Киберпреступность и закон: обзор положений законодательства Соединенного Королевства, касающегося компьютерных преступлений

Задача настоящей статьи — дать обзор положений законодательства Соединенного Королевства, относящегося к компьютерным преступлениям, а также кратко описать его развитие, ставшее реакцией на изменения общей ситуации с компьютерными угрозами. Автор статьи приводит информацию о действующих и прошлых законодательных актах, дает примеры обвинительных приговоров, вынесенных киберпреступникам, и делает прогноз относительно того, какое законодательство может быть принято в будущем.

Первые вирусы для IBM PC-совместимых компьютеров появились более 20 лет назад. С тех пор произошел заметный сдвиг в подходе вирусописателей: от написания вредоносных программ, предназначенных для причинения ущерба (например, путем удаления или порчи данных на жестком диске), они перешли к ПО, специально созданному для незаконного получения денег. Большинство компаний и просто частных пользователей в наши дни не мыслят свою жизнь без интернета, причем зачастую через интернет ими передаются конфиденциальные данные, которые можно украсть и продать.

Первым законом Соединенного Королевства, направленным непосредственно против ненадлежащего использования компьютерных технологий, был Computer Misuse Act — Закон о неправомерном использовании компьютерных технологий, принятый в 1990 году и ставший ответом на растущую тревогу о том, что существующее в то время законодательство не позволяло адекватно бороться с хакерами. В Законе были выделены три вида преступлений, связанных с неправомерным использованием компьютерных технологий:

1. Несанкционированный доступ к компьютерным данным;
2. Несанкционированный доступ к компьютерным данным с намерением совершить или способствовать совершению дальнейших преступлений;
3. Несанкционированное изменение компьютерных данных.

Максимальный срок тюремного заключения, предусмотренный законом за эти преступления, составлял соответственно шесть месяцев, пять лет и пять лет.

Спам — тоже серьезная проблема для тех, кто работает на компьютере, поскольку он может использоваться для распространения вредоносного кода и организации фишинговых атак. В попытке справиться с проблемой спама министерство торговли и промышленности в 2003 году приняло Положение о частной информации и электронной связи (Privacy and Electronic Communications Regulations (EC Directive) 2003). Однако возможности применения закона серьезно ограничены — например, тем, что его положения применимы лишь к отправителям, находящимся на территории Соединенного Королевства. Кроме того, законом предусмотрены весьма скромные санкции за правонарушения.

В ответ на общественную озабоченность тем, что законодательство не успевает за развитием технологий, в 2002 году граф Нортеск, член Межпартийной парламентской группы по интернету, внес личный законопроект с поправками к Закону о неправомерном использовании компьютерных технологий. Эта попытка оказалась неудачной, но она придала еще больший вес призывам к обновлению существующего законодательства.

В принятом в 2006 году Законе о полиции и юстиции [PDF 748Кб] (регулирующем более широкий круг проблем, чем только компьютерные преступления) содержались поправки к Закону о неправомерном использовании компьютерных технологий. Максимальный срок тюремного заключения был увеличен с шести месяцев до двух лет. Формулировка «несанкционированное изменение компьютерных материалов» в разделе 3 Закона была изменена на следующую: «несанкционированные действия, умышленно или по неосторожности препятствующие нормальной работе компьютера». При этом максимальное наказание по данной статье было увеличено до 10 лет тюремного заключения.

В Закон был также добавлен новый раздел: «Изготовление, предоставление или приобретение товаров для использования в преступлениях, связанных с неправомерным применением компьютерных технологий», предусматривавший до двух лет лишения свободы. В этом разделе говорится следующее:

1. Лицо является виновным в совершении преступления, если оно изготавливает, приспосабливает, предоставляет или предлагает предоставить товар в целях его использования для совершения преступления, подпадающего под положения раздела 1 или 3 настоящего закона, или для того, чтобы способствовать совершению такого преступления.
2. Лицо является виновным в совершении преступления, если оно предоставляет или предлагает предоставить товар, осознавая, что этот товар, возможно, будет использован для совершения преступления, подпадающего под положения раздела 1 или 3 настоящего закона, или будет способствовать совершению такого преступления.
3. Лицо является виновным в совершении преступления, если оно приобретает товар в целях его дальнейшего предоставления для совершения преступления, подпадающего под положения разделов 1 или 3 настоящего закона, или для того, чтобы способствовать совершению такого преступления.
4. В данном разделе под «товаром» понимается любая программа или данные в электронной форме.

