Аркадий Смолин, собственный корреспондент РАПСИ
Обвиненный в компьютерном мошенничестве и краже данных россиянин Роман Селезнев, сын депутата Госдумы Валерия Селезнева (ЛДПР), был задержан 5 июля в международном аэропорту столицы Мальдивской Республики. В тот же день он был принудительно доставлен агентами американской секретной службы на остров Гуам.
Согласно информации спецслужб США, Роман Селезнев является одним из наиболее опасных хакеров. Делом россиянина занимаются спецподразделения по борьбе с компьютерным и финансовым мошенничеством США, министерства юстиции, а также прокуратура штата Вашингтон.
Россияне в американских тюрьмах
МИД РФ расценивают действия американцев, как недружественный шаг Вашингтона. Однако даже если суд над Селезневым состоится в США, это никак нельзя будет назвать экстраординарным случаем. Похожие процессы с участием обвиненных в компьютерных преступлениях россиян проходят в США едва ли не каждый год.
Еще в 1998 году суд Нью-Йорка приговорил петербуржца Владимира Левина к трем годам тюрьмы и штрафу в размере более 240 тысяч долларов США за то, что он проник в систему «Ситибанка» и попытался вывести со счетов его клиентов в общей сложности 12 млн. долларов. Левин был арестован в 1995 году в Лондоне в результате совместной операции ФБР, британской полиции и, что характерно, РУОП Санкт-Петербурга.
В 2002 году к трем годам тюрьмы и 700 тыс. долларов штрафа американский суд приговорил хакера из Челябинска Василия Горшкова, а его напарник Алексей Иванов получил четыре года, по обвинению в хищении почти 25 млн. долларов, обмане компаний PayPal, Speakeasy.net, CTF, Nara Bank, краже более 15 тысяч номеров кредитных карт из Western Union. Чтобы арестовать их ФБР пришлось провести спецоперацию, создав фиктивную компанию «Инвита», которая заманила россиян в США заказом на работу.
В 2008 году 25-летний москвич Игорь Клопов получил 10,5 лет тюрьмы за кражу 1,5 млн долларов со счетов американцев. В 2009 году полиция США раскрыла банду хакеров, которые взломали систему безопасности филиала Royal Bank of Scotland: Виктору Плещуку из Санкт-Петербурга грозит до 20 лет тюрьмы, если его поймают и экстрадируют в США. В 2010 Алексей Волынский за незаконное получение секретной информации и отмывание 246 тыс. долларов был осужден в США на 37 месяцев лишения свободы и штраф в 30 тыс. долларов. В 2012 году манхэттенский федеральный суд приговорил 23-летнего россиянина Николая Гарифулина за хищение с банковских счетов минимум 3 млн. долларов к 2 годам заключения, за которыми должны последовать 3 года под гласным надзором после депортации на родину.
И так далее. Это только малая часть от общего количества судебных процессов и приговоров, вынесенных нашим согражданам в США по обвинениям киберпреступлениях за последние годы.
Киберзаконодательство России и США
Можно предположить, что такое настойчивое желание американцев судить иностранных хакеров самостоятельно, вместо депортации на родину, связано с их представлениями о несовершенстве российских законов и судебной практики.
Давайте сравним. Одним из последних приговоров в РФ по этой тематике стал вердикт Тушинского суда Москвы, который 31 июля 2013 отправил предпринимателя Павла Врублевского и хакеров Игоря и Дмитрия Артимовичей на 2,5 года в тюрьму за атаку на платежную систему Assist. Из-за этой DDoS-атаки летом 2010 года авиакомпания «Аэрофлот», по оценкам экспертов, понесла убытки почти на 150 миллионов рублей.
Примерно в одно время принятые решения: 2,5 года Артимовичей за 150 млн рублей (около 4,5 млн долларов) против двух лет Гарифулина за 3 млн долларов (около 100 млн рублей). Решения российских судей абсолютно вписываются в русло американской судебной практики.
Еще сложнее обнаружить превосходство Америки в законодательной базе. Решение Роскомнадзора России не включать США в список стран, в которых принимаются адекватные меры по защите персональных данных не так уж абсурдна, как может показаться на первый взгляд.
