Преступления в сфере компьютерной информации

В настоящее время в юридической литературе существуют различные точки зрения в вопросах выделения, классификации и названия способов совершения компьютерных преступлений.

Наиболее часто правонарушителями использовались следующие способы: введение несанкционированных данных, создание несанкционированных файлов, программирование для личных целей. Наиболее распространенной формой является кража машинного времени. В большинстве случаев применяется сочетание различных способов.

В настоящее время выделяется свыше 20 основных способов совершения компьютерных преступлений и около 40 их разновидностей, число которых постоянно увеличивается по причине использования преступниками различных их комбинаций и логической модификации алгоритмов. Данное явление обусловлено как сложностью самих средств компьютерной техники, так и разнообразием и постоянным наращиванием выполняемых информационных операций, многие из которых отражают движение материальных ценностей, финансовых и денежных средств, научно-технических разработок и т.д., предопределяющих объект, предмет и орудие преступления. Панфилова, Е.И. Компьютерные преступления [Текст] : учебное пособие / Е. И. Панфилова. - М. : Феникс, 2007. - 254 с.

Следует подчеркнуть, что практически все способы совершения компьютерных преступлений имеют свои индивидуальные, присущие только им признаки, по которым их можно распознать и классифицировать в отдельные общие группы. Как правило, их основой являются действия преступника, направленные на получение различной степени доступа к средствам компьютерной техники. В большинстве своем, все эти действия сопровождаются весьма квалифицированными и хитроумными способами маскировки, что само по себе затрудняет процесс выявления, раскрытия и расследования преступления.

В большинстве случаев преступниками используются различные количественные и качественные комбинации нескольких основных способов, имеющих достаточно простой алгоритм исполнения и хорошо известных отечественной юридической практике по традиционным видам преступлений. По мере их модификации и постоянного усложнения логических связей появляются все новые и новые способы, отличительной особенностью которых является уже наличие сложных алгоритмов действий преступника, которые из преступления в преступление все более совершенствуются и модернизируются.

Все способы совершения компьютерных преступлений классифицируются в пять основных групп. При этом в качестве основного классифицирующего признака выступает метод использования преступником тех или иных действий, направленных на получение доступа к средствам компьютерной техники с различными намерениями. Выделяют следующие общие группы:

1) изъятие средств компьютерной техники (СКТ);

2) перехват информации;

3) несанкционированный доступ к СКТ;

4) манипуляция данными и управляющими командами;

5) комплексные методы. Максимов, В.Ю. Компьютерные преступления (вирусный аспект) [Текст] : учебное пособие / В.Ю. Максимов. - М.: АО «Центр ЮрИнфор», 2006. - 210 с.

К первой группе относятся традиционные способы совершения обычных видов («некомпьютерных») преступлений, в которых действия преступника направлены на изъятие чужого имущества. Под чужим имуществом в данном случае понимаются средства компьютерной техники, подробно классифицированные нами в первой главе работы. С уголовно-правовой точки зрения подобные преступные деяния будут квалифицироваться соответствующими статьями УК (шпионаж, хищение, разбой, вымогательство, присвоение найденного или случайно оказавшегося у виновного чужого имущества, мошенничество и т.п.). Характерной отличительной чертой данной группы способов совершения компьютерных преступлений будет тот факт, что в них средства компьютерной техники будут всегда выступать только в качестве предмета преступного посягательства, а в качестве орудия совершения преступления будут использоваться иные инструменты, технические устройства и приспособления, не являющиеся средствами компьютерной техники. К данной группе относятся и различные способы совершения преступлений, связанных с противоправным изъятием различных физических носителей ценной информации: магнитных лент и дисков, оптических и магнитооптических дисков, электронных кредитных карточек, электронных акций, услуг и т.п.

Ко второй группе относятся способы совершения компьютерных преступлений, основанные на действиях преступника, направленных на получение данных и машинной информации посредством использования методов аудиовизуального и электромагнитного перехвата, широко практикуемых в оперативно-розыскной деятельности правоохранительных органов.

К третьей группе способов совершения компьютерных преступлений нами относятся действия преступника, направленные на получение несанкционированного доступа к средствам компьютерной техники. Рассмотрим данный вид преступления более подробно. К данным преступлениям относятся нижеследующие:

1 «За дураком». Данный способ часто используется преступниками для проникновения в запретные зоны - как производственные помещения, так и электронные системы.

Типичный прием физического проникновения заключается в следующем: держа в руках предметы, связанные с работой на компьютерной технике (элементы маскировки), нужно ожидать кого-либо, имеющего санкционированный доступ, возле запертой двери, за которой находится предмет посягательства. Когда появляется законный пользователь, остается только войти внутрь вместе с ним или попросить его помочь донести якобы необходимые для работы на компьютере предметы. Этот вариант способа рассчитан на низкую бдительность сотрудников организации и лиц, ее охраняющих. При этом преступниками может быть использован прием легендирования.

На таком же принципе основан и электронный вариант несанкционированного доступа. В этом случае он используется преступником из числа внутренних пользователей путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру (обычно используются так называемые «шнурки» - шлейф, изготовленные кустарным способом, либо внутренняя телефонная проводка) в тот момент времени, когда сотрудник, отвечающий за работу средства компьютерной техники, выбранной в качестве предмета посягательства, кратковременно покидает свое рабочее место, оставляя терминал или персональный компьютер в активном режиме.

