Нарастающие темпы развития информационных технологий не только открывают перед пользователями все новые возможности работы с информацией, но и приводят к появлению новых форм и видов посягательств.

Ранее мы уже рассматривали статью 272 УК РФ, затрагивающую преступления в сфере неправомерного доступа к компьютерной информации. Теперь мы остановимся подробнее на другой статье 28 главы УК РФ, а именно статье 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ».

Статья 273 УК РФ – «Создание, использование и распространение вредоносных компьютерных программ». Часть 1

• Первая часть данной статьи предусматривает уголовную ответственность за создание программ для ЭВМ или их модификацию, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, а также использование таких программ или носителей с такими программами (дискеты, диски, флэш-накопители, съемные жесткие диски). (объективная сторона)
• Изменение программы подразумевает под собой существенное изменение функционала программного обеспечения в сравнении с авторским исполнением, например, появление в программе дополнительных функций, утрата имеющихся либо ограничение некоторых функций.
• Вредоносная программа – программа, находящаяся в электронном виде и способная осуществлять вредоносные функции (алгоритмы, процессы, воздействия).

Субъективная сторона данного преступления характеризуется прямым умыслом, то есть физическое вменяемое лицо, достигшее шестнадцатилетнего возраста, совершающее преступление, осознаёт, что создает программу – «вирус», «червь» и т.д., либо модифицирует, доводя до такого качества (таких функций) обычную программу, предвидит возможность или неизбежность наступления, при её использовании другими пользователями ЭВМ, вредных последствий и желает их наступления либо относится к ним безразлично.

Для данного преступления неважно наступление вредных или общественно опасных последствий. Преступление считается совершенным в тот момент, когда вредоносная программа использована либо распространена. Этот факт является одним из отличий от ст. 272 УК РФ.

Под вредоносной программой следует понимать программу, которая была создана для выполнения несанкционированных (неразрешенных) владельцем информации, ЭВМ или системы ЭВМ, определённых функций (алгоритмов, процессов).
Под такими функциями можно подразумевать:

• несанкционированное уничтожение информации;
• блокирование информации;
• изменение либо копирование информации;
• нарушение работы ЭВМ или систем ЭВМ, в частности вывод из строя антивируса.

Важно подчеркнуть, что для первой части данного преступления обязательны два признака, характеризующие способ совершения преступления и конкретное средство:

• действия не должны быть санкционированы владельцем информации (не разрешены);
• наличие самой вредоносной программы или существенные изменения в уже существующей.

Так же к компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств её защиты, относится информация со встроенным в неё вредоносными кодами («компьютерный червь», «логическая бомба», «троянский конь»).

Пример по статье 273 УК РФ части 1

19 сентября 2019 года Евсюков, обладая навыками работы с персональным компьютером и программным обеспечением, обнаружил на одном из интернет-ресурсов вредоносную компьютерную программу «vzLOM.

exe», наделенную функциями неправомерного воздействия на средства вычислительной техники, которая может привести к несанкционированной нейтрализации средств защиты компьютерной информации.

21 сентября 2019 года в период времени с 20:51:09 по 23:56:15, Евсюков, находясь по месту своего жительства по адресу: г. Иваново, ул. Пушкина, д.

1Е, имея необходимые компьютерные познания, с принадлежащего ему персонального компьютера – ноутбука «Emachines», осуществил соединение с сетью Интернет и запустил вредоносную компьютерную программу «vzLOM.exe», которая в автоматическом режиме совершила 9 сеансов вирусного воздействия на веб-сервер принадлежащий информационным ресурсам правительства Ивановской области.

Вирусное воздействие заключалось в попытках внедрения вредоносного кода в передаваемые интернет-ресурсу запросы, содержащие команды и параметры для сервера информационного ресурса правительства Ивановской области, что могло привести к несанкционированной нейтрализации средств защиты компьютерной информации, однако ввиду высокой технической защищённости указанного веб-ресурса доступ к компьютерной информации правительства Ивановской области предоставлен не был.

Подсудимый Евсюков виновным себя признал полностью. При этом пояснил, что обвинение ему понятно.

Суд признал виновным Евсюкова в совершении преступления, предусмотренного ч. 1 ст. 273 Уголовного кодекса Российской Федерации, и назначил ему наказание в виде лишения свободы сроком на 1 год 6 месяцев со штрафом в размере 10000 рублей.

Статья 273 УК РФ. Часть 2

1. Вторая часть данного преступления – более опасное преступление: те же деяния, что и в первой части, но совершенные группой лиц по предварительному сговору, либо лицом с использованием своего служебного положения или организованной группой, или повлекшие тяжкие последствия по неосторожности.
2. В части второй статьи 273 УК РФ в качестве дополнительного признака предусматривается наступление тяжких последствий по неосторожности.
3. При совершении преступления, предусмотренного частью 2 настоящей статьи, лицо, группа лиц или лицо с использованием своего служебного положения осознаёт, что создает вредоносную программу, использует, либо распространяет вредоносную программу или её носители, и либо предвидит возможность наступления вредных последствий, но без достаточных оснований самонадеянно рассчитывает на их предотвращение, либо не предвидит вовсе.

Пример по статье 273 УК РФ части 2

Использование и распространение вредоносных компьютерных программ уголовно наказуемо

Уголовная ответственность за создание, использование и распространение вредоносных компьютерных программ предусмотрена ст.273 Уголовного кодекса Российской Федерации.

