«Посмотреть раздел информация» → выберите нужный раздел и сведения → нажмите карандаш, а затем крестик.
Закон и хакеры: истории о преступлениях и наказании
Мы очень часто слышим и читаем новости в которых рассказывается о новом источник , статья некогда была рассчитана на наказание нерадивых сотрудников руководством фирм за неправильную эксплуатацию техники приведшую к каким либо негативным последствиям. На данный момент практически не работает – частично из-за того, что не относится к категории преступлений даже средней тяжести.
Если же речь идет об использовании чужих логинов и паролей (фактически работа под чужой учетной записью), то в дела включаются еще и статьи ст.165 УК РФ “Причинение имущественного ущерба путем обмана или злоупотребления доверием” , в некоторых случаях так же действия злоумышленника можно подписать под ст.183 УК РФ “Незаконное получение и разглашение сведений, составляющих коммерческую тайну” , и банальная ст.159 УК РФ “Мошенничество”.
Совсем недавно стало известно , что Сбербанк и Министерство внутренних дел (МВД) разработали совместный законопроект, который также был поддержан представителями Центробанка. Законопроект требует признать киберпреступления кражами, а не квалифицировать их как мошенничество, а также установить за их совершение более серьезное наказание.
Как известно первые ИТ компании зародились в США. Поэтому и первый законопроект, устанавливающий уголовную ответственность за преступления в сфере информационных технологий, был разработан в США еще в далеком 1977 году. А уже позднее, на основе данного законопроекта в октябре 1984 года был принят
Закон устанавливает ответственность за несколько основных составов преступлений: компьютерный шпионаж;
- несанкционированный доступ к информации;
- компьютерное мошенничество;
- умышленное или по неосторожности повреждение защищенных компьютеров;
- угрозы, вымогательство, шантаж, совершаемые с использованием компьютерных технологий и другие.
Ответственность за указанные кибер преступления предусматривают солидные денежные штрафы, а так же вполне реальное тюремное заключение. Наказание зависит от многих факторов, т.к. тяжесть совершенного преступления, размер экономического ущерба, причиненного деянием, криминального прошлого подсудимого и многих других.
В туманном Альбионе с августа 1990 года действует Акт о компьютерных злоупотреблениях . Первый параграф этого документа касается “неуполномоченного доступа к компьютерным данным” . Им установлено, что лицо совершает преступление, когда оно использует компьютер для выполнения любой функции с намерением обеспечить доступ к любой программе или данным, содержащимся в любом компьютере, если этот доступ заведомо неправомочен .
Так же стоит сказать об одним подтверждений серьезности проблемы компьютерных преступлений это вступление в действие в соединенном королевстве Закона о терроризме 2000 года . В законе определение терроризма впервые расширяется до области киберпространства. К примеру, благодаря данному документу, английские правоохранительные органы вправе считать террористическими действия, которые “серьезно вмешиваются или серьезно нарушают работу какой‑либо электронной системы”.
Немецкий Уголовный кодекс использует специальный термин – Daten , определение которого дается в статье 202 УК – это данные, которые сохранены или передаются электронным, магнитным или иным, непосредственно визуально не воспринимаемым способом, т.е. говоря языком обывателя, это компьютерные данные .
Так же пункт “b” статьи 303 УК охватывает такие преступления, как DNS‑атаки (компьютерный саботаж) и создание вредоносного ПО. В статье содержится термин компьютерный саботаж – вмешательство в обработку данных, которая является существенной для предприятия, государственных органов, или чьего‑либо способа ведения бизнеса , что является серьезным преступлением. Вмешательство может быть осуществлено путем уничтожения, повреждения, приведения в негодность, изменения компьютерной системы, или вмешательства в передачу данных .
Согласно статье 197 УК Испании, раскрытие и распространение тайных сведений без согласия их владельца, в том числе сведений из электронной почты, сведений, хранящихся в базах данных, перехват телекоммуникаций или использование записывающих и подслушивающих устройств предусматривает наказание в виде штрафа или заключения на срок от одного до четырех лет.
Уголовный кодекс Италии запрещает “неправомочный доступ третьих лиц к компьютеру или телекоммуникационной системе” , т.е. доступ к компьютерам или системам, защищенным мерами безопасности, либо доступ против выраженного или подразумеваемого желания владельца подобный доступ исключить. Ответственность за эти правонарушения ‑ лишение свободы на срок до трех лет (статья 615 УК).
1. Митник против Пентагона
В далеком 1983 году, тогда еще юный Кевин Митник , перед тем как дерзко взломать сайт Пентагона, на протяжении нескольких лет безнаказанно взламывал и использовал в своих целях телефонные сети США. В те годы, будучи еще студентом, с компьютера TRS-80 Митник проник в глобальную сеть ARPANet , предшественницу Internet, и через компьютер Лос-Анджелесского университета добрался до серверов министерства обороны США.
Вскоре взлом был зафиксирован, и юного киберпреступника довольно быстро нашли, в итоге он отбыл полгода в исправительном центре для молодежи. Много позже, уже в середине девяностых Митника обвинили по ряду эпизодов в нанесении ущерба на $80 млн и после обвинительного приговора на несколько лет посадили в тюрьму. После отбывания срока в тюрьме пионер кибертерроризма исправился и теперь играет за команду сильных.
2. Левин и крупнейший взлом Citibank
Действия происходили в 1994 году. Это ограбление стало первым в цепи противостояния российских хакеров и западного гиганта Citibank. Из материалов дела известно, что середине 1990-х годов петербуржец Владимир Левин проник во внутреннюю сеть американского банка, взломав аналоговое модемное подключение, и сумел перевести $10,7млн на счета в разные страны: США, Финляндию, Германию, Израиль и Нидерланды. Сообщники выдали россиянина властям. После Левина арестовали в марте 1995 года в Лондоне, а через три года следствия приговорили к трем годам лишения свободы.
3. 15-летний Джеймс нашел брешь в НАСА
На дворе уже 1999 год. И 15-летний хакер Джонатан Джеймс первым вскрыл систему Национального космического агентства США . Ему удалось получить доступ, взломав пароль сервера, принадлежащего другому правительственному учреждению, после чего Джеймс украл несколько важных файлов у НАСА, включая исходный код международной орбитальной станции. В тот момент агенство оценило ущерб в $1,7млн. Ввиду своего юного возраста Джеймс смог избежать тюрьмы.
4. Русский след и платежная система PayPal
Уже 2000 год. Челябинские ребята, 26-летний Василий Горшков и его 20-летний друг Алексей Иванов были арестованы ФБР в ноябре 2000 года в Сиэтле. Их обвинили в незаконном проникновении в корпоративные компьютерные сети PayPal, Western Union, а также американского банка Nara Bank. С домашних компьютеров злоумышленники украли 16 тысяч номеров кредитных карт, чем причинили ущерб на $25млн. В итоге Иванов получил четыре года тюрьмы, а его подельник Горшков – три, но с обязательством выплатить $700 тысяч компенсации.
5 Утечка исходного кода Windows 2000
Идем дальше, теперь 2004 год. Весь мир облетала новость о том, что 12 февраля 2004 года компания Microsoft заявила о краже исходного кода операционной системы Windows 2000. Было украдено порядка 600 млн байт данных, 31 тысяча файлов и 13,5 млн строк кода. Утечка информации коснулась и системы Windows NT4. Сначала корпорация заявила, что код был украден через партнерскую компанию Mainsoft, однако позже выяснилось, что данные были украдены прямо из самой сети Microsoft. Это не привело к серьезным финансовым потерям, поскольку Microsoft к тому моменту уже отказалась от развития этой версии ОС, однако ни компания, ни ФБР так и не сумели найти злоумышленников.
6. Снова русские хакеры против американской биржи
И вот уже 2013 год. В июле 2013 года власти США предъявили обвинения в мошенничестве и взломе компьютерных сетей пяти гражданам России и одному жителю Украины. Как утверждает следствие, речь идет об «одном из крупнейших киберпреступлений в истории» . Обвиняемым удалось взломать системы безопасности электронной биржи NASDAQ , крупнейших торговых сетей и ведущих банков Европы и США. В результате были похищены данные 160 млн кредитных карт и сняты средства с 800 тысяч банковских счетов по всему миру. Перед судом в Ньюарке предстал только москвич Дмитрий Смилянец, он был арестован по запросу ФБР в Нидерландах. Остальным участникам гуроппы удалось скрыться и избежать наказания.
7. Малварь Stuxnet и ядерная программа Ирана.
Не такой далекий 2010 год. Компьютерный червь Stuxnet успешно атаковал и частично вывел из строя ядерную систему Ирана. По иранским данным, осенью вирус заблокировал работу пятой части иранских центрифуг, при этом скопировал запись систем видеонаблюдения и прокрутил ее во время операции, чтобы служба безопасности ничего не заподозрила. Поскольку атака оказалась успешной, возникло предположение, что это разработка израильских спецслужб, которым помогали США. Позднее Эксперты «Лаборатории Касперского» увидели в нем «прототип кибероружия, создание которого повлечет за собой новую гонку вооружений» .