Эксперты отмечают, что в США до сих пор отсутствует общефедеральное законодательство, касающееся защиты персональных данных. Privacy Act 1974 года и Privacy Protection Act 1980 года являются обязательными только для государственных организаций. Частные компании могут пользоваться этими рекомендациями по своему усмотрению. Применяемая практика прецедентного права позволяет организациям подходить к вопросу защиты персональных данных достаточно формально. По словам юристов, этот факт настолько упрощает жизнь хакерам, что едва ли ни провоцирует их на преступления ввиду доступности денег.
Другие действующие американские законы о компьютерном мошенничестве также все чаще подвергаются критике в США. Например, в Computer Fraud and Abuse Act, принятый в 1984 году, уже столько раз вносили поправки, что некоторые его пункты, по словам юристов, утратили всякий смысл. Профессор Университета права Санта Клары Эрик Голдмэн назвал его чудовищем Франкенштейна: принятый еще до появления интернета как культурного феномена, закон теперь стал похож на собранного из разных частей ужасного монстра.
Тем не менее, считается, что именно смелость американских прокуроров в трактовке «несанкционированного использования компьютеров» (якобы для того, чтобы взимать большие штрафы в незначительных делах) привело, в частности, к самоубийству известного интернет-активиста Аарона Шварца, которому грозило тюремное заключение за взлом базы данных JSTOR и скачивание оттуда миллионов научных статей с целью свободного и бесплатного их распространения.
В России же действует федеральный закон "О персональных данных". А действия хакеров, в зависимости от цели и мотивов, могут предполагать уголовную, административную и гражданско-правовую ответственность.
Административная ответственность за хакерскую деятельность может возникнуть в случае нарушения Статьи 13 КоАП РФ (Административные правонарушения в области связи и информации). За разглашение информации с ограниченным доступом, а также нарушение установленного порядка хранения, использования или распространения информации персональных данных хакеру грозит штраф от 300 рублей до 20 тысяч.
Различные случаи редактирования и декомпилирования программ могут подпадать под действие статей 273 (Создание, использование и распространение вредоносных компьютерных программ) и 146 УК РФ (Нарушение авторских и смежных прав). Если действия хакеров повлекли тяжкие последствия, то он может получить до семи лет лишения свободы, с выплатой штрафа в размере до двухсот тысяч рублей.
Хакерская деятельность в компьютерной сети также может подпадать под действие статей 272 (Неправомерный доступ к компьютерной информации) и 274 УК РФ (Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей). Максимальный срок наказания – четыре года тюрьмы, но обычно присуждается от полугода до двух лет.
Проблема российского законодательства не в разрозненности, как американского, а в другом: эксперты и юристы жалуются на то, что у нас до сих пор не выработано и не используется в официальном юридическом языке такое понятие как «киберпреступность». Так и не ясно, является ли такое преступление компьютерным или информационным?
Холодная кибервойна
Так в чем же тогда реальная причина такого повышенного интереса американских спецслужб и полицейских к российским хакерам?
Возможно, ответ на этот вопрос подскажет знакомство с прошлогодним законопроектом, предложенным депутатами-республиканцами Майком Роджерсом, Тимом Райаном и Роном Джонсоном.
«Киберпреступники таких стран, как Китай и Россия, агрессивно атакуют американские рынки, похищая передовые технологии и затем выходят на рынок уже с якобы собственными высокотехнологичными товарами», - цитирует агентство Reuters представителей офиса конгрессмена Джонсона. Цель документа – в достижении «реального наступления последствий и наказания» для хакеров, не находящихся на территории США, но причинивших своими действиями ущерб американским интересам.
Практически одновременно с этим документом в обсуждение был запущен схожий законопроект, подготовленный группой сенаторов, «О сдерживании киберворовства». Он предполагает ежегодную публикацию правительственных отчетов со списком стран, наиболее замешанных в кибератаках. Легко догадаться, какие страны должны очутиться в топе этого списка. Вопрос состоит только в том, какие меры и санкции будут легализованы публикацией этого списка.