В данной статье речь идет о таких преступных действиях как создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации. А также в случае совершения подобных действий группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, или данные действия повлекли тяжкие последствия или создали угрозу их наступления.

Необходимо отметить, что данные преступные действия посягают на общественную безопасность и общественный порядок, а в целом на общественные отношения по правомерному и безопасному использованию информации.

Чаще всего вредоносными программами являются компьютерные вирусы, черви, программы-сканеры, эмуляторы электронных средств защиты, программы управления потоками компьютерной информации, программы-патчеры и др.

Учитывая, что компьютерные технологии находятся в постоянном процессе развития, исчерпывающий перечень вредоносных программ отразить невозможно, в связи с чем, при расследовании каждого уголовного дела по ст. 273 УК РФ проводятся необходимые экспертные исследования с целью дать объективную правовую оценку каждой компьютерной программе на предмет отнесения ее к категории вредоносных.

Способом совершения данного преступления может быть только действие, выраженное в виде создания вредоносных компьютерных программ, а равно использование либо распространение таких программ, либо иной компьютерной информации.

В случае совершения таких действий для виновного лица предусмотрены разные виды наказания, а именно: ограничение свободы, принудительные работы, лишение свободы. Максимальный срок наказание в виде лишения свободы составляет 7 лет.

Кроме того, при назначении наказания суд может возложить на подсудимого дополнительные виды наказания в виде штрафа, либо лишения права занимать определенные должности или заниматься определенной деятельностью.

Материал статьи взят из открытых источников

Остались вопросы к адвокату по данной тематике?

Задайте их прямо сейчас здесь, или позвоните нам по телефонам в Москве +7 (499) 288-34-32 или в Самаре +7 (846) 212-99-71  (круглосуточно), или приходите к нам в офис на консультацию (по предварительной записи)!

Дата актуальности материала: 09.02.2022

Статья 273 УК РФ: Признание компьютерной программы вредоносной

Настоящая публикация подготовлена с учетом последних научных тенденций правового толкования норм российского законодательства и базируется на личной практике автора – адвоката Павла Домкина.

Публикация не является юридическим руководством для принятия самостоятельных процессуальных решений.

При возникновении правовых вопросов по затронутой теме рекомендуется получить соответствующую юридическую консультацию у практикующего специалиста.

Сложившаяся судебная практика сформировала определенный взгляд у правоприменителей на то, какие неправомерные действия являются уголовно-наказуемыми по статье 273 УК РФ.

Вопрос признания программ вредоносными целиком отдан следствием и судом на откуп экспертному сообществу, подавляющее большинство уголовных дел рассматривается в условиях признания обвиняемыми лицами предъявленного обвинения без какого-либо оспаривания стороной защиты.

«Молчание» со стороны Верховного Суда Российской Федерации, не давшего ни одного разъяснения судам о практике применения норм об ответственности за совершение преступлений в сфере компьютерной информации, лишь способствует поддержанию одностороннего подхода к решению вопроса о наличии состава преступления в действиях подозреваемого лица. В тоже время автором отмечается появление у практикующих специалистов, а также в научном сообществе правовых взглядов, способных изменить сложившуюся судебную практику и обеспечить надлежащее применение норм уголовного закона.

В целом, конструкция статьи 273 УК РФ является достаточно простой. Для правоохранительных органов не представляет процессуальной сложности доказывание обстоятельств создания или использования программы, а также последствий их работы в виде нарушения изначальной целостности компьютерной информации.

Условным «венцом» уголовных дел становятся заключения специалистов (экспертов) об отнесении исследованной программы к числу вредоносных.

В силу нахождения вопроса признания программ вредоносными на стыке технического и правового аспектов, он вызывает больше всего дискуссий в процессуальном споре стороны защиты и обвинения.

Диспозиция статьи 273 УК РФ предусматривает возможность наступления уголовной ответственности за создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты. Гражданский закон в свою очередь определяет, что компьютерная программа является объективной формой представления совокупности данных и команд, предназначенных для функционирования компьютерного устройства с целью получения определенного результата (статья 1261 ГК РФ).

Из буквального толкования вышеуказанных понятий следует, что правовыми признаками вредоносной компьютерной программы в понимании уголовного закона являются:

1. Заведомая предназначенность программы на получение неправомерного результата. Безусловно, что допущенная разработчиком программная ошибка в исходном коде программы, приводящая к нарушению изначальной целостности иной компьютерной информации пользователя, не может являться правовым основанием признания программы вредоносной.
2. Несанкционированный характер работы программы, который выражается в отсутствии информирования пользователя о запуске программы, и её исполнение без соответствующего согласия (команды) пользователя.

Только одновременное наличие указанных технических признаков у программного обеспечения является основанием для рассмотрения вопроса об отнесении программы к числу вредоносных.

Отметим, что «вредоносность» программы – это правовой признак объективной стороны преступления по статье 273 УК РФ, подлежащий обязательному процессуальному доказыванию.

Выявление указанных признаков вредоносности программы относится к области специальных познаний, поскольку предполагает проведение исследования программного кода соответствующим специалистом на основе его специальных познаний и практического опыта.

