Наталья Ахтырская,
кандидат юридических наук, доцент
www.Crime-research.ru
Борьба с преступлениями в банковских
информационно-вычислительных системах
(судебная практика)
Вторая половина ХХ века с бурным развитием информационных технологий принесла с собой качественный скачок: информация превратилась в один из главных элементов национального богатства. Кризис общества, смена общественного и экономического строя, рост количества хозяйствующих субъектов и развитие предпринимательства сопровождается сейчас нарастанием социально-политической напряженности, социально-экономических, а также криминогенных угроз для отдельных граждан и хозяйствующих структур.
Современная информационная революция стала возможной благодаря совпадению нескольких факторов:
- появлению цифровых средств обработки информации;
- бурному развитию электроники;
- овладению человеком космоса и созданию спутниковых технологий связи;
- разработке информационных сетевых технологий и созданию Интернета.
Это позволило накапливать и передавать в любые уголки мира огромные объемы информации с колоссальными, незаметными для человека скоростями и с очень низкими затратами. Например, сейчас передача 45 Гбит информации в секунду в расчете на километр оптоволоконной линии связи стоит лишь 0,01 цента, а еще 15 лет назад это стоило в 10 тысяч раз дороже. По данным саммита ЮНИДО по технологическому предвидению в 2003 г., ежегодный прирост мирового рынка информационно-телекоммуникационных технологий на протяжении последних десяти лет представлял в среднем 6-8%, а в таких странах мира, как Китай, Вьетнам, Польша он достигал 25-27%. Распределение этого рынка между различными регионами мира довольно неравномерно, что соответствует общему уровню их экономического развития. Так, на США приходится 34% мирового рынка, на Европу – 29%, Японию – 12% и на остальные страны мира – 25%.
По данным Всемирного банка, в большинстве стран ОЭСР (Организация экономического сотрудничества и развития) на протяжении последних 15 лет рост добавочной стоимости в областях, базирующихся на знаниях, в среднем составлял 3%, стабильно превышая темпы общего экономического роста, не поднимавшиеся выше 2,3%. Доля этих отраслей в совокупной добавочной стоимости в Германии увеличилась с 51 до 60% , в Великобритании – с 45до 51%, в Финляндии – с 34 до 42%.
Процесс глобализации ускоряет эти тенденции. Сравнительные преимущества национальных экономик уже в меньшей мере определяются богатством природных ресурсов или дешевой рабочей силой и все больше – конкретным применением знаний и научными инновациями. Общественный прогресс сегодня определяется, прежде всего, процессом накопления знаний, что в результате обеспечивает накопление капитала. В странах ОЭСР объемы капиталовложений в нематериальные активы, формирующие национальные базы знаний, в частности в профессиональную подготовку кадров, научные исследования, патентование и лицензирование, программное обеспечение для вычислительных систем, маркетинг, равны капиталовложениям в основные фонды, а иногда и превышают последние.
К сожалению, развивающиеся страны и страны с переходной экономикой, к которым относится и Украина, еще не в полной мере используют все преимущества и потенциальные выгоды, предоставляемые информационным обществом. Генерирование и использование знаний, инвестиции в науку и образование ради обеспечения постоянного развития и повышения уровня жизни в различных странах существенным образом различаются. По данным Всемирного банка, 85% совокупных мировых инвестиций в науку осуществляют страны – члены ОЭСР, 11% - Индия, Китай и Бразилия и новые промышленно развитые страны Восточной Азии и только 4% - остальные страны мира, к которым принадлежит и Украина [1].
Развитие компьютерных технологий все более приближает нас к тому времени, когда значительная доля информационных ресурсов будет содержаться в технических средствах. Создание электронно-вычислительной техники большой производительности, ее широкое внедрение в экономическую, социальную и управленческую деятельность привело к повышению значимости и ценности информации и информационных ресурсов. Однако позитивные явления всеобщей компьютеризации сопровождаются массой негативных явлений, связанных со злоупотреблениями возможностями вычислительной техники. Особую тревогу сегодня вызывает факт выявления и развития в Украине нового вида преступлений, связанных с использованием средств компьютерной техники и информационных технологий.
Сама компьютерная техника может быть как предметом преступного посягательства (преступления против собственности – хищение, уничтожение, повреждение), так и инструментом совершения преступления, то есть средством хищения, сокрытия налогов, искажения информации и прочее. Собственно информация не может быть предметом преступления против собственности, потому что она не отвечает одному из основных признаков предмета таких преступлений – она не обладает физическими признаками.
