Армія кібервоїнів: міжнародно-правовий досвід у сфері боротьби з кіберзлочинністю

Новинами про чергові кіберзлочини в усіх куточках світу вже не здивуєш нікого. Однак і сфера кіберзахисту розвивається, аби протистояти новим викликам. Захист відбувається на кількох рівнях – як на суто технічному й програмному, так і на рівні законодавства. Країни ЄС та США вже мають відповідну базу знань і процедур, які ефективно працюють у сфері кіберзахисту. Україна так само мало не щодня відповідає все новим і новим викликам і працює над запобіганням таким злочинам. Про міжнародно-правовий досвід у боротьбі з кіберзлочинністю і про те, що з нього може стати в пригоді Україні, розповів Mind юрист практики безпеки бізнесу в Juscutum В’ячеслав Мироненко.

Читайте також: Масована кібератака на «Київстар», феноменальний попит на eSIM та енергостійкість понад усе: з яким досвідом телеком-індустрія завершує 2023 рік

Кіберзлочинність набуває все більшого поширення в усьому світі. Європейський Союз приділяє значну увагу боротьбі з кіберзагрозами та забезпеченню кібербезпеки. У країнах ЄС діє Конвенція Ради Європи про кіберзлочинність від 2001 року, що уніфікує підходи держав-учасниць у цій сфері.

Конвенція Ради Європи про кіберзлочинність – головні тези

Згідно з конвенцією, кримінальній відповідальності підлягають такі діяння:

• неправомірний доступ до комп'ютерної системи чи мережі;
• перехоплення комп'ютерних даних;
• втручання в роботу цифрової системи;
• комп'ютерне шахрайство;
• порушення авторського права у галузі використання ЕОМ, ПО та комп’ютерних програм.

Також конвенція передбачає відповідальність юридичних осіб за кіберзлочини.

Більшість країн ЄС імплементували цю конвенцію шляхом ухвалення відповідних законів або внесення змін до кримінальних кодексів. Наприклад, у Франції діє Закон про конфіденційність та кіберзлочинність від 1988 року з неодноразовими правками та змінами протягом усього строку дії такого закону. У Німеччині кримінальну відповідальність визначає розділ «Злочини у сфері обробки даних» Кримінального кодексу. Відповідні норми містять кодекси Іспанії, Італії, Польщі.

Читайте також: Рік незламності: як інтернет-провайдери загартували мережі під час масованих кібер- та артилерійських атак

Найбільш відомі справи про кіберзлочинність у Європі

Справа шведсько-німецької хакерської групи BOTNET. Її учасники створювали ботнети для кібератак на сайти та сервери різних компаній. Заподіяна шкода сягнула позначки у 85 млн євро.

Справа хакерської групи Rex Mundi, яка зламала системи низки провідних компаній Франції та вимагала викуп за непублікацію викрадених даних.

Гучна справа хакерів Guccifer 2.0, які зламали сервери Демократичної партії США під час виборчої кампанії 2016 року. Належним чином ця справа не розслідувалась аж до сьогодні.

Кілька резонансних справ проти учасників Anonimous – міжнародного руху «хактивістів», які зламували урядові, військові, корпоративні сайти на знак протесту.

Низка гучних арештів членів Lizard Squad – хакерської групи, відомої атаками на Sony, Facebook, Пентагон, а також ігровий сервіс Xbox Live.

Крім кримінального покарання, до кіберзлочинців можуть застосовуватися процедури цивільно-правового характеру. Наприклад, стягнення збитків, позбавлення права займатися певним видом діяльності, конфіскація знаряддя і доходів від злочину, депортація з країни тощо.

Читайте також: Захищені в цифрі: що передбачає міжнародне право в захисті кіберпростору

Як працює захист від кіберзагроз у США

Поряд з Євросоюзом, одним із лідерів у галузі кібербезпеки є Сполучені Штати Америки. В США прийнято низку федеральних законів, спрямованих на протидію загрозам у кіберпросторі:

• Закон про шахрайство та зловживання комп’ютерами (Computer Fraud and Abuse Act) встановлює кримінальну відповідальність за незаконний доступ до комп’ютерів, поширення шкідливих програм, кібертероризм, шахрайство із використанням комп’ютерів.
• Закон про захист кіберпростору (Cyber Security Enhancement Act), який посилює покарання за кіберзлочини та розширює повноваження правоохоронців у даній сфері.
• Акт про боротьбу з кібершахрайством та підробками (Cybercrime and Counterfeiting Act) криміналізував торгівлю краденими даними користувачів, обладнанням для злому систем тощо.
• Акт про захист дітей в інтернеті (Children's Internet Protection Act) зобов’язав школи й бібліотеки встановлювати фільтри, що блокують доступ неповнолітніх до неетичного контенту.

Крім федерального законодавства, окремі закони про інформаційну безпеку діють у більшості штатів.

Найбільш резонансні справи про кіберзлочинність у США

Хакерська атака на мережу Yahoo! у 2013 році (1 млрд облікових записів скомпрометовано).