2 «За хвост». Этот способ съема информации заключается в следующем. Преступник подключается к линии связи законного пользователя (с использованием средств компьютерной связи) и терпеливо дожидается сигнала, обозначающего конец работы, перехватывает его «на себя», а потом, когда законный пользователь заканчивает активный режим, осуществляет доступ к системе. Этот способ технологически можно сравнить с работой двух и более неблокированных телефонных аппаратов, соединенных параллельно и работающих на одном абонентном номере: когда телефон «А» находится в активном режиме, на другом телефоне «Б» поднимается трубка, когда разговор по телефону «А» закончен и трубка положена - продолжается разговор с телефона «Б». Подобными свойствами обладают телефонные аппараты с функцией удержания номера вызываемого абонента. Поэтому нет особого различия в том, что подключается к линии связи - телефон или персональный компьютер.

3 «Компьютерный абордаж». Данный способ совершения компьютерного преступления осуществляется преступником путем случайного подбора (или заранее добытого) абонентного номера компьютерной системы потерпевшей стороны с использованием, например, обычного телефонного аппарата. После успешного соединения с вызываемым абонентом и появления в головном телефоне преступника специфического позывного сигнала, свидетельствующего о наличие модемного входа/выхода на вызываемом абонентном номере, преступником осуществляется механическое подключение собственного модема и персонального компьютера, используемых в качестве орудия совершения преступления, к каналу телефонной связи. После чего преступником производится подбор кода доступа к компьютерной системе жертвы (если таковой вообще имеется) или используется заранее добытый код. Иногда для этих целей преступником используется специально созданная самодельная, либо заводская (в основном, зарубежного производства) программа автоматического поиска пароля, добываемая преступником различными путями. Алгоритм ее работы заключался в том, чтобы, используя быстродействие современных компьютерных устройств, перебирать все возможные варианты комбинаций букв, цифр и специальных символов, имеющихся на стандартной клавиатуре персонального компьютера, и в случае совпадения комбинации символов с оригиналом производить автоматическое соединение указанных абонентов. Самодельная программа автоматического поиска пароля достаточно проста в плане ее математической и программной реализации. Иногда преступниками специально похищается носитель машинной информации с уже имеющимся паролем доступа, как это видно из примера, приведенного нами при рассмотрении первой группы способов совершения преступления. После удачной идентификации парольного слова преступник получает доступ к интересующей его компьютерной системе.

Стоит обратить внимание на то, что существует множество программ-взломщиков, называемых на профессиональном языке HACKTOOLS (инструмент взлома). Эти программы работают по принципу простого перебора символов, которые возможно ввести через клавиатуру персонального компьютера. Но они становятся малоэффективным в компьютерных системах, обладающих программой-сторожем компьютерных портов, ведущей автоматический протокол обращений к компьютерной системе и отключающей абонентов в случае многократного некорректного доступа (нa6op ложного пароля). Поэтому в последнее время преступниками стал активно использоваться метод «интеллектуального перебора», основанный на подборе предполагаемого пароля, исходя из заранее определенных тематических групп его принадлежности. В этом случае программе-взломщику передаются некоторые исходные данные о личности автора пароля добытые преступником с помощью других способов совершения компьютерного преступления. По оценкам специалистов, это позволяет более чем на десять порядков сократить количество возможных вариантов перебора символов и на столько же время на подбор пароля. Как показывают многочисленные эксперименты, вручную с использованием метода «интеллектуального перебора» вскрывается 42 % от общего числа паролей, состоящих из 8 символов (стандартная величина названия файла).

В ходе проникновения в информационные сети преступники иногда оставляют различные следы, заметив которые подвергшиеся нападению субъекты нападения меняют систему защиты информации. В ответ на это некоторые преступники намеренно сохраняют следы в первом персональном компьютере информационной сети, вводя таким способом в заблуждение сотрудников служб компьютерной безопасности, которые начинают считать, что имеют дело с неопытным любителем-дилетантом. Тем самым теряется бдительность при контроле за другими системами, к которым преступники получают последующий доступ с помощью применения другого способа.

По существу, «компьютерный абордаж» является подготовительной стадией компьютерного преступления.

4 Неспешный выбор. Отличительной особенностью данного способа совершения преступления является то, что преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите. Однажды обнаружив их, он может не спеша исследовать содержащуюся в системе информацию, скопировать ее на свой физический носитель и, возвращаясь к ней много раз, выбрать наиболее оптимальный предмет посягательства. Обычно такой способ используется преступником в отношении тех, кто не уделяют должного внимания регламенту проверки своей системы, предусмотренному методикой защиты компьютерной системы.

5 «Брешь». В отличие от «неспешного выбора», когда производится поиск уязвимых мест в защите компьютерной системы, при данном способе преступником осуществляется их конкретизация: определяются участки, имеющие ошибку (либо ошибки) или неудачную логику программного строения. Выявленные таким образом «бреши» могут использоваться преступником многократно, пока не будут обнаружены. Последнее возможно лишь высококвалифицированным программистом или лицом, непосредственно разработавшим данную программу.