Анализ преступлений против кредитно-финансовых учреждений показывает, что при общем сокращении краж и грабежей, возрастает число хищений крупных денежных сумм с применением компьютерных технологий. Сегодня совершаются банковские транзакции, при которых десятки миллионов долларов в считанные минуты незаконно снимаются и переводятся на оффшорные счета. В 1991 году только на Кипр поступило 2,6 млрд. долларов.
Эффективность борьбы с преступлениями в банковских информационно-вычислительных системах в значительной мере определяется пониманием криминалистической сущности данного вида преступного посягательства. Рассмотрим такой пример. Гр. К. в период с июня по июль 2000 г., используя программные средства, предназначенные для незаконного проникновения в автоматизированные системы и способные привести к искажению и уничтожению информации, умышленно вмешался в работу автоматизированной системы ООО КБ «Платина», исказил содержащуюся в ней информацию, после чего путем обмана и злоупотребления доверием, совершил хищение денежных средств указанного коллективного предприятия в особо крупных размерах. Это преступление, прежде всего, можно квалифицировать как неправомерный доступ к компьютерной информации. В данном случае можно считать, что произошло несанкционированное изменение компьютерной информации, содержащей сведения о счетах клиентов банка, то есть модификация информации, что и входит в диспозицию данной статьи. С учетом комментариев к этой статье, под доступом к компьютерной информации понимается любая форма проникновения к ней с использованием средств вычислительной техники, позволяющая манипулировать с информацией. Злоумышленник не имел законного права обращаться с такой информацией, поэтому напрашивается вывод – произошел неправомерный (несанкционированный) доступ к компьютерной информации, который вдобавок ко всему еще и сопровождался нейтрализацией средств защиты, что уже само по себе может рассматриваться как состав преступления.
Но в результате действий злоумышленника, в конце концов, с чьего-то счета исчезли деньги. То есть произошло хищение – противоправное безвозмездное обращение чужого имущества в пользу виновного или другого лица, причинившее ущерб собственнику этого имущества. Это не вызывает сомнения. Однако проблема состоит в том, как квалифицировать это хищение. Уголовный кодекс гласит, что хищение может быть совершено путем кражи, мошенничества, присвоения или растраты, грабежа или разбоя. В данном случае, естественно, речь не может идти ни о растрате, ни о присвоении чужого имущества и уж, конечно, ни о грабеже или разбое.
Необходимым признаком кражи является тайное хищение чужого имущества. И это, с одной стороны, присутствует в рассматриваемом случае. Однако при краже предполагается, что не применяется обман как способ завладения чужим имуществом. Но здесь явно присутствует обман, в результате которого и были переведены чужие деньги. Кроме того, ведь собственно деньги, как материальный предмет, украдены не были – были только изменены определенные реквизиты в электронных записях, что привело к изменению прав на владение и распоряжение имуществом (деньгами).
Эти действия можно квалифицировать как мошенничество, то есть хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием. Но своеобразие данного преступления заключается в том, что с внешней стороны оно проявляется в «добровольном» отчуждении имущества самим собственником и передачи его преступнику. Едва ли в рассматриваемом случае можно усмотреть «добровольность» передачи денег. Поэтому вряд ли можно квалифицировать это преступление как мошенничество.
В какой же момент все-таки совершается обман? Память компьютера можно рассматривать как место, где в электронном виде хранится информация о денежных средствах, позволяющая проводить операции с ними. При этом, как правило, используются специальные программно-аппаратные средства защиты от несанкционированного доступа к этой информации.
Преступник использует обман только в момент проникновения в компьютерную сеть банка, при преодолении системы ее защиты, что можно рассматривать как «незаконное проникновение в жилище, помещение либо иное хранилище». В соответствии с комментариями проникновением признается и вторжение в хранилище с помощью приспособлений (в данном случае с помощью компьютера), а также с помощью использования обмана. Проникновение не является самоцелью преступления, а является только способом получения доступа к хранящимся ценностям. Под иным хранилищем понимается «особое устройство или место, специально оборудованное, приспособленное или предназначенное для постоянного или временного хранения в нем и сбережения от хищения, порчи или уничтожения ценностей».
Надо еще отметить, что хищение признается оконченным преступлением только с момента фактического изъятия имущества и наличия у злоумышленника реальной возможности распоряжаться им по своему усмотрению. В данном случае такая возможность появляется с момента завершения транзакции [2].
