Кибер-преступления, кибер-безопасность и кибер-право: динамика феномена

Кибер-преступления, кибер-безопасность и кибер-право: динамика феномена

Название статьи на английском: Computer Crimes, Computer Security and Computer Law: Phenomenon's Dynamics (Notes from the Russian Chair of Computer Law)

В 1985 году, защитив кандидатскую диссертацию, я задумался над перспективными научными темами, которыми следовало бы заняться. Поскольку у меня было и техническое, и юридическое образование, особенно привлекательными казались проблемы, находящиеся «на стыке» двух этих областей. Основательно поразмыслив, я выбрал для исследования так называемое Computer Law, которое в США и Европе развивались уже довольно давно. В СССР же публиковались работы только по криптографии и физической защите данных, но ни единой юридической статьи. В том же, 1985 году я опубликовал маленькую статью о проблемах компьютерного права, и по-видимому, это была первая публикация в СССР по проблемам компьютерного права.[1] Кроме меня это название никто в стране не употреблял, а юристы категорически отрицали существование или появления в будущем такой отрасли права.

В 1987 году юридические публикации стали появляться (в том числе и мои – причем одной из них уже была книга[2]), но их можно было сосчитать по пальцам рук. Наконец, в 1991 году вышли еще две мои книги[3], ставшие классическим: без ссылок на них не обходится ни одна фундаментальная работа по компьютерному праву в России. Все мои попытки прочитать курс компьютерного права на юридических факультетах разбились о непонимание. Это было время, когда после распада Советского Союза начинала формироваться правовая система новой России. С этой точки и будем описывать динамику появления и юридического решения проблем в компьютерной сфере.

Компьютерная преступность

Почти полвека насчитывает история компьютерных преступлений (в 1967 году в США было зарегистрировано одно из первых преступлений с использованием компьютера, в СССР первое преступление с помощью компьютера – хищение большой суммы денег – было зарегистрировано в 1979 году в Вильнюсе[4]). Историография отечественной научной литературы о компьютерной преступности перевалила за три десятка лет.[5] За десятилетия словосочетание «компьютерное преступление» (“computer crime”)[6] стало широко употребляться в американской, затем другой зарубежной литературе, а потом и в нашей стране, в основном, в криминологическом и социологическом смысле, а также в практической деятельности правоохранительных органов. Для российского уголовного права термин «компьютерное преступление» остается проблематичным: насколько широка его распространенность, настолько велика и его нечеткость.

Пo-видимому, здесь действует своеобразный принцип неопределенности: чем точнее описаны элементы состава компьютерного преступления, тем менее универсальным оказывается его определение и тем ниже возможности охвата быстро появляющихся новых видов правонарушений в компьютерной сфере. И наоборот: чем более адаптирована норма закона к быстрым технологическим изменениям, тем ниже терминологическая четкость определения понятия «компьютерное преступление» и тем сложнее его практическое применение.

Разумеется, право должно быть в хорошем смысле консервативным, но, с другой стороны, оно не должно давать большой форы правонарушителям, способным на высокотехнологичные действия. Вот почему проблема определения является не просто конвенцией, а существенно важна для эффективности реализации правовых норм. Не случайно Рекомендация комитета министров Совета Европы, принятая 13 сентября 1989 года, не содержала определение понятия «компьютерное преступление» и оставляет его за странами-членами, юридические системы и традиции которых весьма различны.

Объем понятия «компьютерное преступление» в существующих определениях варьируется:

а) любое преступление тем или иным образом, связанное с компьютерами и компьютерными сетями;

б) предусмотренное уголовным законом общественно-опасное деяние, в котором предметом или средством посягательства является компьютерная информация или сам компьютер (hardware и/или software);

в) предусмотренное уголовным законом общественно-опасное деяние, в котором предметом посягательства является компьютерная информация.

По содержанию конкретных составов преступлений в российской (русскоязычной) литературе обычно выделяются три подхода к криминализации общественно опасных посягательств, совершаемых с использованием возможностей и средств компьютерной техники[7]. При первом подходе преступным считается несанкционированный доступ в компьютерные системы, распространение компьютерных вирусов и противоправное использование компьютерных систем и информации (Норвегия, Сингапур, Словакия, Филлипины, Республика Корея). Второй подход заключается в признании компьютерными преступлениями только тех деяний, совершение которых причиняет ущерб имуществу и компьютерной обработке информации (Дания, Швеция, Швейцария, Япония). Третий поход состоит в отнесении к преступным не только деяний, имеющих своими последствиями причинение имущественного ущерба, но также и нарушающих права личности или угрожающие национальной безопасности (США, Франция, ФРГ, Великобритания, Нидерланды). В них отмечается высокий уровень компьютеризации всех областей государственной и общественной жизни и, соответственно, высокая компьютерная преступность.

Россию, несмотря на недостаточно развитую правовую базу борьбы с компьютерными преступлениями, можно включить в третью группу, имея в виду достаточно широкий круг охраняемых уголовным законом объектов в области компьютерной информации. Именно на защиту самой информации сделан акцент при формулировании составов преступлений в Уголовном кодексе Российской Федерации (УК РФ).

