Новости

07.12.2016 19:56
Рубрика: Происшествия

Два приема против взлома

Хакеров будут сажать в тюрьму и определят сайты, которым необходима особая охрана
За участие в хакерской атаке можно будет попасть в тюрьму на 5-10 лет. Так же накажут и тех, кто пишет программы, которые используют для взлома сайтов.
Компьютерных преступников ждет строгое наказание, вплоть до лишения свободы на 10 лет. Фото: Сергей Михеев/ РГ Компьютерных преступников ждет строгое наказание, вплоть до лишения свободы на 10 лет. Фото: Сергей Михеев/ РГ
Компьютерных преступников ждет строгое наказание, вплоть до лишения свободы на 10 лет. Фото: Сергей Михеев/ РГ

Правительство России внесло в Государственную Думу законопроект, который определяет список так называемых "критически значимых объектов информационной инфраструктуры".

Большинство хакерских атак на Россию идут из-за рубежа. А ущерб от них в мире перевалил за триллион долларов

Все они будут включены в специальный реестр, который будет курировать уполномоченный орган федеральной власти. Он пока еще не определен, а вот со списком критически значимых объектов информационной инфраструктуры все более-менее ясно.

Перечень довольно обширный, в него, как следует из текста документа, попадут информационные системы и компьютерные сети государственных органов, оборонной промышленности, здравоохранения, транспорта, связи, кредитно-финансовой системы, энергетики. Не забыта топливная, атомная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Силы и подразделения, а также сотрудники, связанные с обнаружением, предупреждением и ликвидацией последствий компьютерных атак также будут присутствовать в специальном реестре.

Кстати говоря, газеты тоже вполне могут попасть под определение критически важных объектов, считает директор Центра IT-исследований и экспертизы Российской академии народного хозяйства и государственной службы Михаил Брауде-Золотарев. Не все, конечно, но СМИ федерального значения - с большой вероятностью, уверен он. В том числе и "Российская газета".

"Впрочем список критериев "попадаемости" пока недостаточно четкий, размытый, и на данный момент сказать что-то точно нельзя", - считает собеседник "РГ".

Все объекты разделят на категории, в основу которых ляжет определение социальной, политической, экономической, экологической значимости, а также обеспечение обороноспособности и безопасности страны. При этом, эксперты не исключают, что спасение "значимых" отчасти будет делом самих "значимых".

Госорганы, юрлица, владеющие объектами, а также операторы связи должны будут самостоятельно либо с привлечением специальных организаций разрабатывать и осуществлять мероприятия по безопасности, говорится в законопроекта. В том числе за свой счет приобретать и устанавливать средства обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России.

Впрочем, поймать компьютерного хулигана за руку и примерно наказать будет непросто, по оценкам экспертов, большинство атак на нашу страну совершается из-за рубежа. За последние годы в мире ущерб от хакеров уже подошел к триллиону долларов и составляет от 0,4 до 1,4 процента мирового ВВП, предупреждает пояснительная записка. Компьютерная атака способна полностью парализовать информационную инфраструктуру государства и вызвать социальную, финансовую или экологическую катастрофу.

Наказание за кибератаки будет жестким: либо штраф в миллион рублей, либо лишение свободы на 5 - 10 лет
Выяснить личность хакера трудно - он может жить в одной стране, а атаковать, используя сети другой. Фото: Reuters

В России уже созданы элементы защиты от кибератак. Так, например, работает Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) в Центральном банке. Как уже рассказывал "РГ" замначальника Главного управления безопасности и защиты информации ЦБ Артем Сычев, центр работает не над ликвидацией киберпреступности - это невозможно, а над сохранением "минимального уровня подобных преступлений". Сейчас уровень хищений в РФ составляет 0,005 процента от оборота денежных средств в электронном виде. "Выше этого уровня нам подниматься нельзя", - говорит эксперт. Новый закон должен этому помочь. Наказание за совершение компьютерных атак планируется серьезное. Это будет либо штраф в миллион рублей, либо принудительные работы на срок до 5 лет, либо лишение свободы на тот же срок. Если же преступление повлечет тяжкие последствия или создаст угрозу их наступления, тому, кто его совершил, будет грозить от 5 до 10 лет тюрьмы.

Однако, как считает Брауде-Золотарев, отследить хакера - дело, действительно, трудновыполнимое. "Если злоумышленник сидит на территории России, но использует мощности, которые расположены за границей, - как его поймать? А если заказчик был за рубежом, а исполнитель - здесь, как быть?" - спрашивает он.

И подчеркивает, что отсутствие проблемы (а крупных хакерских атак за последнее время на Россию не было), конечно, не означает отсутствия рисков. "Информационная безопасность страны очень важна, и от рисков надо защищаться. Но аккуратно, чтобы не перегнуть палку и не ограничить возможности значимых объектов выполнять свои функции", - считает Брауде-Золотарев.

