Безопасность сетей
  0f1a9e67   

Уголовное право США


Уголовное право США представляет собой основу для расследования компьютерных преступлений федеральными властями (Федеральным Бюро Расследований и Секретной Службой). Закон 1030 США является главным законом, посвященным компьютерным преступлениям, другие законы могут быть взяты за основу при проведении расследований. В следующих разделах мы рассмотрим те законы, которые наиболее широко используются на практике. Узнать об их применении в конкретной ситуации или в определенной организации следует у главного юрисконсульта вашей компании.

Компьютерное мошенничество и злоупотребление (Закон 1030 Свода законов США)

Как уже говорилось выше, на базе закона 1030 США осуществляется расследование компьютерных преступлений на федеральном уровне. В этом законе имеется несколько важных моментов, понимание которых необходимо профессионалам, работающим в области безопасности, например, определение типов компьютерных преступлений. Так, в разделе "а" приведено определение компьютерного преступления как преднамеренного несанкционированного доступа в компьютер. Во вторую часть закона внесена поправка, что лицо, получившее доступ к защищенному компьютеру, должно завладеть информацией, хранящейся на этом компьютере. Понятие "защищенные компьютеры" включает в себе компьютеры, используемые правительством США, финансовыми учреждениями и организациями внутренней или внешней торговли и связи.

Основываясь на этом определении, большинство компьютеров, подключенных к интернету, классифицируются как "используемые во внутренней или внешней торговле и связи". Следует отметить еще один важный момент. В законе 1030 вводится понятие величины минимального ущерба, нанесенного при совершении преступления, позволяющее применить этот закон. Размер минимального ущерба составляет 5 000 долларов, сюда входит также стоимость проведения расследования и исправление повреждений от взлома. Обратите внимание, что в сумму ущерба не включен ущерб от взлома конфиденциальных данных, несмотря на то, что в разделе "а" обсуждалось разглашение сведений, которые находятся под защитой правительства.


В законе, таким образом, не предусмотрено наказание за взлом компьютера, если причиненный ущерб составляет менее 5 000 долларов. К примеру, в соответствии с решением суда Джорджии установлено, что сканирование системы не приводит к ее повреждению и, следовательно, не попадает под действие федерального закона или закона штата Джорджия.

Примечание

В Закон 1030 США были внесены поправки после выхода Акта Патриота. Об этом будет рассказано дальше.

Мошенничество с кредитными картами (Закон 1029 Свода законов США)

Множество компьютерных преступлений связано с кражей номеров кредитных карт. В этом случае закон 1029 позволяет вынести лицу обвинение в совершении федерального преступления. Обвинение выносится при подделке пятнадцати или больше номеров кредитных карт.

Атака на компьютерную систему, в результате которой злоумышленник получает несанкционированный доступ к номерам кредитных карт, является нарушением закона 1029. Эта атака считается преступлением, даже если величина нанесенного ущерба составляет менее 5 000 долларов, но при этом злоумышленник завладеет номерами кредитных карт в количестве 15 и выше.

Авторские права (Закон 2319 Свода законов США)

Закон 2319 Свода законов США определяет наказание за нарушение авторских прав в случае, если обвиняемый занимался воспроизведением и распространением материалов, защищенных авторскими правами, изготовил 10 (или больше) копий, и общий доход от этого составил 1000 долларов (или 2500 долларов в более серьезных случаях). Если компьютерная система была вскрыта и использовалась как место для распространения защищенного авторским правом программного обеспечения (warez-сайт), то лицо, совершившее это деяние, подвергается наказанию по статье 2319, даже если величина ущерба не превысила 5000 долларов.

Примечание

Жертвой такого преступления считается не владелец вскрытой компьютерной системы, а владелец авторских прав.

Перехват (Закон 2511 Свода законов США)

Закон 2511 определяет ответственность за прослушивание телефонных переговоров.



Считается незаконным прослушивание телефонных переговоров и перехват других типов электронных сообщений, что запрещает правоохранительным органам использовать прослушивающие устройства без наличия соответствующего ордера. Взломщик компьютерной системы, занимающийся снифингом, попадает под действие этого закона.

При чтении закона складывается такое впечатление, что некоторые типы мониторинга, выполняемые организациями, являются незаконными. Считается ли нарушением закона ситуация, когда организация размещает в своей сети контрольную аппаратуру для изучения электронной почты или отслеживания попыток выполнения атак? Оказывается, что для поставщиков службы связи (провайдеров) сделано исключение. Если организация является поставщиком службы связи, любой служащий организации может контролировать связь для "защиты прав или имущества поставщика данной службы". Если организация контролирует свои собственные сети и компьютерные системы с целью их защиты, то такая деятельность не является противозаконной.

Совет

Удостоверьтесь, что внутренняя политика вашей организации и процедуры включают в себя мониторинг сети. Политика и процедуры должны определять, какие служащие уполномочены выполнять такой мониторинг, а также информировать остальных работников, что такой мониторинг имеет место (см. раздел "Вопросы конфиденциальности личной информации" далее в лекции).



Существуют другие правоохранительные акты, например, связанные с мошенничеством на почте или с мошенничеством с использованием электронных средств коммуникации. Помните о том, что с помощью компьютера можно совершить преступление, не имеющее отношения к компьютерным преступлениям. Компьютер или информация, хранящаяся на нем, могут составить доказательство во вполне определенном случае или помочь в расследовании.

