 | Официальная правовая информация |
ОБЗОР СУДЕБНОЙ ПРАКТИКИ ГЕНЕРАЛЬНОЙ ПРОКУРАТУРЫ РЕСПУБЛИКИ БЕЛАРУСЬ
Преступления против информационной безопасности. Практика опротестования судебных решений
Объективная сторона преступления, предусмотренного ст. 349 УК, состоит в несанкционированном доступе к информации, хранящейся в компьютерной системе, сети или на машинных носителях, сопровождающемся нарушением системы защиты.
Приговором суда Октябрьского района г. Гродно от 29.08.2016 К. осужден по ч. 1 ст. 14 и ч. 2 ст. 349 и другим статьям УК.
В надзорном протесте заместителя Генерального прокурора ставился вопрос об отмене судебного решения в части осуждения К. по ч. 1 ст. 14 и ч. 2 ст. 349 УК ввиду неправильного применения уголовного закона.
Судом установлено, что К., имея умысел на несанкционированный доступ к компьютерной информации неопределенного круга лиц в учетных записях пользователей социальной сети «ВКонтакте», в период с 20 июля по 11 августа 2015 г. из иной личной заинтересованности с целью хищения реквизитов доступа и дальнейшего осуществления с их помощью несанкционированного ознакомления с конфиденциальной информацией пользователей сайта www.vk.com разослал (разместил) на общедоступных ресурсах сети Интернет и в личной переписке с пользователями интернет-ресурсов ссылку http:crapdown.besaba.com, направляющую пользователей на созданный им сайт www.crapdown.besaba.com, имитирующий страницу авторизации сайта www.vk.com, автоматически копирующий реквизиты доступов пользователей, однако свой преступный умысел, направленный на несанкционированный доступ к компьютерной информации, до конца не довел ввиду отказа пользователей от перехода по данной ссылке и отказа от авторизации (ввода на поддельном сайте имен учетных записей и паролей).
Данные действия квалифицированы по ч. 1 ст. 14 и ч. 2 ст. 349 УК как покушение на несанкционированный доступ к информации, хранящейся в компьютерной системе, сопровождающийся нарушением системы защиты (несанкционированный доступ к компьютерной информации), совершенный из иной личной заинтересованности.
В ч. 1 ст. 14 УК покушение на преступление определено как умышленное действие или бездействие лица, непосредственно направленные на совершение преступления, если при этом преступление не было доведено до конца по не зависящим от этого лица обстоятельствам.
Согласно же ч. 1 ст. 13 УК приготовлением к преступлению признается приискание или приспособление средств или орудий либо иное умышленное создание условий для совершения конкретного преступления.
При приготовлении к преступлению лицо создает условия для совершения преступления в будущем, а при покушении оно непосредственно посягает на охраняемый уголовным законом объект. Действия виновного лица при покушении направлены на совершение преступления и представляют собой начало осуществления его объективной стороны.
Объективная сторона преступления, предусмотренного ст. 349 УК, состоит в несанкционированном доступе к информации, хранящейся в компьютерной системе, сети или на машинных носителях, сопровождающемся нарушением системы защиты.
Согласно абз. 8 ст. 1 Закона Республики Беларусь от 10.11.2008 «Об информации, информатизации и защите информации» под доступом к информации понимается возможность получения информации и пользования ею.
Из материалов дела следует, что никаких действий, непосредственно направленных на несанкционированный доступ к закрытой информации пользователей социальной сети «ВКонтакте» осужденный не осуществлял. Фактически им даже не был определен конкретный круг пользователей социальной сети, к учетным записям которых он в будущем намеревался осуществить несанкционированный доступ.
К. совершена неудавшаяся попытка сбора реквизитов, которые в последующем могли бы быть использованы для такого доступа, т.е. фактически осужденным осуществлялось приискание средств и создание условий для совершения преступления. При этом за данные приготовительные действия, выразившиеся в создании с использованием вредоносных программ подложного сайта www.crapdown.besaba.com, имитирующего страницу www.vk.com, для сбора реквизитов доступа к учетным записям (аккаунтам) пользователей ресурса «ВКонтакте» К. осужден по ч. 1 ст. 354 УК.