8. Хактивисты Anonymous против всех
Место действия США, Израиль и Россия, период 2012–2014 годы. В январе 2012 года был закрыт сайт MegaUpload. В знак протеста Anonymous провела крупнейшую в истории DDoS-атаку с применением специальной программы LOIC . На несколько часов были выведены из строя сайты ведомств США: ФБР, Белого дома, Министерства юстиции, а так же холдинга звукозаписи Universal Music Group, Американской ассоциации звукозаписывающих компаний, Американской ассоциации кинокомпаний, Американского управления авторского права. В апреле 2013 года Anonymous атаковали более 100 тысяч израильских сайтов. Общий ущерб от атаки сами хакеры оценили в $3 млрд. Акция стала ответом на операцию «Облачный столп», прошедшую в ноябре 2012 года. Также хактивисты во время украинского кризиса в марте подвергли мощной атаке правительственные сайты РФ и сайты российских СМИ.
За последние годы за хакерство и незаконный доступ к информации было осуждено множество людей. Вот некоторые из этих случаев:
- И еще раз о Митнике. Его арестовали 15 февраля 1995 года в городе Рэлей, Северная Каролина, после того как его сумел выследить компьютерный эксперт Цитому Шимомура . После признания Митником вины по большинству предъявленных ему обвинений, его приговорили к 46 месяцам реального и трем годам условного заключения . Вдобавок его обязали выплатить множество штрафов. Митника выпустили из тюрьмы 21 января 2000 года.
- Пьер-Ги Лавуа (Pierre-Guy Lavoie), 22-летний канадский хакер, был приговорен к 12 месяцам общественных работ и условному заключению на 12 месяцев за подбор паролей с целью проникновения в чужие компьютеры. Его осудили по канадскому законодательству.
- 38-летний Томас Майкл Вайтхэд из города Бока Рэйтон во Флориде, стал первым человеком, осужденным по американскому Digital Millennium Copyright Act (DMCA). Ему, в рамках программы генеральной прокуратуры по противостоянию компьютерному хакерству и нарушениям интеллектуальной собственности, предъявили обвинения в продаже устройств, которые можно использовать для нелегального приема вещания спутниковой системы DirecTV.
- Серж Хампич (Serge Humpich), 36-летний инженер, был приговорен к 10 месяцам заключения и обязан выплатить 12 тысяч франков штрафа и символический один франк Groupement des Cartes Bancaires, организации, занимающейся обслуживанием электронных платежных карт.
- Первого июля 2003 года Олег Зезев, известный как Alex, гражданин Казахстана, был приговорен манхэттенским федеральным судом к 51 месяцу заключения после признания его виновным в компьютерном вымогательстве.
- Матеас Калин, румынский хакер, был арестован вместе с пятью гражданами США по обвинению в краже более 10 млн USD у компании Ingram Micro из Санта-Аны, Калифорния. В настоящее время (конец 2004 года) Матеас и его сообщники ожидают решения суда, которое грозит обернуться 90 годами тюремного заключения.
- 27 марта 2006 года семейная пара из Великобритании Рут и Майкл Хефрати (Ruth и Michael Haephrati), осужденная в Израиле за разработку и продажу троянской программы, была приговорена к четырем и двум годам тюремного заключения соответственно. Их также обязали выплатить компенсацию в размере 2 миллионов шекелей (428 000 долларов) . Они продали свою троянскую программу частным детективам, которые использовали ее для получения доступа к персональным данным конкурентов по бизнесу своих клиентов.
- Ставший печально знаменитым британский хакер Гари Маккиннон (Gary McKinnon) ожидает экстрадиции в США за взлом в 2002 году 97 компьютеров американского военного ведомства и НАСА, который один американский прокурор назвал «величайшим военным компьютерным взломом всех времен». Адвокаты Гари Маккиннона подали серию апелляций и (на момент написания этой заметки в марте 2010 года) продолжают оспаривать процессуальные действия по экстрадиции. Если его привлекут к ответственности и осудят по американским законам, хакеру грозит до 70 лет тюрьмы .
Имя хакерской группировки Fancy Bear хорошо известно в среде специалистов по информационной безопасности, именно так западные коллеги называют предположительно российскую группу правительственных хакеров, также известную под именами Sofacy, APT28, Sednit, Pawn Storm и Strontium и так далее.
Отмечается , что эти группы хакеров имеют отношение к взлому правительственных организаций, технологических компаний, военных подрядчиков, энергетических и производственных компаний и университетов в США, Канаде, Европе и Азии. В частности, группа Cozy Bear смогла получить несанкционированный доступ к системам электронной почты Белого Дома, Госдепартамента и Объединённого комитета начальников штабов в 2014 году.
А 13 сентября 2016 года хакеры, называющие себя Fancy Bears, опубликовали на своем сайте ряд документов, похищенных у Всемирного антидопингового агентства (ВАДА). Так, хакеры обнародовали свидетельства того, что в ходе соревнований американские атлеты принимали запрещенные препараты, но все равно были допущены до участия в Олимпиаде. При этом представители ВАДА подтвердили факт взлома своих систем и утечку данных, заявив, что их атаковали хакеры из России.
В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!
Ответственность исполнителя при создании сайта
несу ли я какую то ответственность при создании моего сайта ? За что могут привлечь меня к ответственности при ведении моего сайта?
Ваш вопрос очень объемный. Всё зависит от того, что Вы будете там размещать. Спектр ответственности может быть очень широк — от незаконной предпринимательской деятельности (интернет-магазин), до терроризма… Конкретизируйте — что за сайт, информационная начинка и т.п.
Здравствуйте, Татьяна. Все зависит от того, с какой целью разрабатывается сайт и каким контентом он будет наполнен. Если Вы не будете нарушать законные права правообладателей — использовать в оформлении сайта не принадлежащие Вам фото-, видео- файлы, иную информацию, включая элементы дизайна и т.п., то есть то, что является охраняемым законом результатом интеллектуальной деятельности и и приравненным к нему средствам индивидуализации (статья 1225 ГК РФ) — Вас не смогут привлечь к ответственности за нарушение этих прав. Согласна с коллегой, вопрос слишком объемный и все будет зависеть именно от наполнения сайта и сферы его использования. Законодательство охватывает разные аспекты, и предусмотеть, за что именно Вас можно привлечь к ответственности при «ведении» сайта, не зная, для чего он предназначен, невозможно. С уважением, Татьяна.
Татьяна, добрый день!
Само по себе создание сайта не влечет за собой ответственность.
Вместе с тем, ответственность может наступить вследствие той деятельности, которую Вы намереваетесь вести с использованием информационного ресурса.
Кроме того, следует принять во внимание, что с 01 августа 2014 года Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 19.12.2016) «Об информации, информационных технологиях и о защите информации» регламентирует деятельность владельцев всех популярных сайтов и страниц, а равно аккаунтов в соцсетях.
Владелец сайта и (или) страницы сайта в сети «Интернет», на которых размещается общедоступная информация и доступ к которым в течение суток составляет более трех тысяч пользователей сети «Интернет» (далее — блогер), при размещении и использовании указанной информации, в том числе при размещении указанной информации на данных сайте или странице сайта иными пользователями сети «Интернет», обязан обеспечивать соблюдение законодательства Российской Федерации.
Для более подробного ответа потребуется уточнение Вашего вопроса.
В 2014 г. заключил договор на создание сайта. Исполнитель частично сделал его без наполнения, хотя в договоре прописано копирайтинг, логотип без установки на сайт, после чего заявил, что цены он устанавливать не будет так как это доп. услуги. Пока мы разбирались что доп. услуги, что нет- сайт на хостинге вообще удалили. Разработчик заявил что это моя вина, несмотря на то что в договоре прописано услуги хостинга. Вопрос такой: должен ли разработчик передавать сайт на материальном носителе и подписывать акт приема передачи, исполнитель считает, что работы он выполнил, я считаю, что нет? Я заплатил деньги, а в итоге сайт вообще не существует, т.к. разработчик у себя ничего не хранил, только на хостинге. И кому мне предъявлять претензии разработчику или хостингу?
Здравствуйте! Интересует вот какой вопрос: является ли уголовно наказуемым деянием создание сайта и контента на него для заказчика, который занимается киберпреступлениями? То есть сайт как таковой не является орудием преступления, сайт и контент лишь рекламный инструмент. Спасибо!