Акт Патриота

Акт Патриота США от 2001 г. (официальное название акта "Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Aсt" - "Сплачивающий и укрепляющий Америку надлежащими орудиями, требуемыми для пресечения терроризма и воспрепятствования ему") был принят в ответ на атаку террористов 11 сентября 2001 г. Некоторые разделы акта имеют непосредственное влияние на федеральные законы о компьютерных преступлениях.

Изменения в законе 1030

Акт Патриота увеличил максимальное наказание за нарушение закона 1030 до десяти лет за первое правонарушение и до двадцати лет - за последующие. В соответствии с новым законом, преступления, совершенные в Штатах, будут учитываться при вынесении приговора.

Одной из самых больших проблем в первоначальном варианте закона 1030 было требование выявления ущерба в размере 5 000 долларов. Акт Патриота модифицировал формулировку этого раздела закона, определив ущерб как "любое повреждение целостности или доступности данных, программ, систем или информации". Такое простое изменение позволяет гораздо проще достичь искомой цифры в 5 000 долларов. Новая версия закона учитывает объединение нескольких видов ущерба для разных систем, если атаки злоумышленника происходили в течение одного года.

Понятие "ущерб" было расширено и включило любые оправданные потери жертвы. Сюда вошла стоимость возмещения убытков, стоимость определения величины ущерба и затраты на восстановление систем до рабочего состояния, ущерб, связанный с уменьшением дохода, и прочие издержки, возникшие из-за остановки служб.



В закон 1030 добавлен новый вид правонарушения. Считается, что лицо нарушило государственный закон, если его действия нанесли ущерб компьютерным системам, используемым правительством для целей правосудия, государственной обороны и государственной безопасности, независимо от суммы ущерба. Внесение этой поправки аннулирует констатацию факта наличия повреждений в случае атак, направленных против компьютерных систем Министерства обороны США.

И, наконец, если лицо, находящееся в Соединенных Штатах Америки, произвело атаку на компьютеры, расположенные вне страны, оно подлежит преследованию по федеральному закону - закон 1030 был дополнен определением такого вида атак.

Изменения в системе перехвата и отслеживания информации

До выхода в свет Акта Патриота закон 3127 об автоматической регистрации телефонных звонков (Pen Register Statute) разрешал правоохранительным органам осуществлять доступ к телефонным номерам, на которые выполнялись звонки с определенного телефона. Он разрешал доступ только к номерам, а не к содержимому телефонных разговоров. Закон был изложен специфическим техническим языком и ограничивал возможность получения информации.

Акт Патриота внес поправки в закон, включив в него любые устройства или процессы, с помощью которых записывается информация о дозвоне, маршрутизации, адресации и передаче сигналов. Акт не отменил запрета на запись содержимого разговоров. Используя нововведения в законе, стал возможен сбор следующей информации:

  • заголовки электронной почты;
  • IP-адреса отправителя и получателя;
  • номера портов TCP и UDP отправителя и получателя.


Закон по-прежнему запрещает собирать следующую информацию:

  • тема письма электронной почты;
  • содержимое письма электронной почты;
  • содержимое вложенных файлов.


В закон внесено еще одно изменение, которое облегчает правоохранительным органам расследование преступлений: перехват и отслеживание информации теперь может осуществляться локально с помощью устройств, установленных в других округах. Например, для расследования в Нью-Йорке вначале следует получить приказ на месте, и этот приказ будет иметь силу для сбора информации в Калифорнии.



Единственным ограничением является то, что суд, выпускающий это постановление, должен иметь полномочия на рассмотрение такого рода правонарушений.

Исключения в законе, касающиеся нарушения владения

До выхода в свет Акта Патриота правоохранительные органы имели затруднения при отслеживании действий злоумышленника. Они должны были получить распоряжение на прослушивание телефонных разговоров, если жертва давала на это согласие. Акт Патриота внес поправки в законы 2511 и 2701. В изменении к закону 2511 отмечено, что лицо, получившее несанкционированный доступ в систему, лишается права на конфиденциальность. Согласно новым законам, для осуществления электронного перехвата необходимо следующее:

  • согласие владельца;
  • электронный перехват должен иметь отношение к расследованию;
  • перехват не может использовать иные средства связи, кроме как ведущие к/от лицу, осуществляющему сбор данных.


Поправка к закону о кабельных коммуникациях

С тех пор как компании кабельной связи открыли доступ в интернет, возник серьезный конфликт между потребностями правоохранительных органов при расследовании компьютерных преступлений и существующим законодательством относительно раскрытия того, что провайдеры услуг связи отслеживают и/или делают в сети. Акт Патриота разрешает правоохранительным органам собирать информацию с помощью подслушивающей аппаратуры, методов перехвата и отслеживания (закон 3127, о котором говорилось выше).

Акт о национальной безопасности

Акт о национальной безопасности от 2002 г. (особенно Акт о расширенных мерах по обеспечению кибербезопасности, содержащийся в разделе 225) решает вопросы, касающиеся информационной безопасности. В основном Акт направлен на создание Министерства национальной безопасности, а раздел 225 модифицирует закон 1030, увеличивая размер наказаний за криминальные действия. Он также предписывает Пенитенциарной комиссии США (United States Sentencing Commission) принимать во внимание серьезность компьютерных преступлений при вынесении приговора.


Содержание раздела