Таким образом, приготовительные действия осужденного по размещению ссылок на подложный сайт лишь создавали условия для совершения преступления, предусмотренного ч. 2 ст. 349 УК, и не являлись деянием, входящим в его объективную сторону.
Соответственно действия К., представляющие собой приготовление к преступлению, необоснованно расценены как покушение.
В то же время преступление, предусмотренное ч. 2 ст. 349 УК, исходя из положений ст. 12 УК относится к преступлениям, не представляющим большой общественной опасности.
Согласно ч. 2 ст. 13 УК приготовление к преступлению, не представляющему большой общественной опасности, уголовную ответственность не влечет.
В связи с изложенным президиумом Гродненского областного суда 21.07.2017 приговор в части осуждения К. по ч. 1 ст. 14 и ч. 2 ст. 349 УК отменен, а производство по делу в этой части прекращено ввиду отсутствия состава преступления.
Доступ к компьютерной информации не равнозначен доступу к компьютерной системе как к комплексу аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации.
Приговором суда Лидского района от 15.02.2016 С. осужден по ч. 2 ст. 351 УК. Он признан виновным в умышленном блокировании компьютерной информации (компьютерном саботаже), сопряженном с несанкционированным доступом к компьютерной системе.
Заместитель Генерального прокурора, опротестовывая в надзорном порядке приговор, поставил вопрос о переквалификации действий осужденного с ч. 2 ст. 351 УК на ч. 1 ст. 351 УК ввиду следующего.
Из материалов дела усматривается, что осужденный, получив доступ к информации, содержащейся в принадлежащей Л. учетной записи на странице интернет-ресурса «ВКонтакте», осуществил ее блокировку путем изменения реквизитов доступа.
Правильно установив фактические обстоятельства дела, суд ошибочно квалифицировал действия С. как умышленное блокирование компьютерной информации, сопряженное с несанкционированным доступом к компьютерной системе ООО «В Контакте».
Из показаний осужденного следует, что Л. с его компьютера осуществляла доступ к своей странице в социальной сети «ВКонтакте», после чего не закрыла персональную учетную запись (аккаунт). Он, воспользовавшись этим, из личных неприязненных отношений изменил пароль доступа к странице Л. и номер телефона, с которым доступ был ассоциирован.
Компьютерная система и компьютерная информация не равнозначные понятия.
Интернет-ресурс «ВКонтакте» – социальная сеть, размещенная на сайте в сети Интернет и представленная в объективной форме совокупностью данных и команд, а также порождаемых аудиовизуальных отображений (включая входящие в ее состав графические изображения и пользовательский интерфейс), предназначенных для функционирования ЭВМ. Администрация сайта предоставляет техническую возможность его использования пользователями, не участвует в формировании содержания их персональных страниц, не контролирует и не несет ответственности за действия или бездействие любых лиц в отношении использования сайта или формирования и использования содержания персональных страниц пользователей на сайте.
В целом сайт «ВКонтакте» не относится к какому-либо закрытому сетевому ресурсу, к которому С. не имел права доступа. Регистрация на сайте является бесплатной, добровольной и доступной для любого пользователя сети Интернет. Выбранные пользователем при регистрации логин и пароль – это способ защиты информации его личной страницы, а не компьютерной системы ООО «В Контакте».
Таким образом, С. посредством легального использования глобальной компьютерной сети неправомерно получил доступ лишь к части компьютерной информации данного интернет-ресурса, содержащейся на персональной странице Л. При этом для получения возможности блокирования этих данных несанкционированный физический или дистанционный доступ к управлению самой компьютерной системой ООО «В Контакте» осужденный не осуществлял.
Владельцем сервера о факте несанкционированного доступа не заявлялось, а предъявленное С. обвинение не содержит описания обстоятельств несанкционированного доступа к компьютерной системе, способа нарушения системы защиты.
Кроме того, судом установлено, что компьютерная система, к которой осужденный осуществил несанкционированный доступ, расположена в г. Санкт-Петербурге, Лиговский просп., д. 61А. Вместе с тем это юридический адрес ООО «В Контакте». Сведений о том, что там же находятся помещения дата-центра общества с серверным оборудованием, в материалах дела не имеется.