Добрый день! Мне срочно (сегодня ) нужно доработать договор на создание сайта. Сам договор есть, по пожеланию второй стороны нужно доработать некоторые моменты и добавить словарь терминов. — Но нашим юристам не понравился договор: нет упоминания о том, какой именно сайт производится, нет словаря терминов, используемых в приложении № 1, почему-то в договоре указано ООО «Ольга» в качестве, контактной организации, нет копий учредительных документов, есть пункт, который неприемлим, он тербует доработки, насчет того, что если Заказчику не понравилось — аванс остается у Исполнителя. Нужен пункт о том, что стороны пытаются сделать все возможное и невозможное для создания качественного веб-продукта… Сейчас договор выглядит по выражению юристов — несколько враждебным по отношению к Заказчику и никак не гарантирует создание сайта. Поэтому надо срочно доработать договор, сделаеть его очень подробным, в договор вписать все этапы производства работ, словарь терминов…
Здравствуйте, могу ли я нести ответственность за создание сайта для продажи не легальных справок? Я вроде не при чем или нет?
Здравствуйте! В 2019 г мы обратились в компанию для создания сайта для нашей компании. Договор был заключен между ООО (заказчик) и ИП (исполнитель). По договору у нас было создание сайта и его продвижение. Оплата нами произведена в полном объеме, акты подписаны обеими сторонами. В договоре у нас указано, что сайт создается под конкретным доменным именем. Т.е. на основании этого имени у нас был создан сайт, а не на конструкторе. Таким образом, без доменного имени у нас фактически не будет сайта. Исполнитель оказался недобросовестным и фактически просто взял нас в “заложники” и мы не можем просто от него уйти. После того , как он выполнил свои обязательства по созданию и продвижению сайта, он через пол года сообщает, что у нас имеется задолженность по оплате за хостинг и домен. Мы оплатили и сообщили, что не хотим далее с ними сотрудничать, а хотим напрямую оплачивать , так как фактически исполнитель является посредником.Также регулярно нас не устраивала работа данной компании и были конфликты. Нам отказали . Через какое-то время нам вновь сообщают, что мы обязаны оплатить, так как мы уже пользуемся несколько месяцев в долг. Опять нас вынудили с ними работать. Мы попытались перенести сайт на платформу регистрации доменов, т.е. напрямую чтобы платить, а не посредникам. В итоге выяснилось, что домен не принадлежит нашей организации, а принадлежит исполнителю. Мы потребовали передачу прав нам, как законному владельцу. При этом у нас был не оплачен еще счет за хостинг, которым мы пользовались, с их слов, в долг. Нам сказали, что после того, как мы оплатим счет, нам будут переданы права на домен и доступ к сайту (логин и пароль). Есть соответствующая переписка. Мы оплатили. Доступ нам к сайту дали -логин и пароль. Мы решили сменить пароль, на что у нас не было прав. мы обратились к исполнителю, на что нам сказали, что смена пароля и логина возможна лишь через них. Т.е. фактически у них всегда будет доступ к редактированию нашего сайта и внесению в него какой-либо информации. также, как мы начинали говорить, что мы не будем платить за домен и хостинг, так как мы не хотим с ними работать, нас шантажировали, что на нашем сайте разместят информацию о нас, что мы мошенники и тому подобное. К доменному имени нам доступ не дали. И отказывают в этом. дело в том, что мы даже новое имя доменное сайту не можем сделать. Так как другого имени просто невозможно сделать. В итоге нам в январе месяце опять начинают писать, что необходимо оплатить домен. мы понимаем, что это просто бесконечно будет и мы просто не можем никак отказаться от их услуг, мы сообщаем, что платить не будем. В связи с тем, что домен не оплачен, на нашем сайте они разместили баннер о том, что услуги сайта не оплачены. При этом сайт доступен, его не отключили. Мы написали претензию и дали срок в 2 календарных дня на то, чтобы исполнитель передал права нам, как законным владельцам. Нам отказали и просто , можно сказать, отправили куда подальше. Сегодня второй календарный день, наши требования не выполнены и нас послали вновь. При этом сообщили, что так как мы отказались от оплаты, домен принадлежит неизвестно кому, они не знают кому. Уточнять информацию мы должны каким-то образом сами. При этом по информации , доменное имя зарегистрировано на данную компанию и оплачено до 2022 года. Исполнитель заявляет на это то, что скоро этой информации не будет отображено. Фактически мы не являемся владельцем собственного сайта, за который отдали немалые деньги , а также за его продвижение. А также в полной мере мы не можем им пользоваться. И уйти , например, на другой хостинг от них. При этом , если бы я была потенциальным клиентом и зашла на сайт, где висит красный баннер с информацией и задолженности компании, я бы просто не стала бы обращаться в эту компанию, так как я бы понимала, что у компании нет денег даже оплатить сайт. Они нам просто портят репутацию. И даже если предположить то, что доменное имя уже кому-то принадлежит, то фактически сайт теперь нам не принадлежит. Без этого имени сайт не будет существовать. Помогите, как быть? Можем ли мы потребовать возврата денег в полном объеме, если сайт фактически не наш и мы им не можем в полной мере пользоваться, а также то, что там размещен этот баннер?
Что надо знать про гражданско-правовую ответственность?
В первую очередь надо знать, что она может наступать вследствие следующих обстоятельств:
- Исследование повлекло за собой нарушение авторских прав.
- В ходе исследования был причинен вред личности или имуществу.
- Были нарушены условия использования (лицензия) исследуемого объекта.
Кейс 1. Авторские права
В большинстве случаев исследуемый сайт или программа представляет собой полноценный объект авторских прав. Следовательно, его правообладателю принадлежит исключительное право в отношении такого объекта (статья 1270 Гражданского кодекса РФ). Это означает, что по общему правилу именно правообладатель определяет, можно ли копировать его объект (полностью или частично), вносить в него изменения, искажения, модифицировать его.
Для понимания представим ситуацию: изучив сервис на уязвимости, исследователь скопировал часть программного кода этого сервиса и сохранил его на своем носителе. Такое копирование представляет собой использование объекта авторских прав (кода программы) путем его воспроизведения. Это значит, что фактически объект авторских прав был использован исследователем без согласия на то правообладателя. Формально это будет считаться нарушением прав последнего.
Поэтому если в ходе исследования на уязвимости произведено (даже фрагментарное) копирование, модификация, изменение, искажение исследуемого объекта авторских прав, то формально это может быть признано нарушением исключительного права его правообладателя на свой объект. Ниже — самый простой пример из практики.
Условия использования материалов сайта registre.ru
Материалы, размещенные на сайте www.registre.ru, принадлежат ООО «Профдело» и запрещены для перепечатки. В случае незаконной перепечатки материалов сайта нарушитель выплачивает правообладателю неустойку в размере 10 000 рублей за каждую статью или часть статьи.
Что понимать под «материалами», однозначно не ясно. Речи о том, что это правило касается только опубликованных статей, тоже нет. Поэтому если представить ситуацию, что при тестировании этого сайта на уязвимости какие-то материалы (будь то тексты неопубликованных статей или фрагменты программного кода скриптов) были скопированы исследователем, то с определенными оговорками можно будет считать, что при таком копировании он нарушил авторские права владельца этого сайта.
Если же говорить про размер ответственности за такое нарушение в денежном выражении, то он определен в статье 1301 Гражданского кодекса РФ:
- от десяти тысяч до пяти миллионов рублей (по усмотрению суда);
- в двукратном размере стоимости лицензии на исследуемый объект (для его использования тем способом, которым он использовался в ходе исследования).
Ответчика также могут обязать возместить правообладателю убытки, понесенные им в ходе исследования. При этом закон не ограничивает размер подобных убытков. Поэтому если правообладатель сможет доказать их размер (даже если он будет больше пяти миллионов), то выплачивать надо будет заявленную сумму. Как будут доказываться убытки — уже другой вопрос, выходящий за рамки этой статьи.
Кейс 2. Вред личности или имуществу
Помимо нарушения авторских прав, ответственность предусмотрена еще и за вред личности или имуществу (глава 59 Гражданского кодекса РФ). По общему правилу вред, причиненный личности или имуществу гражданина, а также вред, причиненный имуществу юридического лица, подлежит возмещению в полном объеме лицом, причинившим вред. В свою очередь подозреваемый освобождается от возмещения убытков, если докажет свою невиновность.
Более наглядно это можно объяснить так. Представим ситуацию: есть программный комплекс, который отвечает за автоматическую подачу горячей воды в жилые дома. Если исследование на уязвимости стало причиной выведения этого комплекса из строя, то владелец вправе будет рассчитывать на взыскание с исследователя всех понесенных им убытков (включая расходы на ремонт и повторный запуск оборудования). Если те же действия стали причиной нанесения вреда имуществу в тех домах, подачу воды в которые обеспечивал программный комплекс, то и владельцы квартир (а также владельцы пострадавшего имущества в квартирах) тоже будут вправе рассчитывать на взыскание своих убытков.