Появление этого способа обусловлено тем, что программисты иногда допускают ошибки при разработке программных средств, которые не всегда удается обнаружить в процессе отладки программного продукта.

Уязвимые места иногда могут быть обнаружены преступником не только в программно-логических, но и в электронных цепях. Например, не все комбинации букв используются для команд, указанных в руководстве по эксплуатации компьютера. Некоторые такие сочетания могут приводить и к появлению электронных «брешей» по аналогии с «нулевым» абонентом телефонной сети: случайный незарегистрированный абонентный номер, созданный посредством нарушения логики связи в электрических цепях коммутирующих устройств автоматической телефонной станции (АТС).

Все эти небрежности, ошибки, слабости в логике приводят к появлению «брешей». Иногда программисты намеренно делают их для последующего использования в различных целях, в том числе и с целью подготовки совершения преступления.

5.1 «Люк». Данный способ является логическим продолжением предыдущего. В этом случае в найденной «бреши» программа «разрывается» и туда дополнительно преступник вводит одну или несколько команд. Такой «люк» «открывается» по мере необходимости, а включенные команды автоматически выполняются. Данный прием очень часто используется проектантами программных средств и работниками организаций, занимающихся профилактикой и ремонтом компьютерных систем с целью автоматизации рутинной работы. Реже - лицами, самостоятельно обнаружившими «бреши».

При совершении компьютерного преступления данным способом, следует обратить внимание на то, что при этом всегда преступником осуществляется преднамеренная модификация (изменение) определенных средств компьютерной техники.

6 «Маскарад». Данный способ состоит в том, что преступник проникает в компьютерную систему, выдавая себя за законного пользователя. Системы защиты средств компьютерной техники, которые не обладают функциями аутентичной идентификации пользователя (например, по биометрическим параметрам: отпечаткам пальцев, рисунку сетчатки глаза, голосу и т.п.), оказываются незащищенными от этого способа. Самый простейший путь к проникновению в такие системы - получить коды и другие идентифицирующие шифры законных пользователей. Это можно сделать посредством приобретения списка пользователей со всей необходимой информацией путем подкупа, коррумпирования, вымогательства или иных противоправных деяний в отношении лиц, имеющих доступ к указанному документу; обнаружения такого документа в организациях, где не налажен должный контроль за их хранением; отбора информации из канала связи и т.д.

В компьютерных преступлениях способ «маскарад», так же как и способ «за дураком», может выступать не только в электронной, но и в самой обычной физической форме. Чаще всего в этом случае преступники представляются корреспондентами, сотрудниками различных обслуживающих и вышестоящих организаций и получают необходимый им доступ к средствам компьютерной техники (используют метод легендирования).

7 «Мистификация». Иногда по аналогии с ошибочными телефонными звонками случается так, что пользователь с терминала или персонального компьютера подключается к чьей-либо системе, будучи абсолютно уверенным в том, что он работает с нужным ему абонентом. Этим фактом и пользуется преступник, формируя правдоподобные ответы на запросы владельца информационной системы, к которой произошло фактическое подключение, и поддерживая это заблуждение в течение некоторого периода времени, получая при этом требуемую информацию, например коды доступа или отклик на пароль.

8 «Аварийный». В этом способе преступником используется тот факт, что в любом компьютерном центре имеется особая программа, применяемая как системный инструмент в случае возникновения сбоев или других отклонений в работе ЭВМ (аварийный или контрольный отладчик). Принцип работы данной программы заключается в том, что она позволяет достаточно быстро обойти все имеющиеся средства защиты информации и компьютерной системы с целью получения аварийного доступа к наиболее ценным данным. Такие программы являются универсальным «ключом» в руках преступника.

9 «Склад без стен». Несанкционированный доступ к компьютерной системе в этом случае осуществляется преступником путем использования системной поломки, в результате которой возникает частичное или полное нарушение нормального режима функционирования систем защиты данных. Например, если нарушается система иерархичного либо категорийного доступа к информации, у преступника появляется возможность получить доступ к той категории информации, в получении которой ему ранее было отказано.

К четвертой группе способов совершения компьютерных преступлений относятся действия преступников, связанные с использованием методов манипуляции данными и управляющими командами средств компьютерной техники. Эти методы наиболее часто используются преступниками для совершения различного рода противоправных деяний и достаточно хорошо известны сотрудникам подразделений правоохранительных органов, специализирующихся по борьбе с экономическими преступлениями.

Недооценка важности надлежащего контроля за деятельностью должностных лиц, а в некоторых местах и полное его отсутствие, а также несовершенство законодательных и организационно-технических мер защиты информационных ресурсов позволяют преступникам с помощью указанных выше методов вносить изменения в отчетность и результаты финансово-бухгалтерских операций.

Далее рассмотрим наиболее широко используемые преступниками способы совершения компьютерных преступлений, относящиеся к группе методов манипуляции данными и управляющими командами средств компьютерной техники.