В тоже время законом полномочия эксперта ограничены лишь вопросом выявления признаков вредоносности программного обеспечения. Правовое толкование данных признаков и признание программы вредоносной относится к исключительной компетенции органов следствия и суда. Иное толкование закона приводило бы к тому, что функции отправления правосудия были бы возложены на эксперта.

Например, исследовав программу проверки устойчивости Интернет-ресурса (базы данных) к внешнему воздействию, создающую повышенную сетевую нагрузку, или программу мониторинга активности пользователя компьютера, эксперт с высокой долей вероятности в силу выявления признаков отсутствия уведомлений о работе программы и запроса на её исполнение, вынесет суждение о «вредоносности» исследованного программного кода. В тоже время, наличие согласия работника, допущенного к важным данным правообладателя, на мониторинг его активности свидетельствует о санкционированном характере работы внешне скрытной (незаметной) программы, которая по умолчанию копирует данные пользователя, блокирует доступ к закрытой части информации, может уничтожать данные, внесенные в обход установленных запретов и т.д. Правовая логика приведенного примера распространяется и на случай разрешенного правообладателем тестирования Интернет-ресурса к DDOS-атакам путем использования «вредоносного» программного обеспечения.

Установление наличия критерия несанкционированности работы программного обеспечения в приведенных случаях возможно только следственным путем, а именно путем проведения допроса, процессуального исследования оценки документов и проведения иных следственных действий.

Приведенные примеры наглядно демонстрируют, что вредоносность программы должна устанавливаться только следственным путем на основании выводов экспертного исследования об алгоритме программы и условиях её выполнения.

На настоящий момент статистику раскрываемости преступлений по статье 273 УК РФ составляют случаи признания экспертами так называемых «патчей», «кейгенов», и «активаторов», используемых для «взлома» лицензионного программного обеспечения вредоносным ПО. Как правило, данная уголовная статья инкриминируется в совокупности со статьей 146 УК РФ в уголовных делах о незаконной установке программного обеспечения.

Основанием для признания программы вредоносной опять же является заключение специалиста (эксперта).

В обоснование сделанных выводов специалисты указывают, что предназначение исследуемой программы – это нейтрализация средств защиты компьютерной информации (лицензионной программы), следовательно, она в силу положения диспозиции статьи 273 УК РФ является вредоносной. Данный подход является в корне неверным.

Оправдание по статье 273 УК РФ

Как отмечалось ранее, эксперт не полномочен делать суждения о вредоносности исследуемого программного обеспечения. Компетенция специалиста ограничена исследованием алгоритма программы и выявлением признаков её вредоносности, а именно:

1. Заведомое предназначение программы на достижение неправомерного результата.
2. Отсутствие согласия пользователя на выполнение программы, отсутствие информирования пользователя о работе программы.

Если с наличием первого признака вредоносности «активатора/патча/кейгена» всё более-менее очевидно, так как данные программы изначально создаются для «взлома» программного обеспечения, то признак «несанкционированности» в подавляющем большинстве случаев на деле отсутствует.

Как правило, алгоритм работы «активатора/патча/кейгена» или иной программы-взломщика всегда сопровождается сообщением о том, в какую программу будут внесены изменения.

Не редко пользователю самому предлагается выбрать объект воздействия (взламываемую программу), переместить взломщика в каталог со взламываемой программой, произвести замену файлов в ручном режиме и т.п.

Кроме того, исполнение программы-взломщика всегда связано с прямым волеизъявлением пользователя, который должен её запустить, инсталлировать, отдать команду на выполнение, иными словами санкционировать её работу для получения конечного результата в виде генерации ключа активации или изменения функциональности взламываемой программы.

Здесь следует закономерный вывод, что воздействие на компьютерную информацию (лицензионный софт) программой-взломщиком осуществляется только с согласия пользователя или по его прямому волеизъявлению, что исключает возможность отнесения программы-взломщика к вредоносному программному обеспечению в понимании действующей редакции уголовного закона.

Случаи использования подобных взломщиков должны рассматриваться в плоскости нарушения авторских (лицензионных) прав на программное обеспечение по статье 146 УК РФ.

  Использование программы-взломщика должно оцениваться как орудие совершения правонарушения.

Дополнительная квалификация правонарушений с использованием «активаторов/патчей/кейгенов» по статье 273 УК РФ в подобных случаях не соответствует основам уголовного законодательства.

Адвокат Павел Домкин

Адвокат по компьютерным преступлениям

Статья 273 ук рф Создание, использование и распространение вредоносных компьютерных программ

• Создание,
  распространение или использование
  компьютерных программ либо иной
  компьютерной информации, заведомо
  предназначенных для несанкционированного
  уничтожения, блокирования, модификации,
  копирования компьютерной информации
  или нейтрализации средств защиты
  компьютерной информации, 
• Объективная
  сторона преступления включает
  альтернативные действия, состоящие:
• а)
  в создании компьютерных программ либо
  иной компьютерной информации, заведомо
  способных приводить к несанкционированному
  уничтожению, блокированию, модификации,
  копированию компьютерной информации
  или нейтрализации средств защиты
  компьютерной информации;
• б)
  использовании компьютерных программ
  либо иной компьютерной информации;
• в)
  распространении таких программ либо
  иной компьютерной информации.
• В
  редакции Федерального закона от 7 декабря
  2011 г. N 420-ФЗ “О внесении изменений в
  Уголовный кодекс Российской Федерации
  и отдельные законодательные акты
  Российской Федерации” исключена
  ответственность за такие деяния, как:
• а)
  внесение в существующую программу
  изменений, делающих ее вредоносной;
• б)
  использование машинных носителей с
  такими программами;
• в)
  распространение таких носителей.
•  Субъективная
  сторона этого преступления характеризуется
  прямым умыслом.
• Основной
  объект преступления – общественные
  отношения, обеспечивающие безопасность
  в сфере компьютерной информации.