То есть следует понимать, что если в результате тестирования будет выведен из строя дорогостоящий и сложный программный продукт, то последствия могут быть серьезными, равно как и ответственность за них. И денежные взыскания здесь спокойно могут превышать те пределы, о которых мы говорили, рассматривая случаи с нарушением авторских прав.
Кейс 3. Нарушение условий использования (лицензии)
Зачастую объект исследования (будь то сайт, программное приложение или иной сервис) имеет собственные условия использования. Они могут называться правилами использования, условиями сервиса, лицензией на программу или по-другому. В этих условиях может быть предусмотрена дополнительная ответственность пользователя за действия, которые он совершает по отношению к объекту исследования.
Смотри выше пример про сайт «Профдело». Хоть там и некорректно написаны положения об авторских правах, можно считать, что в этом случае для исследователя как раз предусмотрена ответственность за нарушение условий использования сайта — десять тысяч рублей за каждую статью или ее часть.
Кроме того, может идти речь и о возмещении убытков владельцу исследуемого ресурса. Пара примеров для наглядности.
Условия использования сайта
Пользователь обязуется возместить убытки ООО «Сноб Медиа», включая судебные расходы, обусловленные материалами Пользователя, несоблюдением положений настоящего Соглашения или нарушением прав третьих лиц, вне зависимости от того, является ли Пользователь зарегистрированным или нет. Пользователь несет персональную ответственность за действия при пользовании Сайтом, включая, помимо прочего, оплату стоимости доступа к интернету в процессе такого использования.
Условия оказания услуг
- Компенсация
При нарушении настоящих Условий обслуживания, а также других правовых требований, в случае нарушения прав третьих лиц и при инициировании судебного процесса, в результате такого нарушения, вы соглашаетесь, что Компания и ее филиалы, менеджеры, агенты, сотрудники, службы или контент-провайдеры, распространители и продавцы освобождаются от юридической ответственности в связи с таким нарушением. Также вы соглашаетесь компенсировать вышеперечисленным субъектам все убытки, ущерб, гражданскую ответственность и расходы (включая разумные расходы на оплату услуг адвоката и иные судебные издержки), понесенные в результате этого.
Согласно этим текстам, исследователь, действия которого приведут к убыткам для владельцев сайтов snob.ru и ru.besv.com, может быть привлечен к ответственности за эти убытки. И если вина будет доказана, он будет вынужден возместить ущерб.
Встречаются даже ресурсы, чьи условия использования прямо содержат запрет на поиск уязвимостей.
Правила и условия регистрации на сайте Masters of Taste
В частности, Пользователи не должны: [. ]
- пытаться оценить или проверить уязвимость Сайта, а также нарушать правила безопасности и системы идентификации пользователей Сайта без предварительного письменного согласия Организатора.
Условия использования (оферта) сайта kartatalanta.ru
Используя Сайт, Зарегистрированный пользователь обязуется не нарушать или пытаться нарушать информационную безопасность Сайта, что включает в себя: [. ]
- 5.2. попытки проверить уязвимость системы безопасности Сайта, нарушение процедуры регистрации и авторизации без разрешения Исполнителя;
Поэтому перед тестированием на уязвимости конкретного программного продукта нелишне будет ознакомиться с правилами его использования: посмотреть, не упомянуты ли в них запреты таких действий и не указана ли потенциальная ответственность за них.
Позднее обращение
Когда взломанный сайт попадает к специалисту по информационной безопасности, часто с ним уже успели поработать и «наследить» веб-мастер, служба тех. поддержки хостинга и другие специалисты в попытках вернуть сайт к жизни или восстановить из резервной копии. Вместо того, чтобы в момент инцидента немедленно обратиться к «безопасникам», веб-мастера начинают тянуть время или самостоятельно «лечить» сайт. В результате старые логи с критически важными данными удаляются и хакерские файлы с временными метками исчезают бесследно, а специалистам по ИБ остается только гадать на кофейной гуще.
К сожалению, в настоящее время раскрытие интернет-преступлений, связанных со взломом сайтов, остается для нашего общества все еще сложной задачей.
Как же быть? Неужели совсем ничего нельзя сделать? Отнюдь. Оптимальным решением для владельцев интернет-магазинов на сегодняшний день являются превентивные меры защиты и регулярная диагностика сайта на предмет взлома и заражения. То есть не ждать, пока сайт взломают, и затем пытаться совершить акт возмездия, а позаботиться о безопасности веб-ресурса заранее и исключить сам факт взлома.
Все верно написано. Комерсу надеяться не на что. Расследование будет стоить колоссальных денег. И большинству магазинов такое расследование не по карману.
Про 5 000 улыбнулся, специалисты берут в час значительно больше. Речь о профи в этой области, а их мало.
В случае взлома госзаказчика — как раз отдел К не дремлет, как и другие специальные службы. И взламывать госсектор опасно, так как можно (в 90% случаев) огрести в гости большого брата, который может увидеть всё и вся. И расследовать будут не потому, что заплатили, а потому что это государственная безопасность.
Мы знаем прецедент, когда через одну страну ХХХ пытались взломать одну государственную структуру. И подставные прокси и всё было скрыто. Но, коллеги из силовых структур той страны оказали содействие нашим коллегам, далее соединили все данные. И, стоит отметить, виновный получил свое наказание.
Также можно припомнить случай, когда ддосили сайт Аэрофлота. Это — одно из немногих уголовных дел, где найден заказчик ДДОС-атаки.
Еще несколько лет назад мы узнавали от программ мониторинга серверов о том, что сайт подвергся атаке по косвенным показателям возросшего сетевого трафика, нагрузки на процессор или отказа веб-сервера или базы данных. Получение уведомлений о неполадках давало сигнал системному администратору мониторить логи сервера и обеспечивать защитные меры, выражающиеся в блокировке отдельных «плохих» IP, установке дополнительных HTTP паролей на особо важные части сайта, установке обновлений на все серверное ПО.
Такой способ фиксации атаки на сайт — не совсем корректный, так как он не сообщает вам, прошла ли атака на сайт успешно, заражен ли сайт в итоге? Ведь, если атака прошла успешно, на ваш сайт может быть заложена бомба замедленного действия. «Закладка» может долго о себе не напоминать и, например, сливать трафик с вашего сайта или воровать у пользователей аккаунты или вообще делать все, что угодно, о чем вы узнаете только спустя какое-то время.
Мы очень хотели знать, что происходит с нашими сайтами здесь и сейчас и приступили к разработке модуля активной безопасности, в первую очередь для защиты собственных веб-ресурсов.
Мы определили следующие требования к нему:
— модуль должен подсказывать, были ли изменения в системных файлах CMS и если были, то какие именно в каком именно файле;
— модуль должен сигнализировать о наличии вредоносных конструкций в запросах, чтобы своевременно засечь начало сканирования сайта на уязвимости (на этом этапе можно было насторожиться и начать мониторинг злоумышленника или сразу заблокировать его);
— модуль должен бесконечно проверять все файлы сайта на наличие вирусов, чтобы мгновенно отреагировать на заражение. (очень актуально, если пароль к FTP был компрометирован или хостинг «дырявый», что также бывает часто, но в этом никто не признается).
Три описанных выше компонента позволяют сказать однозначно — «ваш сайт в полном порядке» или «вас взломали!» Спустя некоторое время мы дополнили модуль еще возможностью автоматически выполнять блокировку IP и лечение файлов. После окончательного тестирования мы приняли решение включить данный компонент в состав нашего продукта «ReadyScript Мегамаркет» и теперь им пользуются наши клиенты.
Проблема уязвимости веб-сайтов чрезвычайно актуальна, особенно в среде бесплатных CMS, где уязвимости находят гораздо чаще в силу их распространенности, универсальности и доступности.
В своей работе мы часто сталкиваемся со случаями массового взлома сайтов с движком от Joomla! или WordPress, а также их плагинов, теми же ботами, указанными в статье. Большая часть заражений случается из-за довольно-таки банальных причин:
в первую очередь, это отсутствие последних обновлений безопасности для CMS;
использование небезопасных плагинов для CMS, использование старых или неактуальных версий плагинов;
отсутствие регулярных (не реже раз в год) обновлений программного обеспечения веб-сервера, если это виртуальный сервер;
использование небезопасного, а зачастую и неумело «самонастроенного» хостинга;
использование слабых или распространенных паролей для административной части сайта.
И самое главное, отсутствует понимание, что сайту, особенно на бесплатной CMS, необходим контроль и ежемесячное административное, а иногда и техническое обслуживание.
На мой взгляд, среднестатистическому владельцу сайта не стоит особо рассчитывать на поимку взломщика и получение от него компенсаций. Взлом сайта — это прежде всего недоработка его владельца, чем «заслуга» хакера, и состоит она в следующем:
Вы неаккуратно пользуетесь имеющимися у вас инструментами управления сайтом: не используете HTTPS-подключение, антивирус на своем компьютере, программы для безопасного хранения паролей, используете легко подбираемые имена пользователей и пароли.
