СТ 272 УК РФ.
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, — наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.
Примечания.
1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей.
Комментарий к Ст. 272 Уголовного кодекса
1. Предметом преступления является охраняемая законом компьютерная информация (примечание 1 к статье). Такая информация, как правило, представляет собой сведения о лицах, предметах, фактах, событиях, явлениях и процессах на внешнем носителе, в компьютерной памяти или компьютерной сети. Информация является охраняемой законом постольку, поскольку лицо не обладает правами доступа к данной информации; характер информации, ее охрана законодательством об авторском праве и смежных правах, законодательством о государственной тайне и т.п. не имеют значения.
2. Объективная сторона преступления характеризуется неправомерным доступом к охраняемой законом компьютерной информации. Доступ к информации предполагает получение реальной возможности знакомиться, изменять, перемещать или удалять информацию в отсутствие надлежаще полученных прав совершать все или ряд из указанных действий. В большинстве случаев о получении соответствующих прав свидетельствует согласие владельца информации, выражаемое либо прямо в форме открытия доступа к иначе недоступной информации (предоставление логина, пароля и т.п.), либо подразумеваемо в отношении специально незащищенной информации. При этом права доступа могут быть ограничены возможностями ознакомления, ознакомления и копирования информации; в таком случае иные действия с информацией следует рассматривать как неправомерный доступ.
3. Для признания преступления оконченным недостаточно самого по себе получения доступа к информации. Необходимо, чтобы следствием действий, совершенных в ходе неправомерного доступа, стало уничтожение, блокирование, модификация или копирование информации. О содержании указанных действий см. комментарий к ст. 159.6 УК; под блокированием следует понимать ограничение доступа к информации иным лицам без ее удаления; под модификацией — любое изменение информации; под копированием следует понимать создание копии информации на внешнем носителе или ином компьютере.
4. Действия в отношении информации с ограниченным доступом (сведения, составляющие государственную тайну, коммерческую, налоговую или банковскую тайну и т.п.) следует квалифицировать по совокупности ст. 272 УК и соответствующего иного состава преступления.
Есть ли вообще какая-то ответственность за исследование и взлом чужой программы, сервиса, сети?
Если говорить про действующие российские законы, то да, есть. Когда исследователь тестирует чужой продукт на предмет уязвимостей или проникает в чужую сеть без ведома и согласия владельца, его действия могут быть расценены как неправомерные. И последствием таких действий может стать наступление ответственности различного рода: гражданско-правовой, административной и уголовной.
О каких законах идет речь?
В большей степени исследование уязвимостей (а также возможная ответственность в случае совершения противоправных деяний) касается тех законов, которые перечислены ниже. Обрати внимание, что это не весь список: в этой статье не затрагиваются вопросы, связанные с персональными данными, охраняемой законом тайной (государственной, врачебной, банковской и так далее) и некоторые другие вопросы. Пока что мы поговорим о следующих трех законах:
- Гражданский кодекс;
- Кодекс об административных правонарушениях;
- Уголовный кодекс.
В каких случаях багхантер понесет ответственность?
Все зависит от конкретных обстоятельств дела, а также от последствий, возникших после конкретного исследования (тестирования, взлома). В зависимости от них и будет определяться, являются ли такие действия багхантера правонарушением или нет, преступлением или нет, подлежит ли он привлечению к ответственности соответствующего рода или нет.
Второй комментарий к Ст. 272 УК РФ
1. Объектом состава преступления, предусмотренного комментируемой статьей, выступают общественные отношения, связанные с обеспечением информационной безопасности в сфере компьютерной информации, как части общественной безопасности.