Масштабна крадіжка даних користувачів мережі Ashley Madison у 2015 році.

Злом серверів Національного комітету Демократичної партії хакерською групою Fancy Bear у 2016-му.

Хакерська атака WannaCry, що зашифрувала дані сотень тисяч комп’ютерів по всьому світу у 2017 році.

Однією з наймасштабніших кібератак останніх років стала російська операція проти американських урядових установ, викрита у грудні 2020 року. Згідно з даними спецслужб США, за атакою стояли хакери зі структури зовнішньої розвідки РФ СВР.

російські хакери впродовж кількох місяців таємно встановлювали шкідливе ПЗ на сервери через оновлення серверу відомої компанії SolarWinds. Хакерам вдалося скомпрометувати електронну пошту міністерств фінансів, торгівлі, безпеки, а також низки IT-компаній.

Основні види покарань, передбачені законодавством США за кіберзлочини

1. Тюремне ув'язнення. Терміни можуть становити від кількох місяців до довічного позбавлення волі. Найбільші строки позбавлення волі – за кібертероризм, комп'ютерне шпигунство, дитячу порнографію.
2. Штрафи. Розмір штрафів коливається від 1 тисячі доларів до 250 тисяч за особливо тяжкі злочини. Штраф може бути накладено як основне або додаткове покарання.
3. Умовне покарання. Замість реального строку позбавлення волі суд може призначити умовний або випробувальний термін за нетяжкі злочини.
4. Пробація. Передбачає певні обмеження для злочинця, який залишається на свободі під наглядом.
5. Конфіскація майна. За рішенням суду може бути конфісковано все майно і кошти, отримані злочинним шляхом.
6. Позбавлення права займатися певною діяльністю чи користуватися послугами Інтернет-провайдерів.
7. Заборона в'їзду до США для іноземців.

Отже, США застосовує досить широкий спектр санкцій за злочини у кіберпросторі – від штрафів до довічного ув'язнення. Це пов'язано із серйозним ставленням до кібербезпеки з боку державних органів та громадянського суспільства.

Як хакери використовують штучний інтелект

Також цікавим досвідом є застосування цифрових технологій і ШІ при вчиненні кіберзлочинів. Наприклад, влада США побоюється активного застосування технологій штучного інтелекту у сфері кіберзлочинів. Про це, за даними Reuters, правоохоронці заявили на Міжнародній конференції з кібербезпеки,.

ШІ-технології можуть сприяти злому ПЗ, шахрайству, відмиванню грошей і здійсненню інших злочинів, вважають експерти. Директор із кібербезпеки Агентства національної безпеки США Роб Джойс зазначив, що інноваційні сервіси дають змогу людям без спеціальних навичок проводити хакерські атаки. Вони істотно знижують поріг входження у сферу незаконної діяльності, заявив він.

Глава нью-йоркського відділення Федерального бюро розслідувань Джеймс Сміт підтвердив, що технічний бар’єр для вчинення кіберзлочинів останніми роками помітно зменшився. Він також наголосив на високому ступені загрози з боку осіб, які використовують знання у сфері ШІ для вчинення шахрайства.

На думку федерального прокурора Даміана Вільямса, ШІ-технології застосовують у своїх цілях зловмисники, які не володіють англійською мовою. Різні сервіси дають змогу створити правдоподібні повідомлення для виманювання грошей в американських громадян.

Правоохоронці також вказали на активне застосування фейкових зображень і відеороликів для обходу банківських систем і процедур перевірки особистості. Це дає можливість зловмисникам відмивати гроші, які надалі надходять у розпорядження терористів і злочинних угруповань, вважають фахівці.

Отже, США є одним зі світових лідерів у сфері кібербезпеки. Американське законодавство жорстко карає кіберзлочинців, однак подальший розвиток міжнародної координації в цій сфері залишається нагальною потребою.

Який досвід іноземних країн стане у пригоді Україні

Враховуючи міжнародний досвід як США, так і Європи, варто зауважити про доцільність взяти до уваги відповідні принципи роботи з кіберзлочинністю й для України:

