Правовые аспекты инцидентов, затрагивающих кибербезопасность информационных систем на современном этапе международного информационного права

Данная статья посвящена рассмотрению основных видов противоправных инцидентов в сфере информационного пространства и разбору правовых аспектов, возникающих при таких ситуациях.

Ключевые слова: киберпространство, кибербезопасность, противоправные инциденты, Интернет-провайдер, хостин, вирус-шифровальщик, фишинговая атака, DDoS-атаки, наборы эксплойтов.

Появление и активное развитие информационного пространства или, как уже принято называть, киберпространства приводит к тому, что всё больше экономических и политических мероприятий проводится в сети «Интернет». Так, например, с 1990-х годов торговля на валютной, фондовой и товарной биржах практически в полном объёме проходит с использованием информационных технологий [5]. Однако, к сожалению, данное активное развитие приводит не только к положительным результатам, но и к отрицательным. Так, за 2020 год в Российской Федерации общее число киберпреступлений выросло на 73,4 % по сравнению с 2019 годом [14], а в Соединённых Штатах Америки согласно ежегодному отчёту Федерального бюро расследований общие потери от Интернет-преступлений составили 4,2 миллиарда долларов, что на 20 % больше, чем в 2019 году [17]. Но прежде, чем говорить о самих аспектах направления, хотелось бы обратить внимание на терминологию и основную классификацию.

Инцидент, затрагивающий кибербезопасность информационных систем («инцидент информационной безопасности» или «киберпреступление») — происшествие при котором одна сторона получила доступ информации или базам данных другой стороны несанкционированным образом (без особого разрешения) [19, с. 25]. Данное событие может выражаться как в форме реального действия, так и в форме попытки совершения данного действия. Более того, всегда присутствует факт прерывания работы системы и нарушение законов и политики конфиденциальности.

На международном уровне определение «инцидента информационной безопасности» дано в стандарте ИСО/МЭК ТО 27035–1:2016 «Информационные технологии. Рекомендации по информационной безопасности»: «Инцидент информационной безопасности — появление одного или нескольких нежелательных или неожиданных событий информационной безопасности (далее — ИБ), с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ» [18]. Данному стандарту полностью соответствует стандарт Российской Федерации ГОСТ Р ИСО/МЭК ТО 18044–2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности», принятый в 2008 году [7].

На практике такое понятие включает в себя различные неправомерные мероприятия, происходящие при работе с информацией в электронном виде или на материальном носителе.

К таким мероприятиям относятся:

— Нарушение порядка взаимодействия с Интернет-провайдером, хостингом, почтовыми сервисами, облачными сервисами и другими провайдерами телекоммуникационных услуг;

— Программные ошибки, вызванные вирусами-шифровальщиками;

— Несанкционированный доступ третьих лиц к информационным ресурсам;

— Обнаружение вирусов или других вредоносных программ;

— Любая компрометация системы, например, публичное раскрытие паролей учетных записей. [4]

В Российской Федерации действует Приказ Роскомнадзора от 12.08.2013 N 912 «О порядке функционирования Информационной системы взаимодействия» [9], который был принять для более детального применения Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации» [13]. Согласно данному приказу любой пользователь должен вести деятельность в соответствии с правилами, установленными провайдером или хостингом. Однако при нарушении данного порядка предусматривается только ограничение прав пользователя на данном сервере (хостинге), а не в общей сети, что не исключает того факта, что пользователь просто поменяет хостинг или облачное хранилище.

Если говорить о системных ошибках, вызванных вирусами-шифровальщиками, то стоит отметить, что это такие вредоносные программы, которые зашифровывают все пользовательские данные, требуя выкуп за ключ «расшифрования». Вопрос программных ошибок должен был регулироваться Цифровой Женевской Конвенцией, разработка которой была предложена юристами компании Майкрософт (Microsoft Corp.) [8]. Целью Конвенции был отказ от любых форм кибератак с использованием данных вирусов как киберпреступниками, так и правительствами различных стан. Однако, несмотря на то, что документ был подписан 67 странами и 139 международными организациями, такие крупные «игроки», как США, Россия и Китай, отказались от подписи, что привело к провалу Цифровой Женевской Конвенции. Самыми известными видами вирусов-шифровальщиков являются:

— WannaCry («Эпидемия 2017 года» [15]);

— NotPetya («Хакерские атаки на Украину» 27.05.2017 [2])

— BadRabbit («Хакерские атаки на Россию и Украину» октябрь — ноябрь 2017 года [11]).