1 Подмена данных - наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия преступников в этом случае направлены на изменение или введение новых данных, которое осуществляется, как правило, при вводе-выводе информации. В частности, данный способ совершения преступления применяется для приписывания счету «чужой» истории, т. е. модификации данных в автоматизированной системе банковских операций, приводящей к появлению в системе сумм, которые реально на данный счет не зачислялись.

Этот способ применялся преступниками и при хищении материальных ценностей и чужого имущества. Например, при хищениях бензина на автозаправочных станциях, применяющих автоматизированные компьютерные системы отпуска горюче-смазочных материалов (ГСМ). В этом случае преступниками производилось изменение (фальсификация) учетных данных, в частности путем частичного повреждения физических носителей машинной информации, в результате чего практически было невозможно определить количество отпущенного потребителям бензина.

1.1 Подмена кода. Это частный вариант способа подмены данных. Он заключается в изменение кода данных, например бухгалтерского учета.

2 «Троянский конь». Данный способ заключается в тайном введении в чужое программное обеспечение специально созданных программ, которые, попадая в информационно-вычислительные системы (обычно выдавая себя за известные сервисные программы), начинают выполнять новые, не планировавшиеся законным владельцем принимающей «троянского коня» программы, с одновременным сохранением прежней ее работоспособности. В соответствии со ст. 273 Уголовного кодекса Российской Федерации под такой программой понимается «программа для ЭВМ, приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети». По существу, «троянский конь» - это модернизация уже рассмотренного способа «люк» с той лишь разницей, что он «открывается» не при помощи непосредственных действий самого преступника, а автоматически - с использованием специально подготовленной для этих целей программы без дальнейшего непосредственного участия самого преступника.

С помощью данного способа преступники обычно отчисляют на заранее открытый счет определенную сумму с каждой операции.

Данный способ основан на том, что компьютерные программы представляют собой сложную комбинацию алгоритмов, состоящих из набора порядка от нескольких сотен до миллионов команд, которые в свою очередь состоят еще из порядка 6-8 математических знаков кода, чтобы процессор мог оперировать с ними (так называемый «машинный язык»). Поэтому программа «троянского коня», состоящая из нескольких десятков команд, обнаруживается с большими сложностями только квалифицированными экспертами-программистами.

2.1 «Троянская матрешка». Является разновидностью «троянского коня». Особенность этого способа заключается в том, что во фрагмент программы потерпевшей стороны вставляются не команды, собственно выполняющие незаконные операции, а команды, формирующие эти команды и после выполнения своей функции, т.е. когда уже будет автоматически на программном уровне создан «троянский конь», самоуничтожающиеся. Иначе говоря, это программные модули-фрагменты, которые создают «троянского коня и самоликвидируются на программном уровне по окончании исполнения своей задачи.

В данном случае эксперту-программисту, производящему технико-технологическую экспертизу на предмет обнаружения в алгоритме законного программного продукта фрагментарного вкрапления в алгоритма программы «троянского коня», необходимо искать не его самого, а команды-модули, его создающие. Сделать это практически невозможно, т.к. коэффициент репродукций модулей может быть любого численного порядка по принципу функционирования обычной игрушки «Матрешка».

2.2 «Троянский червь». Еще одна разновидность способа «троянский конь». Данный способ совершения преступления характеризуется тем, что в алгоритм работы программы, используемой в качестве орудия совершения преступления, наряду с ее основными функциями, рассмотренными выше, закладывается алгоритм действий, осуществляющих саморазмножение, программное автоматическое воспроизводство «троянского коня». «Программы-черви» автоматически копируют себя в памяти одного или нескольких компьютеров (при наличии компьютерной сети) независимо от других программ. При этом используется тактика компьютерных вирусов.

2.3 «Салями». Такой способ совершения преступления стал возможным лишь благодаря использованию компьютерной технологии в бухгалтерских операциях. Раньше он не использовался преступниками по причине его «невыгодности». Данный способ основан на методике проведения операций перебрасывания на подставной счет мелочи - результата округления, которая на профессиональном бухгалтерском языке называется «салями». Мелочной преступный расчет в этом случае построен на том, что ЭВМ в секунду совершает миллионы операций, в то время как высококвалифицированный бухгалтер за целый рабочий день может выполнить лишь до двух тысяч таких операций. На этом строится и тактика использования «троянского коня», основанная на том, что отчисляемые суммы столь малы, что их потери практически незаметны, а незаконное накопление суммы осуществляется за счет совершения большого количества операций. С точки зрения преступников это один из простейших и безопасных способов совершения преступления. Он используется, как правило, при хищении денежных средств в тех бухгалтерских операциях, в которых отчисляются дробные (меньше чем одна минимальная денежная единица) суммы денег с каждой операции, т.к. в этих случаях всегда делается округление сумм до установленных целых значений. Ставка преступников делается на том, что при каждой ревизионной проверке потерпевший теряет так мало, что это практически не фиксируется документально. Между тем, учитывая скорость компьютерной обработки данных и количество осуществляемых в секунду операций, можно сделать вывод о размерах преступно накапливаемых и никем не регистрируемых сумм. Когда «салями» начинают понимать не в абсолютном, а в процентном смысле, вероятность раскрытия преступления значительно увеличивается.