Дополнительный
объект преступления (ч. 3 ст. 273 УК РФ) –
общественные отношения, обеспечивающие
в зависимости от характера последних
иные значимые социальные ценности
(жизнь человека, здоровье многих людей,
собственную безопасность и т.п.).

Вирусная
программа – это специальная вредоносная
программа, способная самопроизвольно
присоединяться к другим программам
(т.е.

“заражать” их) и при запуске
последних выполнять различные
деструктивные действия: порчу файлов,
искажение результатов вычислений,
стирание памяти и т.п.

В течение
определенного периода времени она не
обнаруживает себя, но затем компьютер
“заболевает” и внешне беспричинно
выходит из строя.

Статья 275 ук рф Государственная измена

Государственная
измена, то есть совершенные гражданином
Российской Федерации шпионаж, выдача
иностранному государству, международной
либо иностранной организации или их
представителям сведений, составляющих
государственную тайну, доверенную лицу
или ставшую известной ему по службе,
работе, учебе или в иных случаях,
предусмотренных законодательством
Российской Федерации, либо оказание
финансовой, материально-технической,
консультационной или иной помощи
иностранному государству, международной
либо иностранной организации или их
представителям в деятельности,
направленной против безопасности
Российской Федерации

Объективная
сторона выражается в форме действий в
виде: а) шпионажа; б) выдачи сведений,
составляющих государственную тайну;
в) оказании финансовой, материально-технической,
консультационной или иной помощи
иностранному государству, международной
либо иностранной организации или их
представителям в деятельности,
направленной против безопасности РФ.
Об объективных признаках шпионажа см.
комментарий к ст. 276 УК. Выдача сведений,
составляющих государственную тайну,
выражается в сообщении, доведении или
передаче соответствующих сведений,
составляющих государственную тайну,
доверенную лицу или ставшую известной
ему по службе, работе, учебе или в иных
случаях, предусмотренных законодательством
РФ, иностранному государству, международной
(правительственной или неправительственной)
либо иностранной организации или их
представителям. Выдача может совершаться
разными способами: устно, письменно,
посредством электромагнитных установок,
тайников и т.

Преступление
признается оконченным с момента
совершения указанных действий вне
зависимости от факта причинения вреда
безопасности государства.

 Субъект
специальный: гражданин РФ (в том числе
бипатрид), достигший 16-летнего возраста.
При выдаче сведений, составляющих
государственную тайну, лицо должно
располагать доверенными или ставшими
известными ему по службе, работе, учебе
или в иных случаях, предусмотренных
законодательством, сведениями,
составляющими государственную тайну.

Объектом
государственной измены являются
общественные отношения, складывающиеся
по поводу обеспечения безопасности
Российского государств

Объективная
сторона государственной измены состоит
в активных, враждебных, совместных с
иностранным государством, иностранной
или международной организацией или их
представителями действиях гражданина
РФ, направленных в ущерб безопасности
Российской Федерации. Состав преступления
является формальным; государственная
измена окончена с момента совершения
виновным действий независимо от
фактического наступления последствий.

Передача
– это действия, состоящие в незаконном
предоставлении сведений, составляющих
предмет шпионажа, лицами, у которых
находятся эти сведения, посторонним
лицам для временного использования или
хранения.

Как передачу сведений следует
квалифицировать и иные разновидности
действий, состоящих в любых способах
их возмездного либо безвозмездного
сбыта другим лицам (продажу, дарение,
обмен и т.д.).

Как самостоятельный признак
состава государственной измены, передача
предполагает предоставление соответствующим
адресатам сведений, которыми виновный
изначально владеет на незаконных
основаниях.

Собирание
– это действия, состоящие в различных
(кроме похищения) способах завладения
и приобретения сведений, составляющих
предмет шпионажа: покупка, получение в
дар или в уплату долга, в обмен на товары
и вещи, присвоение найденного и т.п.

, а
также незаконное временное завладение
этими сведениями в преступных либо иных
целях, когда в действиях виновного не
установлено признаков хищения.

Собирание
сведений может быть совершено способом,
составляющим самостоятельное преступление
(например, путем применения насилия к
лицу с целью получения от него
соответствующих сведений). В этом случае
виновный несет ответственность по
правилам совокупности преступлений.

Похищение
– это действия, заключающиеся в изъятии
у юридических или физических лиц
носителей информации, составляющей
государственную тайну, независимо от
того, владеют ли эти лица соответствующими
предметами законно или незаконно; это
противоправное завладение носителями
информации любым способом с намерением
присвоить похищенное либо передать его
другому лицу, а равно распорядиться им
по своему усмотрению иным образом.
Очевидно, что “похищение” сведений,
составляющих государственную тайну,
предполагает хищение физических
носителей таких сведений. В силу чего
при наличии к тому оснований содеянное
виновным может быть квалифицировано
по совокупности с преступлениями против
собственности (например, ст. 164 УК РФ).

