Правопорушення в галузі технічної захищеності систем
Характерні правопорушення, чинені шляхом порушення технічного захисту ІС, підпадають, як правило, під дію Кримінального кодексу (КК) України, до якого включено спеціальний розділ ХVI"Злочини у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж і мереж електрозв'язку. Він уперше з'явився в КК й істотно підвищив міру відповідальності за правопорушення в цій сфері.
Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації, - карається штрафом від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк від двох до п'яти років, або позбавленням волі на строк до трьох років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до двох років або без такого та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи (стаття 361).
Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, - караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи.
Примітка. Значною шкодою, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян.
Зловмисне введення в ІС шкідливих програм, що приводять до порушень її роботи - так званих вірусів, - законом трактується як злочин і карається відповідно до КК України, для чого в кодекс уведена стаття 361-1 "Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут".
У відповідності з цією статтею створення з метою використання, розповсюдження або збуту, а також розповсюдження або збут шкідливих програмних чи технічних засобів, призначених для несанкціонованого втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, - караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або позбавленням волі на той самий строк, з конфіскацією програмних чи технічних засобів, призначених для несанкціонованого втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, які є власністю винної особи.
Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, - караються позбавленням волі на строк до п'яти років з конфіскацією програмних чи технічних засобів, призначених для несанкціонованого втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, які є власністю винної особи.
Як видно, закон суворо карає зараження ІС вірусами. Природно, кара посилюється, якщо воно відбувається з наміром, з корисливих інтересів або заздалегідь підготовлене. Проте віруси "гуляють" по системах, число їх множиться, тому необхідно постійно проводити в системах роботу з виявлення й знищення таких програм. Існують колективи, що розробляють антивірусні програми, які дозволяють знизити ризик поразки системи шкідливою програмою, зриву робіт і втрати даних.
Тут можна відзначити, що в боротьбі з вірусами важливу роль відіграє правова основа. Так, вірус I love you (я люблю тебе), запущений у мережі в 2000 р. через електронну пошту молодою подружньою парою з Філіппін, уразив в усьому світі близько 48 млн. комп'ютерів. Досить швидко винуватців вичислили й заарештували. Однак вони були відпущені на волю, оскільки в законодавстві Республіки Філіппіни немає жодного правового акту в цій сфері.
Характерним масовим правопорушенням у сфері інформатизації стало так зване проникнення, несанкціонований доступ у середовище ЕОМ, систем ЕОМ або обчислювальних мереж. Це діяння може мати у своїй основі як корисливі, так і чисто професійні, але перекручені мотиви. На цій основі виник рух хакерів (hacker - від hack: розрубати, розколоти, розбити на дрібні шматки), які навіть координують свої атаки на ті або інші системи, проводять "чемпіонати світу" і т.д. Найбільше цінуються в їх середовищі успішні проникнення в системи, що захищають особливо, їх не зупиняють ні військові, ні політичні, ні розвідувальні системи, не говорячи про системи банківських й інших комерційних структур.
Час від часу хакери оголошують війну, як правило, тому або іншому відомству США, хоча перебувати вони можуть у самих різних частинах земної кулі й координувати свої дії через Інтернет. Наприклад, у лютому 1998 р. були зроблені численні атаки на різні мережі й комп'ютерні системи в США й зламані, зокрема, 11 серверів Пентагона. Виявилося, що зловмисниками виявилися два американських школярі. Однак їх піймання не поклало кінець боротьбі хакерів проти найбільших урядових й академічних вузлів Мережі.
Атакам хакерів час від часу піддаються й системи певного типу. Так, повідомлення про масований злом серверів НАСА, ВМФ США, а також локальних мереж у десятках американських університетів надійшли 4 березня 1998 р. Цього разу мішенню зломщиків виявилися системи, що використовують операційну систему Microsoft Windows NT. Як виявилося, комп'ютери, на яких ця система встановлена, виводяться з ладу посилкою досить нехитрого набору команд із будь-якої адреси в Мережі. Фірма вже випустила програму-латку, що дозволяє убезпечити комп'ютери від нападу такого роду, однак не всі системні адміністратори встигають відразу ставити нові оборонні модулі на свої машини в міру виявлення нових дір у безпеці ОС MS Windows NT.