В связи с этим квалифицирующий признак компьютерного саботажа, сопряженный с несанкционированным доступом к компьютерной системе, постановлением президиума Гродненского областного суда от 07.07.2017 исключен из обвинения С., а его действия переквалифицированы с ч. 2 на ч. 1 ст. 351 УК.
Ненадлежащее выяснение фактических обстоятельств совершения деяния повлекло отмену приговора в части осуждения лица по ст. 352 УК.
Приговором суда Ленинского района г. Могилева от 28.08.2015 Л. осужден по ч. 2 ст. 351 и ст. 352 УК.
Он признан виновным в ином неправомерном завладении информацией, хранящейся в компьютерной сети, повлекшем причинение существенного вреда; в умышленных уничтожении, блокировании компьютерной информации (компьютерном саботаже), сопряженных с несанкционированным доступом к компьютерной сети.
Заместителем Генерального прокурора на приговор принесен надзорный протест, который постановлением президиума Могилевского областного суда от 21.07.2017 удовлетворен.
Судом установлено, что Л. неправомерно завладел информацией, находящейся в глобальной компьютерной сети Интернет, в виде имени пользователя и пароля к электронным почтовым ящикам, принадлежащим ООО «З», которые использовал для доступа в качестве администратора к сайту данного общества. Такие действия осужденного получили оценку по ст. 352 УК как иное неправомерное завладение информацией, хранящейся в компьютерной сети, повлекшее причинение существенного вреда.
Однако в ходе судебного заседания фактические обстоятельства совершения данного преступления надлежащим образом не выяснялись. Свидетели и обвиняемый по данному вопросу допрошены не были.
В приговоре и постановлении о привлечении в качестве обвиняемого не содержится указания на то, каким образом осужденный неправомерно завладел «именами пользователя и паролями» к 6 электронным почтовым ящикам общества, место их размещения в сети Интернет и способ преодоления системы защиты, тогда как эти обстоятельства имеют существенное значение для правильного разрешения дела.
В то же время из показаний Л. при досудебном производстве следует, что указанные в обвинении электронные почтовые ящики создавались им самим для завода при работе над сайтом предприятия. Соответственно он сам сформировал и их авторизационные реквизиты (логин, пароль).
При этом тот факт, что созданные Л. пароли доступа к почте впоследствии не были изменены предприятием, органом следствия указан как причина совершения преступления, предусмотренного ч. 2 ст. 351 УК.
Данные обстоятельства не в полной мере согласуются с предъявленным Л. обвинением в неправомерном завладении находящимися в сети Интернет логинами и паролями к электронным почтовым ящикам ООО «З».
В диспозиции ст. 352 УК в качестве обязательного признака объективной стороны преступления предусмотрены общественно опасные последствия в виде причинения существенного вреда. Суд пришел к выводу, что неправомерно полученная осужденным компьютерная информация использована Л. для доступа к сайту завода, что повлекло причинение существенного вреда в виде посягательства на тайну корреспонденции, удаления информации.
Такой вывод также не основан на материалах дела, из которых усматривается, что в начале 2013 года осужденный осуществлял регистрацию доменного имени сайта завода. С этой целью им был создан электронный почтовый ящик. На него поступили присвоенные хостинг-провайдером реквизиты ftp-соединения с сервером для управления создаваемым сайтом. Все логины и пароли доступа к почтовому ящику и сайту Л. сообщил директору ООО «З». В январе 2015 г. ввиду того, что его работа не была полностью оплачена, воспользовавшись тем, что завод не изменил реквизиты ftp-соединения с сервером, Л. из мести осуществил доступ к нему и удалил исходные файлы сайта.
Почтовые ящики общества Л. удалил, получив несанкционированный доступ к управлению ими на почтовом сервисе cp.active.by. При этом доступ непосредственно к содержанию самих почтовых ящиков не осуществлялся, и их авторизационные реквизиты не требовались.