2.4 «Логическая бомба». Иногда из тактических соображений хищения удобнее всего совершать при стечении каких-либо обстоятельств, которые обязательно должны наступить. В этих случаях преступниками используется рассматриваемый способ совершения преступления, основанный на тайном внесении изменений в программу потерпевшей стороны набора команд, которые должны сработать (или срабатывать каждый раз) при наступлении определенных обстоятельств через какое-либо время. Далее включается алгоритм программы «троянского коня». На практике заготовками данных программ пользуются системные программисты для законного тестирования компьютерных систем на их нормальную работоспособность, а также для исследовательских целей.

2.4.1 «Временная бомба». Является разновидностью «логической бомбы», которая срабатывает по достижении определенного момента времени. В США получили широкое распространение преступления, в которых преступником используется способ «временной бомбы» для хищения денежных средств. Механизм применения этого способа заключается в следующем. Преступником, находящимся в одной стране, посредством заранее введенной в банк данных автоматизированной системы межбанковских электронных операций программы «временной бомбы» в другой стране, похищаются деньги в определенный заданный момент времени при стечении благоприятных обстоятельств. Все манипуляции с ценными данными, а также начало осуществления бухгалтерских операций с ними производятся и контролируются программой. Преступнику лишь остается в определенный момент времени снять деньги, поступившие на заранее открытый счет. Аналогично происходят и преступления, направленные на разрушение определенных данных и информации в компьютерной системе для различных преступных целей.

2.5 «Троянский конь» в электронных цепях. В отличие от «троянских коней» программных, которые представляют собой совокупность команд, внедряемых в программные средства, этот способ предполагает создание определенных логических связей в электронных цепях аппаратных средств компьютерной техники для автоматического выполнения незаконных манипуляций по аналогии с программным способом. «Троянский конь» в электронных цепях компьютеров - очень редкий способ совершения компьютерного преступления. Особенность его заключается в том, что если в компьютерных системах 1 - 4 поколений электронный «троянский конь» создавался преступником кустарным способом посредством нарушения логики токонесущих проводников печатных плат и внесения конструкционных элементных изменений в электронную схему архитектуры строения компьютерной техники, то при эксплуатации компьютерных систем соответственно 5 и 6 поколений, подобные преступные действия возможны лишь путем внесения конструкционных изменений в топологию интегральных микросхем при их заводском изготовлении.

2.6 Компьютерные вирусы. С программно-технической точки зрения под компьютерным вирусом понимается специальная программа, способная самопроизвольно присоединяться к другим программам («заражать» их) и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов (при файловой организации программной среды), искажение и стирание (уничтожение) данных и информации, переполнение машинной памяти и создание помех в работе ЭВМ. Такие программы обычно составляются (исполняются, пишутся) преступниками на языке программирования «ассемблер» и не выдают при своей работе никаких аудиовизуальных отображений в компьютерной системе. Переносятся при копировании информации и ценных данных с одного материального носителя на другой, либо по компьютерной сети с использованием средств телекоммуникации. С уголовно-правовой точки зрения, согласно ст. 273 Уголовного кодекса Российской Федерации, под компьютерным вирусом следует понимать вредоносную программу для ЭВМ. Максимов, В.Ю. Компьютерные преступления (вирусный аспект) [Текст] : учебное пособие / В. Ю. Максимов. - М.: АО «Центр ЮрИнфор», 2006. - 210 с.

В самом общем виде этот способ совершения компьютерных преступлений является ничем иным, как логической модернизацией способа «троянский конь», выполняющего алгоритм, например типа «сотри все данные этой программы, перейди в следующую и сделай то же самое». Этот способ широко распространен по своему применению.

В настоящее время в мире существует уже более 2000 вирусов, и это только для одной, наиболее популярной и широко используемой на практике операционной системы MS-DOS. Количество вирусов постоянно увеличивается. Однако для понимания данного способа совершения преступления все вирусы можно классифицировать по определенным признакам и разбить на несколько обобщенных групп:

1 загрузочные (системные) вирусы (поражающие загрузочные секторы машинной памяти);

2 файловые вирусы (поражающие исполняемые файлы, в том числе СОМ, EXE, SYS, ВАТ-файлы и некоторые другие);

3 комбинированные вирусы.

К пятой группе относятся комплексные методы, которые содержат способы совершения преступления в сфере компьютерной информации входящие в первые четыре группы, описанные выше.

2.2 Основные способы защиты

При разработке компьютерных систем, выход из строя или ошибки, в работе которых могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. Известно немало мер, направленных на предупреждение преступления. Основными из них являются: технические, организационные и правовые.

К техническим мерам относят защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое (см. Приложение Д).

К организационным мерам относят охрану вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.

К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение.

При рассмотрении проблем защиты данных в сети, прежде всего, возникает вопрос о классификации сбоев и нарушений прав доступа, которые могут привести к уничтожению или нежелательной модификации данных. Среди таких потенциальных угроз выделяют:

1 Сбои оборудования:

- сбои кабельной системы;

- перебои электропитания;

- сбои дисковых систем;

- сбои систем архивации данных;

- сбои работы серверов, рабочих станций, сетевых карт и т.д.

