Обвиняемый, «…являясь сторонником либерального общественно-политического течения…», совершил DDoS-атаку на некоторые государственные ресурсы.
В судебном акте отмечено, что подсудимый использовал программу, «…которая после ее активации отправляет большое количество запросов на атакуемый сайт, что приводит к блокированию вычислительной системы ресурса». Короче говоря, обвиняемый использовал специальное ПО по управлению
ботнетом для осуществления DDoS-атаки.
Ничего особенного в этом нет: проведение DDoS-атак с помощью программ —
самая стандартная практика в мире дудоса. Но в данном деле для нас интересно то, что DDoS-атаку квалифицировали через ст.
273 УК РФ, то есть как использование компьютерной программы, заведомо предназначенной для блокирования компьютерной информации.
И в определенном смысле это является ювелирным ходом: использование программы по управлению ботнетом для совершения DDoS-атак привело к блокировке сайта, что охватывалось умыслом обвиняемого — к такой квалификации невозможно придраться, она словно «прокрустово ложе» в данном деле. Одним изящным движением полностью снимается вопрос о наличии неправомерного доступа к компьютерной информации, на который мы возмущались выше.
Но суд вновь зачем-то приплетает статью 272 УК РФ в обвинение. И, судя по вынесению приговора в особом порядке, подсудимый вместе с защитником согласились с этим. Да-да: фигуранта дела осудили еще и по ст. 272 УК РФ за неправомерный доступ к компьютерной информации, повлекший ее блокирование.
Таким образом, в деле N 10−16 199/2015 обвиняемого осудили за DDoS-атаку по двум статьям одновременно: по 272-ой и 273-ей. Как можно было применить 272-ую статью, когда деяние уже было идеально квалифицировано по 273-ей? Зачем она здесь? Неужели Московский городской суд посчитал, что единичное крайне спорное применение ст. 272 УК РФ в деле о DDoS-атаке — уже сложившаяся практика? Неужели ни к кому в этом деле не приходила мысль о том, что статья 272 УК РФ абсолютно не подходит к данной ситуации? Как можно было в один момент найти такую удачную квалификацию DDoS-атаки и тут же напрыгнуть на годовалые грабли?
Таким образом, год спустя после первого уголовного дела по DDoS ситуация только ухудшилась: суды в растерянности начали прописывать в приговорах совокупность преступлений там, где ее реально не должно было существовать. Конечно, наиболее подходящей статьей, запрещающей DDoS-атаки, была и (в определенных случаях) остается ст. 273 УК РФ. 272-ая же может быть задействована только в том случае, когда в результате проведения атаки хакер получает доступ к определенной компьютерной информации, которую он впоследствии обычно копирует, модифицирует или удаляет. То есть деяние, квалифицируемое по ст. 272 УК РФ обычно совершается в результате проведения DDoS-атаки. После нее. Это абсолютно иное деяние. Не DDoS-атака.
Стоит также отметить, что использование норм ст. 273 УК РФ для квалификации DDoS-атаки также не является законченным и наиболее подходящим решением. Например, трудности могут возникнуть при квалификации
DoS-атаки, где может и не быть использована какая-либо программа. Определенные сложности интерпретации может вызвать формулировка диспозиции 273-ей статьи: «иная компьютерная информация, заведомо предназначенная для несанкционированного блокирования компьютерной информации…». Также DDoS-атака может быть совершена и с помощью такого ПО, которое не является вредоносным по своему функционалу. То есть, когда программа и вовсе не создавалась автором для осуществления неправомерного деструктивного воздействия на компьютерную информацию.
Хуже того, Верховный суд в своем «пленуме по киберпреступлениям» вставляет «проблему доступа» туда, где ее и близко не было:
Статья 273 УК РФ ничего не говорит о неправомерном доступе к охраняемой законом компьютерной информации. А вот Верховый суд разъясняет, что создание вредоносных компьютерных программ или вредоносной компьютерной информации — это «деятельность, направленная на разработку, подготовку программ… или иной компьютерной информации, предназначенных для
несанкционированного доступа, то есть совершаемого без согласия обладателя информации, лицом, не наделенным необходимыми для такого доступа полномочиями, либо в нарушение установленного нормативными правовыми актами порядка уничтожения, блокирования, модифицирования, копирования компьютерной информации или нейтрализации средств ее защиты». Таким образом, ВС РФ переносит «болячки» ст. 272 УК РФ на, казалось бы, подходящую ст. 273 УК РФ. Очевидно, применение ст. 273 УК РФ в делах о DDoS-атаках может стать крайне проблематичным из-за поднятия вопроса о несанкционированном доступе.
Но оставим проблемы статьи 273 УК РФ отдельной публикации.
«Проблема доступа», например, полностью снимается в ст. 274.1 УК РФ, запрещающей неправомерное воздействие на критическую информационную инфраструктуру (КИИ) РФ. В диспозиции данной статьи вопрос о неправомерном доступе ставится лишь в части 3. Законодатель вводит новую категорию — «неправомерное воздействие», которая все-таки является собирательной и подтягивающей за собой понятия статей 272 УК РФ и 273 УК РФ. К сожалению, законодатель не использует данную категорию для криминализации определённых вредоносных действий в киберпространстве — что помогло бы с проблемой квалификации DDoS-атаки. В то же время «неправомерное воздействие» возможно лишь в отношении
объектов критической информационной структуры РФ. Короче говоря, DDoS-атака на объекты КИИ автоматически влечет за собой квалификацию по ст. 274.1 УК РФ без каких-либо разборок в отношении наличия или отсутствия неправомерного доступа к компьютерной информации.