Правительство Соединенного Королевства также изучило возможность применения гражданского права в борьбе с киберпреступностью: в «зеленом докладе» (консультативном документе с предложениями о принятии новых законодательных актов), опубликованном министерством внутренних дел и озаглавленном «Новые способы борьбы с организованной и экономической преступностью [PDF 1Мб]», предлагалось устранить «лазейки в уголовном законодательстве с целью поимки тех, кто входит в организованные преступные группировки» с помощью гражданских судов, в том числе путем применения постановлений о превентивных мерах против организованной преступности:

Суды могли бы издавать подобные постановления в случаях, когда, по их мнению, имеется значительная вероятность того, что:

• действия субъекта способствовали или могли способствовать совершению серьезного преступления
• условия постановления соразмерны деянию, против которого они направлены, и необходимы для предотвращения подобных деяний в будущем.

Несоблюдение условий постановления должно было стать уголовным преступлением. В своем окончательном варианте эти предложения вошли в изданный в 2007 году Закон о серьезных преступлениях (Serious Crime Act [PDF 607Кб]).

В 2007 году Комитет Палаты лордов по науке и технике опубликовал отчет о личной безопасности в интернете [PDF 2,78Мб]. В отчете предлагалось, чтобы все заинтересованные стороны (в том числе интернет-провайдеры, компании, разработчики ПО и др.) разделили ответственность за безопасность в интернете. Несмотря на то что многие рекомендации, содержавшиеся в отчете, правительство отвергло в своем ответе [PDF 89,7Кб], в июле 2008 года Комитет по науке и технике Палаты лордов опубликовал повторный отчет [PDF 713Кб], в который он вновь включил многие из своих рекомендаций.

Само по себе наличие законодательства не способно решить проблему киберпреступности. Необходимо также, чтобы правоохранительные органы понимали проблему и имели необходимые ресурсы для борьбы с ней. В апреле 2001 года правительство Соединенного Королевства учредило Национальное подразделение по борьбе с преступлениями в сфере высоких технологий (National Hi-Tech Crime Unit, NHTCU), перед которым была поставлена задача дать скоординированный ответ киберпреступности. В апреле 2006 года функции подразделения перешли к Агентству по борьбе с организованной преступностью (Serious Organised Crime Agency, SOCA). В 2009 году создано Центральное полицейское подразделение по борьбе с электронными преступлениями (Police Central ecrime Unit — PCeU). Этот орган не берет на себя функции Агентства по борьбе с организованной преступностью. Его задача — координировать усилия по борьбе с киберпреступностью и обеспечить «возможность расследования на национальном уровне наиболее серьезных электронных преступлений».

Одна из наиболее серьезных проблем, с которыми сталкиваются законодатели, состоит в том, что киберпреступность — глобальное явление, с которым невозможно эффективно бороться с помощью законов, действующих лишь в отдельных странах. Европейская конвенция о киберпреступности, разработанная с целью создания международной структуры для борьбы с киберпреступлениями, была принята Комитетом министров Совета Европы в ноябре 2001 года. На сегодняшний день конвенцию подписали 46 стран, но ратифицировали ее лишь 24 страны. Ожидается, что Соединенное Королевство ратифицирует конвенцию в 2009 году.

С полной версией статьи можно ознакомиться на информационно-аналитическом ресурсе Securelist.com.

"Лаборатория Касперского" не возражает против перепечатки материалов с полным указанием авторства (автор, компания, первоисточник). Публикация переработанного текста требует дополнительного согласования с информационной службой компании.