 Еще в 1991 году в Административный кодекс РСФСР и других союзных республик было предложено ввести следующие статьи:

  • «Нарушение правил обработки информации персонального характера»;
  • «Несанкционированный доступ в компьютерную систему».[8]

 В Уголовный кодекс РСФСР и уголовные кодексы других союзных республик предлагались следующие статьи:

  • «Несанкционированный доступ в компьютерную систему»;
  • «Угроза возникновения конфликта»;
  • «Заражение компьютерным вирусом».[9]

 В 1994 году было подготовлено три проекта введения в Уголовный кодекс РФ дополнительных составов преступлений по данной проблеме, в том числе:

  • «Незаконное овладение программами для ЭВМ, файлами и базами данных» (в другой редакции: «Неправомерное завладение программами для ЭВМ, файлами или базами данных»;
  • «Фальсификация или уничтожение информации в автоматизированной системе» (в другой редакции: «Введение в компьютерную систему или сеть заведомо ложной информации»; в третьей редакции: «Самовольная модификация, повреждение, уничтожение баз данных или программ для ЭВМ»);
  • «Самостоятельное проникновение в автоматизированную компьютерную систему (АКС)» (в другой редакции: «Неправомерное проникновение в автоматизированную компьютерную систему или сеть»; в третьей редакции: «Незаконное проникновение в автоматизированную информационную систему (АИС), совершенное путем незаконного завладения парольно-ключевой информацией, нарушения порядка доступа или обхода механизмов программной защиты информации с целью ее несанкционированного копирования, изменения или уничтожения»;
  • «Внесение или распространение “компьютерного вируса”» (в другой редакции: «Внесение или распространение вирусных программ для ЭВМ»; в третьей редакции: «Распространение вирусных программ»);
  • «Нарушение правил, обеспечивающих безопасность АИС» (в другой редакции: «Нарушение правил, обеспечивающих безопасность информационных систем»; в третьей редакции: «Нарушение правил, обеспечивающих безопасность и сохранность информации компьютерной системы или сети»);
  • «Промышленный шпионаж с помощью компьютерной техники».[10]

 Ответственность за преступления в сфере компьютерной информации – именно такая терминология введена законодателем – в российском уголовном законодательстве появилась только в УК РФ 1996 г. и установлена в главе 28, куда вошли три статьи под следующими названиями:

  • «Неправомерный доступ к компьютерной информации» (ст.272);
  • «Создание, использование и распространение вредоносных программ для ЭВМ»[11] (ст.273);
  • «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» (ст.274).

К тому времени информатизация в России достигла такого уровня, когда отношения в этой области объективно требовали правового, в том числе и уголовно-правового регулирования. Необходимость правового обеспечения использования информационных и телекоммуникационных технологий обусловлена их развитием и широким распространением, компьютеризацией управленческой и хозяйственной деятельности, использованием компьютерной техники в самых разных сферах жизни общества, в частности, в космических исследованиях, атомной энергетике, иных отраслях науки и производства. В этих условиях нарушение нормальной работы электронно-вычислительной техники может иметь чрезвычайно тяжелые последствия, как-то: длительное нарушение нормального функционирования предприятий, аварии и катастрофы с человеческими жертвами, крупный материальный ущерб. Компьютеризация хозяйственной и управленческой деятельности порождает не только позитивные, но и негативные явления, связанные со злоупотреблениями возможностями компьютеров и неправомерным доступом к компьютерной информации. Наконец, появление электронных банков данных, содержащих информацию персонального характера, чревато нарушениями прав и свобод человека, если такая информация станет предметом несанкционированного доступа и разглашения. Для России одной из причин появления гл.28 УК РФ стало вхождение в мировое информационное сообщество, уже хорошо знакомое с компьютерными преступлениями.

Анализируя конструкцию и формулировки указанных статей УК РФ, преступления в сфере компьютерной информации можно определить как предусмотренные уголовным законом и запрещенные под угрозой наказания виновные общественно опасные деяния, посягающие на интересы в области безопасности использования компьютерной информации, информационных ресурсов, систем и технологий.

С этого времени компьютерная (машинная) информация стала самостоятельным предметом уголовно-правовой охраны. За прошедшие десять лет рассматриваемые преступления не часто встречались в следственной и судебной практике, хотя можно отметить их более быстрый рост в структуре регистрируемой преступности по сравнению со структурой судимости.

В российской правовой традиции не принято классифицировать преступления по виду технических средств, с помощью которых они совершаются. Однако существует проблема: вводить или не вводить такой квалифицирующий признак как «…те же действия, совершенные с использованием средств компьютерной техники или информации…» – эта проблема все же существует, и о ней ниже.

Когда принимали действующий Уголовный кодекс РФ, использование такого квалифицирующего признака, как использование средств компьютерной техники, было признано нецелесообразным. С определенной точки зрения это логично: действительно, по мере развития компьютеров и расширения их использования, частота их применения при совершении преступлений приблизится к частоте использования телефона или автомобиля. Но, тем не менее, проблема существует.

С одной стороны, ст.272 УК РФ – неправомерный доступ – сформулирована так, что можно квалифицировать совершенное деяние по совокупности статей. Это снимает проблему указанного квалифицирующего признака, если доступ к компьютерной информации был неправомерным. А если доступ был правомерным? Представляется, что в таком случае квалифицирующий признак был бы уместным.

