Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK). В Главе 3 данного свода знаний описываются основные регуляторные нормы и принципы международного права, которые имеют отношение к кибербезопасности и могут применяться при оценке киберрисков, управлении ИБ, расследовании киберинцидентов. Сегодня – четвертая часть обзора Главы 3 CyBOK, в которой описываются различные типы киберпреступлений и особенности применения норм права в отношении кибератак.
Руслан Рахметов, Security Vision
Предыдущие главы и части:
Глава 3 часть 1, часть 2, часть 3
3.5. Компьютерные преступления.
Термин «киберпреступность» часто используется для трёх различных категорий криминальной активности:
«классические» преступления, в которых киберпространство используется как инструмент (например, финансовое мошенничество, кибермошенничество);
распространение противоправной информации в киберпространстве;
преступления, нацеленные непосредственно на инфраструктуру киберпространства (например, кибератаки, взломы).
Данный раздел посвящен как раз третьей категории – компьютерным преступлениям, т.е. преступлениям, направленным против информационных систем, что представляет интерес для специалистов по ИБ.
3.5.1. Преступления в отношении информационных систем.
По мере развития информационных технологий всё больше вредоносных действий стало совершаться в киберпространстве, однако законодательные изменения не всегда успевают за прогрессом. Ключевой проблемой остаётся международное применение согласованных мер по борьбе с трансграничной киберпреступностью. Одной из важных мер стала разработка Будапештской конвенции («Конвенция о преступности в сфере компьютерной информации»), которая была утверждена Советом Европы в 2001 году и к настоящему времени подписана и ратифицирована 66 странами. В 2013 году в ЕС была принята Директива 2013/40, которая обязала всех стран-членов актуализировать их уголовное законодательство для включения киберпреступлений в состав уголовно наказуемых деяний. При этом в конце 2024 года Генеральная Ассамблея ООН одобрила новую «Конвенцию против киберпреступности», принятую в целях укрепления международного сотрудничества для борьбы с компьютерными преступлениями и обмена доказательствами по таким преступлениям. Работа над данным документом была инициирована Россией и велась в течение 5 лет.
Далее авторы документа приводят классификацию киберпреступлений в соответствии с положениями Будапештской конвенции.
3.5.1.1. Несанкционированный доступ к информационной системе.
Несанкционированный (неавторизованный) доступ к информационной системе означает доступ к системе без разрешения её владельца, в нарушение правил и порядка доступа и обычно обозначается общим термином «взлом» (англ. «hacking»). При этом в разных странах действия, составляющие неавторизованный доступ, отличаются: в Великобритании попыткой взлома считается ввод пароля без согласования владельца системы, а в США киберпреступлением считается попытка установить несанкционированное сетевое соединение с системой. Отметим, что термин «неавторизованный доступ» до сих пор законодательно не определен с необходимой точностью во всех странах и зависит от решения должностных лиц в каждом конкретном случае.
3.5.1.2. Несанкционированное взаимодействие с данными.
Несанкционированным взаимодействием с данными в соответствии с Будапештской конвенцией считается несогласованное удаление, повреждение, порча, изменение данных или нарушение доступности данных. Данные положения могут использоваться в отношении тех, кто разрабатывает или распространяет вирусы-шифровальщики.
3.5.1.3. Несанкционированное взаимодействие с системами.
На заре киберпреступности атакующие взламывали системы и меняли данные в них, но с ростом других типов атак, прежде всего DoS/DDoS, в законодательство были внесены изменения, которые отражают новые типы вредоносной активности – теперь нарушением считаются в том числе действия, которые привели к снижению производительности систем.
3.5.1.4. Несанкционированный перехват коммуникаций.
Следствием принятия различных законодательных норм по защите приватности стала криминализация действий по несанкционированному перехвату сетевого трафика, особенно в публичных сетях.
3.5.1.5. Несанкционированная разработка хакерских инструментов.
Во многих странах правонарушением является разработка или распространение хакерских инструментов с целью их дальнейшего использования для взлома информационных систем. Подобные нормы могут создавать сложности для тех, кто создает решения для проведения тестирований на проникновение и выполнения иных легитимных ИБ-задач.
3.5.2. Исключения в силу незначительности нарушения.
В некоторых случаях применение законодательных норм ограничено только действиями, которые можно признать значительными. Например, в Директиве ЕС 2013/40 говорится, что киберпреступлением может считаться только действие против информационных систем, являющихся значимыми, а уровень значимости зависит от относительной опасности создаваемого риска или ущерба, нанесенного несанкционированными действиями. Подобные исключения создают неопределенности в части расчета опасности последствий: в некоторых случаях ущерб очевиден, но в каких-то инцидентах оценить весь масштаб и последствия атаки будет сложно.
3.5.3. Меры принуждения и ответственность за киберпреступления.
