 |
|
Компьютерные преступления: Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми, и этот процесс обречен на бесконечность в своей последовательности. Хотя, если уж быть точным, новые проблемы - это всего лишь обновленная форма старых. Вечная проблема - защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине XX века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества. Главная тенденция, характеризующая развитие современных информационных технологий - рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь. Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированным доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте. По данным www.for-ua.com в 2002г. в мире было зафиксировано более 80 тыс. случаев нарушений режима безопасности компьютерных сетей (атаки хакеров, попытки краж информации и т.д.). Их число резко увеличилось по сравнению с 2001г., когда было зафиксировано примерно 58 тыс. таких нарушений (в 2000г. - чуть более 20 тыс.). Министерство промышленности и торговли Великобритании и компания Pricewaterhouse Coopers представили результаты исследования состояния дел с компьютерной безопасностью в британском бизнесе. Как оказалось, в 2001г. 44% компаний, как минимум, один раз страдали от компьютерных преступлений. При этом средний ущерб от одного такого инцидента составлял 30 тыс. фунтов стерлингов, а в исключительных случаях убытки достигали 500 тыс. фунтов (www.mdi.ru). Наибольший урон компьютерные преступления нанесли крупному бизнесу: к числу пострадавших относятся 78% британских компаний с числом сотрудников более 250 человек. Это можно объяснить тем, что электронной почтой и доступом к Web-сайтам активно пользуются свыше 90% крупных компаний страны, тогда как, в целом, по британской экономике, уровень проникновения Интернета составляет около 70%. Как сообщает «Pcnews.ru», суммарный ущерб от хакеров, вирусов и прочего оценивается примерно в 10 млрд. фунтов в год. Чаще всего мишенями злоумышленников становятся сети США. Начиная с 1996г. в этой стране зафиксирована тенденция роста числа случаев несанкционированного доступа в компьютерные сети федеральных ведомств и увеличения финансовых потерь от этих вторжений. По данным Института Компьютерной Безопасности в 2002г. около 90% компаний США подверглись компьютерным атакам и примерно 80% из них понесли ущерб. Средний размер ущерба от одного компьютерного преступления в стране составляет 450 тыс. долларов. В целом, ежегодные потери от промышленного шпионажа в соответствии с отчетами ФБР - от 24 до 100 млрд. долл. (www.e-journal.ru). По оценкам Отдела науки и техники при Президенте США, урон, наносимый американскому бизнесу иностранными компьютерными хакерами, достигает 100 млрд. долл. в год (www.e-journal.ru). Основной причиной столь сильной, в сравнении с другими странами, зависимости США от сетевой инфраструктуры является значительное сосредоточение информационных и вычислительных ресурсов: согласно данным Агентства национальной безопасности здесь сконцентрировано около 60% информационных ресурсов Internet и более 40% мировых вычислительных средств (для сравнения: в России - менее 1%) (www.e-journal.ru). По прогнозам экспертов (www.systemservice.ru), в ближайшей перспективе основным видом компьютерных преступлений станет область финансовой и банковской деятельности: уже к 2005г. эти преступные деяния уйдут в «беловоротничковую сферу». В настоящее время ущерб, наносимый только одним компьютерным преступлением, в среднем составляет порядка 340 тыс. долларов, одним «беловоротничковым преступлением» - около 16 тыс. долларов, «традиционным преступлением» против банковских структур — ограбление — порядка 9 тыс. долларов(www.systemservice.ru).