Чтобы точнее ответить на вопрос, нужен ли обсуждаемый квалифицирующий признак, необходимы криминологические исследования. Однако, статистического материала пока недостаточно, для определенных выводов. По некоторым данным, при совершении преступлений доступ к компьютерной информации преимущественно совершают лица, состоящие в трудовых отношениях с предприятием, организацией, учреждением, фирмой или компанией, где совершено преступление (более 55%) – не только операторы ЭВМ, программисты и обслуживающий персонал, но и пользователи, имеющие свободный доступ к компьютерной системе, а также административно-управленческий персонал.[12] Очевидно, значительная часть их осуществляет правомерный доступ к компьютерной системе и информации. Поэтому остается сомнение, что отказ от рассматриваемого квалифицирующего признака абсолютно обоснован.

На сегодняшний день в практике правоохранительных органов использование компьютеров и компьютерных сетей для совершения любых преступлений расценивается как способ совершения преступлений, а компьютерная техника, программные средства, носители информации относятся к средствам совершения преступления. Видимо, к проблеме предстоит еще вернуться в будущем.

Немного статистики. Если в 1997 г., по данным МВД РФ, в России было зарегистрировано всего 33 преступления в сфере компьютерной информации, то в 1999 г. было зарегистрировано 294 преступления в сфере компьютерной информации, в 2000 г. – 800, в 2002 – 4322, а в 2005 г. – 10214 преступлений, на 16,9% больше, чем в 2004 г. На конец 2005 г. в производстве находились дела и материалы в отношении 9759 таких преступлений, а 295 не были раскрыты[13]. Больше всего регистрируется преступлений по ст.272, далее идет ст.273 и замыкает перечень ст.274. Так, например, для 800 зарегистрированных в 2000 году преступлений соотношение по указанным статьям выгляди как 584 : 172 : 44.[14]

Данные судебной статистики свидетельствуют, что преступления в сфере компьютерной информации в правоприменительной практике в России встречаются редко. Так, в 1997 г. за эти преступления было осуждено 4 человека, в 1998 г. – 7, в 1999 г. – 27, в 2000 г. – 48, в 2001 г. – 90 и в 2002 г. – 97 человек.[15] В 2003 г. количество осужденных за рассматриваемые преступления выросло до 152 человек, а в 2004 г. снизилось до 137.[16] Удельный вес осужденных за данные преступления среди всех осужденных в России весьма невелик и колеблется от 0,004% до 0,02%.

Причины такой высокой латентности компьютерных преступлений различны. Так, например, банки предпочитают не сообщать о совершенном преступлении, поскольку эта информация ставит под сомнение не только надежность системы безопасности самого банка, но и качественность отбора его персонала. «По одним оценкам, 90% экономических компьютерных преступлений совершается служащими компаний-жертв, по другим – 73% риска компьютерной безопасности приходится на внутренние источники и только 23% - на внешнюю преступную деятельность»[17].

Компьютерную преступность обычно относят к «беловоротничковой преступности». Это не совсем точно. Усиливающаяся компьютеризация общества делает компьютеры, их сети, базы данных доступными не только для других категорий работников, но чуть ли не для домашних хозяек. В отличие от технического прогресса человеческая природа изменяется не столь стремительно. Поэтому среди компьютерных преступников можно обнаружить самые разные категории лиц. В целом компьютерная преступность обнаруживается во всех группах традиционной классификации преступности: беловоротничковой, организованной и общеуголовной.

Большое количество преступлений с использованием компьютеров совершается обычными людьми, чья работа или интересы лежат в данной сфере. Сталкиваясь с трудноразрешимыми жизненными проблемами, они вдруг обнаруживают, что могли бы выпутаться из них, применив специальные знания. При этом многие даже не расценивают свои действия как криминальные. Для других компьютерные преступления – основной источник дохода. Такие лица совершают их регулярно, обсуждают детали среди своих, а иногда и в кругу семьи, и самое главное – возвращаются к компьютерным преступлениям после отбытия наказания.

Компьютерные преступники работают как в самих организациях, против которых они совершают неправомерные действия, так и вне их. Среди них есть и одиночки, есть и группы соучастников. Некоторые слабо оснащены технически, некоторые владеют дорогими и мощными компьютерными системами. Практика показывает, что не всегда даже необходимо обладать специальными знаниями о компьютерах, чтобы использовать их в преступных целях. Разумеется, есть много чрезвычайно изобретательных преступников, разрабатывающих сложнейшие трюки с программным обеспечением, но встречаются и такие, кто не понимает, почему так легко было сделать то, что они сделали.

Компьютерные преступления совершаются не только из корыстных побуждений, но и с политическими мотивами. Пример тому – активность экстремистских и террористических организаций. Терроризм обычно требует символов, а компьютеры играют достаточно большую роль в современном обществе, чтобы стать ими.

Нельзя сбрасывать со счетов и небрежность, ошибки, некомпетентность персонала, работающего с компьютерами. Они также наносят немалый ущерб.

Необходимо также отметить, что из-за широкой компьютеризации жизни появился новый объект посягательств – компьютерные системы, на которые направляется деятельность лиц, страдающих психическими расстройствами. Так один программист выкрал у себя на работе операционную систему нового компьютера, чтобы продать ее конкурирующей фирме.