2. Предметом преступления является не материальный предмет (например, техническое устройство), а нематериальное благо — компьютерная информация, легальное определение которой приводится в примечании 1 к данной статье. Указание на охраняемый законом характер компьютерной информации не позволяет очертить какие-то конкретные границы той информации, которая выступает предметом данного состава преступления, поскольку информация может являться объектом публичных, гражданских и иных правовых отношений, она может свободно использоваться любым лицом и передаваться одним лицом другому лицу (ст. 5 Федерального закона от 27.07.2006 № 149-ФЗ
«Об информации, информационных технологиях и о защите информации»). Такая информация может иметь материальный носитель: компьютер, смартфон, флеш-накопитель, а также может содержаться непосредственно в сети Интернет в облачных файловых хранилищах и др.
3. Объективная сторона характеризуется действиями: «неправомерный доступ», т.е. это незаконное либо не разрешенное обладателем информации или иным ее законным владельцем проникновение в ее источник с использованием компьютера или иного электронного устройства и использование возможности ознакомления с ее содержанием.
4. В качестве последствий незаконного доступа указаны следующие альтернативные последствия: уничтожение — безвозвратная утрата информации вне зависимости от возможности технического восстановления; блокирование — ограничение возможности ознакомления и иного взаимодействия с такой информацией; модификация — внесение изменений в такую информацию, что приводит к изменению ее функционального наполнения; копирование — создание копии такой информации в иной информационной системе, техническом средстве, на материальном носителе, не находящемся под контролем обладателя информации.
5. Субъективная сторона выражена в умышленной форме вины.
6. Субъект — лицо, достигшее 16-летнего возраста.
7. Квалифицированные виды (ч. 2) характеризуются совершением преступления из корыстной заинтересованности (см. комментарии к ст. 285) либо причинением крупного ущерба (т.е. на сумму свыше 1 млн руб. — примечание 2).
8. Особо квалифицированные виды — совершение преступления группой лиц по предварительному сговору или организованной группой (см. части 2 и 3 ст. 35 УК) либо с использованием служебного положения (см. комментарии к п. «в» ч. 2 ст. 127.1 УК).
9. Самый опасный вид данного преступления связан с причинением или созданием угрозы причинения тяжких последствий. Это понятие — оценочное и охватывает последствия физического, имущественного, организационного или иного вреда.
Что надо знать про гражданско-правовую ответственность?
В первую очередь надо знать, что она может наступать вследствие следующих обстоятельств:
- Исследование повлекло за собой нарушение авторских прав.
- В ходе исследования был причинен вред личности или имуществу.
- Были нарушены условия использования (лицензия) исследуемого объекта.
Кейс 1. Авторские права
В большинстве случаев исследуемый сайт или программа представляет собой полноценный объект авторских прав. Следовательно, его правообладателю принадлежит исключительное право в отношении такого объекта (статья 1270 Гражданского кодекса РФ). Это означает, что по общему правилу именно правообладатель определяет, можно ли копировать его объект (полностью или частично), вносить в него изменения, искажения, модифицировать его.
Для понимания представим ситуацию: изучив сервис на уязвимости, исследователь скопировал часть программного кода этого сервиса и сохранил его на своем носителе. Такое копирование представляет собой использование объекта авторских прав (кода программы) путем его воспроизведения. Это значит, что фактически объект авторских прав был использован исследователем без согласия на то правообладателя. Формально это будет считаться нарушением прав последнего.
Поэтому если в ходе исследования на уязвимости произведено (даже фрагментарное) копирование, модификация, изменение, искажение исследуемого объекта авторских прав, то формально это может быть признано нарушением исключительного права его правообладателя на свой объект. Ниже — самый простой пример из практики.
Условия использования материалов сайта registre.ru
Материалы, размещенные на сайте www.registre.ru, принадлежат ООО «Профдело» и запрещены для перепечатки. В случае незаконной перепечатки материалов сайта нарушитель выплачивает правообладателю неустойку в размере 10 000 рублей за каждую статью или часть статьи.
https://www.registre.ru/copyright.html
Что понимать под «материалами», однозначно не ясно. Речи о том, что это правило касается только опубликованных статей, тоже нет. Поэтому если представить ситуацию, что при тестировании этого сайта на уязвимости какие-то материалы (будь то тексты неопубликованных статей или фрагменты программного кода скриптов) были скопированы исследователем, то с определенными оговорками можно будет считать, что при таком копировании он нарушил авторские права владельца этого сайта.