Что касается внешнего мониторинга информационных систем, то это до сих пор дискуссионный вопрос. С одной стороны пользователь в сети должен иметь личную свободу и охрану своих персональных данных, с другой — в Соединённых Штатах в 2018 был принят Clarifying Lawful Overseas Use of Data Act («Закон о разъяснении законного использования данных за рубежом») (известный как «Облачный Акт»), который предусматривает возможность установления юрисдикции над данными, расположенными на серверах в зарубежных странах [16]. Предысторией данного акта является дело Microsoft Corp. против Министерства юстиции США [20]. С анализом данного акта и дела можно ознакомиться в статье Власенко В. Э. «Киберпространство» на современном этапе международного информационного права» [3].

Несанкционированный доступ, распространение вирусных программ и раскрытие паролей — являются базовыми преступлениями в международном информационном праве. При активном развитии данной отрасли права международное сообщество и государства лично начали разработку законодательных актов, способных дать понятия видам киберпреступлений и предусмотреть соответствующее наказание. Так, на международном уровне единственными документами остаются «Конвенция о преступности в сфере компьютерной информации» ETS N 185 [6] и Резолюция Генеральной Ассамблеи ООН «Борьба с преступным использованием информационных технологий» [10]. Эти документы дают чёткое определение видам инцидентов кибербезопасности систем, а сами механизмы регулирования уже предусмотрены национальным законодательством стран. Так, например, в Российской Федерации наказания за киберпреступления прописываются в главе 28 «Преступления в сфере компьютерной информации» Уголовного кодекса Российской Федерации от 13.06.1996 N 63-ФЗ [12], а в США — ст. 1030 титула 18 Свода законов США [21].

Если говорить о категориях, то все международные киберпреступления можно разделить на: индивидуальные, имущественные и государственные [1].

1. Кибератаки имущественного характера. Преступник или хакер крадет банковские реквизиты человека, чтобы получить доступ к средствам, совершать покупки в сети «Интернет» или запускать «фишинговые» атаки[1], чтобы заставить людей выдать свою персональную информацию. Они также могут использовать вредоносное программное обеспечение для получения доступа к веб-странице.
2. Кибератаки персонального характера. Лицо распространяет в сети «Интернет» вредоносную или незаконную информацию.
3. Кибератаки против государства. Это наименее распространенное киберпреступление, но самое серьезное преступление. Правительственная киберпреступность включает взлом правительственных или военных веб-сайтов или распространение пропаганды. Чаще всего такие преступления являются актами терроризма или вражескими действиями других государств.

— DDoS-атаки. Они используются для того, чтобы сделать онлайн-сервис недоступным и вывести из строя сеть, перегружая сайт трафиком из различных источников.

— Кража личных данных. Это преступление происходит, когда лицо получает доступ к личной информации пользователя, с целью украсть средства или получить доступ к конфиденциальной информации. Они могут сделать это, узнав пароли пользователей, путем взлома, получая личную информацию из социальных сетей или отправляя фишинговые электронные письма.

— Киберпреследование. Этот вид киберпреступности включает в себя онлайн-преследование, когда пользователь получает множество сообщений и электронных писем. Обычно кибер-преследователи используют социальные сети, веб-сайты и поисковые системы, чтобы запугать пользователя.

— Социальная инженерия. Социальная инженерия предполагает, что преступники напрямую связываются с вами, обычно по телефону или электронной почте. Они выдают себя за агента по обслуживанию клиентов (часто — банковская сфера), чтобы вы предоставили необходимую информацию.

— Потенциально нежелательные программы или трояны. Они менее опасны, чем другие киберпреступления, но являются разновидностью вредоносного программного обеспечения. Данные вирусы удаляют необходимое программное обеспечение из системы, все персональные данные и блокируют компьютер.

— Интернет-мошенничество. Имеют форму рекламы или спама, которые содержат обещания вознаграждений. Интернет-мошенничество включает заманчивые предложения, которые «слишком хороши, чтобы быть правдой», и при нажатии на них вредоносные программы могут компрометировать информацию.

— Наборы эксплойтов. Это готовые инструменты, которые преступники могут купить в Интернете и использовать против любого, у кого есть компьютер. Наборы эксплойтов регулярно обновляются, как и обычное программное обеспечение, и доступны на форумах по взлому теневого интернета.