Хранение
– это действия, связанные с незаконным
владением сведениями, составляющими
государственную тайну, и сокрытие
носителей соответствующей информации
в помещениях, тайниках, а также в иных
местах, обеспечивающих их сохранность.

О совершенствовании объективной стороны состава преступления, предусмотренного ст. 273 ук рф



Ключевые слова: создание, использование и распространение вредоносных компьютерных программ, компьютерное преступление.

Наступивший XXI век — это век информационных технологий, интернета и социальных сетей. Современное постиндустриальное общество характеризуется высоким уровнем компьютеризации всех областей жизни людей: наука, медицина, промышленность, финансовая деятельность и др.

В настоящее время сложно представить человеческое существование без компьютеров, айфонов, информационно-телекоммуникационных сетей и прочих «интернет-вещей».

Разрастающаяся связь между компьютерами, людьми и информацией, принимающая всеобъемлющий характер, все настойчивее ставит перед современным обществом вопрос об обеспечении своей информационной безопасности от существующих киберугроз, в т. ч. от действия вредоносных компьютерных программ.

Именно этим обосновывается намерение законодателя урегулировать эту сферу общественных отношений нормами уголовного права и эффективно противостоять компьютерной преступности.

Аналитические данные экспертов в области информационной безопасности говорят об усилении опасности существующих киберугроз и приобретении компьютерной преступностью глобального характера.

Так, по данным «Лаборатории Касперского», в 2015 году веб-антивирусом было задетектировано 121262075 уникальных вредоносных объектов (скрипты, эксплойты, исполняемые файлы и т. д.).

Из них вредоносных и потенциально нежелательных программ было зафиксировано около 4 миллионов (в два раза больше, чем в 2014 году) [2].

Российский законодатель в ст. 273 УК РФ предусмотрел уголовную ответственность для виновных лиц за создание, использование и распространение вредоносных компьютерных программ. В настоящее время действующий Уголовный кодекс к объективной стороне преступления, предусмотренного ч. 1 ст. 273 УК РФ относит:

1. создание компьютерных программ либо иной компьютерной информации, заведомо способных приводить к несанкционированному уничтожению, блокированию, модификации, копированию компьютерной информации или нейтрализации средств защиты компьютерной информации;
2. использование компьютерных программ либо иной компьютерной информации;
3. распространение таких программ либо иной компьютерной информации [1].

Нельзя не отметить тот факт, что в редакции Федерального закона от 7 декабря 2011 г. № 420-ФЗ «О внесении изменений в Уголовный кодекс РФ и отдельные законодательные акты РФ» была исключена ответственность за следующие деяния:

1. внесение в существующую программу изменений, делающих ее вредоносной;
2. использование машинных носителей с такими программами;
3. распространение таких носителей.

Указанные изменения, затронувшие объективную сторону преступления, предусмотренного ст. 273 УК РФ, по мнению автора, значительно сузили сферу использования уголовно-правовой нормы правоприменителем.

Кроме того, диспозиция рассматриваемой статьи содержит большое количество технических терминов и понятий, содержание которых требует законодательного закрепления или судебного толкования для правильной квалификации преступного деяния с целью последующего назначения наказания.

Например, термин «программа» (греч. programme) означает содержание или план какой-либо работы.

В свою очередь компьютерная программа представляет собой объективную форму представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата.

По смыслу статьи 273 УК РФ под вредоносными программами понимаются специально созданные программы (в том числе модифицированные из не вредоносных) в целях нарушения нормального функционирования компьютерных программ для достижения преступного результата [6, с. 51].

К их числу чаще всего относят компьютерные вирусы (черви, троянские кони, логические бомбы и др.).

Каждая такая программа обладает своими «полезными» свойствами, посредством которых выполняются неправомерные или преступные действия, будь то хищение денежных средств с банковского счета, уход от уплаты налогов, хулиганство, месть и др. Этим программам свойственно переходить через коммуникационные сети из одной системы в другую, проникать в ЭВМ и распространяться как вирусное заболевание. Под иной компьютерной информацией следует понимать различные инструкции и описания о конкретных способах, которыми можно несанкционированно уничтожить, блокировать, модифицировать компьютерную информацию [3].

Объективная сторона анализируемого преступления содержит три формы противоправного деяния: создание, использование и распространение. Создание вредоносной программы заключается в написании самостоятельного кода или во внесении изменений в уже существующий.

В свою очередь, создание вредоносной компьютерной информации заключается в разработке соответствующих данных и придании им формы электрических сигналов.

Использование вредоносной программы или иной компьютерной информации — это их применение (запуск программы, ввод информации и манипулирование ею) с целью достижения преступного результата.

Наконец, распространение вредоносной программы или иной компьютерной информации осуществляется по сетям передачи данных, а также путем перемещения носителя программы (информации) от одного лица к другому (купля-продажа, мена, дарение, оставление в людном месте, и т. п.) [8].

Однако даже поверхностный взгляд на диспозицию ст. 273 УК РФ позволяет сделать вывод об отсутствии наказания за приобретение преступниками вредоносного программного обеспечения. При этом автор считает, что приобретение вредоносных программ следует рассматривать как приготовление к преступлению путем приискания преступниками орудий или средств совершения будущего преступления.