Особенностью расследования компьютерных преступлений можно было считать и недостаточную специальную подготовку проводящих их расследование сотрудников правоохранительных органов. Не всегда они в полной мере и на необходимом уровне знакомы с функционированием компьютеров и компьютерных систем, чтобы обнаружить и главное доказать совершенное преступление. Социологический опросы показали, что лишь незначительная часть следователей прокуратуры, могли объяснить, из каких основных компонентов состоит компьютер, как функционирует компьютерная программа и что делает программист. Значительно меньшее число сотрудников могли объяснить значение наиболее распространенных команд. И совсем уж единицы понимали, в чем существо таких криминальных приемов, как «троянский конь», «логическая бомба» и т.п. Самая поразительная вещь, которые выяснили социологи, состояла в том, что большинство следователей прошли специальный курс обучения по компьютерной технике. В милиции (полиции) и спецслужбах дело было поставлено значительно лучше. Что же касается судей, то они зачастую не в состоянии вникнуть в то, как, собственно, совершалось компьютерное преступление.

Конечно, в процессе расследования компьютерных преступлений для установления ряда обстоятельств, входящих в предмет доказывания, часто используются экспертные заключения, но полагаться только на экспертов в области компьютерной техники и технологий сотрудники правоохранительных органов не могут, поскольку это может привести к утрате ими своих процессуальных полномочий или к их осуществлению не в полном объеме. Наконец, сами компьютерные технологии из-за компактного хранения данных, скрытого характера и большой скорости процессов передачи и обработки информации усложняют возможность своевременного обнаружения и раскрытия преступления.

Где взять следователей, способных раскрывать компьютерные преступления? Как они могут заниматься этим, если не знают, что такое компьютер или умеют пользоваться им лишь как телевизором: нажал две-три кнопки – читай или набирай текст.

Действительно, получившим только гуманитарное образование юристам трудно приобретать специальные знания по компьютерной безопасности на современном уровне и свободно оперировать сложнейшими техническими понятиями. Поэтому 28 сентября 1995 года Межведомственная комиссия Совета безопасности РФ приняла Решение № 8.3 «О состоянии работ по совершенствованию подготовки кадров по проблеме информационной безопасности». В соответствии с ним Государственный комитет РФ по высшему образованию 22 декабря 1995 года издал одноименный приказ № 1687. В конце 1995 года в Московском инженерно-физическом институте был образован факультет информационной безопасности и первая в России кафедра компьютерного права и компьютерной безопасности, на которой студентам-компьютерщикам давали комплексные технические и юридические знания. Эту кафедру поручили возглавить мне, и я руководил ею до середины 2013 года. А в первый день я повесил в помещении кафедры крупно отпечатанный текст, повторявший плакат, некогда висевший на двери офиса Клифтона Гарро, возглавлявшего отдел по борьбе с компьютерной преступностью окружной прокуратуры в Калифорнии (США): «Прислушайся к моему совету, сынок, – будущее за КОМПЬЮТЕРНЫМИ ПРЕСТУПЛЕНИЯМИ».[18] Малыш вырос. Будущее пришло и в Россию.

Преподавание для студентов курса по компьютерным преступлениям, естественно, потребовало систематизации и разбора способов совершения компьютерных преступлений, методов противодействия им, порядка проведения судебной экспертизы, национальных и международных стандартов в информационной сфере, международных документов по проблеме борьбы с компьютерными правонарушениями, компьютерными преступления трансграничного характера и, соответственно, подходами к определению юрисдикции при расследовании компьютерных преступлений, разные аспекты жизни и работы в интернете и социальных сетях, а также многие другие разделы данного предмета, аналогичные преподаваемым и изучаемым в зарубежных институтах.

Поэтому остановлюсь здесь лишь на одной интересной теме, поскольку она хорошо показывает, сколь далеко ушла правовая наука и практика, равно как и преподавание в России за три десятилетия.

Правонарушения в онлайновых вселенных

Проблемы реального мира неизбежно отражаются в онлайновых вселенных, многопользовательских играх (Age of Conan, City of Heroes, Entropia, Guild Wars, Neocron, Second Life, World of Warcraft и другие), которые, по сути, представляют собой самостоятельные миры со своими правилами (нормами) и безграничными пространствами, населенными необычными существами. Из таких многопользовательских ролевых игр для студентов была выбрана открытая среда Second Life. Специалисты относят Second Life к малоструктурированным виртуальным оболочкам, где участники (через своих аватаров – искусственных виртуальных персонажей) могут заниматься различными видами деятельности.

Важная особенность Second Life заключается в том, что это онлайн-сообщество с открытым кодом. Это означает, что программисты всего мира могут писать программный код наряду с сотрудниками компании Linden Lab, создателем и собственником игры. По сути, творческая деятельность квалифицированных программистов внутри страны Second Life никак не ограничивается – они вправе создавать все, что угодно, например, средства массовой информации и законы, менять их, как и возможности действующих лиц.

Пространство игры состоит из континентов, принадлежащих разработчику, и множества частных островов. В Second Life можно попасть бесплатно: для этого достаточно зарегистрироваться. Подчеркну, что речь шла не об интернете, эта сеть являлась лишь «прихожей» для Second Life.

Ведущие университеты мира реального считают, что представительство в Second Life является важнейшей инновацией в образовании. Так, в виртуальном мире наличествуют Гарвард, Стэнфорд, университеты Хьюстона, Огайо, Нью-Йорка, вузы Ирландии, Нидерландов и Израиля. Наша кафедра также попробовала себя в Second Life, однако не для набора студентов со всего мира, а лишь для знакомства своих студентов с новыми правовыми проблемами в виртуальном мире.