Пропаганда ради пропаганды

Сегодня американский обыватель, похоже, больше поддается "психозу киберугрозы", нежели опасается ракетного удара, как это было каких-то тридцать с лишним лет назад, когда Рейган пугал сограждан угрозой ядерного удара со стороны "империи зла". Тому есть простое объяснение: вся жизнь современного американца зависит от Всемирной паутины. Начиная от соцсетей и гаджетов, "рабом которых он стал" - по статистике их активно используют 9 из 10 граждан США. Заканчивая полностью завязанной на компьютеры инфраструктурой. Как страны (электросети, банки, транспорт), так и конкретного "умного" дома, которым уже можно управлять на расстоянии.

Хакер - это фетиш, пугало, которое было рождено в США, и которое очень популярно и распространено именно в Северной Америке. Масштабы "вредоносной" деятельности хакеров в США временами были такими разрушительными, что в уголовном кодексе их деяния по сроку наказания едва ли не приравняли к действиям террористов. Однако в ходе предвыборной кампании в США из сугубо уголовной тема хакеров перешла в политико-пропагандистскую плоскость. Теперь в роли главного козла отпущения в США представили "российских хакеров", которые ни много ни мало, "покушались на американскую демократию". И сразу же забылись местные взломщики, "кидавшие банки" и отключавшие электричество ради потехи. При этом бьют своих: в "пособники хакеров" записали около двухсот американских сайтов. Такая статья появилась в одной из главных американских газет - "Вашингтон пост", где эти ресурсы обвинили в "посягательстве на демократию". В результате два американских портала Naked Capitalism и The Intercept намерены подать на вашингтонскую газету в суд за распространение заведомо ложной информации.

Еще более циничным выглядит то, как эти списки якобы "пророссийских сайтов" попали в распоряжение "Вашингтон пост". Как сообщила газета "Нью-Йоркер", которой тоже передали эти списки, их предложили редакции некие анонимные доброжелатели. Это группа "The PropOrNot Team", лица в анонимном письме назвавшиеся экспертами, которые ставят "целью выявление пропаганды, особенно российской пропаганды, которая ориентируется на американскую аудиторию". У обозревателя "Нью-Йоркер" сразу вызвало подозрения то, что обвинения в том, что американские сайты "продвигают российскую пропаганду", выдвинула группа анонимов, а их аргументы носят нелогичный и хаотичный характер. Тем не менее "Вашингтон пост" на эту уловку купилась. Вот только купилась ли? На самом деле американские ресурсы, пугая граждан США российскими хакерами и пропагандой, отвлекают внимание отнюдь не от мнимой угрозы. А попросту, прикрываясь пропагандой, умалчивают о тех, кто готовит атаку на чувствительные объекты российской инфраструктуры. Иными словами, потворствуя им.

Между тем

Хакеры из Италии занимают "почетное" 10-ое место в мировой классификации. Их главной мишенью являются коммерческие компании, а также сайты правительственных учреждений (премьер-министра Италии, Сената и Палаты депутатов). Чаще всего хакеры выбирают в жертвы те структуры, которые проявляли попытки произвести регулирование интернета. Есть, однако, среди местных хакеров и те, которыми движут добрые намерения. К примеру, около месяца назад хакер, известный под псевдонимом Kapustkiy, взломал сайт правительства Италии и похитил базу данных, содержащую информацию о 45 тыс. пользователей, в том числе учетные данные сервисов, находящихся в ведении муниципалитетов страны. При этом на платформе Pasterbin он решил разместить лишь часть похищенной информации, объяснив этот жест желанием предоставить итальянским властям возможность исправить проэксплуатированную им уязвимость, позволяющую производить подобные атаки. Однако законодательство Италии не делает различия между "злыми" и "добрыми" интернет-взломщиками.

Согласно статье 615 Уголовного кодекса Италии, любого, кто попытается нанести урон информационной безопасности страны, будет ожидать срок лишения свободы от 1-го до 3-х лет.  Впрочем, учитывая, что многие итальянские хакеры пока еще не достигли совершеннолетия. Для них зачастую применяются альтернативные формы наказания. Например, 16-летнего интернет гения, атаковавшего около года назад сайт одного из итальянских профсоюзов, в качестве взыскания взяли его на один день консультантом для своего сайта.

В Германии наказание за хакерские атаки предусмотрено статьей 303 уголовного кодекса страны. Называется она "компьютерный саботаж". Наказуемо "значительное повреждение обработки данных, представляющих важность для других", а также "удаление, удерживание, повреждение, изменение данных, составление и передача данных или же повреждение и изменение устройства по их передаче или их носителя". Если эти данные "имеют большое значение для чужого производства или предприятия, а также госучреждения", злоумышленникам грозит денежный штраф или тюремный срок до пяти лет. Наказуема также попытка саботажа. Лишение свободы от шести месяцев до десяти лет предусмотрено, если действия преступника приведут к значительной потере имущества или нарушению снабжения населения жизненно важными товарами или услугами, а также в случае угрозы безопасности ФРГ. Такое же наказание грозит совершающим подобные преступления профессионально или в составе банды, долговременно занимающейся компьютерным саботажем.