2 Потери информации из-за некорректной работы ПО:

- потеря или изменение данных при ошибках ПО;

- потери при заражении системы компьютерными вирусами.

3 Потери, связанные с несанкционированным доступом:

- несанкционированное копирование, уничтожение или подделка информации;

- ознакомление с конфиденциальной информацией, составляющей тайну, посторонних лиц.

4 Потери информации, связанные с неправильным хранением архивных данных.

5 Ошибки обслуживающего персонала и пользователей:

- случайное уничтожение или изменение данных;

- некорректное использование программного и аппаратного;

- обеспечения, ведущее к уничтожению или изменению данных.

В зависимости от возможных видов нарушений работы сети многочисленные виды защиты информации объединяются в три основных класса:

- средства физической защиты, включающие средства защиты кабельной системы, систем электропитания, средства архивации, дисковые массивы и т.д.;

- программные средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа;

- административные меры защиты, включающие контроль доступа в помещения, разработку стратегии безопасности фирмы, планов действий в чрезвычайных ситуациях и т.д.

Следует заметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания программных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в области контроля доступа, защиты от вирусов и т.д.

Концентрация информации в компьютерах - аналогично концентрации наличных денег в банках - заставляет все более усиливать контроль в целях защиты информации. Юридические вопросы, частная тайна, национальная безопасность - все эти соображения требуют усиления внутреннего контроля в коммерческих и правительственных организациях. Работы в этом направлении привели к появлению новой дисциплины: безопасность информации. Специалист в области безопасности информации отвечает за разработку, реализацию и эксплуатацию системы обеспечения информационной безопасности, направленной на поддержание целостности, пригодности и конфиденциальности накопленной в организации информации. В его функции входит обеспечение физической (технические средства, линии связи и удаленные компьютеры) и логической (данные, прикладные программы, операционная система) защиты информационных ресурсов.

Сложность создания системы защиты информации определяется тем, что данные могут быть похищены из компьютера и одновременно оставаться на месте (ценность некоторых данных заключается в обладании ими, а не в уничтожении или изменении).

Обеспечение безопасности информации - дорогое дело, и не столько из-за затрат на закупку или установку средств, сколько из-за того, что трудно квалифицированно определить границы разумной безопасности и соответствующего поддержания системы в работоспособном состоянии.

Если локальная сеть разрабатывалась в целях совместного использования лицензионных программных средств, дорогих цветных принтеров или больших файлов общедоступной информации, то нет никакой потребности даже в минимальных системах шифрования/дешифрования информации.

Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ. Анализ риска должен дать объективную оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь, снижение коэффициента готовности системы, общественные отношения, юридические проблемы) и предоставить информацию для определения подходящих типов и уровней безопасности. Коммерческие организации все в большей степени переносят критическую корпоративную информацию с больших вычислительных систем в среду открытых систем и встречаются с новыми и сложными проблемами при реализации и эксплуатации системы безопасности.

Шифрование данных, как правило, использовалось правительственными и оборонными департаментами, но в связи с изменением потребностей и некоторые наиболее солидные компании начинают использовать возможности, предоставляемые шифрованием для обеспечения конфиденциальности информации.

Существует так же так называемая физическая защита данных. Кабельная система остается главной «ахилессовой пятой» большинства локальных вычислительных сетей: по данным различных исследований, именно кабельная система является причиной более чем половины всех отказов сети. В связи с этим кабельной системе должно уделяться особое внимание с самого момента проектирования сети.

Наилучшим образом избавить себя от «головной боли» по поводу неправильной прокладки кабеля является использование получивших широкое распространение в последнее время так называемых структурированных кабельных систем, использующих одинаковые кабели для передачи данных в локальной вычислительной сети, локальной телефонной сети, передачи видеоинформации или сигналов от датчиков пожарной безопасности или охранных систем.

Понятие «структурированность» означает, что кабельную систему здания можно разделить на несколько уровней в зависимости от назначения и месторасположения компонентов кабельной системы. Например, кабельная система SYSTIMAX SCS состоит из :

- Внешней подсистемы (campus subsystem);

- Аппаратных (equipment room);

- Административной подсистемы (administrative subsystem);

- Магистрали (backbone cabling);

- Горизонтальной подсистемы (horizontal subsystem);

- Рабочих мест (work location subsystem). Крылов В.В. Информационные компьютерные преступления [Текст] : учебное пособие / В. В. Крылов. - М.: Юрид. Лит., 2005. - 240 с.

Внешняя подсистема состоит из медного оптоволоконного кабеля, устройств электрической защиты и заземления и связывает коммуникационную и обрабатывающую аппаратуру в здании (или комплексе зданий). Кроме того, в эту подсистему входят устройства сопряжения внешних кабельных линий и внутренними.

Аппаратные служат для размещения различного коммуникационного оборудования, предназначенного для обеспечения работы административной подсистемы.

Административная подсистема предназначена для быстрого и легкого управления кабельной системы SYSTIMAX SCS при изменении планов размещения персонала и отделов. В ее состав входят кабельная система (неэкранированная витая пара и оптоволокно), устройства коммутации и сопряжения магистрали и горизонтальной подсистемы, соединительные шнуры, маркировочные средства и т.д.