Каждая страна сама принимает решения относительно расследования киберпреступлений и возбуждения уголовных дел. Ответственность виновных суды также определяют самостоятельно, руководствуясь границами, предусмотренными уголовным законодательством. Например, в Великобритании типовые сроки заключения за киберпреступления составляют от 2 до 5 лет, но даже такие приговоры выносятся редко. Для сравнения, в США расследование дел о киберпреступлениях часто приводит к срокам заключения в 20 и более лет.
Вопрос адекватного наказания за киберпреступления остается открытым, особенно с учетом развития технологий – например, взлом широко применяемых IoT-устройств может привести к ущербу для жизни граждан или их частной собственности. В Директиве ЕС 2013/40 сказано, что сроки лишения свободы должны быть больше в случае кибератак на критическую национальную инфраструктуру или в случае причинения существенного ущерба. В США с 2015 года закон «Computer Misuse Act» предусматривает тюремный срок до 14 лет в случае причинения существенного ущерба, а в случае серьезного ущерба (или риска) здоровью и благополучию граждан или национальной безопасности может быть назначен пожизненный срок заключения.
3.5.4. Санкционированные государственные действия.
В случае совершения действий, связанных с расследованием преступления или защитой национальной безопасности, выдаётся специальное разрешение – ордер на выполнение определенных действий. Лицо, выполняющее санкционированные в соответствии с данным ордером операции, не несет ответственности за выполненные действия, включая взлом систем.
3.5.5. Действия по исследованию и разработке, выполняемые негосударственными организациями.
Негосударственные организации, которые исследуют вопросы кибербезопасности или разрабатывают ИБ-решения, могут столкнуться со сложностями, поскольку некоторые из их действий могут подпадать под определение киберпреступлений, например:
Несогласованный анализ мер защиты, реализованных на серверах третьих лиц;
Несогласованный удаленный анализ Wi-Fi оборудования третьих лиц;
Несогласованный анализ сетевой инфраструктуры третьих лиц;
Проведение согласованного нагрузочного тестирования (стресс-тестирования) оборудования, при котором деградирует производительность инфраструктуры третьих лиц, не осведомленных и не согласовывавших тестирование;
Анализ ВПО и тестирование методов защиты от ВПО;
Анализ компонентов и функционала ботнетов;
Создание и распространение инструментов для тестирования киберзащищенности;
Использование различных техник сбора разведданных.
При рассмотрении случаев применения инструментов для проведения пентестов оценивается обычно не их технический функционал, а цели и намерения организации или лица, которое их создаёт или распространяет, а ответственность наступает в случае, если эти инструменты предполагалось использовать для нарушения закона. Исследователи ИБ, вендоры и профильные ИБ-компании могут столкнуться со сложностями при оценке рисков ведения тех или иных исследований или разработок – в некоторых обстоятельствах и условиях они могут столкнуться с обвинениями в нарушении законодательства; кроме того, важно оценивать все применимые законодательные нормы во всех юрисдикциях, где ведется потенциально рискованная деятельность.
3.5.6. Самозащита: блокировки ПО и ответный взлом.
Под терминами «самопомощь», «самозащита» (англ. self-help) понимаются действия, которые лицо предпринимает для защиты своих прав без привлечения представителей государственной власти. В общем случае подобные действия, как правило, не приветствуются во многих странах, поскольку негосударственное лицо пытается выполнить функцию обеспечения законности, которая должна исполняться властью. Если же в некоторых странах разрешено выполнять определенные действия по самозащите, то существует множество сопутствующих ограничений и условий. Выполнение действий по самозащите может привести к обвинениям в нарушении законодательства и судебным искам.
3.5.6.1. Недекларированные блокировки ПО.
Существует практика наложения разработчиками ограничений на использование ПО или сервисов: например, некоторое ПО не будет работать после истечения срока лицензии, а облачный провайдер вправе отключить доступ к сервисам при просрочке платежа. Однако проблемы у вендора или провайдера могут возникнуть в случае, когда подобный функционал блокировки не описан в договоре, лицензионном соглашении или инструкции к ПО. Например, с точки зрения законодательства будет нарушением блокировать работу ПО с применением недекларированного функционала даже в случае, если покупатель не оплатил продление лицензии или нарушил условия лицензионного договора.
3.5.6.2. Ответный взлом.
Термин «ответный взлом», «ответный удар» (англ. hack-back) используется для описания действий по проведению ответной кибератаки против ИТ-инфраструктуры, из которой была проведена кибератака. Подобные действия обычно оцениваются в контексте кибератаки, которая была проведена с территории иностранного государства, при этом взаимодействие с ним по вопросу расследования данной кибератаки, скорее всего, не принесет результата. Подобный ответный взлом может включать в себя DDoS атакующей инфраструктуры, взлом или вывод из строя атакующей инфраструктуры и т.д. В подобном случае такой ответный взлом будет расценен как компьютерное преступление в стране, с территории которой он производится, и в целевой стране, а также в странах, чья инфраструктура будет задействована при данных действиях. Кроме того, страна, ставшая целью такого ответного взлома, может задействовать принципы международного права и механизмы защиты собственного суверенитета в отношении лиц, которые проводят такой hack-back, и в отношении инфраструктуры, используемой для ответного взлома.