В программном коде вашего сайта есть уязвимость. Для создания сайта нужно либо использовать CMS с большим «возрастом» обновлений, где с большой долей вероятности уже устранена подавляющая часть возможностей проникновения, либо заказывать индивидуальное создание сайта разработчику, который может убедительным для вас способом подтвердить отсутствие «лазеек».
В обоих случаях имеет смысл дополнительно выполнить индивидуальную проверку на наличие возможностей взлома, обратившись в специализированную компанию.
Что касается наказания для хакера, то сразу после обнаружения случая взлома нужно, конечно, обратиться в полицию и предоставить максимальный объем информации, которая может помочь в расследовании. Даже если ваш личный случай взлома полностью расследовать не удастся, ваши данные помогут правоохранителям учитывать их при расследовании других аналогичных случаев. Таким образом, не получив прямой компенсации, вы тем не менее будете способствовать поимке преступника и его наказанию в конечном итоге.
Во многих случаях без сотрудничества с органами/провайдерами других стран найти злоумышленника невозможно. Это ограничивает возможности среднестатистического владельца сайта по поиску и наказанию виновного.
Однако, иногда возможно самостоятельно собрать достаточно информации, даже когда злоумышленник использовал цепочку подставных IP адресов в странах третьего мира, а наши правоохранительные органы не спешат выходить с ними на контакт. Особенно, если ваш сайт был взломан целенаправленно. В таких случаях, до самой атаки злоумышленник анализирует сайт и не всегда предпринимает серьезные меры предосторожности, при этом ранее он мог быть пользователем или даже администратором сайта. Здесь важно выявить взаимосвязи.
К нам обратился клиент с подозрением на взлом сайтов, размещенных на одном сервере. Быстрый аудит выявил 3 сайта со следами несанкционированного доступа. Помимо устранения последствий и реализации плана по их предотвращению в будущем, клиент хотел установить причины. Его специфика была такова: за отдельные работы по каждому из сайтов отвечали разные подрядчики/субподрядчики. Предстояло оценить степень вины и ответственности каждого.
Изначально мы искали единую первопричину, но расследование инцидента привело нас к трём разным. И если в первом случае проблема была в автоматизированном взломе распространенной бесплатной системы управления, которую использовали разработчики, то два других оказались интереснее.
Наличие логов (журналов доступа) и бекапов (резервных копий) за последние 5 лет помогло выявить сотрудников агентства, забывших удалить один из служебных установочных файлов системы управления. Спустя несколько недель файл был удален, но их было достаточно для заливки вредоносного кода, который был использован намного позже.
Взломавшего третий сайт выдала неудачная попытка авторизации незадолго до взлома. Обратив на это внимание, удалось выяснить, что чуть менее года назад он действительно имел доступ к панели управления сайта. Один из IP адресов в логах авторизации указывал на экзотическую локацию, по которой, в совокупности со спецификой использования взломанного ресурса, удалось однозначно установить ФИО фрилансера, который работал в то время на субподряде у обслуживающего сайт агентства.
Примечательно, что до нас клиент обратился в компанию, которая за несколько тысяч рублей обещает вылечить и защитить любой сайт. Их отчёт начинался со слов «сайт просканирован на наличие всех видов хакерских скриптов», при этом проблема не была выявлена и устранена, равно как и её причины. Зато установленная «типовая защита» нарушила работоспособность сайта и вызвала ещё больше вопросов у клиента.
Большинству владельцев сайтов рассчитывать на бесплатную или недорогую помощь не приходится, но зачастую извлечь полезную информацию из произошедшего можно. Важно хранить логи и бекапы на внешнем изолированном ресурсе настолько долго, насколько это возможно.
Лучше размещать сайт на выделенном сервере в компании, у которой есть свои системные администраторы, разработчики и специалисты по информационной безопасности. Заключив договор на обслуживание, вы передадите им все полномочия и ответственность за инфраструктуру.
Конечно, вы не сможете полностью исключить взломов, но наличие компетенций и единого ответственного поможет своевременно обнаружить попытки взлома, оперативно устранить последствия. В некоторых случаях вы даже сможете определить виновных/злоумышленников. Но, несмотря на наличие автоматизированных инструментов, для этого понадобится существенное количество времени работы специалистов.
Как избежать санкций?
- Хотите выставить контент, который нашли на просторах интернета — убедитесь, что автор дал свое разрешение на его использование. Для этого попробуйте найти первоисточник произведения (например, изображения удобно искать через Google Картинки) или свяжитесь с автором напрямую.
- Обращайте внимание на типы лицензий изображений, которые вы берете с фотобанков и стоков — даже купленный контент не всегда можно использовать в коммерческих целях.
- Помните, что цитировать отрывки произведений можно без согласия автора, но с обязательным указанием его имени. Цитирование допустимо в научных, полемических, критических, информационных и учебных целях.
- Если у вас есть сотрудники, обязательно пропишите в трудовом договоре пункт о переходе всех исключительных прав на созданные объекты заказчику или работодателю
- Убедитесь, что домен и программное обеспечение вашего сайта не нарушают чьи-либо авторские или исключительные права. Название домена не может содержать название чужих товарных знаков, а программные элементы сайта должны быть оригинальными (или убедитесь, что у вас есть право на использование частей кода).
Еще один важный блок правил, обязательный для исполнения владельцам сайтов, сформулирован в законе «О защите прав потребителей». Этот закон в первую очередь применим к ресурсам, принимающим оплату онлайн, а также различным интернет-сервисам и приложениям.
15 топ-менеджеров , которые вывели свои компании на лидирующие позиции в рейтинге ESG.
Для защиты от возможных исков покупателей или пользователей сайта создается особый вид договоров, который устанавливает «правила игры» на вашем ресурсе — публичная оферта. Обычно в качестве такого документа выступают «Правила продажи» или «Пользовательское соглашение».
Следуйте этим правилам, чтобы правильно составить или проверить вашу публичную оферту:
- 1. Четко обозначьте понятия
В документе описываются все основные понятия (обычно не более 20), и ошибки в их определении приводят к искажению положений публичной оферты, таким образом, некоторые пункты становятся недействительными, что может привести к серьезным проблемам.
- 2. Строго обозначьте круг лиц, отношения которых будет регулировать Пользовательское соглашение
У простых посетителей и пользователей сайта встречаются различные права и обязанности – например, вы можете выделить Администраторов, Модераторов, Клиентов, Пользователей, Посетителей и так далее. Круг лиц, на которых действуют Соглашение, будут использовать ресурс в рамках установленных правил. Для нарушителей требований вы можете установить заранее определенные санкции.
- 3. Определите назначение и возможности вашего интернет-ресурса
Этот пункт особенно важен для интернет-ресурсов, которые в отдельных случаях можно использовать не по назначению или во вред другим. Описывая очевидные вещи, вы защищаете себя от возможных судебных исков.
- 4. Обозначьте пользовательский контент
В случае если на вашем сайте есть возможность размещения пользовательского контента, обозначьте основные правила относительно его использования. Этот пункт будет носить характер лицензионного соглашения между вами и пользователями и обезопасит от возможных претензий.
- 5. Предоставляйте использование электронных сервисов и приложений под условием «как есть»
Владельцы интернет-сервисов и приложений часто добавляют в Соглашение юридическое условие «как есть» — это условие снижает уровень ответственности владельца сервиса или приложения. Такой способ помогает избежать ответственности за различные «баги» системы.
- 6. Пропишите «Политику конфиденциальности»
Сбор персональных данных (ФИО, email, телефон и так далее) без согласия пользователей запрещен на законодательном уровне. «Политика конфиденциальности» описывает цель и порядок сбора информации о пользователях.
- 7. Обозначьте возможность осуществления рекламной рассылки
Пропишите в документе цели и характер возможных email или sms-рассылок. Укажите, что вы оставляете за собой право осуществлять рассылку в рекламных, ознакомительных и иных целях, уместных для вашего ресурса.
Самые актуальные материалы — в Telegram-канале Rusbase
Интервью адвокат Павла Домкина для журнала «Системный администратор»
Последние изменения в Уголовном кодексе России затронули все три «компьютерные состава преступления»: статью 272, 273, 274 УК РФ. Законодатель не пошел по пути внесения корректив в содержание статей, а предпочел пересмотреть их в полном объеме. Перечисленные статьи не претерпевали изменений по существу с 1997 года. За это время правоохранительными органами был накоплен определенный опыт расследования данной категории дел, выявлены сложности применения закона, в результате чего законодательный орган решил полностью пересмотреть указанные статьи, одновременно ужесточив ответственность за совершение компьютерных правонарушений.