Прикладів таких подій стає усе більше й в Україні. Для наших хакерів найбільш характерне прагнення проникнути в ІС банківських установ. У КК України уведена 361 "Неправомірний доступ до комп'ютерної інформації", що визначає як злочин неправомірний доступ до комп'ютерної інформації, тобто до інформації на машинному носії, в ЕОМ, системі ЕОМ або їхньої мережі, якщо це діяння спричинило знищення, блокування, модифікацію або копіювання інформації, порушення роботи ЕОМ, системи ЕОМ або їх мережі. Це означає, що в масі своїй хакери роблять дії, які закон визначає як злочинні.
Це злочинне діяння карається штрафом у розмірі від двохсот до п'ятисот мінімальних розмірів оплати праці або в розмірі заробітної плати або іншого доходу засудженого за період від двох до п'яти місяців або виправних робіт на строк від шести місяців до одного року, або позбавленням волі на строк до двох років. Те ж діяння, зроблене групою осіб за попередньою змовою, карається більш суворо.
Відповідно до КК України несанкціоновані зміна, знищення або блокування інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах чи комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї, - караються штрафом від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років з конфіскацією програмних або технічних засобів, за допомогою яких було вчинено несанкціоновані зміна, знищення або блокування інформації, які є власністю винної особи.
Несанкціоновані перехоплення або копіювання інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, якщо це призвело до її витоку, вчинені особою, яка має право доступу до такої інформації, - караються позбавленням волі на строк до трьох років з позбавленням права обіймати певні посади або займатися певною діяльністю на той самий строк та з конфіскацією програмних чи технічних засобів, за допомогою яких було здійснено несанкціоновані перехоплення або копіювання інформації, які є власністю винної особи. Такі ж дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, - караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані дії з інформацією, які є власністю винної особи.
Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації, створеної та захищеної відповідно до чинного законодавства, - караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або позбавленням волі на строк до двох років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, - караються позбавленням волі на строк від двох до п'яти років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи.
З ростом цінності інформації, зосередженої в ІС, зростає ціна помилки персоналу й відповідно повинна підвищуватися міра відповідальності за дотримання правил роботи в середовищі ІС, тобто за дотримання правил експлуатації таких систем. При серйозних наслідках порушення правил експлуатації набуває ознак карного злочину й карається як таке. У КК України цим правопорушенням присвячена 363 "Порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється".
Відповідно до цієї статті порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється, якщо це заподіяло значну шкоду, вчинені особою, яка відповідає за їх експлуатацію, - караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років з позбавленням права обіймати певні посади чи займатися певною діяльністю на той самий строк.
Карається законом також перешкоджання роботі електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку шляхом масового розповсюдження повідомлень електрозв'язку (стаття 363-1). Зокрема, умисне масове розповсюдження повідомлень електрозв'язку, здійснене без попередньої згоди адресатів, що призвело до порушення або припинення роботи електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, - карається штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років.
Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, якщо вони заподіяли значну шкоду, - караються обмеженням волі на строк до п'яти років або позбавленням волі на той самий строк, з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено масове розповсюдження повідомлень електрозв'язку, які є власністю винної особи.
Таким чином, закон істотно підвищив міру відповідальності осіб, що мають доступ до ресурсів ІС, за дотримання правил роботи із цими ресурсами й за їхню схоронність.
Правда, у цій статті викликає деякі питання визначення поняття "правила експлуатації", але в цьому напрямку можна працювати більш цілеспрямовано, маючи на увазі ту міру відповідальності, яку покладає закон за порушення цих правил. До правил експлуатації ІС або ІР примикають правила експлуатації властиво обчислювальних центрів, пов'язаних із забезпеченням енергопостачання ОЦ, функціонуванням кліматичних установок і т.п.
При розслідуванні подій, які спричинили до втрати ІР, може виявитися складно розділити порушення правил експлуатації власне ЕОМ, системи ЕОМ або їх мережі від порушень у сфері експлуатації комплексів, що забезпечують, і засобів. Особливо не просто це зробити при так званих форс-мажорних обставинах: пожежах, катастрофах і т.п.
Таким чином, необхідність неухильного дотримання й збереження ІР охороняється й стимулюється законом. Найбільш строгі норми закону (карне переслідування) поширені тепер і на цю сферу.
Дата добавления: 2015-12-01; просмотров: 543;