Впрочем, даже без принятия этого закона США уже почти официально обвиняют Китай и другие страны в развязывании кибершпионской войны. Формальным поводом для заявлений американской стороны стала хакерская атака, предпринятая в феврале 2013 года против 40 американских компаний, включая Apple, Facebook и Twitter. В том же году США первыми в мире учредили боевую награду (медаль «Distinguished Warfare Medal») за особые заслуги солдат, действующих в киберпространстве.
Этой активности предшествовала информация журналистов The Wall Street Journal, которые сообщали, что компьютеры, контролирующие работу энергосетей по всей территории США, были атакованы хакерами из России и Китая. Взломщики не пытались нарушить работу системы, однако могли внедрить программы, которые способны взять отключить энергосети во время кризиса или войны.
Впрочем, угроза кибервойны серьезно прорабатывается в последние годы не только американскими властями и законодателями, но и другими ведущими странами – Россией, в том числе.
Год назад вступил в силу документ, определяющий политику России в сфере обеспечения международной информационной безопасности. Среди основных угроз для РФ в нем упомянут признанный ООН факт возможности использования информационно-коммуникационных технологий для осуществления враждебных действий и актов агрессии, в террористических целях, для неправомерного доступа к компьютерной информации, создания и распространения вредоносных программ. Противостоять этим угрозам РФ намерена вместе со своими союзниками по ШОС, ОДКБ и БРИКС.
Пока у нас нет никакой открытой информации о сотрудничестве российских властей с частным сектором в этом вопросе, но тот факт, что хакеры могут стать важнейшими «солдатами» кибервойны самоочевиден. Например, Великобритания еще в 2010 году создала в рамках "Программы национальной кибербезопасности" группу кибердействий, которая для решения своих задач должна консолидировать возможности государственного и частного секторов.
Россия пошла другим путем, сделав ставку на создание государственной IT-армии. В начале этого года в СМИ попала информация, что отряды специалистов по кибервойне начнут свою работу в РФ до 2017 года. Новости о создании кибервойск в России появились еще летом 2013 года. В то время министр обороны завил, что ведомство ищет квалифицированных специалистов. Эти слова вполне можно интерпретировать как попытку привлечь к службе, в том числе, и профессиональных хакеров. Судя по тому, что началась подготовка к формированию отрядов IT-солдат, такие компьютерные специалисты нашлись.
Кто возглавит интернет-интерпол?
Эксперты, как в России, так и на Западе, сходятся во мнении, что единственным эффективным способом борьбы с преступностью в интернете было бы создание специализированного аналога Интерпола. Однако точно так же специалисты сходятся и во мнении, что никакого реального сотрудничества между государствами в сети сейчас нет и признаков для консолидации не видно.
В прошлом года компания McAfee даже посвятила своей ежегодный доклад о виртуальной преступности теме начала в мире «холодной кибервойны», основными противоборствующими силами которой были названы США, Россия, Китай, Франция, Израиль.
Формальным обоснованием практически полного отсутствия признаков работы в направлении создания интернет-интерпола можно назвать наличие нескольких версий базисных конвенций международного сотрудничества.
Например, Россия уже более двух лет назад представила концепцию Конвенции об обеспечении международной информационной безопасности. С тех пор документ, замышлявшийся как проект глобального юридически обязывающего акта ООН, находится почти без движения. Инициативу России поддерживают Китай, Индия, Бразилия.
В то же время Россия пока не подписала Конвенцию Совета Европы о преступности в сфере компьютерной информации, которую поддерживают (и подписали), помимо европейских стран, США и Япония.
Таким образом, эксперты отмечают, что арест американскими спецслужбами российских хакеров может служить не только признаком недоверия к нашему правосудию или элементом кибервойны, о чем, вероятно, еще будет сказано немало слов в нашем медийном пространстве, но и элементом противостояния двух стратегий построения международного сотрудничества в вопросе информационно-компьютерной безопасности.
Охота спецслужб на хакеров может стать лучшей рекламой эффективности предлагаемой концепции того государства, на счету которого окажется наибольшее число «скальпов». И национальность арестованных и осужденных хакеров, в таком случае, дело третьестепенное.
