В уголовном кодексе не предусмотрены: в России предложили криминализировать DDoS-атаки

Но есть несколько "но"

Минюст предложил криминализировать DDoS-атаки. Как рассказали эксперты "Реальному времени", на данный момент ответственность за совершение таких нападений УК РФ никак не предусмотрена — есть лишь косвенные статьи. Криминализация таких действий станет важным шагом в усовершенствовании законодательства в условиях быстро развивающихся технологий. Однако важно при этом защитить невинных от ошибочных подозрений, ведь DDoS-атаки анонимны, а найти их реальный источник крайне сложно. Подробнее о важности и подводных камнях инициативы Минюста России — в материале "Реального времени".

Криминализация DDoS-атак

Российское Министерство юстиции предложило расширить уголовную ответственность за DDoS-атаки. Об этом на ХIII Петербургском международном юридическом форуме заявил замглавы ведомства Вадим Федоров.

Он также затронул тему распространения безналичных расчетов, которая позволяет мошенникам мгновенно совершать переводы между счетами разных лиц и выводить похищенные средства. При этом имеющиеся у правоохранительных органов механизмы не рассчитаны на противодействие подобным угрозам.

— В связи с этим планируется предусмотреть новую меру принуждения восстановлений операций с денежными средствами. Она предполагает прекращение на 10 дней расходных операций по счетам, если они используются в преступной деятельности, — сказал замглавы министерства.

Это, по мнению Федорова, позволит пресекать вывод мошенниками похищенных денег.

Ответственность за DDoS-атаку в УК РФ не предусмотрена

Как "Реальному времени" рассказала управляющий партнер "Право просто" Мария Трошихина, на данный момент в уголовном кодексе России существует несколько статей о посягательствах на устойчивость информационной инфраструктуры. Однако они не касаются конкретно DDoS-атак:

— Они не охватывают состав преступления DDos-атаки — неправомерного воздействия на информационную инфраструктуру в целях получения чужого имущества либо совершения иных действий, причиняющих ущерб гражданину или организации, под угрозой продолжительного блокирования работы их информационной инфраструктуры, уничтожения либо неправомерного доступа и (или) распространения информации.

Трошихина отметила, что на данный момент существует несколько отдельных статей, которые применяются при рассмотрении дел о кибер-нападениях:

за вымогательство (ст. 163): "Однако она не предусматривает угрозу намеренной приостановки доступности чужого оборудования или инфраструктуры";за неправомерный доступ к информации (ст. 272): "Однако DDoS-атаки не всегда предполагают доступ к информации, скорее ограничение доступа к информации третьих лиц";использование вредоносных компьютерных программ (ст. 273): "Однако использование такого ПО при совершении DDoS-атаках нужно доказать";неправомерное воздействие на критическую информационную инфраструктуру России (274.1): "Указанный состав наиболее близок к характеру деяния при совершении DDoS-атаки, однако на сегодняшний день он может быть применен исключительно к объектам КИИ".

— Таким образом, ответственность за совершение DDoS-атаки УК РФ не предусмотрена. Представляется необходимым криминализировать состав действий злоумышленников за совершение DDoS-атаки в полном объеме, — подытожила юрист.

"Основная сложность с DDoS-атаками — их анонимность"

DDoS-атаки — один из самых популярных инструментов киберпреступников, рассказал "Реальному времени" исполнительный директор кибербез компании Xilant и AppSec-евангелист Александр Симоненко.

— DDoS-атаки способны наносить серьезный ущерб, вплоть до нарушения работы критически важной инфраструктуры. Например, если случится успешная атака на энергетические блоки, которые питают больницы и роддомы, то это создает риск для человеческих жизней, — привел он пример.

При этом чаще кибернападения используют как инструмент шантажа или диверсий, считает эксперт. Они могут привести к финансовым потерям:

— Уголовная ответственность — это четкий сигнал обществу и потенциальным злоумышленникам о недопустимости подобных действий, а также дополнительный инструмент для правоохранителей. Кроме того, наличие специализированной статьи позволит четко квалифицировать преступления и выносить более справедливые решения суда.

При этом Симоненко отметил необходимость четко прописать закон, чтобы исключить возможность присвоить звание DDoS любой сетевой активности.

— Введение уголовной ответственности — это шаг в правильном направлении, но он должен сопровождаться комплексными изменениями: развитием технических средств обнаружения атак, повышением квалификации специалистов, международным сотрудничеством. Без этих составляющих риск остаться на уровне "бумажной" борьбы очень велик. Также важно продумать механизм доказывания вины, чтобы реальные организаторы атак не оставались безнаказанными, а невиновные не страдали от ошибочных подозрений. Основная сложность с DDoS-атаками — их анонимность и распределенность, — уверен Симоненко.