"Всіх знайти, засудити і посадити? Звісно, згідно чинного законодавства України..."
В суботу подзвонив мені мій давній друг, який в своєму професійному житті є одним з найкращих в країні фахівців з інформаційної безпеки, дав короткий коментар на мій пост "про що говорять події навколо ex.ua" і потім з властивим для технарів в кращому розумінні цього слова цинізмом, почав давати свою оцінку деяким фактам, які його найбільше вразили. Закінчилась розмова тим, що він пообіцяв те, що сказав, записати, а я – розмістити в своєму блозі на УП, що зараз і роблю без будь-якого редагування...Відразу скажу, що вразив його не технічний бік справи...
"В п'ятницю 3 лютого "по діагоналі" дивився програму Шустера. Мене, як спеціаліста в області інформаційної безпеки, привернула увагу частина з приводу резонансного закриття сайту ex.ua. Народний депутат від ПР Олена Бондаренко "четко и конкретно" зачитала статтю 361 з ККУ. Розумію для себе, що юрист Бондаренко, чисто з юридичної точки зору права. Але, виникає дуже багато запитань. Згрупую їх в три категорії.
Перше,
дійсно, вже більшість людей, в тому числі і в Україні, починає розуміти небезпеку, яка виникає від кіберзлочинності. Кількість вкрадених грошей через Інтернет давно перевершує кількість вкраденого "реального" кеша. Але, політики маніпулюють термінами та позначеннями.
Звернемось до першоджерел.
"Стаття 361. Незаконне втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж.
1. Незаконне втручання в роботу автоматизованих електронно-обчислювальних машин, їх систем чи комп'ютерних мереж, що призвело до перекручення чи знищення комп'ютерної інформації або носіїв такої інформації, а також розповсюдження комп'ютерного вірусу шляхом застосування програмних і технічних засобів, призначених для незаконного проникнення в ці машини, системи чи комп'ютерні мережі і здатних спричинити перекручення або знищення комп'ютерної інформації чи носіїв такої інформації, а так само незаконне втручання в роботу мереж електрозв'язку, що призвело до знищення, перекручення, блокування інформації або до порушення встановленого порядку її маршрутизації, – караються штрафом до сімдесяти неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років,
або обмеженням волі на той самий строк."
Все зрозуміло? Вибачте, якщо ти не спеціаліст з комп'ютерних наук, то взагалі не зрозуміло про ще йде мова.
Тому, давайте, розглянемо питання атак на державні сайти з точки зору звичайного життя. В ЗМІ всі прочитали про DDoS-атаки (в законі це – "блокування інформації").
Приклад з життя – якщо я як людина, що ознайомилась з законом "Про доступ до публічної інформації"
(Закон від 13.01.2011 N2939-VI) "...Стаття 1. Публічна інформація
1. Публічна інформація – це відображена та задокументована будь-якими засобами та на будь-яких носіях інформація, що була отримана або створена в процесі виконання суб'єктами владних
повноважень своїх обов'язків, передбачених чинним законодавством, або яка знаходиться у володінні суб'єктів владних повноважень, інших розпорядників публічної інформації, визначених цим Законом...
Стаття 2. Мета і сфера дії Закону
1. Метою цього Закону є забезпечення прозорості та відкритості суб'єктів владних повноважень і створення механізмів реалізації права кожного на доступ до публічної інформації...")
то Я маю ПРАВО в будь-який час та в будь-якій кількості (якщо це ВІДКРИТА інформація) ОТРИМАТИ цю інформацію. Я сподіваюсь, що ні у кого не виникне питання зарахувати мене у злочинці з одного лише приводу, що я "напряг" працівників тієї чи іншої держслужби і запросив не один документ, а, наприклад, десять чи п'ятнадцять? А якщо я попросив свого товариша допомогти мені, та на своє ім'я отримати для мене необхідну інформацію (можливо я журналіст чи науковець)?
Ви скажете, що я маніпулюю суттю законів. Анітрішки!
Дуже складно з юридичної точки зору привести докази нелегітимних запитів до веб-сайтів держустанов (DDoS-атаки, або відсутність доступності інформаційних ресурсів з точки зору технічного захисту інформації).