Данный факт, по мнению автора, свидетельствует о существующей опасности нормального функционирования программного обеспечения и средств создания, обработки, передачи компьютерной информации, а также необходимости восполнения возникшего пробела в российском уголовном законодательстве.

Вышеуказанный тезис выбран в качестве лейтмотива научного исследования, включенного в рамки настоящей статьи.

Необходимо также отметить, что создание, использование и распространение вредоносных компьютерных программ или вредоносной компьютерной информации всегда предполагает активные действия лица, совершившего преступление. Бездействие в этом случае не может иметь место.

При этом, состав преступления, предусмотренный ч. 1 ст. 273 УК РФ носит формальный характер и не требует обязательного наступления общественно-опасных последствий в результате действий виновного лица.

Для привлечения к ответственности достаточно только самого факта создания, использования и распространения вредоносной компьютерной программы.

Как указывает К. Н. Евдокимов: «Наступление общественно опасных последствий в виде несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации не является обязательным, достаточно того, что компьютерная программа или иная компьютерная информация была создана с целью достижения хотя бы одного из таких последствий» [5, с. 136].

Между тем, в ч. ч. 2, 3 ст. 273 УК РФ присутствует формально-материальный состав преступления, который предусматривает ответственность как за причинение, например, тяжких последствий, так и за угрозу их наступления.

С учетом изложенного, представляется целесообразным законодательное установление уголовной ответственности не только за распространение вредоносного программного обеспечения, но и за его приобретение вне зависимости от преступных целей и мотивов.

Подобным образом сконструированы диспозиции некоторых статей Уголовного кодекса Российской Федерации. Так, ст.

222 УК РФ предусматривает наказание за «незаконные приобретение, передача, сбыт, хранение, перевозка или ношение оружия, его основных частей, боеприпасов»; ст. 222.

1 УК РФ за «незаконные приобретение, передача, сбыт, хранение, перевозка или ношение взрывчатых веществ или взрывных устройств»; ст. 228 УК РФ за «незаконные приобретение, хранение, перевозка, изготовление, переработка наркотических средств, психотропных веществ или их аналогов».

По нашему мнению, вредоносные компьютерные программы также, как и оружие, наркотики, взрывчатые вещества должны считаться предметами, запрещенными к свободному гражданскому обороту, поскольку наносят ущерб информационной безопасности России и могут использоваться как орудие либо средство для совершения других компьютерных преступлений.

Кроме того, мы солидарны с теми авторами [7], которые считают, что для совершенствования объективной стороны преступления, квалификации и правоприменения ст.

273 УК РФ, необходимо законодательно закрепить содержание используемых юридических терминов и понятий, таких как: «вредоносная компьютерная информация», «несанкционированное уничтожение, блокирование, модификация, копирование компьютерной информации или нейтрализация средств защиты компьютерной информации», «тяжкие последствия или угроза их наступления».

Также мы согласны с К. Н. Евдокимовым [4, с. 257], что следует снизить размер крупного ущерба, причиненного преступлениями в сфере компьютерной информации с одного миллиона рублей до ста тысяч рублей.

Поскольку значительное количество компьютерных преступников избегает заслуженного сурового наказания по причине того, что сумма нанесенного ими вреда менее одного миллиона рублей.

Тем самым привести размер крупного ущерба в соответствие с другими уголовно-правовыми нормами, добиваясь единообразия в уголовном преследовании.

В заключение предлагаем изложить статью 273 УК РФ и её первую часть в следующем виде:

«Статья 273. Создание, приобретение, использование и распространение вредоносных компьютерных программ:

1. Создание, приобретение, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации».

Литература:

Создание вредоносных программ. Ответственность

Я не работаю по RU и СНГ в частности, а значит, чист перед законом. Не надо меня тыкать в УК РФ, его знаю отлично и не нарушаю. Такое у нас УПК, что не считает нарушением 272/273, если не причинило вред Российской Федерации.

Таким образом, я отказываюсь от ответственности от сказанного мною тут, а также не несу никакой ответственности за причиненные действия после прочтения этой статьи. И вообще — я завязал. Я добрый, хольте и лелейте.

Данная цитата, размещенная в ныне удаленной статье, вызвала в х достаточно широкое обсуждение вопросов связанных с ответственностью за написание вредоносных программ и эксплойтов. В том числе в ходе исследовательских работ.

Подлежит ли ответственность вирусописатель, создавший загрузчик? А если он создает свое ПО в иной стране? А если он вообще не знает о том, что его ПО используется в злонамеренных целях? Вопросов много, попробуем на них ответить. Прежде чем начать говорить об ответственности согласно положениям закона надо сказать о грустном.

Закон это не чеканные формулировки идеального ТЗ, к которым привыкли многие из присутствующих на данном ресурсе. Увы. В связи с этим к каждой статье УК существуют комментарии (познакомиться с ними можно набрав в поисковике запрос типа «ст. 273 УК РФ комментарии»).

Но это не общие для всех разъяснения типа «здесь читаем так, здесь так». Увы, но это толкования конкретных людей, размещенные на конкретных сайтах. В большинстве случаев они совпадают, но не всегда — и иногда мнения диаметрально разные. Несколько примеров по ходу статьи я разберу.