Итак, статья 272 УК РФ — Неправомерный доступ к компьютерной информации.
Если ранее данная статья состояла из двух составных частей, то в настоящий момент в ней содержится уже четыре части.
Так, отдельным квалифицирующим признаком стало совершение неправомерного доступа к компьютерной информации из корыстной заинтересованности. Определенный парадокс заключается в том, что максимальное наказание за неправомерный доступ из корыстной заинтересованности наказывается 6 месяцами лишения свободы, а тоже самое деяние, совершенное без подобной заинтересованности (например, из любопытства), наказывается двумя годами лишения свободы.
Крупный ущерб, причиненный в результате неправомерного доступа, то есть составляющий сумму свыше одного миллиона рублей, также наказывается лишением свободы до шести месяцев. Представляется, что подобная нелогичность размеров наказаний — это техническая ошибка депутатов, которая в дальнейшем будет исправлена.
Третья часть статьи 272 УК РФ в особом порядке наказывает неправомерный доступ к компьютерной информации, если он был совершен группой лиц по предварительному сговору, организованной группой либо с использованием служебного положения. Как и прежде, максимальное наказание за подобное деяние предполагает лишение свободы сроком до пяти лет.
Правовой новеллой стала часть 4 статьи 272 УК РФ, которая ввела ответственность вплоть до семи лет лишения свободы за неправомерный доступ, если он повлек за собой тяжкие последствия либо угрозу их наступления. Думается, что введение четвертой части должно стать особым сдерживающим барьером от совершения неправомерных действий.
Какие правовые последствия ждут пользователя в случае установления факта использования нелицензированного или взломанного ПО в рамках последней редакции закона?
В случае если стоимость нелицензионного программного обеспечения превышает сто тысяч рублей, лицо, виновное в его неправомерном использовании, может быть привлечено к уголовной ответственности по статье статьи 146 УК РФ – Нарушение авторских или смежных прав.
Если стоимость нелицензионного ПО менее указанной суммы, лицо может быть привлечено к административной ответственности по статье 7.12 КоАП РФ.
Привлечение к данным видам ответственности не исключает и материальных претензий (исков) со стороны правообладателя в порядке статьи 1301 Гражданского кодекса РФ.
Если на компьютере пользователя будут обнаружены средства преодоления защиты нелицензионного ПО, а проведенная по делу экспертиза, укажет, что нелицензионное ПО было «взломано» с помощью обнаруженных программ, то пользователь, учитывая вышеуказанную порочную правоприменительную практику, рискует быть привлеченным к ответственности по статье 273 УК РФ.
Можно ли возбудить уголовное дело при обнаружении “вареза” на компьютере пользователя без соответствующего прямого заявления-иска организации, владеющей правами на данный конкретный программный продукт и понесшей в связи с этим некие гипотетические убытки?
Расследование всех «компьютерных» составов преступлений в соответствии с законом осуществляется в публичном порядке. Это означает, что уголовные дела могут возбуждаться без какого-либо заявления потерпевшей стороны. Подобный порядок распространяется и на статью 146 УК РФ (Нарушение авторских или смежных прав), за исключением случаев совершения плагиата.
Насколько я знаю, в некоторых западных странах, “варез” можно устанавливать на домашние компьютеры и это не влечет каких-то уголовных последствий до тех пор, пока это ПО не используется в коммерческих целях и нет прямых доказательств получения некой коммерческой выгоды от его использовании, — существует ли подобная специфика в России?
Думаю, что подобная информация является ошибочной. Основополагающим международным нормативным актом в сфере компьютерных технологий, положенным в основу многих национальных законов западных стран, является Конвенция о компьютерных преступлениях СДСЕ №185, открытая к подписанию в Будапеште 23/11/2001. Одним из принципов данной Конвенции является установление уголовной ответственности за факт приобретения и использования нелицензионного ПО.
Использование нелицензионного ПО «для домашних потребностей» не освобождает от ответственности. Национальный закон России четкого разграничения между коммерческим и домашним использованием также не предполагает. Статья 1273 ГК РФ не допускает возможности использования программы для ЭВМ в личных целях без согласия автора и (или) выплаты ему соответствующего вознаграждения. Хотя нужно отметить, что практика привлечения к уголовной ответственности в России за использование нелицензионного ПО в «домашних целях» до сегодняшнего дня фактически отсутствует.
Следуя буквальной трактовке закона, каким образом я угрожаю защите электронной информации других лиц, если я настаиваю, что устанавливаю все эти “кряки” для личного «ознакомительного» использования?
Получение, приобретение и хранение “кряков” никак не наказывается с точки зрения уголовного закона. В тоже время следует отметить, что заявление о том, что Вы намерены их использовать по назначению, то есть нарушать чьи-то авторские права, может быть квалифицировано как приготовление или покушение к преступлению. А вот заявление о том, что кряки хранятся в «научно-изыскательских целях», в частности, для изучения алгоритма их действия и (или) выработки средств защиты от них, — наоборот снимет все возможные претензии.
Как я понимаю, ключевой момент – доказательство именно умышленности действий. Всегда ли для суда так однозначен злой умысел в подобных случаях?
Для этого следует уделить внимание юридической значимости терминов «заведомость» и «несанкционированность». Например, практике известны случаи, когда правоохранительные органы предпринимали попытки привлечь к ответственности лиц, за установку на телефоны третьих лиц программ, отправляющих в скрытом режиме дубли SMS-сообщений. Подобная практика могла бы привести к тому, что, например, родитель, пожелавший оградить своего несовершеннолетнего ребенка от негативного воздействия и установивший на телефон ребенка подобное программное обеспечение мог запросто попасть «за решетку». Также предпринимались попытки привлечения к ответственности системных администраторов за использование программ, позволяющих осуществлять мониторинг Интернет-траффика обслуживаемых пользователей. Спасительным щитом в приведенных примерах как раз являлись вышеназванные условия признания программы вредоносной. Действия родителя и системного администратора носили санкционированный (правомерный) характер, а изначальное предназначение используемых программ, вовсе не связано с тайным копированием информации, даже не смотря на то, что алгоритм их работы позволяет осуществлять копировании информации в скрытом (фоновом) режиме.
В силу важности этого момента, давайте рассмотрим типичную для России ситуацию: есть администратор, работающий на штатной должности в организации, его руководство требует от него установки соответствующего коммерческого ПО для обеспечения нормальной работы и документооборота в организации (например, тот же Microsoft Office). Как правило, все эти распоряжения следуют в устном виде, и теперь на фоне этих ужесточающих ответственность поправок администратор оказывается в опасном положении с точки зрения закона. В данном случае при установке нелицензионного ПО на фирме, кто будет нести ответственность в случае обнаружения этого факта — конкретный исполнитель или его юридическое лицо?
И также, что вы посоветуете рядовому администратору, который находится в таком подвешенном положении, как он может заранее обезопасить себя от неприятностей, при этом, не требуя от него идти на прямой конфликт со своим руководством, которое чаще всего и слышать ничего не хочет о легальной покупке всего софта, ибо в таком случае часто счет может идти на несколько тысяч долларов?
Во-первых, по закону России к уголовной ответственности привлекается только физическое лицо. Установить и привлечь к ответственности лицо, виновное в нарушении авторских прав, — задача следствия. Во-вторых, первоначально к уголовной ответственности по данной категории уголовных дел привлекались директора юридических лиц, но затем «ветер подул» в сторону системных администраторов. Директора «научились» ссылаться на свою неосведомленность, юридически возлагая вопросы ответственности в служебных инструкциях (должностных обязанностях) на штатных системных администраторов.
В-третьих, исполнение требования «Генерального» об установке нелицензионного ПО, будь оно в устной или письменной форме, — не является основанием для освобождения от ответственности. Более того, именно исполнение такого указания – это фактически совершение преступления группой лиц, что, наоборот, только усиливает ответственность. Приглашение на договорной основе постороннего лица для установки нелицензионного софта, не будет стопроцентной гарантией спасения от уголовного преследования для системного администратора, но переадресует претензии правоохранительных органов в сторону директора компании.
Конечно, лучшим выходом является использование только лицензионного или свободного ПО. Если же системному администратору приходится исполнять неправомерные указания, рекомендуется в письменной форме подавать и документально регистрировать служебные записки, в которых сообщать руководству компании о факте неправомерного использования ПО и предлагать приобрести софт на легальных основаниях. Наличие данных документов юридически не позволит переложить вину за нарушение авторских прав на системного администратора, поскольку руководству компании, по определению несущему ответственность за все действия возглавляемого им юридического лица, не удастся занять позицию о незнании фактов нарушения авторских прав.
Обычные люди, услышав о подобной серьёзной ответственности, часто задают логичный вопрос: Я купил в переходе программу, как потом оказалось пиратскую (заведомо об этом не зная), значит ли это, что «в случае чего» — я уголовник? Откуда я могу знать на момент покупки то, что она нелицензионная?
