Российские власти хотят ужесточить уголовную ответственность за совершение преступлений в сфере кибербезопасности и приравнять хакерские атаки к краже.
МВД России и Сбербанк подготовили соответствующий законопроект, уже одобренный Центробанком. В нем указано, что наказание для киберпреступников должно быть более строгим, нежели сейчас: оно в существующей судебной практике «совершенно не соответствует» сумме наносимого ущерба, считает замначальника Главного управления безопасности и защиты информации Банка России Артем Сычев. По его словам, за похищение сотен миллионов рублей киберпреступники порой «получают три года условно», пишут «Известия» .
По российским законам максимальный срок за кибермошенничество – 5 лет, в то время как в США за такие преступления могут лишить свободы на 25 лет, а в Китае – на 10. В Сбербанке подсчитали, что ежегодно российская экономика теряет из-за действий киберпреступников около 600 млрд руб. В 2015 году потери от киберпреступлений во всем мире составили $500 млрд, а уже к 2018-м они могут вырасти в четыре раза, не исключает заместитель председателя Сбербанка Станислав Кузнецов.
В законопроекте, подготовленном Сбербанком и МВД, содержатся два принципиальных пункта: требование квалифицировать киберпреступление как кражу, а не как мошенничество, а также установить за его совершение более строгое наказание. Примером слишком щадящего приговора, вынесенного киберпреступникам, может служить дело о похищении 160 млн рублей группой хакеров – Олегом Лузяниным, Ринатом Ирмогамбетовым и Александром Андреевым. Каждому из них суд назначил «наказание в виде лишения свободы сроком на пять лет… без штрафа, с отбыванием наказания в исправительной колонии общего режима».
В УК РФ есть статья «Мошенничество в сфере компьютерной информации» с установленным по ней наказанием в виде тюремного срока в 10 лет и штрафа в 1 млн рублей. Однако не всегда удается доказать, что за совершенное киберпреступление злоумышленнику полагается максимальное наказание по этой статье. Именно поэтому приравнивание киберпреступления к краже позволит наказывать нарушителей более строго.
«На мой взгляд, новация справедлива. И то, что сейчас на практике не так, — очевидный пробел законодательства, обусловленный технологическим скачком. Кроме того, нужно учесть, что в настоящее время изменился и сам характер киберпреступлений. Из шалостей, массового фишинга и относительно немногочисленных случаев профессионального хакерства кибермошенничество стало огромной индустрией с многомиллиардными оборотами», - поддержал инициативу Сбербанка и МВД руководитель Zecurion Analytics Владимир Ульянов.
Он добавил, что риски, связанные с угрозами в сфере кибербезопасности, не менее серьезны, чем другие типы рисков – правовые или экономические. По данным компании Zecurion, «в российских компаниях Enterprise-сегмента ежегодно фиксируется от 14 до 20 крупных инцидентов, связанных с утечкой информации». Поэтому, отметил Ульянов, было бы абсолютно «нормально расценивать кражу денег с помощью высокотехнологических инструментов именно как кражу денег».
В свою очередь, пытаясь ужесточить наказание для киберпреступников до 10-20 лет лишения свободы, надо быть точно уверенным, что тот или иной подозреваемый действительно виновен. Об том говорит директор департамента аудита защищенности Digital Security Алексей Тюрин:
«Если речь идет о хакерской атаке, доказать вину — далеко не самое простое дело. Довольно легко «подставить» невиновного или посадить какую-то мелкую сошку, а не организаторов. Не будем забывать и о том, что столь крупные кражи происходят в том числе по вине банков, и им нужно больше внимания уделять вопросам обеспечения дистанционных сервисов (интернет- и мобильного банка), чтобы исключить возможность возникновения инцидентов в системе».
По мнению Ульянова, можно поступить и по-другому – заставить хакеров работать в интересах государства. Успешная практика сотрудничества властей с хакерами есть во многих странах, отмечает он, ведь «спрос на опытные кадры растет в связи с обострением противостояния государств в киберпространстве, разработкой все более агрессивных политик в области кибербезопасности».
По предварительным подсчетам ЦБ, к концу 2016 года убыток от совершенных киберпреступлений составит 4 млрд рублей. В прошлом году эта сумма была вчетверо меньше.