Таким образом, мы имеем комплексное преступление, выразившееся в неправомерном доступе к охраняемой законом компьютерной информации, хранящейся в банковской сети ЭВМ, повлекшее за собой ее модификацию, явившейся способом кражи денежных средств со счетов потерпевшего. Это показывает, насколько большим может быть ущерб от такого преступления, сложность его раскрытия, судебного разбирательства и привлечения виновного к ответственности.
Примером рассмотренной ситуации может быть уголовное дело, возбужденное в отношении Кузьмичева Геннадия Михайловича, 02.10.1972 г. рождения, уроженца г.Днепропетровска в том, что он в период с февраля по июль 2000 г., без разрешения Национального банка Украины, открыл и использовал за пределами Украины валютный счет, а также совершил хищение коллективного имущества в особо крупных размерах путем мошенничества с вмешательством в работу автоматизированных систем и распространением программных средств, предназначенных для незаконного проникновения в автоматизированные системы, при следующих обстоятельствах.
1. Открытие валютного счета и его использование.
Являясь гражданином Украины, постоянно проживающим на ее территории в г.Днепропетровске, 10 февраля 2000 г., находясь за пределами Украины, в нарушение подпункта «д» пункта 4 статьи 5 раздела 2 Декрета Кабинета Министров Украины от 19.02.1993 г. № 15-93 «О системе валютного регулирования и валютного контроля», предусматривающего обязательное получение индивидуальной лицензии для размещения валютных ценностей на счетах и вкладах за пределами Украины, без разрешения Национального банка Украины открыл в коммерческом банке «Платина», расположенном в Российской Федерации, специальный карточный валютный счет, на который в этот же день внес наличные денежные средства в сумме 50 долларов США.
Умышленные действия Кузьмичева Г.М., выразившиеся в открытии и использовании за пределами Украины валютного счета, без разрешения Национального банка Украины, им как лицом, являющимся гражданином Украины и постоянно проживающим на ее территории, квалифицируются по ст.80-1 УК Украины.
2. Хищение коллективного имущества ООО КБ «Платина» в особо крупных размерах путем мошенничества, с использованием незаконно открытого валютного счета, с вмешательством в работу автоматизированных систем и распространением программных средств, предназначенных для незаконного проникновения в автоматизированные системы.
В период с июня по июль 2000г., используя программные средства, предназначенные для незаконного проникновения в автоматизированные системы и способные привести к искажению и уничтожению информации, Кузьмичев Г.М. умышленно вмешался в работу автоматизированной системы ООО КБ «Платина», исказил содержащуюся в ней информацию, после чего путем обмана и злоупотребления доверием, совершил хищение денежных средств указанного коллективного предприятия в особо крупных размерах.
Так, 10 февраля 2000 г. Кузьмичев Г.М., для распоряжения денежными средствами, которые он внес в банк «Платина» на специальный карточный счет, получил международную дебетовую пластиковую карточку «BANK PLATINA-VISA ELEKTRON», а также персональный идентификационный номер.
Используя эту пластиковую карту, Кузьмичев Г.М. оплачивал товары и услуги в предприятиях, принимающих пластиковую карточку в оплату, а также при помощи ПИН-кода для получения наличных денежных средств банкоматах, где принимаются карточки системы «VISA», и просмотра в таких банкоматах состояния своего карточного счета.
При этом, списание денежных средств производилось со специального карточного счета Кузьмичева Г.М. в банке «Платина» в сумме, не превышающей размер внесенных на счет денег, а за получение выписки об остатке денежных средств в банкомате другого банка, в соответствии с тарифами КБ «Платина» с его счета списывалась сумма в размере 1 доллар США.
28 апреля 2000 г. работники КБ «Платина» производили операции по списанию комиссии за получение выписки о состоянии счета в не принадлежащих банку банкоматах, по всем счетам клиентов банка, пользующихся пластиковыми карточками банка «Платина».
При этом работником банка со специального карточного счета Кузьмичева Г.М. ошибочно был списан не 1 доллар США, а сумма 220200 долларов США, которая фактически отображала дату «22.02.00», когда Кузьмичев Г.М. получал в банкомате выписку об остатке денег на его карточном счете.
03 мая 2000 г. работники КБ «Платина», для исправления допущенной ошибки, в аторизационной компьютерной базе данных держателей пластиковых карточек, провели операцию по пополнению карточного счета Кузмичева Г.М. на сумму 220199 долларов США, за вычетом 1 доллара США, являющегося комиссией банка за просмотр состояния счета Кузьмичева Г.М. в банкомате другого банка.
