Адвокат Рафаэль Данельян рассказал Известиям о том, как доказать причастность лиц к DDoS-атакам и какие действия образуют состав преступлений.
В последние недели приемной кампании, которая стартовала 20 июня, интенсивность кибератак на вузы существенно выросла, сообщили «Известиям» в компаниях по кибербезопасности. В высших учебных учреждениях увеличение частоты атак подтверждают, хотя и не во всех. В этом году сайты вузов пытались подвесить как сами абитуриенты, чтобы не дать возможность конкурентам за бюджетные места подать документы в выбранный университет, так и политически мотивированные хакеры, отмечают эксперты.
Приемные атаки
Количество DDoS-атак на вузы с 1 по 15 июля 2024 года увеличилось в 3,5 раза по сравнению с аналогичным периодом прошлого года и в 4,5 раза по сравнению с первой половиной июня этого года. Об этом сообщили «Известиям» в компании StormWall, которая поставляет услуги в области информационной безопасности. Ее аналитики оценивали данные своих клиентов.
В компании по кибербезопасности Servicepipe «Известиям» предоставили данные за последнюю неделю приемной кампании в вузы. Ее специалисты зафиксировали рост количества атак примерно в 1,5 раза выше, чем за аналогичный период прошлого года.
— Объемы атак составили порядка 70 тыс. запросов в секунду, — рассказал заместитель генерального директора Servicepipe Даниил Щербаков. — Это не рекордные скорости, однако для незащищенного ресурса такая вредоносная нагрузка будет означать недоступность сервисов.
Он отметил, что в этом июле более 80% вредоносных запросов поступали с отечественных IP-адресов. Первую летнюю волну DDoS-атак на вузы Servicepipe фиксировала с середины мая по третью неделю июня, но тогда большинство «мусорного трафика» шло с иностранных IP-адресов.
— Мы связываем это с тем, что большая часть июльских хакеров в это время сдавали ЕГЭ и им было не до атак, — сказал Даниил Щербаков. — Мы считаем, что с большой долей вероятности инициаторами атак в июле были абитуриенты, которые уже подали документы в вуз, после чего атаковали ресурсы учебного заведения, чтобы добиться недоступности сервисов и, как следствие, недоступности списков поступающих для отслеживания.
Это, по его словам, делается, чтобы вынудить конкурентов в борьбе за бюджетные места запаниковать и забрать документы либо, если документы пока не поданы, выбрать другой вуз.
В StormWall также полагают, что, судя по характеру ряда атак, часть их была запущена непрофессионалами — то есть это могли быть абитуриенты, которые боялись конкуренции.
<...>
Можно ли наказать за кибератаку
<...> DDoS-атаки представляют особую сложность при расследовании, ведь для того, чтобы установить первоисточник атаки, которая зачастую может осуществляться с нескольких и даже сотен тысяч устройств, необходимо размотать запутанные цепочки компьютеров и IP-адресов, добавил адвокат ZE Lawgic Legal Solutions Рафаэль Данельян.
Он также подчеркнул, что необходимо проводить различие между одиночными DDoS-атаками от тех, которые проводятся одновременно из разных мест, с использованием большого количества устройств с целью перегрузить систему и обвалить сайт.
За DDoS-атаки могут привлечь по трем статьям УК РФ. Это статья о неправомерном доступе к компьютерной информации (ст. 272, предполагает до семи лет лишения свободы), о создании, использовании и распространении вредоносных компьютерных программ (ст. 273, до семи лет лишения свободы) и о неправомерном воздействии на критическую информационную инфраструктуру России (ст. 274.1, до десяти лет лишения свободы).
Так, в 2021 году житель Барнаула был осужден на два года условно за DDoS-атаку на сайт мэрии. В 2022 году в Санкт-Петербурге двое подростков получили условные сроки за DDoS-атаки на сайты школ, а в 2023 году в Москве студента осудили на полтора года условно за DDoS-атаку на сайт университета.
<...>
Рафаэль Данельян пояснил: с точки зрения квалификации DDoS-атак сама по себе организация многочисленных запросов на сайт, повлекшая его блокировку, не образует состав преступления.
— Привлечение к уголовной ответственности по ст. 272 УК РФ допустимо только в том случае, если преступник получил доступ к компьютерной информации, которая впоследствии была заблокирована, — сказал он. — В случае с DDoS-атаками на сайты вузов целями злоумышленников становятся непосредственно блокировка ресурса и невозможность им пользоваться другим пользователям. А вот получения доступа к компьютерной информации не происходит, что исключает ответственность по ст. 272 УК РФ, и судебная практика это подтверждает.