Русскоговорящих резидентов в Second Life было совсем мало. Однако в русской Second Life уже были успешно реализованные бизнес-проекты, например, остров "Москва" (Moscow Island).

Жители превращают виртуальную среду в источник доходов в материальном мире. Чтобы создать в ней полноценные товарно-денежные отношения, разработчики передали функцию создания 3D-объектов пользователям, а также сделали виртуальную валюту конвертируемой в реальные деньги. Весьма интересно осуществление виртуальных торговых сделок. Торговля ведется виртуальными предметами или услугами на виртуальные деньги под названием Linden Dollar или «линден». Виртуальные деньги добываются обменом на реальные (доллары США по соответствующему курсу через он-лайн обменные пункты, доступные непосредственно из Second Life). Тот факт, что игровые деньги конвертируются в реальные деньги, позволяет некоторым игрокам и даже целым компаниям вести в мире Second Life весьма доходный бизнес. В Second Life пользователи могут обзавестись собственностью, существуют рынки свободной торговли, банки и т.д.

Second Life – отражение реального мира, в котором социальные сети вышли на принципиально новый уровень: реальная жизнь переплетается с виртуальной. Пересечения реального и виртуального миров – весьма любопытный предмет исследования. Среди возможных ракурсов для нашей кафедры интерес представлял – правовой. К сожалению, в Second Life не возникают правоотношения в полном смысле этого слова. В Second Life действуют обычаи виртуального делового оборота и соответствующие правоотношения довольно бедны.

Например, истец обвиняет ответчика в краже и копировании с последующим распространением компьютерного кода созданных ею предметов для продажи внутри виртуального мира. С помощью украденного кода ответчик наладил производство аналогичных товаров. Ответчик, в свою очередь, заявляет, что истица получила доказательства незаконной деятельности ответчика, без разрешения проникнув в его дом в виртуальном мире Second Life. Как кража, так и несанкционированное проникновение были совершены в виртуальном мире, но студентам приходится анализировать судебный процесс в мире вполне реальном.

На пересечениях виртуального и реального миров приходится выполнять и процессуальные или оперативно-розыскные действия, и экспертизу, например, по ведению виртуального игорного бизнеса. В виртуальной вселенной уже насчитываются тысячи казино. Эксперты полагают, что работа подобных заведений нарушает действующее российское законодательство. Вместе с тем, определить степень ответственности разработчиков игры и посетителей виртуальных казино довольно трудно ввиду отсутствия норм, регулирующих и/или запрещающих деятельность онлайновых игорных заведений. Похожая ситуация и с распространением детской порнографии (два аватара – взрослого и ребенка) в онлайновом мире, мошенничеством с удостоверениями личности, финансовым махинациям, отмыванию денег и нарушению авторских прав.

Компьютерная безопасность

Широкое распространение компьютерных правонарушений потребовало решение многих вопросов, объединяемых общим понятием «компьютерная безопасность». Потребовалось и включение дисциплин такой направленности в учебные планы институтов. Физическая защита компьютеров и информационных сетей (построение систем охраны и защиты, фильтры и экранирование, поиск устройств несанкционированного съема информации) и криптографическая защита сообщений стали предметом забот других кафедр, но нам остались законодательные, нормативно-правовые и организационные основы информационной безопасности, а также некоторые новые подходы, об одном из которых я хочу рассказать.[19]

Главной угрозой информационной безопасности является человеческий фактор. В связи с этим мы поставили своей целью найти замену традиционных криминологических и психологических методов оценки предрасположенности конкретной личности к совершению компьютерных правонарушений обоснованным алгоритмом и предложить его техническую реализацию. Логика поиска была следующая: 1. Определить поведенческие виды компьютерных правонарушителей; 2. Построить классификацию компьютерных правонарушений; 3. Построить классификацию разных типов личности; 4. Определить предрасположенность личности к компьютерному правонарушению; 5.Визуализировать полученные результаты для удобства пользования.

Анализ личностных особенностей человека, совершившего компьютерное правонарушение, необходим для того, чтобы понять: каким образом и почему совершено деяние данным лицом? Какую ответственность должен нести конкретный компьютерный правонарушитель? Какой должна быть система мер по его ресоциализации? Каковы меры предупреждения формирования личности компьютерного правонарушителя?

Законодатель обязывает выявлять особенности личности, проявившиеся в совершаемом деянии. Индивидуальные особенности личности виновного учитываются при построении конкретных составов компьютерных правонарушений, при индивидуализации административной, гражданской и уголовной ответственности. Информация о личности обвиняемого имеет первостепенное значение для того, чтобы возможно было определить направления расследования, построить и проверить следственные версии, определить системы следственных действий. С личностью компьютерного правонарушителя связаны общие начала назначения наказания и значительная часть смягчающих и отягчающих ответственность обстоятельств. В истории компьютерных правонарушений необходимо обращать внимание на совокупность психологических явлений, которые предшествовали правонарушению и укоренились в сознании субъекта. Другими словами, речь идет о свойствах личности преступника, о тех его качествах, которые послужили непосредственной причиной совершения компьютерных правонарушений.

Для того чтобы понять психологию совершения преступления в сфере компьютерной информации надо, в первую очередь, уяснить, что подталкивает субъекта на подобное деяние, то есть рассмотреть мотивы совершения компьютерных преступлений. (Мотив преступления – это непосредственная внутренняя побудительная причина преступного деяния). Мотивы совершения преступления напрямую связаны с социально-психологической и криминологической характеристиками личности преступника.