Магистраль состоит из медного кабеля или комбинации медного и оптоволоконного кабеля и вспомогательного оборудования. Она связывает между собой этажи здания или большие площади одного и того же этажа.

Горизонтальная система на базе витого медного кабеля расширяет основную магистраль от входных точек административной системы этажа к розеткам на рабочем месте.

И, наконец, оборудование рабочих мест включает в себя соединительные шнуры, адаптеры, устройства сопряжения и обеспечивает механическое и электрическое соединение между оборудованием рабочего места и горизонтальной кабельной подсистемы.

Наилучшим способом защиты кабеля от физических воздействий, является прокладка кабелей с использованием в различной степени защищенных коробов. При прокладке сетевого кабеля вблизи источников электромагнитного излучения необходимо выполнять следующие требования:

а) неэкранированная витая пара должна отстоять минимум на 15-30 см от электрического кабеля, розеток, трансформаторов и т.д.

б) требования к коаксиальному кабелю менее жесткие - расстояние до электрической линии или электроприборов должно быть не менее 10-15 см.

Другая важная проблема правильной инсталляции и безотказной работы кабельной системы - соответствие всех ее компонентов требованиям международных стандартов.

Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка источников бесперебойного питания. Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или отдельной компьютера в течение промежутка времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитные носители. Большинство источников бесперебойного питания одновременно выполняет функции и стабилизатора напряжения, что является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства - серверы, концентраторы, мосты и т.д. - оснащены собственными дублированными системами электропитания.

За рубежом корпорации имеют собственные аварийные электрогенераторы или резервные линии электропитания. Эти линии подключены к разным подстанциям, и при выходе из строя одной них электроснабжение осуществляется с резервной подстанции.

Организация надежной и эффективной системы архивации данных является одной из важнейших задач по обеспечению сохранности информации в сети. В небольших сетях, где установлены один-два сервера, чаще всего применяется установка системы архивации непосредственно в свободные слоты серверов. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер.

Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном охраняемом помещении. Специалисты рекомендуют хранить дубликаты архивов наиболее ценных данных в другом здании, на случай пожара или стихийного бедствия.

Основной и наиболее распространенный метод защиты информации и оборудования от различных стихийных бедствий - пожаров, землетрясений, наводнений и т.д. - состоит в хранении архивных копий информации или в размещении некоторых сетевых устройств, например, серверов баз данных, в специальных защищенных помещениях, расположенных, как правило, в других зданиях или, реже, даже в другом районе города или в другом городе.

Кроме того, немаловажную роль в защите от преступлений в сфере компьютерной информации играют программные и программно-аппаратные методы защиты.

Защита от компьютерных вирусов

Вряд ли найдется хотя бы один пользователь или администратор сети, который бы ни разу не сталкивался с компьютерными вирусами. На сегодняшний день дополнительно к тысячам уже известных вирусов появляется 100-150 новых ежемесячно. Наиболее распространенными методами защиты от вирусов по сей день остаются различные антивирусные программы.

Однако в качестве перспективного подхода к защите от компьютерных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирусные платы, которые вставляются в стандартные слоты расширения компьютера. Корпорация Intel в 1994 году предложила перспективную технологию защиты от вирусов в компьютерных сетях. Flash-память сетевых адаптеров Intel EtherExpress PRO/10 содержит антивирусную программу, сканирующую все системы компьютера еще до его загрузки.

Проблема защиты информации от несанкционированного доступа особо обострилась с широким распространением локальных и, особенно, глобальных компьютерных сетей.

В компьютерных сетях при организации контроля доступа и разграничения полномочий пользователей чаще всего используются встроенные средства сетевых операционных систем. Так, крупнейший производитель сетевых ОС - корпорация Novell - в своем последнем продукте NetWare 4.1 предусмотрел помимо стандартных средств ограничения доступа, таких, как система паролей и разграничения полномочий, ряд новых возможностей, обеспечивающих первый класс защиты данных. Новая версия NetWare предусматривает, в частности, возможность кодирования данных по принципу «открытого ключа» (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов. Максимов, В.Ю. Компьютерные преступления (вирусный аспект) [Текст] : учебное пособие / В.Ю. Максимов. - М.: АО «Центр ЮрИнфор», 2006. - 210 с.

В то же время в такой системе организации защиты все равно остается слабое место: уровень доступа и возможность входа в систему определяются паролем. Не секрет, что пароль можно подсмотреть или подобрать.

Оснастив сервер или сетевые рабочие станции, например, устройством чтения смарт-карточек и специальным программным обеспечением, можно значительно повысить степень защиты от несанкционированного доступа. В этом случае для доступа к компьютеру пользователь должен вставить смарт-карту в устройство чтения и ввести свой персональный код. Программное обеспечение позволяет установить несколько уровней безопасности, которые управляются системным администратором. Возможен и комбинированный подход с вводом дополнительного пароля, при этом приняты специальные меры против «перехвата» пароля с клавиатуры. Этот подход значительно надежнее применения паролей, поскольку, если пароль подглядели, пользователь об этом может не знать, если же пропала карточка, можно принять меры немедленно.