Подход с использованием категории «неправомерное воздействие» можно встретить в
Уголовном кодексе Германии и даже в
Модельном Уголовном кодексе для государств-участников СНГ — преступление называется «компьютерный саботаж». Компьютерным саботажем признается уничтожение, блокирование либо приведение в непригодное состояние компьютерной информации, вывод из строя компьютерного оборудования, а равно разрушение компьютерной системы, сети или машинного носителя. Фактически то же самое, что и «неправомерное воздействие на компьютерную информацию». Примечательно, что в Модельном Уголовном кодексе для государств-участников СНГ квалифицирующим признаком является «то же деяние… сопряженное с неправомерным доступом к компьютерной информации или сети». То есть, в 1996 году составители данного документы имели представление о том, что DDoS-атака может совершаться и без неправомерного доступа к компьютерной информации; а если же доступ к ней был получен в результате осуществления «компьютерного саботажа», то такое преступление имеет повышенную общественную опасность и является тяжким.
Что изменилось в 2000-х? Куда исчезла это здравая и очевидная мысль? Почему она не возвращается в Уголовное право более двадцати лет? Почему игнорируется такое простое, лежащее на поверхности и абсолютно доступное решение уголовно-правовой проблемы квалификации DDoS-атаки? Почему нам все еще приходится поднимать бестолковый вопрос о неправомерном доступе, когда это абсолютно не относимый к обстоятельству фактор?
Возвращаясь к тому, как в 2022-ом году Верховный Суд РФ попытался обременить «проблемой доступа» даже ту статью, которая отродясь не имела такой болезни, необходимо обозначить современное положение дел — ничего не изменилось. Разве что чуть-чуть: когда ВС РФ давал определение понятию «блокирование компьютерной информации», он явно думал именно о DDoS-атаке: «…воздействие на саму информацию, средства доступа к ней или источник ее хранения, в результате которого становится невозможным в течение определенного времени или постоянно надлежащее ее использование, осуществление операций над информацией полностью или в требуемом режиме (искусственное затруднение или ограничение доступа законных пользователей к компьютерной информации, не связанное с ее уничтожением)». Рассматривая историю уголовных дел по DDoS-атакам в России, становится очевидным, такое определение «блокировки» содержит оправдание применения ст. 272 УК РФ в делах о «дудосе». Только элемент блокирования компьютерной информации (не смотря на определённую сложность применения к рассматриваемой категории дел) не так удурчающ, как элемент «неправомерного доступа», оправдания которому в «пленуме» нет.
«Проблема доступа» в контексте квалификации DDoS-атак так и не была решена. Верховный Суд указал, что под неправомерным доступом к охраняемой законом компьютерной информации понимается «…получение или использование такой информации без согласия обладателя информации лицом, не наделенным необходимыми для этого полномочиями, либо в нарушение установленного нормативными правовыми актами порядка независимо от формы такого доступа (путем проникновения к источнику хранения информации в компьютерном устройстве, принадлежащем другому лицу, непосредственно либо путем удаленного доступа)». В общем, неправомерный доступ все еще никак не привязан к DDoS-атаке. Ст. 272 УК РФ все еще является абсолютно непригодным правовым инструментом противодействия DDoS-атакам. Если не говорить о КИИ, то адекватных уголовно-правовых механизмов, запрещающих DDoS-атаки, в Уголовном кодексе нет. Но это совсем не значит, что «дудос» разрешен и никого за него не «посадят».
Запрещен ли DDoS в Росси? Да, однозначно запрещен, но как-то неочевидно. А исход уголовного дела по DDoS-атаке может быть абсолютно непредсказуемым — приговор может варьироваться от оправдания до совокупности преступлений по двум статьям. И все из-за особенности содержания ст. 272 УК РФ. Пора бы признать, что на DDoS необходимо наложить прямой запрет в Уголовном кодексе РФ, и при этом стоит ориентироваться на описанные выше концепции «компьютерного саботажа» и «неправомерного воздействия». Информационный общественный строй требует четкой конкретизации своих преступлений.
Итак, мы видим, что главная проблема кроется именно в тот самом неправомерном доступе к компьютерной информации, который едва ли относится к DDoS-атаке. Но к чему он относится? Что вообще можно понимать под неправомерным доступом к компьютерной информации? Когда он считается достигнутым? Как этот доступ должен быть получен? При каких условиях он становится одним из составляющих элементов объективной стороны преступления, регламентированного ст. 272 УК РФ?
Определение и расшифровка смысла неправомерного доступа — ключ к пониманию применения ст. 272 УК РФ. «Проблема доступа» выходит далеко за границы уголовных дел о DDoS-атаках. Исходя из контекста данного исследования ст. 272 УК РФ, не окунуться с головой в вопрос о том, что такое «неправомерный доступ к охраняемой законом компьютерной информации» — просто не культурно.