Мотивы правонарушителей в сфере компьютерной информации можно классифицировать следующим образом:

  1. Корыстные мотивы – до 65%;
  2. Политические мотивы – до 15%;
  3. Игровой мотив, исследовательский интерес – до 7%;
  4. Хулиганские мотивы – до 5%;
  5. Месть – до 4%.

Классификация правонарушителей в сфере компьютерной информации была построена на основании ряда сущностных признаков, причинным и иным образом связанных с преступным поведением и характеризующих личность во взаимодействии с социальной средой:

1. Последовательно-криминальный тип. (Характерны высокая степень информационно-криминальной «заражённости», стойкая по глубине и широкая по охвату личности антиобщественная ориентация, достигающая уровня преступной информационной установки. Совершение компьютерных преступлений для этих лиц стало привычным стилем поведения, во многих случаях своеобразной профессией. Во взаимодействии «личность-среда» главное – укоренившиеся антиобщественные взгляды и привычки, сформировавшиеся в результате длительной информационно-преступной «карьеры». Выделяются преступники с преобладанием либо агрессивной, (например, «убийцы компьютеров», «маньяки-вирусосоздатели»), либо корыстной мотивации («хакеры», специализирующиеся на похищении информационных банковских денег, краже финансовой информации с пластиковых карт в банкоматах и др.), а также полимотивированные — соединяющие корыстную мотивацию с агрессивной – то есть со склонностью к «запуску вирусов» (иногда с целью скрыть следы своего воровства). Их преступное поведение обычно отличается высококвалифицированными способами совершения и сокрытия преступлений.

2. Ситуативно-криминальный (Формируется по общему правилу в противоречивой среде, сочетающей позитивные и негативные информационные влияния. У них раздвоена личность: положительные качества уживаются с отрицательными, причём последние чаще преобладают. Для данной личности характерны варианты, при которых личностная информационно-преступная направленность, сочетаясь с соблазняющей, провоцирующей и иной информационно-криминогенной ролью внешних обстоятельств, приводят к выбору информационно-преступного варианта поведения. Действие вопреки ситуации или её создание в целях совершения компьютерного преступления, не характерны. Решающее значение в генезисе информационно-преступного поведения имеет именно взаимодействие отрицательных признаков подобной личности с негативными влияниями внешней среды).

3. Ситуативный (По криминологическим параметрам противоположен первому типу (последовательно криминальному). Нравственные дефекты выражены незначительно. Характерными признаками являются душевная и психологическая слабость, социальный инфантилизм личности, отсутствие волевых ресурсов, необходимых для того, чтобы успешно справиться со сложной ситуацией. В генезисе преступного поведения решающую роль играет информационно-криминогенная ситуация, причём чаще всего полностью навязанная извне, а не вытекающая из поведения и образа жизни данного лица. При отсутствии информационно-криминогенного давления ситуации слабо выраженная антиобщественная ориентация не приводит к совершению правонарушений).

4. Случайный (Такие правонарушители в сфере компьютерной информации встречаются сравнительно редко и по своим личностным качествам практически не отличаются от тех, для кого характерно устойчивое законопослушное поведение. Однако и им присущи какие-то негативные черты, относящиеся не столько к самой личности, сколько к её проявлениям в конкретной ситуации: отсутствие осмотрительности, беспечность и т.п. Компьютерные правонарушители данного типа нарушают уголовно-правовые запреты при общей положительной направленности их личности. Преступление для них не линия или стиль поведения, не закономерный результат информационно-криминогенного взаимодействия личности и ситуации, а скорее досадный (хотя и виновный) эпизод, следствие неблагоприятного стечения объективных и субъективных обстоятельств. Среди лиц, относящихся к данному типу, выделяются «аффективные», «растерявшиеся» и «стрессовые» компьютерные правонарушители. По оценкам некоторых исследователей, к данной категории относятся 50—60% неосторожных правонарушителей в сфере компьютерной информации).

Построенная классификация была расширена с помощью соционики – молодой науки, возникшей в 1970-х годах почти одновременно с компьютерной преступностью на стыке психологии, социологии и информатики. Она занимается изучением способов обмена информацией между людьми. Показано, что люди отличаются типом восприятия информации. При прочих равных условиях (интеллект, образование, ситуация) они получают разную информацию. В основе явления лежит тот факт, что информация, которую человек получает о разных аспектах мира, отличается степенью осознанности. Если, например, один человек наиболее осознанно воспринимает информацию по аспекту А и Б, а наименее осознанно- по В и Г, то рассуждать и давать советы другим людям он тоже склонен по аспектам А и Б. Другой человек, наоборот, более сознательно воспринимает информацию по аспектам В и Г, а советов ожидает по А и Б.[20] Согласно соционике, люди классифицируются по 16 типам, характеризующимися разным сочетанием таких качеств как логика, волевая сенсорика, интуиция, сенсорика ощущений, этика отношений и др.

На основе соотношения двух классификаций (компьютерные правонарушения и типы личности) мы получили представление, какой тип личности способен на совершение компьютерного правонарушения и определили вид этого соответствующего правонарушения. Затем разделили все типы личности на три группы по степени предрасположенности к компьютерным правонарушениям и использовали кластерный анализ для выявления соответствия видов компьютерных правонарушений соционическим типам личности.

