"Финансовая газета. Региональный выпуск", 2006, N 32

ЗАЩИТА ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ

В ИНФОРМАЦИОННЫХ СЕТЯХ БАНКА

(Окончание. Начало "Финансовая газета. Региональный выпуск", 2006, N 31)

Базы данных. Право sui generis

Согласно ст. 4 Закона Российской Федерации от 09.07.1993 N 5351-1 "Об авторском праве и смежных правах" (далее - Закон об авторском праве) база данных - это объективная форма представления и организации совокупности данных (статей, расчетов и т.д.), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ. Правовая охрана распространяется на базы, представляющие собой результат творческого труда автора (физического лица) по подбору и организации данных. Творческий характер деятельности автора предполагается до тех пор, пока не доказано обратное.

Базы данных охраняются как сборники независимо от того, являются ли данные, на которых они основаны или которые они включают, объектами авторского права. Если в содержание базы данных включены другие авторско-правовые объекты, авторское право на такую базу, как и на любое составное произведение, признается при условии соблюдения прав авторов каждого из входящих в ее состав произведений.

Представляет интерес вопрос охраны некреативных баз данных, "питающих" АБС финансовой и другой информацией. В соответствии с Директивой ЕС "О юридической охране баз данных", принятой 11 марта 1996 г., под базой данных подразумевается сборник произведений, данных или иной независимой информации, расположенных в систематическом или методическом порядке и доступной в индивидуальном порядке через электронные или иные средства. Директивой установлено специальное право sui generis, позволяющее производителю базы данных препятствовать извлечению и/или повторному использованию всей или значительной (определяемой количественно или качественно) части ее содержания. Для реализации этого права необходимо, чтобы получение, проверка или оформление содержания базы данных свидетельствовали о существенном инвестировании с точки зрения качества и количества.

Принципиальный момент заключается в том, что sui generis применяется независимо от возможности базы данных и ее содержания получать охрану через авторское или любое другое право. Не допускаются извлечение и/или неоднократное повторное и систематическое использование несущественных частей содержания базы данных, которые предполагали бы действия, противоречащие нормальному использованию этой базы, или которые причинили бы неоправданный ущерб законным интересам ее производителя.

В соответствии со ст. 10 Директивы срок действия охраны правом sui generis истекает через 15 лет, считая с начала года, следующего за датой изготовления базы данных. Если же база данных была представлена (неважно каким способом) неопределенному кругу лиц до истечения указанного периода, то срок действия охраны этим правом истекает через 15 лет 1 января, считая с года, который следует за датой, когда база впервые была представлена неопределенному кругу лиц. Казалось бы, 15 лет - не так много. Но из ст. 10 Директивы следует, что любое существенное изменение содержания базы данных, вытекающее из накопления добавлений, устранений или последовательных изменений на основе которого можно заключить, что речь идет о значительном инвестировании (опять же определяемом качественно и количественно), позволяет предоставить базе собственный срок действия охраны.

В 1996 г. на Дипломатической конференции ВОИС по некоторым вопросам авторского и смежных прав был предложен проект международного договора по интеллектуальной собственности, в преамбуле которого говорилось бы о базах данных как о жизненно важном инструменте экономического, культурного и технического развития. Было отмечено, что для создания баз данных требуются значительные инвестиции, которые не в состоянии покрыть даже платный доступ к ним. Но указанный договор так и не был принят. В России предпринята попытка установить право sui generis в части четвертой ГК РФ, которая представлена на обсуждение в Государственную Думу Российской Федерации.

Пока базы данных могут охраняться только двумя способами:

авторским правом, если они представляют собой результат творческого труда по подбору и организации данных;

через институт коммерческой (служебной, государственной) тайны, если их содержание является конфиденциальным.

Название базы данных или программы для ЭВМ также признается объектом авторского права, если оно представляет собой результат творческой деятельности и может быть использовано самостоятельно. На это обращается внимание и в п. 2 Информационного письма Президиума Высшего Арбитражного Суда Российской Федерации от 28.09.1999 N 47 "Обзор практики рассмотрения споров, связанных с применением Закона Российской Федерации "Об авторском праве и смежных правах". Неоригинальные названия баз данных и программ могут получать охрану в качестве товарных знаков.

