відносин. Основні положення названих документів викладено у аналітичних довідках, доповідних, Стратегії та рекомендаціях щодо тактики боротьби з організованою злочинністю і корупцією тощо, які надіслані до Координаційного комітету по боротьбі з корупцією і організованою злочинністю.

З метою ефективної протидії кіберзлочин-ності Указом Президента України «Про рішення Ради національної безпеки і оборони України від 31 жовтня 2001 р. «Про заходи щодо вдосконалення державної інформаційної політики та забезпечення інформаційної безпеки України» № 193/2001 від 6 грудня 2001 р. передбачено створення Міжвідомчого центру з питань боротьби з комп'ютерною злочинністю (далі — МЦПБКЗ).

Підтримуючи пропозицію Кабінету Міністрів України щодо його відкриття, вважаю за необхідне зазначений підрозділ створити у структурі Координаційного комітету по боротьбі з корупцією і організованою злочинністю, який відповідно до ст. 8 Закону «Про організаційно-правові основи боротьби з організованою злочинністю» від ЗО червня 1993 р. координує діяльність всіх державних органів, що здійснюють боротьбу з організованою злочинністю, у тому числі з комп'ютерною. Наукове, аналітичне та інформаційне забезпечення слід покласти на Міжвідомчий НДЦ з проблем боротьби з організованою злочинністю за умови відповідного штатного та фінансового забезпечення.

У зв'язку із зазначеним варто ще раз звернутися до практики функціонування відповідного Центру у Великобританії. На нього покладено виконання таких завдань: діяльність проти організованої злочинності у сфері високих технологій і транснаціонального характеру; проведення стратегічних прогнозів; проведення розслідувань; координація діяльності правоохоронних органів; розроблення рекомендацій для правоохоронних органів.

До Центру входять чотири відділи: розслідування — проводить розслідування та підтримує інші правоохоронні органи у розслідуванні тяжких та вчинених організованими групами злочинів з використанням високих технологій; розвідки — забезпечує стратегічну і тактичну розвідку та співробітництво із зарубіжними партнерами; тактичної і технічної підтримки — забезпечує консультативну підтримку та допомогу місцевим правоохоронним агентствам, міжнародним правоохоронним організаціям, уряду і промисловості; цифрових доказів — забезпечує судову підтримку при розгляді злочинів у сфері високих технологій.

І, врешті-решт, необхідно зазначити, що, за прогнозами провідних науковців у галузі інформаційної безпеки, вже найближчими роками можливе стрімке зростання кількості кіберзлочинів. Так, за розрахунками компанії Gartner, вже у кінці 2004 р. економічні збитки від них збільшаться у 10—100 разів [7]. Це змушує і уряд США, і Європейське Співтовариство терміново вжити відповідних заходів як на законодавчому, так і організаційному рівнях. Зокрема, урядом США нещодавно прийнята нова Стратегія щодо захисту інформаційних систем у Інтернеті (бюджетом планується виділення близько 60 млрд. дол.), у Раді Європи створюється спеціальний Комітет — «Агентство інформаційної безпеки», відповідні заходи вживаються на рівні ООН.

Тому, обравши свій шлях розбудови інформаційного суспільства, Україна також повинна здійснювати відповідні кроки щодо своєї інформаційної безпеки, яка згідно з Конституцією є невід'ємною складовою національної безпеки нашої держави.

Використана література:

1. Компьютерные террористы: Новейшие технологии на службе преступного мира / Энциклопедия преступлений и катастроф; Автор-составит. Т.И. Ревяко. — Минск, 1997. — С. 34.

2. Інформатизація, право, управління (організаційно-правові питання) / Р.А.Калюжний, О.Д.Крупчан, В.Д.Гавловський, М.В.Гуцалюк, В.С.Цимбалюк, М.Я.Швець. — К., 2002. — 190 с.

3. http:// LIGA ONLINE. Создан новый «иракский» вирус.

4. Хроніка вірусної атаки на Укртелеком / http://www.ukrtel.net.

5. ГуцалюкМ. Безпека банківських інформаційних систем // Страхова справа. — 2002. — № 2(6). - С. 68-70.

6. ГуцалюкМ. Координація боротьби з комп'ютерною злочинністю // Право України. — 2002. - № 5. - С. 121-126.

7. http://www.interpol-assembly2001.com.

Становлення законодавчих систем в Україні