По информации СМИ, правительство РФ подготовило поправки к Уголовному кодексу, вводящие ответственность за DDoS-атаки: максимальное наказание может предусматривать штраф до 2 млн рублей или до восьми лет лишения свободы.
Как сообщает «Коммерсант», криминализация DDoS-атак входит во второй пакет мер по борьбе с киберпреступностью, который разработан в Минцифры совместно с участниками рынков и затрагивает порядка десяти федеральных законов. Новый пакет включает несколько десятков новых мер, а также дополнения к Уголовному, Уголовно-процессуальному и Административному кодексам.
Как ранее отмечал представитель аппарата вице-премьера Дмитрия Григоренко, пока документ находится на межведомственном согласовании и может меняться с учетом предложений ведомств и отрасли.
В одном из предложений авторы документа предлагают внести в УК ст. 272.2 «Злостное воздействие на информационную систему, информационно-телекоммуникационную сеть, компьютерную информацию или сеть электросвязи». Она должна определять наказание за DDoS-атаки.
В качестве максимального наказания по статье предусмотрен штраф до 2 млн рублей, лишение свободы до восьми лет и запрет занимать определенные должности до трех лет. Однако в проекте имеется исключение для лиц, которые атаковали ресурсы, «доступ к которым запрещен или ограничен законом». Они не несут ответственности за такие действия.
В документе под наказуемым деянием понимается «целенаправленное воздействие» на информационные системы, которое «сопряжено с блокированием или уничтожением компьютерной информации, причинившее значительный ущерб или повлекшее иные тяжкие последствия».
Юристы и ИБ-специалисты заявили «Коммерсанту», что определение именно «целенаправленного воздействия» — это важное уточнение в проекте.
«Нужно точно определить, что именно считать атакой. Любой пользователь может ненамеренно создать нагрузку — вопрос в умысле и технологии», — комментирует руководитель практики разрешения IT-споров в юрфирме «Рустам Курмаев и партнеры» Ярослав Шицле.
Для правоприменения важно определить объективные признаки нарушения (использование ботнетов, аномальные запросы, повторяющиеся действия с одного IP-адреса и так далее), четко обозначить понятие умысла (координация действий, применение специального ПО, участие в киберпреступных группах) и установить порог ущерба (продолжительность сбоя, экономические потери, последствия для критических систем), пояснил изданию управляющий партнер ADVOLAW Антон Пуляев.
«Без этого есть риск квалификации случайных или добросовестных действий как преступления», — добавил юрист.
В беседе с журналистами замдиректора ЦК НТИ Тимофей Воронин отметил, что с DDoS-атакой также можно спутать резкий рост количества заказов на маркетплейсах и в интернет-магазинах, а возможные последствия такого ажиотажа схожи с последствиями атаки.