Статья 202 УК РГ предусматривает наказание за электронный шпионаж. Если кто-то "подготавливает, достает для себя и других, продает, передает другим или распространяет пароли и коды безопасности, а также компьютерные программы, предоставляющие доступ к чужим данным", получит наказание в виде денежного штрафа или тюрьмы до двух лет. Так же наказываются все, кто предоставляет другим незаконный доступ к данным, не предназначенным для чужих, или ворует их, применяя технические средства. За подготовку этих преступлений грозит денежный штраф или лишение свободы сроком до двух лет.

Подготовили Нива Миракян, Рим; Анна Розэ, Берлин

Ищите в сети

Ужесточение ответственности за киберпреступления в правоохранительных органах и спецслужбах откровенно приветствуется. Причем собеседники "РГ" из этих структур не скрывают свое участие в подготовке документов, дающих основание для принятия новых законодательных актов. Игорь Свиридов, полковник, эксперт по проблемам права одной из спецслужб, рассказал корреспонденту "РГ", что пока уголовная ответственность для хакера базируется на трех статьях Уголовного кодекса России - 272-й, 273-й и 274-й.

Это, соответственно, "Неправомерный доступ к компьютерной информации", "Создание, использование и распространение вредоносных программ для ЭВМ" и "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети".

200 миллиардов рублей украли хакеры в этом году

Сесть в тюрьму за незаконные манипуляции с "мышкой" можно максимум на пять лет. И еще с электронного взломщика могут по решению суда взыскать миллион рублей штрафа. Правда, не в пользу пострадавшего, а государства. Но суды почему-то предпочитают пойманных с поличным хакеров сажать по другой уголовной статье - 159.6. То есть всего лишь за мошенничество. Что, по сути, ничего в сроках наказания принципиально не меняет. В любом случае за взлом, допустим, сайта какого-нибудь банка могут дать столько же, сколько за мелкую или не очень крупную кражу в магазине - все те же пять лет лишения свободы. И тот же штраф.

Разумеется, это деяние не считается особо опасным, и те, кто осужден за "хакерство", вполне могут выйти через полтора года по условно-досрочному освобождению - за примерное поведение. Получается несоответствие преступления и наказания.

Наверное, это и возмутило банкиров и спецслужбы, ведь суммы, которые крадут хакеры, - астрономические. Так, в прошлом году киберпреступники нанесли ущерб российской экономике в 200 (!) миллиардов рублей. А ведь есть еще и пострадавшие частные граждане, у которых со счетов увели деньги, взломали электронную почту, воспользовались личными данными для получения кредита на чужое имя или совершения незаконной коммерческой сделки. Да мало ли вариантов для фантазии "компьютерного гения"? Поэтому объединенная группа разработчиков законопроекта предлагает переквалифицировать киберпреступления в новый состав с более жестким наказанием.

Но это еще не все неприятные сюрпризы, ожидающие хакеров. Спецслужбы озабочены не только виртуальными кражами, но и взломами личных и служебных электронных почт и сервисов, DDoS-атаками. Кстати, эти компьютерные инциденты почему-то никак не охвачены законодательством, хотя несут угрозу как частным лицам, так и государственным учреждениям. Причем подобные виртуальные "шалости" могут привести к катастрофам и гибели людей - скажем, отключение системы безопасности какой-нибудь АЭС, аэропорта или электроснабжения. Теперь многие нестандартные ситуации будут квалифицироваться спецслужбами как теракты или диверсии. И спрос за них будет соответственным. Надо ли объяснять, как в нашей стране, да и во всем мире, относятся к террористам? Даже в тюрьме, среди "сидельцев", такого человека будут воспринимать не просто как "чудака в очках", а как прокаженного. И "воровской авторитет" в камере ему не светит. Скорее, наоборот. Одно дело - ловкий карманник, другое - виновник теракта.

Известно, что ФСБ России разработала специальную систему противодействия компьютерным атакам - госСОПКА. Это - государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создание которой было поручено ФСБ в 2013 году. Она должна быть утверждена на правительственном уровне, а может - и в форме указа президента уже в I-II квартале следующего года. Об этом заявил руководитель Gov-CERT (центр реагирования на компьютерные инциденты) ФСБ Алексей Новиков на "SOC-Форуме" - конференции по центрам мониторинга и реагирования на инциденты в области информационной безопасности, которая прошла в Москве. Уже создан главный центр системы - 10 федеральным государственным структурам поручено до 2020 года развернуть у себя ведомственные центры мониторинга инцидентов и подключить их к главному. К ведомственным центрам госСОПКА уже подключен finCERT Центрального банка России, созданный в прошлом году. По идее должны подключиться все федеральные органы власти и объекты критической инфраструктуры России, от которых зависят безопасность и жизнедеятельность населения страны.

Происшествия Правосудие Охрана порядка Правительство Законодательная власть Госдума Хакерские атаки
Добавьте RG.RU 
в избранные источники