До речі, в світі існують закони, які дозволяють притягнути до адміністративної або кримінальної відповідальності за спам (масова розсилка електронних листів рекламного чи іншого характеру людям, які не висловили бажання її одержувати), але в Україні чомусь ми отримуємо в поштові скриньки кілограми якісної і неякісної електронної поліграфії від практично усіх торгівельних мереж або операторів зв'язку без будь-якого нашого бажання! В даному випадку ми бачимо недоліки "звичайного" законодавства перед "електронним".
Друге,
переважна кількість користувачів сучасних електронних дівайсів (ПК, ноутбуки, нетбуки, мобільні комунікатори, інтерактивні планшети, etc.) просто може не знати про те, що на їх пристроях працюють шкідливі програми. Як бути в цьому випадку – карати людину за те, що з її дівайсів йдуть шкідливі дії, хоча ця людина про це навіть не здогадується?! З дитинства нам прививають постулати з Біблії (не убий, не вкради), в загальноосвітній школі і потім в вузах нам додають і норми законів України. Але, практично ніхто і ніде не говорить загальнодоступно про покарання за кіберзлочинність або небезпечність бездумного використання комп'ютерного обладнання.
Чому питання інформаційної безпеки звужується до п'яти хвилин про наявність (не обов'язковість!!) антивірусних програм? Питання поведінки та безпеки в соціальних мережах – це питання, щодо якого МОН України почне створювати програму навчання напевно десь у 22-му сторіччі...
Третє,
в 1998 році Верховна Рада прийняла Закон України "Про Національну програму інформатизації", мільярди гривень вже "законно" освоєні та "присвоєні". В статті 6 програми прописані функції органів державної влади в процесі інформатизації, на 11-му і останньому місці знаходиться рядок: "забезпечення інформаційної безпеки держави".
Більшість державних органів, які мають веб-сайти та доступ до Інтернету мають прекрасний набір документів, який має абревіатуру "КСЗІ" – Комплексна система захисту інформації. Здається, що основна частина Національної програми була витрачена на папір, а реальних систем захисту в державних установах від кіберзлочинців, або "інсайдерів" не існує.
3-го лютого 2012 начальник управління по зв'язках зі ЗМІ МВС заявив, що "У МВС ще не визначилися, чи порушувати кримінальну справу за хакерські атаки на їхній сайт.".
З іншої сторони, додав він: "На даний момент до нас заяв від певних державних інстанцій не надходило. Що стосується порушення кримінальної справи щодо блокування нашого відомчого сайту МВС України, це питання зараз обговорюється на оперативній нараді у тимчасово виконуючого обов'язки міністра внутрішніх справ", а "сайт МВС створено перш за все "для оперативного інформування журналістів та громадян", і будь-якого економічного ефекту від нього МВС не отримувало, а відповідно, хакерські атаки не призвели до економічних втрат."
Оригінал тут.
Хочу на останок привести статтю з того ж Закону "Про доступ до публічної інформації":
"...Стаття 24. Відповідальність за порушення законодавства про доступ до публічної інформації
1. Відповідальність за порушення законодавства про доступ до публічної інформації несуть особи, винні у вчиненні таких порушень:
1) ненадання відповіді на запит;
2) ненадання інформації на запит;...
... 2. Особи, на думку яких їхні права та законні інтереси порушені розпорядниками інформації, мають право на відшкодування матеріальної та моральної шкоди в порядку, визначеному законом."
Тобто, ми, громадяни України, маємо ПРАВО відшкодувати собі як мінімум моральну шкоду за неможливість отримання інформації з головних веб-сайтів нашої країни.
А якщо зараз тисячі людей подадуть позови до всіх органів, сайти яких не працювали, і відповідно люди не змогли отримати необхідну їм інформацію і від цього понесли моральних та/або матеріальних збитків, що тоді скаже МВС України про економічні втрати, а спікери ПР про винних? Чи може такі позови теж оголосять, наприклад, атакою на суди і всіх зловлять і "посодять"?. Але ж всіх не пересодять...
І як, врешті-решт, бути з тим, що більшість держорганів і влада взагалі перманентно і без жодних атак знаходяться в DoS (Denial of Service) cтані, тобто в стані відмови надати той сервіс, який вони мають надавати нам громадянам України відповідно до Конституції і законів України, але не надають? Всіх винних знайти, засудити і посадити? Звісно згідно чинного законодавства України..."