13 июня 2000 г. Кузьмичев Г.М. повторно обратился в банк «Платина» для замены пластиковой карточки в связи с изменением фамилии в заграничном паспорте и ему была выдана пластиковая карточка «BANK PLATINA-VISA ELEKTRON». При этом номер специального карточного счета Кузьмичева Г.М. в банке «Платина» остался прежним.
Кроме того, с апреля 2000 г. банк «Платина» начал предоставлять своим клиентам дополнительную услугу по получению выписки об остатке денег на специальном карточном счете клиента через электронную компьютерную систему телекоммуникационной связи – Интернет.
Заменив пластиковую карточку, Кузьмичев Г.М. также получил возможность пользоваться услугой банка «Получение выписки по карточке через Интернет». Просматривая выписку по счету с момента его открытия, он обнаружил ошибочные операции банка от 28 апреля 2000 г., в результате которых с его счета была списана сумма денег в размере 220200 долларов США, а 03 мая 2000 г. проведена операция по пополнению счета в сумме 220199 долларов США.
Используя возможность обращения в банк «Платина» через сеть Интернет, Кузьмичев Г.М. решил вмешаться в работу автоматизированной системы банка и под видом повторения банковской ошибки, происшедшей 28 апреля 2000 г., внести изменения в компьютерную базу данных держателей пластиковых карточек банка «Платина»; после чего, путем обмана о фактическом наличии своих денежных средств на счете, незаконно увеличить размер денежных средств на своем карточном счете на сумму 220200 долларов США и получить их в виде наличных денег в банкоматах.
16 июня 2000 г. со своего почтового ящика в сети Интернет Кузьмичев Г.М. отправил электронное письмо на адрес банка, в котором сообщил, что якобы не может через сеть Интернет получить выписку о состоянии своего карточного счета. В этот же день сотрудник банка, проверив возможность просмотра состояния карточного счета Кузьмичева Г.М., направил в его адрес электронное письмо, в котором сообщил, что выписка состояния его счета через Интернет работает, и никаких неполадок нет.
Получив указанное электронное письмо и просмотрев в компьютере его программные свойства, Кузьмичев Г.М. извлек из него IP-адрес сервера, с которого пришло это письмо, одновременно являющегося IP-адресом сервера, обслуживающего электронные выписки банка через Интернет.
25 июня 2000 г., зная IP-адрес сервера банка «Платина», Кузьмичев Г.М. незаконно вмешался в работу компьютерной системы управления базами данных, содержащую в себе информацию о состоянии счетов держателей пластиковых карточек, и под видом повторной банковской ошибки умышленно уменьшил данные выписки состояния своего карточного счета на 220200 долларов США.
Таким образом, в результате изменения Кузьмичевым Г.М. информации в компьютерной базе данных «Oracle», выписка о состоянии его карточного счета показывала отрицательное число, то есть минус 220200 долларов США.
Между тем, авторизационная компьютерная база данных держателей пластиковых карточек банка «Платина», устанавливающая расходный лимит по пластиковой карточке, хранила в себе реальную информацию о состоянии карточного счета Кузьмичева Г.М. и позволяла использовать только денежные средства в сумме, не превышающей размер денег, внесенных им на счет.
Продолжая вводить в обман работников банка «Платина», Кузьмичев Г.М. по телефону связался с дежурным оператором банка, которому сообщил, что якобы по вине банка, в выписке состояния его карточного счета в сети Интернет значится большой отрицательный остаток денежных средств, и попросил внести соответствующие изменения.
Проверяя сообщение Кузьмичева Г.М., работники банка обнаружили, что в выписке состояния его карточного счета отображена ошибочная сумма минус 220200 долларов США, что не соответствовало действительности. Принимая ее за сбой работы автоматизированной системы, сотрудники банка провели служебную операцию по фактическому пополнению карточного счета Кузмичева Г.М. на сумму 220200 долларов США. Указанная операция позволила Кузьмичеву Г.М. распоряжаться суммой 220200 долларов США сверх внесенных им на свой счет денег и довести до конца свой преступный умысел, направленный на хищение денежных средств в особо крупных размерах.
Таким образом, в конце дня 26 июня 2000 г. данные о состоянии счетов клиентов банка, с учетом незаконного пополнения счета Кузьмичева Г.М., были автоматически переданы в компьютерную систему управления базами данных «Oracle».
