Хакерам отмерили срок

Правительство подготовило поправки к Уголовному кодексу, вводящие ответственность за DDoS-атаки: максимальное наказание — штраф до 2 млн руб. или до восьми лет лишения свободы. Новый состав будет применяться к целенаправленным действиям, приведшим к сбоям в работе цифровых систем. Однако юристы и специалисты по кибербезопасности предупреждают, что без четких критериев умысла и технической реализации под такое регулирование могут попасть и добросовестные пользователи.

Выйти из полноэкранного режима

Развернуть на весь экран

“Ъ” ознакомился со вторым масштабным пакетом мер по борьбе с киберпреступностью, разработанным в Минцифры совместно с участниками рынков, который затронет около десятка федеральных законов. В Минцифры и аппарате вице-премьера Дмитрия Григоренко “Ъ” уточнили, что документ «находится на межведомственном согласовании и может меняться с учетом предложений ведомств и отрасли».

Новый пакет мер, который сами чиновники называют «Антифрод 2.0», включает несколько десятков новых мер, а также дополнения к Уголовному, Уголовно-процессуальному и Административному кодексам. Как уточнили в пресс-службе господина Григоренко, «второй пакет» мер разрабатывается по поручению аппарата.

Среди прочих предложений авторы документа предлагают внести в УК ст. 272.2 «Злостное воздействие на информационную систему, информационно-телекоммуникационную сеть, компьютерную информацию или сеть электросвязи». Она должна определять санкции за DDoS-атаки. В качестве максимального наказания по статье предусмотрен штраф до 2 млн руб., лишение свободы до восьми лет и запрет занимать определенные должности до трех лет. Однако в проекте имеется исключение для лиц, которые атаковали ресурсы, «доступ к которым запрещен или ограничен законом». Они ответственность за деяния не несут.

В проекте статьи деяние, за которое предусмотрено наказание, прописано как «целенаправленное воздействие» на информационные и другие системы, «сопряженное с блокированием или уничтожением компьютерной информации, причинившее значительный ущерб или повлекшее иные тяжкие последствия». Опрошенные “Ъ” юристы и ИБ-специалисты сходятся во мнении, что определение именно «целенаправленного воздействия» — важное уточнение в проекте.

«Привлекать к ответственности тех, кто обрушает сервисы, необходимо, но нужно точно определить, что именно считать атакой. Любой пользователь может ненамеренно создать нагрузку — вопрос в умысле и технологии»,— подчеркивает руководитель практики разрешения IT-споров в юрфирме «Рустам Курмаев и партнеры» Ярослав Шицле. По словам управляющего партнера ADVOLAW Антона Пуляева, для правоприменения важно определить объективные признаки нарушения (использование бот-сетей, аномальные запросы, повторяющиеся действия с одного IP и др.), четко обозначить понятие умысла (координация действий, применение специального ПО, участие в киберпреступных группах) и установить порог ущерба (продолжительность сбоя, экономические потери, последствия для критических систем). «Без этого есть риск квалификации случайных или добросовестных действий как преступления»,— добавляет юрист.

Существует серая зона автоматизированного парсинга (автоматизированный сбор данных с веб-сайтов) и сфера работы с открытыми API, напоминает руководитель аналитического отдела Servicepipe Антон Чемякин. Зачастую даже владельцы ресурса не могут однозначно ответить, хотят ли они, чтобы к их базам знаний обращались сторонние организации, и если да, то с какими ограничениями. По мнению замдиректора ЦК НТИ Тимофея Воронина, с DDoS-атакой можно также спутать кратное увеличение количества заказов на маркетплейсах и в интернет-магазинах, так как возможные последствия такого ажиотажа схожи с последствиями атаки. «Целесообразно выявлять именно организаторов атак для привлечения их к ответственности»,— заключает он.

Филипп Крупанин