Если же говорить про размер ответственности за такое нарушение в денежном выражении, то он определен в статье 1301 Гражданского кодекса РФ:
- от десяти тысяч до пяти миллионов рублей (по усмотрению суда);
- в двукратном размере стоимости лицензии на исследуемый объект (для его использования тем способом, которым он использовался в ходе исследования).
Ответчика также могут обязать возместить правообладателю убытки, понесенные им в ходе исследования. При этом закон не ограничивает размер подобных убытков. Поэтому если правообладатель сможет доказать их размер (даже если он будет больше пяти миллионов), то выплачивать надо будет заявленную сумму. Как будут доказываться убытки — уже другой вопрос, выходящий за рамки этой статьи.
Кейс 2. Вред личности или имуществу
Помимо нарушения авторских прав, ответственность предусмотрена еще и за вред личности или имуществу (глава 59 Гражданского кодекса РФ). По общему правилу вред, причиненный личности или имуществу гражданина, а также вред, причиненный имуществу юридического лица, подлежит возмещению в полном объеме лицом, причинившим вред. В свою очередь подозреваемый освобождается от возмещения убытков, если докажет свою невиновность.
Более наглядно это можно объяснить так. Представим ситуацию: есть программный комплекс, который отвечает за автоматическую подачу горячей воды в жилые дома. Если исследование на уязвимости стало причиной выведения этого комплекса из строя, то владелец вправе будет рассчитывать на взыскание с исследователя всех понесенных им убытков (включая расходы на ремонт и повторный запуск оборудования). Если те же действия стали причиной нанесения вреда имуществу в тех домах, подачу воды в которые обеспечивал программный комплекс, то и владельцы квартир (а также владельцы пострадавшего имущества в квартирах) тоже будут вправе рассчитывать на взыскание своих убытков.
То есть следует понимать, что если в результате тестирования будет выведен из строя дорогостоящий и сложный программный продукт, то последствия могут быть серьезными, равно как и ответственность за них. И денежные взыскания здесь спокойно могут превышать те пределы, о которых мы говорили, рассматривая случаи с нарушением авторских прав.
Кейс 3. Нарушение условий использования (лицензии)
Зачастую объект исследования (будь то сайт, программное приложение или иной сервис) имеет собственные условия использования. Они могут называться правилами использования, условиями сервиса, лицензией на программу или по-другому. В этих условиях может быть предусмотрена дополнительная ответственность пользователя за действия, которые он совершает по отношению к объекту исследования.
Смотри выше пример про сайт «Профдело». Хоть там и некорректно написаны положения об авторских правах, можно считать, что в этом случае для исследователя как раз предусмотрена ответственность за нарушение условий использования сайта — десять тысяч рублей за каждую статью или ее часть.
Кроме того, может идти речь и о возмещении убытков владельцу исследуемого ресурса. Пара примеров для наглядности.
Условия использования сайта
Пользователь обязуется возместить убытки ООО «Сноб Медиа», включая судебные расходы, обусловленные материалами Пользователя, несоблюдением положений настоящего Соглашения или нарушением прав третьих лиц, вне зависимости от того, является ли Пользователь зарегистрированным или нет. Пользователь несет персональную ответственность за действия при пользовании Сайтом, включая, помимо прочего, оплату стоимости доступа к интернету в процессе такого использования.
https://snob.ru/basement/term
Условия оказания услуг
- Компенсация При нарушении настоящих Условий обслуживания, а также других правовых требований, в случае нарушения прав третьих лиц и при инициировании судебного процесса, в результате такого нарушения, вы соглашаетесь, что Компания и ее филиалы, менеджеры, агенты, сотрудники, службы или контент-провайдеры, распространители и продавцы освобождаются от юридической ответственности в связи с таким нарушением. Также вы соглашаетесь компенсировать вышеперечисленным субъектам все убытки, ущерб, гражданскую ответственность и расходы (включая разумные расходы на оплату услуг адвоката и иные судебные издержки), понесенные в результате этого.
https://ru.besv.com/terms-of-service/
Согласно этим текстам, исследователь, действия которого приведут к убыткам для владельцев сайтов snob.ru и ru.besv.com, может быть привлечен к ответственности за эти убытки. И если вина будет доказана, он будет вынужден возместить ущерб.