По словам юриста, привлечение к уголовной ответственности по ст. 273 возможно не за проведение атак и блокировку сайтов, а за создание и использование вредоносных компьютерных программ или вирусов, которые использовались преступниками. Однако с учетом запутанности и разветвленной структуры сети атакующих устройств при расследовании будет сложно установить компьютер-первоисточник и участвующие в организации атак лица, добавил эксперт.
Приемные атаки
Количество DDoS-атак на вузы с 1 по 15 июля 2024 года увеличилось в 3,5 раза по сравнению с аналогичным периодом прошлого года и в 4,5 раза по сравнению с первой половиной июня этого года. Об этом сообщили «Известиям» в компании StormWall, которая поставляет услуги в области информационной безопасности. Ее аналитики оценивали данные своих клиентов.
В компании по кибербезопасности Servicepipe «Известиям» предоставили данные за последнюю неделю приемной кампании в вузы. Ее специалисты зафиксировали рост количества атак примерно в 1,5 раза выше, чем за аналогичный период прошлого года.
— Объемы атак составили порядка 70 тыс. запросов в секунду, — рассказал заместитель генерального директора Servicepipe Даниил Щербаков. — Это не рекордные скорости, однако для незащищенного ресурса такая вредоносная нагрузка будет означать недоступность сервисов.
Он отметил, что в этом июле более 80% вредоносных запросов поступали с отечественных IP-адресов. Первую летнюю волну DDoS-атак на вузы Servicepipe фиксировала с середины мая по третью неделю июня, но тогда большинство «мусорного трафика» шло с иностранных IP-адресов.
— Мы связываем это с тем, что большая часть июльских хакеров в это время сдавали ЕГЭ и им было не до атак, — сказал Даниил Щербаков. — Мы считаем, что с большой долей вероятности инициаторами атак в июле были абитуриенты, которые уже подали документы в вуз, после чего атаковали ресурсы учебного заведения, чтобы добиться недоступности сервисов и, как следствие, недоступности списков поступающих для отслеживания.
Это, по его словам, делается, чтобы вынудить конкурентов в борьбе за бюджетные места запаниковать и забрать документы либо, если документы пока не поданы, выбрать другой вуз.
В StormWall также полагают, что, судя по характеру ряда атак, часть их была запущена непрофессионалами — то есть это могли быть абитуриенты, которые боялись конкуренции.
<...>
Можно ли наказать за кибератаку
<...> DDoS-атаки представляют особую сложность при расследовании, ведь для того, чтобы установить первоисточник атаки, которая зачастую может осуществляться с нескольких и даже сотен тысяч устройств, необходимо размотать запутанные цепочки компьютеров и IP-адресов, добавил адвокат ZE Lawgic Legal Solutions Рафаэль Данельян.
Он также подчеркнул, что необходимо проводить различие между одиночными DDoS-атаками от тех, которые проводятся одновременно из разных мест, с использованием большого количества устройств с целью перегрузить систему и обвалить сайт.
За DDoS-атаки могут привлечь по трем статьям УК РФ. Это статья о неправомерном доступе к компьютерной информации (ст. 272, предполагает до семи лет лишения свободы), о создании, использовании и распространении вредоносных компьютерных программ (ст. 273, до семи лет лишения свободы) и о неправомерном воздействии на критическую информационную инфраструктуру России (ст. 274.1, до десяти лет лишения свободы).
Так, в 2021 году житель Барнаула был осужден на два года условно за DDoS-атаку на сайт мэрии. В 2022 году в Санкт-Петербурге двое подростков получили условные сроки за DDoS-атаки на сайты школ, а в 2023 году в Москве студента осудили на полтора года условно за DDoS-атаку на сайт университета.
<...>
Рафаэль Данельян пояснил: с точки зрения квалификации DDoS-атак сама по себе организация многочисленных запросов на сайт, повлекшая его блокировку, не образует состав преступления.
— Привлечение к уголовной ответственности по ст. 272 УК РФ допустимо только в том случае, если преступник получил доступ к компьютерной информации, которая впоследствии была заблокирована, — сказал он. — В случае с DDoS-атаками на сайты вузов целями злоумышленников становятся непосредственно блокировка ресурса и невозможность им пользоваться другим пользователям. А вот получения доступа к компьютерной информации не происходит, что исключает ответственность по ст. 272 УК РФ, и судебная практика это подтверждает.
По словам юриста, привлечение к уголовной ответственности по ст. 273 возможно не за проведение атак и блокировку сайтов, а за создание и использование вредоносных компьютерных программ или вирусов, которые использовались преступниками. Однако с учетом запутанности и разветвленной структуры сети атакующих устройств при расследовании будет сложно установить компьютер-первоисточник и участвующие в организации атак лица, добавил эксперт.