Таким образом, логины и пароли к указанным в приговоре 6 почтовым ящикам ООО «З» осужденным для доступа к сайту и удаления информации не использовались.
Кроме того, совершенное Л. впоследствии преступление против информационной безопасности получило самостоятельную оценку по ч. 1 ст. 351 УК.
В связи с изложенным приговор в части осуждения Л. по ст. 352 УК отменен, а производство по делу в данной части прекращено ввиду отсутствия в его деянии состава преступления.
Копирование компьютерной информации, находящейся в свободном доступе в сети Интернет, необоснованно квалифицировано по ст. 352 УК.
Приговором суда Дрибинского района от 13.04.2015 Л. осужден по ст. 352 и другим статьям УК.
В протесте заместителя Генерального прокурора оспаривалась законность осуждения Л. за неправомерное завладение информацией, хранящейся в компьютерной сети, повлекшее причинение существенного вреда.
Судом установлено, что Л. в конце мая 2013 г. неправомерно получил из глобальной сети Интернет информацию в виде имени пользователя и пароля (реквизиты доступа) к электронному почтовому ящику, принадлежащему ООО «Н», что повлекло причинение существенного вреда, выразившегося в совершении им новых преступлений.
Такие действия осужденного получили оценку по ст. 352 УК как иное неправомерное завладение информацией, хранящейся в компьютерной сети, повлекшее причинение существенного вреда.
Неправомерное завладение – один из способов несанкционированного воздействия на информацию. Исходя из системного толкования норм Положения о технической и криптографической защите информации в Республике Беларусь, утвержденного Указом Президента Республики Беларусь от 16.04.2013 № 196, Закона Республики Беларусь от 10.11.2008 «Об информации, информатизации и защите информации» несанкционированными являются действия с информацией, осуществляемые с нарушением установленных прав и (или) правил.
Правовой режим информации как совокупность ограничений доступа к ней устанавливает обладатель такой информации.
Осужденный в судебном заседании показал, что он на одном из интернет-ресурсов в свободном доступе обнаружил две базы данных с реквизитами (логинами и паролями) электронных почтовых ящиков различных лиц. «Скачанная» им из Интернета база данных содержала реквизиты доступа к почтовому ящику ООО «Н».
Суд признал установленным, что до получения осужденным указанной компьютерной информации она уже была доступна неограниченному кругу людей посредством сети Интернет, т.е. данные стали общедоступны, а не конфиденциальны. Для получения возможности совершения с информацией действий Л. не преодолевалась какая-либо система ее защиты. В приговоре не содержится указания на нарушение им установленных прав или правил, а также описания способа неправомерного завладения информацией.
Общедоступная информация, получаемая посредством использования глобальной компьютерной сети, не является предметом преступления, предусмотренного ст. 352 УК. Подобное копирование является функцией всех без исключения поисковых систем в сети Интернет. Формулировка «неправомерное (несанкционированное) завладение общедоступной информацией» – взаимоисключающая.
Кроме того, в диспозиции ст. 352 УК в качестве обязательного признака объективной стороны преступления предусмотрены общественно опасные последствия в виде причинения существенного вреда. То есть ответственность за данное преступление наступает только в том случае, если преступные последствия вызваны именно неправомерным завладением лицом компьютерной информацией, а не наступили в силу иных причин.
Суд пришел к выводу, что в результате неправомерного получения осужденным компьютерной информации наступил существенный вред в виде совершения им новых преступлений против информационной безопасности.
Вместе с тем судом не учтено, что завладение компьютерной информацией являлось необходимым условием для наступления указанных вредных последствий, но не находится в прямой причиной связи с ними, поскольку действия по получению информации уже были окончены. Вменение неправомерного завладения компьютерной информацией не может ставиться в зависимость от последующего использования (неиспользования) данной информации в преступных целях. Кроме того, последующие совершенные Л. преступления против информационной безопасности получили самостоятельную оценку.
В связи с изложенным постановлением президиума Могилевского областного суда от 21.07.2017 приговор в части осуждения Л. по ст. 352 УК отменен, а производство по делу в данной части прекращено ввиду отсутствия в его деянии состава преступления.