Динамика компьютерных инцидентов (по данным CERT) Исследование, проведенное в марте 2003г. компанией Dataquest Inc., показало, что большинство компаний не способно бороться с компьютерными атаками и минимизировать нанесенный ущерб. Каждая третья фирма в результате компьютерной атаки теряла важную информацию. У 24% компаний не было плана действий в подобной ситуации (www.for-ua.com). Среди причин роста ущерба от компьютерных преступлений, в первую очередь, называется недостаточная компетенция сотрудников в вопросах безопасности. И, хотя почти 100% компаний проводят инструктаж по электронной безопасности, его эффективность в результатах исследований ставится под сомнение. Нужно отметить и то, что, к примеру, только 27% из британских компаний тратят на обеспечение электронной безопасности более 1% своего ИТ-бюджета, хотя и признают данное направление одним из важнейших (www.for-ua.com). При профессиональном подходе к вопросам безопасности проблемы в компаниях решают путем централизованной выдачи уникальных и сложных паролей или установкой жестких корпоративных правил для сотрудников и адекватных мер наказания за их несоблюдение. Однако, ситуация осложняется тем, что в последнее время в роли компьютерных преступников все чаще выступают не "внешние" хакеры, а сами конечные пользователи. По словам одного из американских специалистов по информационной безопасности (www.alexia.com.ua): "Типичный компьютерный преступник сегодня - это служащий, имеющий доступ к системе, нетехническим пользователем которой он является". В США компьютерные преступления, совершенные служащими, составляют 70-80% ежегодного ущерба, связанного с современными технологиями. При этом, только в 3% мошенничеств и 8% злоупотреблений происходило специальное разрушение оборудования, уничтожение программ или данных. В остальных случаях злоумышленники только манипулировали информацией - крали ее, модифицировали или создавали новую, ложную. Проблема информационной защиты современных автоматизированных информационных систем сложный процесс. За всеми типами многоуровневых защит вслед идут многоуровневые приемы взлома; так и "развлекаются" обе стороны. К тому же следует иметь в виду, что компьютерная преступность характеризуется высокой латентностью. Только 10-15% этих правонарушений становятся достоянием гласности, так как сами пострадавшие, боясь потерять репутацию, весьма неохотно признаются о совершенных преступлениях. Попытка решения проблемы посредством "замков и заборов" обходится в 20-25% бюджета каждой семьи, а это не менее 50% потерь в динамике прироста ВНП государства (www.ipu.ru). В этом заключается как бы социально-экономический аспект проблемы информационной безопасности. Узбекистан наряду с другими странами стремительными темпами входит в мировое информационное сообщество. Развитие компьютеризации и внедрение передовых информационно-коммуникационных технологий определены одним из приоритетных направлений экономики страны. Активизировался процесс разработки и принятия правовых (законодательных и нормативных) актов, определяющих взаимоотношения его субъектов. Обсуждаются вопросы о создании основ законодательства о компьютерных преступлениях в Узбекистане. Как показывает анализ международного опыта, государственная политика
в области регулирования ответственности за совершение правонарушений
с использованием Интернет должна содержать следующие основные компоненты: Стандарты, определяющие доступ государственных органов к системам связи
и хранящимся данным. Следует разработать четкие процессуальные нормы,
отвечающие требованиям сохранности персональных данных для доступа государственных
органов к системам связи и данным, когда это необходимо для расследования
преступлений. Указанные нормы должны позволять государственным органам
осуществлять расследование преступлений и, в то же время, гарантировать
юридическим и физическим лицам осуществление мониторинга их коммуникаций
со стороны государственных органов только в случаях острой необходимости. Для разработки норм правового регулирования, гармонизированного с уже действующим законодательством Узбекистана, представляется актуальным принятие концептуальной основы, устанавливающей направления и принципы реформирования правовой базы, связанной с использованием Интернет и ИКТ в общественной жизни, учитывающей необходимость и возможность пресечения правонарушений в этой области. Один из проектов такой концепции («Право и Интернет в Узбекистане») разработан при участии Программы ПРООН «Инициатива цифрового развития». Указанный документ предусматривает следующие основные направления регулирования правонарушений с использованием Интернет в Узбекистане: Предотвращение правонарушений с использованием Интернет. Необходимо разработать процессуальные нормы, позволяющие выявлять лиц, виновных в правонарушениях с возможностью рассматривать электронные документы и протоколы в качестве доказательств при расследовании преступлений с использованием Интернет. Для этого следует внести изменения и дополнения в Уголовно-процессуальный, Административный кодексы и другие соответствующие законодательно-нормативные документы, либо принять дополнительно специализированный закон «О компьютерных преступлениях». При этом, ввиду яркой экстерриториальности Интернет, как информационной
среды, необходимо участие Узбекистана в международном процессе регулирования
борьбы с правонарушениями с использованием Интернет, в том числе ускорить
присоединение Узбекистана к Международным договорам, регулирующим борьбу
с подобными правонарушениями. Следует отметить, что наличие законодательства, регламентирующего ответственность
конкретно за компьютерные преступления, само по себе не является показателем
степени серьёзности отношения общества к таким правонарушениям. К примеру,
в Англии полное отсутствие специальных законов, карающих именно за компьютерные
преступления, на протяжении многих лет отнюдь не мешает английской полиции
эффективно расследовать дела такого рода. И, действительно, все эти злоупотребления
можно успешно квалифицировать по действующему законодательству, исходя
из конечного результата преступной деятельности (хищение, вымогательство,
мошенничество или хулиганство). Ответственность за них предусмотрена
уголовным и гражданским кодексами. Данная проблема и многие другие вопросы, связанные с ней, были предметом обсуждения участников круглого стола, организованного Комитетом Олий Мажлис Республики Узбекистан по вопросам промышленности, строительства, транспорта и связи, Узбекским агентством связи и информатизации при участии программ ПРООН «Инициатива цифрового развития» и «Глобальная инициатива по политике Интернет», Институтом мониторинга действующего законодательства на тему: «Вопросы совершенствования законодательства Республики Узбекистан по компьютерным преступлениям». Результатам этой дискуссии и конкретным концептуальным подходам по данной проблеме, разработанным в нашей республике, и будет посвящена одна из следующих наших статей. Алишер Хаджаев, к.ф.-м.н. Наргиза Юсупова, д.э.н |
|