В итоге решение по делу будет зависеть (даже не считая качество процедуры сбора доказательств и качество материалов дела, представленных в суд) от квалификации адвоката, квалификации суда, сложившейся практики. Начнем с самых простых вопросов.

«Я не пишу программ, которые шифруют или крадут данные. Я делаю программы, которые заражают компьютер и потом подгружают собственно вредоносные программы по заказу. В УК за это статьи нет!»

Все законодательства мира объять невозможно, поэтому будем рассматривать ситуации на примере УК РФ. Законодательства иных стран в большинстве случаев похожи. Для ответа на вышеприведенное утверждение читаем ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ» (в ред. Федерального закона от 07.12.2011 N 420-ФЗ): 1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев. 2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. 3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет. В данной статье указано, что ответственность наступает за действия, приводящие к уничтожению, блокированию, модификации, копированию компьютерной информации или нейтрализации средств защиты компьютерной информации. То есть при первом прочтении создается мнение, что если программа не выполняет ничего подобного, то ответственности за создание и распространение тех же троянов-downloader'ов нет. Это не так. Ключевое слово здесь — «компьютерной информации». Что это такое определяет ст. 272 УК РФ: Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. Таким образом информация с точки зрения закона — это не только документы. Это любой бит, записанный на компьютере. Соответственно любая программа что-либо модифицирующая на компьютере может при определенных условиях отнесена к вредоносным. Вышеприведенное утверждение можно признать ложным.

«Так что же — любая программа, что-либо меняющая на компьютере, может быть признана вредоносной?»

Не любая. Скажем утилиты исследования сети, утилиты удаленного управления — они зачастую относятся к программам, установку которых антивирусы встречают с подозрением — уж больно часто злоумышленники используют их для выполнения своих действий. Граница проходит по слову «заведомо» и «несанкционированного». Несколько цитат из комментариев к статье: Под вредоносными программами в смысле комментируемой статьи понимаются программы, специально (заведомо) созданные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены, что определено в документации на программу. Под использованием вредоносной программы или вредоносной компьютерной информации следует понимать их непосредственный выпуск в свет, воспроизведение, распространение и иные действия по их введению в хозяйственный оборот (в том числе в модифицированной форме), совершенные с целью несанкционированного уничтожения, блокирования, модификации либо копирования информации, нарушения работы компьютерных устройств или их сети. Например, использованием вредоносной программы является ее ввод (установка) в память компьютера. Данный состав является формальным и не требует наступления каких-либо последствий, уголовная ответственность возникает уже в результате создания программы, независимо от того, использовалась эта программа или нет. По смыслу комментируемой статьи наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности. Ссылка Соответственно к вредоносным с точки зрения закона относятся программы, устанавливающиеся без уведомления пользователей и/или выполняющие действия, не отраженные в документации.

«Я системный администратор, я устанавливаю по сети всем RAdmin — я что под суд пойду?»

Установка программ без уведомления — достаточно частый случай в компаниях и организациях. Поэтому желательно проработать данный вопрос, утвердить список используемого ПО и внести согласие на его удаленную установку в документы, подписываемые сотрудниками компании. Во избежание.

«Ой, а я вирус по сети распространил!»

Начнем с самой веселой цитаты: Под использованием вредоносных программ понимается их применение (любым лицом), при котором активизируются их вредные свойства. Ссылка Выше я обещал разобрать примеры разночтений. В законе не совсем удачно использовано слово «заведомо». Фраза «распространение… компьютерных программ …, заведомо предназначенных» может читаться двояко. Представим ситуацию, когда пользователь или администратор компании распространили по сети вредоносную программу. Если представить, что «заведомо» относится к вредоносным программам, то тогда любое неумышленное распространение заведомо вредоносной программы с точки зрения закона — не есть хорошо. И здесь играют роль разницы в подходе в первой и второй частей статьи. Напомним, что «Деяния, предусмотренные частью первой настоящей статьи, совершенные… лицом с использованием своего служебного положения… наказываются». Никакого уточнения, что действия, совершены неумышленно — нет! С субъективной стороны преступление, предусмотренное ч. 1 комментируемой статьи, может быть совершено только с прямым умыслом, так как в этой статье определено, что создание вредоносных программ заведомо для создателя программы должно привести к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ. Использование или распространение вредоносных программ тоже может осуществляться только умышленно, так как в соответствии с ч. 2 ст. 24 УК деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части УК. Часть 2 комментируемой статьи в отличие от ч. 1 в качестве квалифицирующего признака предусматривает наступление тяжких последствий по неосторожности. Ссылка Другое мнение к части 2: Содержание этих квалифицирующих признаков соответствует содержанию аналогичных признаков ранее рассмотренных составов преступлений Ссылка Еще одно: С субъективной стороны преступление может быть совершено как по неосторожности в виде легкомыслия, так и с косвенным умыслом в виде безразличного отношения к возможным последствиям. При установлении прямого умысла в действиях виновного преступление подлежит квалификации в зависимости от цели, которую перед собой ставил виновный, а когда наступили последствия, к достижению которых он стремился, — и в зависимости от наступивших последствий. В этом случае действия, предусмотренные ст. 273 УК, оказываются лишь способом достижения поставленной цели. Совершенное деяние подлежит квалификации по совокупности совершенных преступлений. Ссылка Забавно кстати мнение: Разработка вредоносных программ доступна только квалифицированным программистам, которые в силу своей профессиональной подготовки должны предвидеть возможные последствия использования этих программ. Таким образом — включите в свои процедуры установки ПО проверку его антивирусом, утвердите процедуры и соблюдайте их — не забываем о 274 УК РФ: В соответствии со статьей 274 УК РФ уголовная ответственность наступает за нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей. Ссылка

«Я только для себя позапускал!»