Смарт-карты управления доступом позволяют реализовать, в частности, такие функции, как контроль входа, доступ к устройствам персонального компьютера, доступ к программам, файлам и командам. Кроме того, возможно также осуществление контрольных функций, в частности, регистрация попыток нарушения доступа к ресурсам, использования запрещенных утилит, программ, команд DOS.

Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos. В основе этой схемы авторизации лежат три компонента:

- База данных, содержащая информацию по всем сетевым ресурсам, пользователям, паролям, шифровальным ключам и т.д.

- Авторизационный сервер (authentication server), обрабатывающий все запросы пользователей на предмет получения того или иного вида сетевых услуг.

Авторизационный сервер, получая запрос от пользователя, обращается к базе данных и определяет, имеет ли пользователь право на совершение данной операции. Примечательно, что пароли пользователей по сети не передаются, что также повышает степень защиты информации.

- Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера «пропуск», содержащий имя пользователя и его сетевой адрес, время запроса и ряд других параметров, а также уникальный сессионный ключ. Пакет, содержащий «пропуск», передается также в зашифрованном по алгоритму DES виде. После получения и расшифровки «пропуска» сервер выдачи разрешений проверяет запрос и сравнивает ключи и затем дает «добро» на использование сетевой аппаратуры или программ.

Среди других подобных комплексных схем можно отметить разработанную Европейской Ассоциацией Производителей Компьютеров (ECMA) систему Sesame (Secure European System for Applications in Multivendor Environment), предназначенную для использования в крупных гетерогенных сетях.

По мере расширения деятельности предприятий, роста численности персонала и появления новых филиалов, возникает необходимость доступа удаленных пользователей (или групп пользователей) к вычислительным и информационным ресурсам главного офиса компании. Компания Datapro свидетельствует, что уже в 95 году прошлого столетия только в США число работников постоянно или временно использующих удаленный доступ к компьютерным сетям, составит 25 миллионов человек. Чаще всего для организации удаленного доступа используцются кабельные линии (обычные телефонные или выделенные) и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода. Панфилова, Е.И. Компьютерные преступления [Текст] : учебное пособие / Е. И. Панфилова. - М. : Феникс, 2007. - 254 с.

В частности, в мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов - их разделение и передача параллельно по двум линиям,- что делает невозможным «перехват» данных при незаконном подключении «хакера» к одной из линий. К тому же используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможности расшифровки «перехваченных» данных. Кроме того, мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленные пользователи будут ограничены в доступе к отдельным ресурсам сети главного офиса.

Разработаны и специальные устройства контроля доступа к компьютерным сетям по коммутируемым линиям. Например, фирмой AT&T предлагается модуль Remote Port Security Device (PRSD), представляющий собой два блока размером с обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют установить несколько уровней защиты и контроля доступа, в частности:

- шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей;

- контроль доступа в зависимости от дня недели или времени суток (всего 14 ограничений).

Широкое распространение радиосетей в последние годы поставило разработчиков радиосистем перед необходимостью защиты информации от «хакеров», вооруженных разнообразными сканирующими устройствами. Были применены разнообразные технические решения. Например, в радиосети компании RAM Mobil Data информационные пакеты передаются через разные каналы и базовые станции, что делает практически невозможным для посторонних собрать всю передаваемую информацию воедино. Активно используются в радиосетях и технологии шифрования данных при помощи алгоритмов DES и RSA.

2.3 Судебная практика по делам о компьютерных преступлениях

Рассматривая судебную практику по делам о компьютерных преступлениях, стоит отметить, прежде всего, ее несформированность и, вследствие этого, неоднородность. В настоящее время Верховным судом не принято ни одного постановления или определения по вопросам применения статей о компьютерных преступлениях. Приговоры, вынесенные различными судами по однотипным уголовным делам, зачастую расходятся в вопросах квалификации действий преступника и размеров наказания. Стоит так же отметить, что судебная практика по данным преступлениям начала набирать свои обороты еще в 90-х годах прошлого столетия.

Далее приведем примеры таких дел.

- 19 января 1997 года Южно-сахалинским городским судом был вынесен обвинительный приговор по статьям о компьютерных преступлениях. Студент Южно-сахалинского института экономики, права и информатики Г. за написание программы, подбиравшей пароли к адресам пользователей электронной почты, а также копирование информации из чужих почтовых ящиков получил два года лишения свободы условно и штраф в 200 минимальных размеров оплаты труда. Архив Южно-сахалинского городского суда за 1997 г. Дело № 2-2432.

- 10 марта 1998 года следственным управлением ГУВД Свердловской области было возбуждено уголовное дело по признакам преступления, предусмотренного ч. 1 ст. 273 УК РФ по факту распространения вредоносных программ для ЭВМ. Именно так было квалифицировано следствием создание электронной доски объявлений, в одной из областей которой находилась подборка вирусов и «крэков» для программного обеспечения. Среди доказательств распространения вредоносных программ в обвинительном заключении были упомянуты и лог-файлы с данными о том, какой из пользователей доски объявлений получал доступ к подборке вирусов. Архив Свердловского районного суда за 1998 г. Дело № 2-681/98.