Встречаются даже ресурсы, чьи условия использования прямо содержат запрет на поиск уязвимостей.
Правила и условия регистрации на сайте Masters of Taste
В частности, Пользователи не должны: […]
- пытаться оценить или проверить уязвимость Сайта, а также нарушать правила безопасности и системы идентификации пользователей Сайта без предварительного письменного согласия Организатора.
https://mastersoftaste.club/legal
Условия использования (оферта) сайта kartatalanta.ru
Используя Сайт, Зарегистрированный пользователь обязуется не нарушать или пытаться нарушать информационную безопасность Сайта, что включает в себя: […]
- 5.2. попытки проверить уязвимость системы безопасности Сайта, нарушение процедуры регистрации и авторизации без разрешения Исполнителя;
https://kartatalanta.ru/text/terms.php
Поэтому перед тестированием на уязвимости конкретного программного продукта нелишне будет ознакомиться с правилами его использования: посмотреть, не упомянуты ли в них запреты таких действий и не указана ли потенциальная ответственность за них.
Как исследователю снизить риски привлечения к ответственности?
Ответственность может быть исключена в ситуациях, когда действия исследователя не нарушают нормы закона, права и законные интересы третьих лиц. Например, риски привлечения к ответственности можно снизить, когда исследование проводится с ведома и согласия владельца (правообладателя) исследуемого программного продукта. Это может быть письменное согласие с его стороны (двусторонний договор или иная письменная форма согласия, хотя бы электронная переписка), либо это может быть общим соглашением на ведение подобной деятельности (программа Bug Bounty как раз и будет такого рода соглашением). Главное, чтобы у исследователя были в распоряжении доказательства, подтверждающие согласие.
Помимо этого, исследование не должно причинять вред личности или имуществу иных третьих лиц, а также нарушать авторские права. Стоит также читать условия использования исследуемого продукта: в них могут содержаться положения, которые могут привести к дополнительным неприятностям для исследователя, если его привлекут к ответственности в судебном порядке. Эта рекомендация справедлива в том числе для программ Bug Bounty: ведь и они порой могут преподносить сюрпризы.
Ну и конечно, не стоит забывать, что все зависит именно от конкретных обстоятельств, поэтому в разных случаях ответы на одни и те же вопросы могут отличаться.
Важный момент
Роль компьютерных сведений в системе правоотношений, которые возникают в информационной сфере, и сейчас является весьма дискуссионным предметом. Споры по данному вопросу еще не завершились формулированием законодательного и научного определения, которое стало бы общепризнанным. Анализируя статью 272 УК РФ, необходимо отметить, что она действует только в том случае, если сведения охраняются законом, содержатся на машинном носителе, в ЭВМ, выступают в качестве нематериальной ценности.
Срок наказания
В соответствии со ст. 66, ч. 3, УК РФ, срок, назначаемый при покушении на преступление, не должен превышать 3/4 максимального или наиболее строгого вида меры принуждения по соответствующей статье в особенной части кодекса за оконченное преступление. Максимальный размер наказания при простом типе незаконного вторжения в базу данных – лишение свободы до 2 лет. При покушении на данное преступление может быть назначено не больше 1,5 лет, если данное деяние не было совершенно по предварительному сговору с несколькими лицами, организованной группировкой или должностным лицом, превысившим свои служебные полномочия. При покушении на квалифицированный неправомерный доступ назначается не больше 3,9 года лишения свободы.