В рамках одной из сессий на Хlll Петербургском международном юридическом форуме заместитель министра юстиции РФ Вадим Федоров предложил криминализировать DDoS-атаки, а точнее «неправомерное воздействие на компьютерную информацию» с их помощью.
Как сообщают «Ведомости», в настоящее время уголовное наказание предусмотрено только за «неправомерный доступ к охраняемой законом компьютерной информации» и за «создание, использование и распространение вредоносных компьютерных программ».
Под неправомерным доступом к компьютерной информации понимается получение или использование такой информации без согласия ее обладателя лицом, не наделенным необходимыми для этого полномочиями.
По словам управляющего партнера Key Consulting Group Вадима Егулемова, в объективную сторону статей 272 УК РФ и 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ) входит такое последствие, как блокирование информации, подразумевающее воздействие на саму информацию, средства доступа к ней или источник ее хранения, в результате которого становится невозможным в течение определенного времени или постоянно надлежащее ее использование, осуществление операций над информацией полностью или в требуемом режиме.
Как отметил директор департамента расследований T.Hunter Игорь Бедеров, существующие статьи УК РФ (в отличие от законодательства США, ЕС и Китая) действительно не учитывают специфику DDoS-атак, что усложняет квалификацию таких преступлений. В качестве временной меры можно обеспечить расширительное толкование ст. 272 УК РФ, однако эксперт полагает, что это может повлечь за собой различные злоупотребления, например, бездействие или преследование за случайные действия.
«Предполагаю, что в УК РФ появится отдельная статья, четко определяющая DDoS-атаку как умышленную перегрузку инфраструктуры с целью нарушения ее доступности, – считает Бедеров. – Для обеспечения доказательной базы потребуются инструменты для фиксации трафика, идентификации бот-сетей и установки источника атаки. Здесь могут возникнуть сложности из-за анонимности в сети и использования средств обхода блокировок. Без этого криминализация DDoS рискует стать формальностью, а не реальным инструментом борьбы с киберпреступностью».
При этом руководитель аналитического отдела Servicepipe Антон Чемякин пояснил изданию, что фактически нагрузку на сервис создает любой запрос, и важно провести границу, после которой будет фиксироваться преднамеренность попытки вывести из строя, а наличие умысла – вопрос очень сложный.
Помимо этого Чемякин отметил, что существует «серая зона» автоматизированного парсинга, который часто является элементом недобросовестной конкурентной борьбы, а также неудачные эксперименты начинающих ИТ-шников с попытками использовать открытые API.