Пусть Ki – кластер, который будет отвечать за одно из компьютерных правонарушений, Ai – некоторое множество признаков (под признаками будем понимать человеческие качества), соответствующее i-oму кластеру, где i=1,5 . Множество признаков поможет нам определить центры кластеров, не обращаясь к большим и сложным математическим формулам. Определим кластеры с признаками следующим образом:

Первый кластер (K1)? связанный с таким компьютерным правонарушением, как перехват информации содержит следующие признаки:

  • осторожность (a1);
  • внимательность (a2);
  • терпение (a3);
  • умение работать с аппаратурой (a4);
  • интерес к перехвату информации (a5);

Второй кластер (K2) подразумевает несанкционированный доступ и включает в себя следующие признаки:

  • знания в области компьютерной информации либо возможность обучения соответствующими навыками (a6);
  • осторожность (a1);
  • усидчивость (a7);
  • интерес к проникновению в чужие компьютеры различными способами (a8);

Третий кластер (K3) содержит признаки, относящиеся к таким неправомерным действиям, как манипуляция:

  • знания в области компьютерной информации либо возможность обучения соответствующими навыками (a6);
  • усидчивость (a7);
  • хорошо развита логика (a9);
  • возможность решения сложных задач (a10);
  • интерес к разным способам манипуляции (a11);

Четвертый кластер (K4) отвечает за комплексные методы, которые, в силу того, что они суть сочетание нескольких других, то данный кластер должен содержать все признаки первых трех кластеров:

  • осторожность (a1);
  • внимательность (a2);
  • терпение (a3);
  • умение работать с аппаратурой (a4);
  • интерес к перехвату информации (a5);
  • знания в области компьютерной информации либо возможность обучения соответствующими навыками (a6);
  • усидчивость (a7);
  • интерес к проникновению в чужие компьютеры различными способами (a8);
  • хорошо развита логика (a9);
  • возможность решения сложных задач (a10);
  • интерес к разным способам манипуляции (a11);

Пятый кластер (K5) не содержит ни одного признака, относящегося к компьютерным правонарушениям.

Таким образом, имеем пять кластеров с некоторыми признаками, и справедливы следующие соотношения:

A1 = (a1, a2, a3, a4, a5) є K1

A2 = (a1, a6, a7, a8) є K2

A3 = (a6, a7, a9, a10, a11) є K3

A4 = (a1, a2, a3, a4, a5, a6, a7, a8, a9, a10, a11) є K4

A5 = (a1, a2, a3, a4, a5, a6, a7, a8, a9, a10, a11) = K5.

Первый этап, выбранного нами алгоритма, заключается в нахождении центров кластеризации. Для этого нам необходимо, в первую очередь, определить какими признаками (a1, a2, a3, a4, a5, a6, a7, a8, a9, a10, a11) обладает каждый из соционических типов компьютерных правонарушителей. Затем определяем центры Oj каждого из кластера Ki. Далее переходим ко второму этапу алгоритма: каждое из оставшихся множеств Oj, относим к тому кластеру, расстояние, до центра которого минимально.

Объекты, подлежащие кластеризации (компьютерные правонарушения) оказались представленными в пространстве, измерением которых являются качества правонарушителя (признаки). Это признаковое пространство является, вообще говоря, n-мерным, но на практике может быть преобразовано в пространство меньшей размерности. Хотя компьютерные правонарушения агрегированы относительно многих измерений этого пространства, тем не менее, компьютерные правонарушения из данного кластера вполне могут быть распределены по всей области значений некоторых признаков. Различные компьютерные правонарушения будут отклоняться от кластера вдоль разных вдоль разных признаковых осей. Хотя большая часть характеристик некоторого компьютерного правонарушения должна быть похожа на характеристики других компьютерных правонарушений из кластера, нет никакой необходимости в сходстве по всем признакам. Принадлежность к классу определяется, таким образом, по наибольшему числу общих значений признаков.

На основе полученных данных была построена модель, чтобы определить степень приближенности (меру близости) соционических типов компьютерных правонарушителей к своим кластерам, а затем и вариант теста на предрасположенность к компьютерным правонарушениям для использования кадровыми службами. Для простоты восприятия сотрудниками кадровых служб следовало визуализировать тест. Распределение соционических типов компьютерных правонарушителей по кластерам компьютерных правонарушений наглядно изображено на рис.2. Видно, что типов личности, не предрасположенных к компьютерным правонарушениям (кластер К5) больше, чем потенциальных правонарушителей.

Кластеризация соционических типов компьютерных правонарушителей

Рис. 1 Кластеризация соционических типов компьютерных правонарушителей

Компьютерная этика

Углубившись во внутренний мир человека в попытке решить некоторые проблемы компьютерной безопасности, мы не могли обойти область весьма близкую к праву (по признаку нормативности) – компьютерную этику. Специалисты по IT-технологиям не могут игнорировать новую постановку известных моральных проблем в связи с использованием компьютеров и их сетей, а равно вопрос о том, как применять известные моральные правила в ранее неизвестных ситуациях.