В заключении хотелось бы отметить, что киберпреступления — естественный фактор при быстром росте информационных технологий и появлении новых техник использования информационного пространства. И единственное, что могут и должны делать пользователи сети и правительства различных государств — это в случае первых, бережно следить за своими данными и не посещать подозрительные сайты, использовать незаконные программы, а в случае вторых — разрабатывать новые механизмы защиты пользователей в сети.

Литература:

1. Бородкина Т. Н., Павлюк А. В. Киберпреступления: понятие, содержание и меры противодействия. Социально-политические науки. № 1–2018. С. 135- 137
2. Вирус нового поколения: как кибератака NotPetya изменила мир URL:www.gazeta.ru/tech/2020/06/26/13132537/petya_is_three.shtml (дата обращения: 21.05.2021)
3. Власенко, В. Э. «Киберпространство» на современном этапе международного информационного права // Молодой ученый. — 2020. — № 51 (341). — С. 177–179. — URL:https://moluch.ru/archive/341/76871/ (дата обращения: 23.05.2021)
4. Захаров С. Ю. Роль персонала в поддержании информационной безопасности организации. Сборник научных трудов VI Международной научной конференции «Информационные технологии в науке, управлении, социальной сфере и медицине». Национальный исследовательский Томский политехнический университет (Томск). 2019. ст. 556–559.
5. Интернет-трейдинг: история и распространение. URL:trader-otzyv.ru/internet-trejding-istoriya-i-rasprostranenie/ (дата обращения: 21.05.2021)
6. «Конвенция о преступности в сфере компьютерной информации» (ETS N 185) (Заключена в г. Будапеште 23.11.2001) URL: base.garant.ru/4089723/ (дата обращения: 23.05.2021)
7. Национальный стандарт от 01.07.2008 ГОСТ Р ИСО/МЭК ТО 18044–2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности». М.: Стандартинформ, 2020. URL: docs.cntd.ru/document/1200068822 (дата обращения: 21.05.2021)
8. Необходимость Женевской конвенции в области цифровых технологий URL:news.microsoft.com/ru-ru/neobhodimost-zhenevskoj-konventsii-v-oblasti-tsifrovyh-tehnologij/ (дата обращения: 21.05.2021)
9. Приказ Роскомнадзора от 12.08.2013 N 912 «О порядке функционирования Информационной системы взаимодействия» // «Бюллетень нормативных актов федеральных органов исполнительной власти», N 50, 16.12.2013
10. Резолюция Генеральной Ассамблеи ООН [по докладу Третьего комитета (A/55/593)] 55/63. «Борьба с преступным использованием информационных технологий» URL: www.unodc.org/pdf/crime/a_res_55/res5563r.pdf дата обращения: 23.05.2021)
11. Россия и Украина подверглись атакам шифровальщика Badrabbit URL: xakep.ru/2017/10/24/badrabbit/ (дата обращения: 21.05.2021)
12. «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ // СЗ РФ. 1996. № 25. Ст. 2954
13. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 08.06.2020) «Об информации, информационных технологиях и о защите информации» // СЗ РФ. 2006. № 31. Ст. 3448
14. Число киберпреступлений в 2020 году выросло на 73,4 %. URL:news.rambler.ru/crime/46158757-chislo-kiberprestupleniy-v-2020-godu-vyroslo-na-73–4/ (дата обращения: 21.05.2021)
15. Эпидемия шифровальщика WannaCry: что произошло и как защититься URL:www.kaspersky.ru/blog/wannacry-ransomware/16147/ (дата обращения: 21.05.2021)
16. Clarifying Lawful Overseas Use of Data Act of 02.06.2018 H.R.4943–115th Congress.
17. Federal Bureau of Investigation: Internet crime report 2020. URL:www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf (дата обращения: 21.05.2021);
18. ISO/IEC 27035–1:2016 Information technology — Security techniques — Information security incident management (ИСО/МЭК ТО 27035–1:2016 «Информационные технологии. Рекомендации по информационной безопасности») URL:www.iso.org/standard/35396.html (дата обращения: 21.05.2021)

19. Lester Evans Cybersecurity: What You Need to Know About Computer and Cyber Security, Social Engineering, The Internet of Things. P.: Bravex Publications, London. 2019. р. 230.

20. United States v. Microsoft Corporation. 253 F.3d 34 (D. C. Cir. 2001)
21. U. S. Code: Table Of Contents. OCLC 2368380