• Створення системи моніторингу та звітності.
  Для отримання об'єктивної картини стану кібербезпеки, Україні необхідна єдина державна система обліку та аналізу кіберінцидентів. Вона має включати базу даних про кіберзагрози, статистику кіберзлочинів, аналітичні звіти. Це дозволить виявляти найуразливіші місця кіберзахисту та своєчасно реагувати на загрози. Подібну систему, наприклад, успішно застосовує Європейське агентство мережевої та інформаційної безпеки (ENISA).
• Міжнародне співробітництво.
  Ефективне розслідування транснаціональних кіберзлочинів потребує тісної міжнародної координації. Україні варто активізувати співпрацю з Європолом, Інтерполом, укладати двосторонні договори про взаємодопомогу у кримінальних справах. Прикладом може слугувати угода між урядами США та Великобританії, яка значно спростила процедури отримання доказів, проведення розслідувань, екстрадиції злочинців.
• Підготовка фахівців.
  Для розвитку кадрового потенціалу у сфері кібербезпеки Україні слід запровадити відповідні освітні програми у закладах вищої освіти за участі провідних ІТ-компаній. Зокрема, у США ефективно діють спільні магістерські програми з кібербезпеки університетів та IT-гігантів, таких як Facebook, Google, Microsoft. Випускники таких програм мають високий рівень практичної підготовки й затребувані на ринку праці.
• Просвітницька робота.
  Важливо проводити роз’яснювальну роботу серед населення і бізнесу щодо кібергігієни та захисту від загроз, особливо фішинг-атак та шахрайства. Наприклад, у Франції діє онлайн-платформа Cybermalveillance.gouv.fr, яка надає поради громадянам щодо цифрової безпеки. Подібний інформаційний ресурс можна було б створити і в Україні.
• Захист критичної інфраструктури.
  Критично важливо забезпечити надійний захист об'єктів інфраструктури від кібератак, передусім – енергосистеми, транспорту, фінансово-банківської сфери, органів державної влади. Для цього необхідно запровадити жорсткі стандарти кібербезпеки, створити системи виявлення та запобігання загрозам, регулярно тестувати наявні засоби захисту.
• Залучення приватного сектору.
  Владі варто налагодити тісну співпрацю з IT-компаніями та провайдерами у сфері кібербезпеки. Наприклад, створити консультативні органи за участі приватних компаній, регулярно проводити спільні наради та навчання. Так, у США успішно діє Рада з кібербезпеки приватного сектору, до якої входять Microsoft, IBM, Facebook та інші ІТ-гіганти. Вона тісно координує свою роботу з урядовими структурами.
• Використання новітніх технологій.
  Доцільно активно впроваджувати перспективні технології штучного інтелекту, машинного навчання для аналізу великих масивів даних, моделювання кіберзагроз, підвищення ефективності кіберзахисту. Наприклад, у США створено систему Memex за участі ДАРПА, яка використовує нейромережі для пошуку слідів торгівлі людьми та дитячої порнографії у Dark Web. Подібні рішення можна застосувати і для боротьби з іншими кіберзлочинами.
• Врахування нових тенденцій.
  При формуванні законодавства треба враховувати нові тенденції у сфері кіберзлочинності. Зокрема розвиток криптовалют дає змогу анонімно переказувати кошти злочинцям. Тому потрібно посилити регулювання операцій з криптовалютами, запровадити процедури ідентифікації користувачів. Також загрозу становить використання технологій штучного інтелекту для генерації переконливих фейкових зображень і текстів з метою шахрайства. Ці аспекти теж мають знайти відображення у законодавстві.

Які норми вже запроваджує Україна

З огляду на кращий європейський та американський досвід, Україна може істотно посилити свою протидію кіберзагрозам. Це потребує комплексних зусиль як державних органів, так і ІТ-сектору та громадянського суспільства.

Так, Верховна Рада України 16 січня 2024 року прийняла в першому читанні за основу проєкт Закону України «Про внесення змін до Кримінального кодексу України щодо встановлення кримінальної відповідальності за несанкціоноване втручання, збут або розповсюдження інформації, що оброблюється в публічних електронних реєстрах та посилення кримінальної відповідальності під час дії воєнного стану за кримінальні правопорушення у сфері використання інформаційно-комунікаційних систем» (№10242).

Основні положення законопроєкту щодо посилення кримінальної відповідальності за правопорушення у сфері інформаційно-комунікаційних систем та електронних реєстрів:

1. Встановлення кримінальної відповідальності за неправомірне втручання в роботу електронних реєстрів – внесення змін до ст. 361 КК України.
2. Запровадження кримінальної відповідальності за незаконне заволодіння та поширення інформації з обмеженим доступом з електронних реєстрів – внесення змін до ст. 361-2 КК України.
3. Посилення покарання за зазначені злочини, вчинені під час дії воєнного стану – внесення змін до ст. 361-1, 361-2, 362 КК України.
4. Встановлення суворіших санкцій за втручання в роботу електронних реєстрів і поширення конфіденційної інформації з них, вчинені службовими особами – внесення змін до ст. 361, 361-2 КК України.
5. Криміналізація дій щодо блокування та перешкоджання роботі інформаційно-комунікаційних систем і електронних реєстрів – внесення змін до ст. 363, 363-1 КК України.
6. Встановлення відповідальності за зловживання повноваженнями публічного реєстратора з корисливою метою – внесення змін до ст. 365-2 КК України.
7. Приведення законодавства про кримінальну відповідальність у відповідність до Закону України «Про публічні електронні реєстри».
8. Забезпечення ефективнішого кримінально-правового захисту електронних реєстрів та інших об'єктів критичної інформаційної інфраструктури.
9. Гармонізація національного законодавства з нормами міжнародного права у сфері кібербезпеки.
10. Посилення протидії кіберзлочинності та загрозам національній безпеці в інформаційній сфері.

Отже, прийняття цього законопроєкту сприятиме протидії факторам кіберзлочинності та забезпечить законність в інформаційній сфері.