Доказать умысел на умышленное нарушение авторских и смежных прав – это опять же прямая обязанность следствия. Знать различия между пиратской и официальной продукцией обыватель вовсе не обязан и это обстоятельство в каком-то смысле, гарантирует ему правовой «иммунитет». Но если покупатель «профессионал», например, системный администратор или программист, то ссылка на незнание отличий теряет свою силу и будет расцениваться судом, как попытка избежать ответственности.
Уточняющий вопрос насчет мотивов. Если некий сайт взламывается лишь ради «спортивного интереса», то есть если за этим не стояли какие-то явные преступные или коммерческие мотивы?
Давайте смоделируем ситуацию: ради «спортивного интереса» пользователь преодолевает техническую защиту банка, при этом фактически предоставляя любому иному лицу потенциальную техническую возможность опустошить банковские счета клиентов, как-то компрометируя своими действиями защиту банка. И даже, несмотря на то, что никто не воспользовался подобной возможностью, такие правовые последствия могут расцениваться как «угроза наступления тяжких последствий». Для «горе-хакера» с высокой долей вероятности это означает, что он будет осужден к реальному лишению свободы. Всем потенциальным искателем “подобных приключений” следует учесть, что Российские суды крайне редко практикуют назначение условного наказания по тяжким составам преступления, к которым отнесена часть 4 статьи 272 УК РФ.
Давайте также коснемся и интернета. Если с уголовной ответственностью за хранение вареза и ворованного контента непосредственно на своем компьютере/сервере/хостинге всё более-менее ясно, то что говорит закон в отношении гиперссылки со своей web-странички на сторонний варез или любой другой незаконно распространяемый в сети объект авторского права?
Для ответа на данный вопрос приведу прямую цитату из разъяснений (Пленума) Верховного Суда РФ: «Так, запись произведения или объекта смежных прав в память электронной вычислительной машины является использованием, если по инициативе лица, совершившего запись, неопределенный круг лиц получает доступ к этому произведению или объекту смежных прав. Созданные (полученные) в результате такого использования экземпляры произведений или объектов смежных прав с нарушением Закона Российской Федерации „Об авторском праве и смежных правах“ являются контрафактными».
Таким образом, размещение активной ссылки на контрафакт может расцениваться как пособничество нарушителю авторского или смежного права. В судебной практике подобные прецеденты с контрафактом пока отсутствуют, но справедливости ради нужно отметить, что при расследование дел об экстремизме правоохранительные органы расценивали размещение гиперактивных ссылок на соответствующий контент как “пособнические действия”.
Должен ли хостер, провайдер или некий частный владелец ресурса со свободным публичным доступом для публикации контента на нем, удалять некий материал по первому требованию третьей стороны в рамках законодательства РФ?
При рассмотрении подобных споров арбитражные суды в РФ порой выносят диаметрально противоположные решения. Лучше ориентироваться на последнее решение, изложенное в Постановлении Президиума Высшего Арбитражного Суда РФ от 01.11.2011 №6672/11, где провайдер, а также владельцы социальных и файлообменных интернет-ресурсов не несут ответственности за передаваемую информацию, если они не инициируют ее передачу, не выбирают получателя информации, не влияют на ее целостность, а также принимают превентивные меры по предотвращению использования объектов исключительных прав без согласия правообладателя. Поэтому если требование об удалении контента поступает от надлежащего правообладателя, с приложением документального подтверждения о наличии у него авторских и/или смежных прав, во избежание исков хостеру/соцсети рекомендуется добровольно удалять спорный контент.
Другая злободневная тема — сегодняшний Рунет буквально ежедневно фиксирует так называемые DDoS-атаки, какую меру ответственности устанавливает именно российский закон в отношении их организаторов?
Отныне в соответствии с новой редакцией статьи 272 УК РФ более не является уголовно-наказуемым деянием неправомерный доступ, повлекший за собой нарушение работы ЭВМ, системы ЭВМ или их сети. Предполагалось, что старая редакция статьи направлена на правовую борьбу с лицами, например, инициирующими DDoS-атаки. На деле прежняя редакция закона в указанной части, так и не нашла широкого применения.
Как наше национальное законодательство относится к сильному шифрованию? Насколько я знаю, его повсеместное использование, в том числе и в домашних целях, — не всегда законно в РФ. Что важно знать администратору про криптографический софт и операции с ним?
Законодательство предусматривает определенный «барьер» по использованию средств шифрования, устанавливая обязанность использовать только сертифицированные средств защиты. В противном случае, даже частное лицо, ждет административное наказание по статье 13.12 КоАП РФ — Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну).
Логика закона тут проста — компетентные органы всегда должны иметь возможность «сломать» криптозащиту, принцип работы которой становится им известен при сертификации соответствующего ПО. Кроме того, закон ставит жесткие ограничения по гражданскому обороту средств шифрования.
Системному администратору важно знать и помнить, что любые действия по использование криптооборудования или средств шифрования на территории РФ должно осуществляться исключительно лицом, имеющим на то соответствую лицензию. Обратите внимание, системный администратор может выполнять лишь техническое обслуживание шифровальных средств в соответствии с лицензией разработчика и лишь в рамках обеспечения собственных нужд юридического лица или индивидуального предпринимателя.
Среди пользователей большой популярностью пользуются так называемые “торренты” для пирингового (кооперативного) обмена файлами через Интернет. В Америке и Европе любители качать варез и другой нелицензионный контент через torrent-клиенты уже получают первые повестки в суд, какова юридическая ситуация вокруг торрентов на данный момент в России?
Пользователи torrent-клиентов подвергаются гипотетическому риску привлечения к уголовной ответственности, но лишь в случае, если сумма причинного правообладателю ущерба превысит сто тысяч рублей. При меньшей сумме ущерба пользователь torrent-клиента рискует быть привлеченным к административной ответственности по статье 7.12 КоАП РФ, либо гражданской ответственности в соответствии со статьей 1301 Гражданского кодекса РФ.
Отсутствие судебной практики привлечения к уголовной ответственности большей частью связано с существенными трудностями по доказыванию вины лица (пользователя). В соответствии с требованиями уголовного закона орган следствия обязан доказать, что пользователь осознавал неправомерность использования torrent-клиента, то есть знал, что алгоритм его работы открывает доступ к файлу со стороны третьих лиц. Отсутствие подобного понимания у пользователя делает доказывание умысла на совершение преступления практически невозможным. Установление IP-адреса качающего абонента, не избавляет следствие от обязанности установить, кто именно осуществлял использование torrent-клиента, да и компьютерная информация по своей природе не имеет «свойства» вечно хранится в памяти ЭВМ.
С другой стороны, ошибочным является мнение о невозможности привлечения к ответственности за нарушением авторских или смежных прав, поскольку файл (в виде объекта авторского или смежного права) передается при использовании torrent-клиента не целиком, а лишь в виде его части. Подобное мнение противоречит закону, поскольку он подобных разделений не предполагает.
Впрочем, учитывая последнюю динамику развития национального законодательства, я склонен предполагать, что время, когда будет поставлен законодательный запрет на использование torrent-клиентов в целях неправомерного получения объектов авторского и смежного права, уже не за горами и в России.
Запомните главные правила
- Используйте сложные пароли: с буквами, числами и спецсимволами. Они должны быть индивидуальными для каждого устройства, приложения и сервиса. Чтобы не запутаться и не забыть, пользуйтесь приложениями для хранения паролей.
- Не пользуйтесь публичными Wi-Fi-сетями. Они плохо защищены, и злоумышленники легко могут получить доступ ко всем вашим данным.
- Не открывайте подозрительные ссылки — даже от знакомых. Это могут быть фишинговые ссылки или вирусы от мошенников, которые взломали аккаунт вашего близкого или коллеги.
- Не делитесь своими паролями и учетными записями. Личные или корпоративные аккаунты могут содержать конфиденциальную информацию. Даже если ваш близкий никому не сообщит об этом, его устройством или аккаунтом могут завладеть мошенники, и тогда ваши данные тоже окажутся под угрозой.
- Не позволяйте посторонним пользоваться вашим телефоном или ноутбуком.
- Используйте двухфакторную аутентификацию на всех устройствах. Для этого удобнее и надежнее пользоваться специальными приложениями.
- По возможности, закрывайте профили в соцсетях. Если вы не используете соцсети для работы, лучше сделать профиль закрытым. Так всю информацию и посты в нем смогут видеть только те, кого вы добавили в друзья.
Подписывайтесь также на Telegram-канал РБК Тренды и будьте в курсе актуальных тенденций и прогнозов о будущем технологий, эко-номики, образования и инноваций.