Еще одно место, где толкования отличаются. В большинстве толкований считается, что разницы для себя или нет — не существует: Рассматриваемое преступление будет окончено с момента создания, использования или распространения таких программ или информации, создающих угрозу наступления указанных в законе последствий, вне зависимости от того, наступили реально эти последствия или нет. При этом виновный должен осознавать, что создаваемые или используемые им программы заведомо приведут к указанным в законе общественно опасным последствиям. Мотив и цель не влияют на квалификацию преступления. Ссылка Ответ я думаю очевиден. Правда то же толкование делает снисхождение для выстрелов в ногу: Однако использование вредоносной компьютерной программы для личных нужд (например, для уничтожения собственной компьютерной информации) ненаказуемо.

«Я вирус не распространяю, я выложил на Гитхаб для общего ознакомления и все»

Распространение программ — это предоставление доступа к воспроизведенной в любой материальной форме компьютерной программе, в том числе сетевыми и иными способами, а также путем продажи, проката, сдачи внаем, предоставления взаймы для любой из этих целей. Одним из самых типичных способов распространения вредоносных программ является их размещение на различных сайтах и страничках информационно-телекоммуникационной сети Интернет. Ссылка Таким образом — любая публикация — это уже распространение. Естественно тут сразу же встает вопрос о публикациях эксплойтов, демонстрирующих уязвимость. С точки зрения закона — это не есть хорошо. Можно рекомендовать публикацию с внесением изменений, которые делают код не работоспособным — но примет ли это за аргумент суд — не известно.

«Да я даже не компилировал, только для интереса код накидал»

Данный состав является формальным и не требует наступления каких-либо последствий, уголовная ответственность возникает уже в результате создания, использования или распространения программы, независимо от того, наступили ли в результате этого какие-либо общественно опасные последствия. По смыслу комментируемой статьи наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности. Ответственность наступает за любое действие, предусмотренное диспозицией, альтернативно. Например, кто-то может нести ответственность за создание вредоносной программы, другой — за ее использование, третий — за распространение вредоносных программ.Ссылка Еще веселее: Создание программ представляет собой деятельность, направленную на разработку, подготовку программ, способных по своему функционалу несанкционированно уничтожать, блокировать, модифицировать, копировать компьютерную информацию или нейтрализовать средства защиты компьютерной информации. ст. 273 УК РФ устанавливает ответственность за незаконные действия с компьютерными программами, записанными не только на машинных, но и на иных носителях, в том числе на бумаге. Это обусловлено тем, что процесс создания компьютерной программы зачастую начинается с написания ее текста с последующим введением его в компьютер или без такового. С учетом этого наличие исходных текстов вредоносных компьютерных программ уже является основанием для привлечения к ответственности по ст. 273 УК РФ.Ссылка О написании исходных текстов на бумаге конечно прикольно, но смысл это не меняет. Хранение исходных текстов и уж тем более вредоносных программ — если вас будут привлекать по какому-либо делу — не есть хорошо. Судебная практика на этот счет однозначна. Наличие на компьютере программ, которые могут быть отнесены к вредоносным и возможность в связи с квалификацией ими воспользоваться (маразм, согласен, но практика именно такова) — служит отягчающими обстоятельствами

«Да я только в командной строке …»

Ранее мы говорили только о программам. Но 273я содержит и иное: «… распространение или использование… компьютерной информации, заведомо предназначенных». Вспоминаем, что информация — это любой бит на компьютере. Гражданский кодекс Российской Федерации определяет программу для ЭВМ как «представленную в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения» Ссылка Поэтому любые действия, заведомо модифицирующие, уничтожающие и тд — подпадают под 273 УК РФ. Даже скопировав вредоносное ПО можно попасть под формулировки закона Формой совершения данного преступления может быть только действие, выраженное в виде создания вредоносных программ для ЭВМ, внесения изменений в уже существующие программы, а равно использование либо распространение таких программ. Распространение машинных носителей с такими программами полностью покрывается понятием «использование». Ссылка

«Мне 18 нет еще!»

Субъектом данного преступления может быть любое вменяемое лицо, достигшее 16 лет. Ссылка

«За что?»

В зависимости от выполненных вредоносной программой действий и последствий ответственность может быть не только по ст. 273УК РФ. Два примера Если создание, использование или распространение вредоносных программ выступает в качестве способа совершения иного умышленного преступления, то содеянное надлежит квалифицировать по совокупности преступлений. Например, в тех случаях, когда вредоносная программа создается или используется с целью устранения установленных правообладателем средств индивидуальной защиты компьютерной программы, ответственность наступает по соответствующим частям статей 146 и 273 УК РФ. В том случае, если виновный при использовании или распространении вредоносных программ умышленно уничтожил или повредил компьютерную технику, что причинило значительный ущерб потерпевшему, его поведение образует совокупность преступлений, предусмотренных статьями 167 и 273 УК РФ.Ссылка

«Я из другой страны и под законы вашей страны не подпадаю!»