В то же время, в конце месяца, в банковской печатной выписке состояния счета, увеличение счета Кузьмичева Г.М. не было указано, так как служебные операции в выписках по счетам не отображаются.
Создав условия для хищения денежных средств КБ «Платина» в сумме 220200 долларов США, Кузьмичев Г.М. для проверки возможности получения этих денежных средств, запрашивал выписку по своему карточному счету через Интернет, а также в банкоматах, которые отображали увеличенную на 220200 долларов США сумму денег на его карточном счете.
Окончательно убедившись, что путем обмана на его счет поступило 220200 долларов США и он может ими распоряжаться, Кузьмичев Г.М., используя пластиковую карточку и ПИН-код, в банкоматах г.Днепропетровска получил и присвоил 143750 грн., что составляет 1218,22 минимальных размеров заработной платы установленной законодательством Украины, которые были списаны со счета ООО КБ «Платина».
Кузьмичев Г.М. намеревался похитить денежные средства ООО КБ «Платина» в сумме 220200 долларов США, однако не смог довести свой преступный умысел по хищению оставшейся суммы, так как его действия в процессе хищения были обнаружены, а карточный счет был заблокирован работниками банка.
Действия Кузьмичева Г.М., выразившиеся в умышленном вмешательстве в работу автоматизированных систем ООО КБ «Платина», с использованием программных средств, предназначенных для незаконного проникновения в автоматизированные системы, повлекшее искажение и уничтожение информации, причинившие ущерб в крупных размерах, квалифицируются по ст.198-1 ч.2 УК Украины.
Умышленные действия Кузьмичева Г.М., выразившиеся в хищении коллективного имущества ООО КБ «Платина» в особо крупных размерах, в сумме 143750 грн., совершенные путем обмана и злоупотребления доверием, квалифицируются по ст.86-1 УК Украины.
Умышленные действия Кузьмичева Г.М., выразившиеся в покушении на завладение коллективным имуществом ООО КБ «Платина» в особо крупных размерах, в сумме 1053339 грн. 46 коп., путем обмана и злоупотребления доверием, квалифицируются по ст.ст.17 ч.2, 86-1 УК Украины.
Таким образом, Кузьмичев Г.М. совершил преступления, предусмотренные ст.ст.80-1, 86-1, 17 ч.2, 86-1, 198-1 ч.2 УК Украины [3].
Существует целый ряд объективных и субъективных причин, способствующих совершению преступлений с использованием банковских компьютерных систем. Знание этих причин позволяет проводить профилактику преступлений и при разумных действиях персонала банка позволяет значительно уменьшить вероятность совершения несанкционированных действий с банковской информацией. Основными причинами и условиями, способствующими совершению преступлений, являются:
- отсутствие надлежащего контроля доступа сотрудников банка, не имеющих соответствующих полномочий к управлению компьютером, используемого в банке как автономно, так и в качестве удаленной рабочей станции банковской компьютерной сети для дистанционной передачи данных первичных бухгалтерских документов в процессе осуществления финансовых операций;
- халатность сотрудников банка при выполнении требований по использованию средств вычислительной техники, что позволяет злоумышленнику свободно их использовать в качестве орудия совершения преступления;
- низкий уровень прикладного программного обеспечения банковских компьютерных сетей, который не имеет контрольной защиты, обеспечивающей проверку соответствия и правильности вводимой информации;
- несовершенство парольной защиты (или недостаточная степень защищенности) от несанкционированного доступа к информационным ресурсам банка, которая не обеспечивает достоверную идентификацию и аутентификацию пользователя;
- отсутствие должностного лица, отвечающего за режим конфиденциальности банковской информации и ее безопасности в части защиты от несанкционированного доступа;
- отсутствие четкой системы допуска по категориям персонала к документации строгой финансовой отчетности, в том числе находящейся в машинной форме;
- отсутствие договоров (контрактов) с сотрудниками банка по вопросам неразглашения коммерческой и служебной тайны.
1. Згуровский М. Общество знаний и информации – тенденции, вызовы, перспективы. – “Зеркало недели”, 2003. - № 19 (444). – С.17.
2. Буянов В.П., Жогла Н.Л., Зайцев О.А., Курбатов Г.Л., Петренко А.И., Федотов Н.В. Информационная безопасность России. – М., “Экзамен”, 2003.
3. Уголовное дело № 70001151. Архив Апелляционного суда Днепропетровской области.