Пропаганда ради пропаганды
Сегодня американский обыватель, похоже, больше поддается “психозу киберугрозы”, нежели опасается ракетного удара, как это было каких-то тридцать с лишним лет назад, когда Рейган пугал сограждан угрозой ядерного удара со стороны “империи зла”. Тому есть простое объяснение: вся жизнь современного американца зависит от Всемирной паутины. Начиная от соцсетей и гаджетов, “рабом которых он стал” – по статистике их активно используют 9 из 10 граждан США. Заканчивая полностью завязанной на компьютеры инфраструктурой. Как страны (электросети, банки, транспорт), так и конкретного “умного” дома, которым уже можно управлять на расстоянии.
Хакер – это фетиш, пугало, которое было рождено в США, и которое очень популярно и распространено именно в Северной Америке. Масштабы “вредоносной” деятельности хакеров в США временами были такими разрушительными, что в уголовном кодексе их деяния по сроку наказания едва ли не приравняли к действиям террористов. Однако в ходе предвыборной кампании в США из сугубо уголовной тема хакеров перешла в политико-пропагандистскую плоскость. Теперь в роли главного козла отпущения в США представили “российских хакеров”, которые ни много ни мало, “покушались на американскую демократию”. И сразу же забылись местные взломщики, “кидавшие банки” и отключавшие электричество ради потехи. При этом бьют своих: в “пособники хакеров” записали около двухсот американских сайтов. Такая статья появилась в одной из главных американских газет – “Вашингтон пост”, где эти ресурсы обвинили в “посягательстве на демократию”. В результате два американских портала Naked Capitalism и The Intercept намерены подать на вашингтонскую газету в суд за распространение заведомо ложной информации.
Еще более циничным выглядит то, как эти списки якобы “пророссийских сайтов” попали в распоряжение “Вашингтон пост”. Как сообщила газета “Нью-Йоркер”, которой тоже передали эти списки, их предложили редакции некие анонимные доброжелатели. Это группа “The PropOrNot Team”, лица в анонимном письме назвавшиеся экспертами, которые ставят “целью выявление пропаганды, особенно российской пропаганды, которая ориентируется на американскую аудиторию”. У обозревателя “Нью-Йоркер” сразу вызвало подозрения то, что обвинения в том, что американские сайты “продвигают российскую пропаганду”, выдвинула группа анонимов, а их аргументы носят нелогичный и хаотичный характер. Тем не менее “Вашингтон пост” на эту уловку купилась. Вот только купилась ли? На самом деле американские ресурсы, пугая граждан США российскими хакерами и пропагандой, отвлекают внимание отнюдь не от мнимой угрозы. А попросту, прикрываясь пропагандой, умалчивают о тех, кто готовит атаку на чувствительные объекты российской инфраструктуры. Иными словами, потворствуя им.
Хакеры из Италии занимают “почетное” 10-ое место в мировой классификации. Их главной мишенью являются коммерческие компании, а также сайты правительственных учреждений (премьер-министра Италии, Сената и Палаты депутатов). Чаще всего хакеры выбирают в жертвы те структуры, которые проявляли попытки произвести регулирование интернета. Есть, однако, среди местных хакеров и те, которыми движут добрые намерения. К примеру, около месяца назад хакер, известный под псевдонимом Kapustkiy, взломал сайт правительства Италии и похитил базу данных, содержащую информацию о 45 тыс. пользователей, в том числе учетные данные сервисов, находящихся в ведении муниципалитетов страны. При этом на платформе Pasterbin он решил разместить лишь часть похищенной информации, объяснив этот жест желанием предоставить итальянским властям возможность исправить проэксплуатированную им уязвимость, позволяющую производить подобные атаки. Однако законодательство Италии не делает различия между “злыми” и “добрыми” интернет-взломщиками.
Согласно статье 615 Уголовного кодекса Италии, любого, кто попытается нанести урон информационной безопасности страны, будет ожидать срок лишения свободы от 1-го до 3-х лет. Впрочем, учитывая, что многие итальянские хакеры пока еще не достигли совершеннолетия. Для них зачастую применяются альтернативные формы наказания. Например, 16-летнего интернет гения, атаковавшего около года назад сайт одного из итальянских профсоюзов, в качестве взыскания взяли его на один день консультантом для своего сайта.
В Германии наказание за хакерские атаки предусмотрено статьей 303 уголовного кодекса страны. Называется она “компьютерный саботаж”. Наказуемо “значительное повреждение обработки данных, представляющих важность для других”, а также “удаление, удерживание, повреждение, изменение данных, составление и передача данных или же повреждение и изменение устройства по их передаче или их носителя”. Если эти данные “имеют большое значение для чужого производства или предприятия, а также госучреждения”, злоумышленникам грозит денежный штраф или тюремный срок до пяти лет. Наказуема также попытка саботажа. Лишение свободы от шести месяцев до десяти лет предусмотрено, если действия преступника приведут к значительной потере имущества или нарушению снабжения населения жизненно важными товарами или услугами, а также в случае угрозы безопасности ФРГ. Такое же наказание грозит совершающим подобные преступления профессионально или в составе банды, долговременно занимающейся компьютерным саботажем.
Статья 202 УК РГ предусматривает наказание за электронный шпионаж. Если кто-то “подготавливает, достает для себя и других, продает, передает другим или распространяет пароли и коды безопасности, а также компьютерные программы, предоставляющие доступ к чужим данным”, получит наказание в виде денежного штрафа или тюрьмы до двух лет. Так же наказываются все, кто предоставляет другим незаконный доступ к данным, не предназначенным для чужих, или ворует их, применяя технические средства. За подготовку этих преступлений грозит денежный штраф или лишение свободы сроком до двух лет.
Поимка хакеров
Голословные обвинения в хакерстве редкость, ведь зачастую действительно замешанных в преступлениях ловят достаточно долго.
- Прежде всего, если замечена подозрительная активность, то начинается слежка. Она возможна как наружным методом, так и при помощи технических средств.
- Начинающих хакеров, которые рассказывают о своих достижениях, чаще всего ловят при помощи доносов. Иногда информацию правоохранительным органам предоставляют ложную, и после этого могут последовать неоправданные обвинения. Не забывайте, что за ложное обвинение в клевете также предусмотрена ответственность и наказание.
- Самых опасных программистов, создающих вирусы, ловят силами нескольких агентств.
- Также наиболее часто попадают в поле зрения органов хакеры, которые переоценивают свои силы, совершают досадные ошибки и хвастаются своими достижениями в малознакомых компаниях.
При установлении вины хакера используют все доступные технические методы по обнаружению следов взлома или создания вредоносного ПО. Изучают резервные файлы, которые создаются автоматически. Для того, чтобы было невозможно доказать свою виновность, опытные компьютерные взломщики полностью удаляют их из памяти компьютера. Простое удаление тут не подходит, так как данные можно восстановить.
Часто хакеры переоценивают свои силы. Обратимся к примеру. Еще на заре развития киберпространства в Японии был программист, который давал банкоматам команду выдавать деньги, и для их получения использовал задержку срабатывания защиты системы. В системе одного из банков его активность заметили системные администраторы и вычислили адрес банкомата, у которого он должен вот-вот появиться. На месте преступления хакер был задержан полицией.
Можно оказаться не в том месте и не в то время, но в этом случае невиновность в преступлении с использованием компьютера доказать достаточно просто. Необходимо идти навстречу следствию и ничего не скрывать.
Впрочем, поймать компьютерного хулигана за руку и примерно наказать будет непросто, по оценкам экспертов, большинство атак на нашу страну совершается из-за рубежа. За последние годы в мире ущерб от хакеров уже подошел к триллиону долларов и составляет от 0,4 до 1,4 процента мирового ВВП, предупреждает пояснительная записка. Компьютерная атака способна полностью парализовать информационную инфраструктуру государства и вызвать социальную, финансовую или экологическую катастрофу.
Действия, если обвиняют в хакерстве
Прежде всего, если вы действительно ничего не совершали, необходимо предоставить компьютер и другие электронные носители для ознакомления с файлами. Полицейские эксперты будут искать среди них те, которые были присвоены, или черновики вирусной программы.
Чаще всего обвинения последуют после использования общественного компьютера, если ранее за ним располагался хакер. Тогда вам могут помочь друзья, с которыми посещалось интернет-кафе или журнал регистрации в нем посетителей. Хорошо, чтобы в нем было указано время посещения. Если оно не совпадет с моментом проведения хакерской атаки, то вина будет доказана.
В любом случае до того момента, как человек попал в интернет-кафе, он преодолел определенный пусть, возможно, разговаривали с кем-либо по телефону из дома и др. При таком обвинении необходимо тщательно вспомнить прошедший день и указать свое алиби.
Обвинения могут последовать при использовании стороннего ПО, позволяющего, например, подключаться к Интернету удаленным способом, воруя трафик.
После таких действий может быть понесена административная ответственность, если был указан источник получения этого программного обеспечения.