Можно выделить немало проблем этики в сфере информационных технологий: информационная и коммуникационная приватность, этичность поведения в интернете, уважение интеллектуальной собственности, социальные проблемы использования коммуникативных технологий, профессиональная ответственность и др.[21] Все они сопрягаются с правовыми решениями в соответствующих сферах, особенно, вопросы интеллектуальной собственности, представляющие собой большой массив нормативно-правового регулирования и также являющиеся предметом преподавания в рамках Computer Law, но, как показывает практика, неизбежные пробелы в законодательстве возлагают бремя корректного выхода из спорных ситуаций на компьютерную этику. Изучение кодексов этики IT-профессионалов помогает не только со студенческих лет воспитывать культуру информационной (компьютерной) деятельности, но дает хорошие подсказки разработчикам компьютерного права.

Примечания.

1. См.: Батурин Ю.М. Проблемы компьютерного права. – В сб.: Политические аспекты глобальных проблем современности. – М., 1985, с.147-149.

2. См.: Baturin Y.M. Computer Law – Is It a Fashionable Term or Vital Problem? – In: Problems of Legal Philosophy. – M., 1987, p.178-188; Батурин Ю.М. Право и политика в компьютерном круге. – М., Наука, 1987, 111 С.

3. Батурин Ю.М. Проблемы компьютерного права. – М., «Юридическая литература», 1991, 271 С.; Батурин Ю.М., Жодзишский А.М. Компьютерная преступность и компьютерная безопасность. – М., «Юридическая литература», 1991, 159С.

4. См.: Батурин Ю.М. Проблемы компьютерного права, С.126.

5. Советскую и российскую библиографию работ по компьютерной безопасности см. в кн.: Приходько А.Я. Информационная безопасность в событиях и фактах. – М., СИНТЕГ, 2001, С.103-158.

6. Наряду с «компьютерным преступлением» часто используют близкие термины: - сomputer misuse – ненадлежащее использование компьютера; - сomputer abuse – злоупотребление компьютером; - сomputer fraud – компьютерная кража;  - сomputer forgery – компьютерный подлог;  - network crime – сетевое компьютерное преступление; - сyber crime – киберпреступление;  - computer-related crime – преступление, связанное с использованием компьютера; и др.

7. Приведенная классификация стран предложена в работе: Толеубекова Б.Х. Компьютерная преступность: вчера, сегодня, завтра. – Караганда, 1995, С.13). Та же классификация приводится и в кн.: Горбатов В.С., Полянская О.Ю. Мировая практика криминализации компьютерных правонарушений – М., МИФИ, 1998, С.13; Максимов В.И. Компьютерные преступления (вирусный аспект). - Ставропольское книжное издательство, 1999, С.16; Лопатин В.Н. Информационная безопасность России: человек, общество, государство. – С.-Пб., Фонд «Университет». 2000. С. 313; Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации. Учебное пособие для вузов. – М., «Книжный мир», 2001, С.6. и др.

8. Полные формулировки статей см.: Батурин Ю.М., Жодзишский А.М., Компьютерная преступность и компьютерная безопасность, С.28.

9. Полные формулировки статей см.: там же. Статья в Уголовный кодекс о несанкционированном введении в компьютерную программу посторонних программных средств (умышленное распространение компьютерного вируса) предлагалась также в кн.: Батурин Ю.М. Проблемы компьютерного права, С.164.

10. См. подробнее: Мазуров В.А. Компьютерные преступления. Классификация и способы противодействия. Учебно-практическое пособие. – М., «Палеотип» - «Логос», 2002, С.11-14.

11. ЭВМ – электронно-вычислительная машина здесь и далее будет равнозначным понятию «компьютер». О компьютере как аппаратно-программной реализации некоторого коллектива алгоритмов см.: Батурин Ю.М., Проблемы компьютерного права, С.10-31.

12. См.: Преступления в сфере компьютерной информации: квалификация и доказывание, С.87.

13. См.: Состояние преступности в России за январь-декабрь 2005 г. – М.: ГИАЦ МВД РФ, 2006. С.8.

14. См.: Волеводз А.Г. Противодействия компьютерным преступлениям. Правовые основы международного сотрудничества. – М., «Юрлитинформ», 2002, С.20; Преступления в сфере компьютерной информации: квалификация и доказывание. Учебное пособие. Под ред. Ю.В.Гаврилина. – М., Книжный мир, 2003, С.7.

15. См.: Преступность и правонарушения (1998-2002). Статистический сборник. – М., 2003, С.151-153.

16. См.: Преступность и правонарушения (2000-2004). Статистический сборник. – М., 2005, С.157.

17. См.: Горбатов В.С., Полянская О.Ю. Мировая практика криминализации компьютерных правонарушений. М. 1998. С.6.

18. Los Angeles Times. 1983, May 25.

19. Богоявленская С.А., Батурин Ю.М. Визуализация соционического классификатора типов личности (На примере предрасположенности к компьютерным правонарушениям). – Труды Международной научной конференции MEDIAS 2010 Лимассол, республика Кипр 10-14 мая 2010. – Москва – Протвино, 2010, с.97-108.

20.Аугустинавичюте А. Соционика.- М.: Черная белка, 2008г.-568с.

21. См.: Малюк А.А., Полянская О.Ю., Алексеева И.Ю. Этика в сфере информационных технологий. – М., Горячая линия – Телеком, 2011. 344 С.

Об авторе: Yuri M. Baturin – Corresponding Member of Russian Academy of Science,
Head of the Chair of Computer Law and Computer Security at Moscow Institute of Physics and Engineering,
Director of S.I.Vavilov Institute for the History of Science and Technology of RAS

Материалы международной конференции Sorucom 2017
Помещена в музей с разрешения автора 1 октября 2017