Угрозы интеллектуальной собственности

и информационным ресурсам

Среди важнейших требований, предъявляемых к АБС со стороны их основных пользователей - банков и других финансовых институтов, в первую очередь следует выделить надежность и безопасность. Сбой в работе ПО или злоумышленное вторжение в АБС могут иметь весьма печальные последствия, о чем говорилось выше. Производители АБС должны динамически подстраивать свою продукцию под изменяющиеся нормативы.

Ко всем данным, с которыми работает АБС, в обязательном порядке предъявляются требования сохранности, аутентичности, конфиденциальности, доступности и целостности. При существующей острой конкурентной борьбе многие банки стремятся придать статус секретности как можно большему количеству информации. Однако некоторые финансовые сведения все же должны оставаться прозрачными для государственных надзорных и налоговых органов. Кроме того, далеко не вся банковская информация может быть признана конфиденциальной.

Число банков, использующих Интернет и удаленный доступ к своим системам, довольно велико. Доступ к сервисам через открытые сети таит в себе угрозы для информационных систем и конфиденциальной информации. Рассмотрим две наиболее серьезные из них.

Вредоносные программы. Исходя из содержания ст. 273 УК РФ вредоносной является программа для ЭВМ, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети.

Существует много терминов, используемых для описания "агрессивного" программного обеспечения:

"бактерии" (bacterium) - программы, распространяющиеся путем создания собственных копий;

"жук" или "баг" (bug) - дефект в программе, заставляющий ее выполнять нечто непредвиденное (как результат ошибки программиста или преднамеренных действий);

"кролик" (rabbit) - программа, разработанная специально для того, чтобы тратить впустую ресурсы компьютера-жертвы;

"троянский конь" - программа, выполняющая совсем не то, что от нее ожидается (например, программа "утверждает", что сортирует файлы, а на самом деле стирает их, переформатирует жесткие диски и т.д.);

"пересмешник" (mockingbird) - программа, разработанная для прерывания связи (обычно регистрации входа в систему), выглядит и ведет себя точно так же, как текущая выполняемая программа;

"червь" (worm) - программы, перемещающиеся (переносящие свой исполняемый код) от одной системы к другой, подобно ленточным червям. Изначально "черви" разрабатывались в целях поиска свободных сетевых ресурсов, чтобы производить распределенные вычисления, выполнять каталогизацию и исследования в разных областях (поиск внеземных цивилизаций, формулы лекарств от рака, СПИДа и т.д.). Существует множество интернет-сайтов, где пользователям сети предлагается "скачать" подобную программу и тем самым внести свою лепту в развитие науки. Но некоторые "черви" разрабатываются специально для тайного взлома ЭВМ и получения ценной информации.

Самой распространенной разновидностью вредоносных программ (далее - ВП) является "компьютерный вирус - программа, способная создавать копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения" <1>. Говоря более простым языком, компьютерный вирус - программа, пытающаяся тайно записать себя на компьютерные диски. Каждый раз, когда компьютер загружается с зараженного диска, происходит скрытое инфицирование.

     
   ————————————————————————————————
   

<1> ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов.

За создание ВП, внесение вредоносных изменений в существующие программы, использование либо распространение таких программ или машинных носителей с этими программами <2> ст. 273 УК РФ предусмотрена уголовная ответственность.

     
   ————————————————————————————————
   

<2> Под "такими программами" в данном случае понимаются программы, изначально созданные как вредоносные, и программы, в которые были внесены изменения, сделавшие их работу вредоносной.

Несмотря на свои свойства, ВП вполне охраноспособны. Законодательство не исключает из числа объектов авторского права пошлые, аморальные, циничные, безобразные, вредные творения. Авторское право распространяется на произведение независимо от его назначения, достоинств (ст. 6 Закона об авторском праве) и соответственно недостатков.

Нельзя отрицать и творческий характер деятельности автора ВП, пока не доказано иное. Достаточно оригинальными бывают и результаты работы ВП. Оригинальность может выражаться не только в способе уничтожения (искажения) информации - многие ВП иллюстрируют свое действие занятными аудиовизуальными отображениями.

Конституция Российской Федерации и Закон об авторском праве провозглашают свободу творчества без каких-либо изъятий, поэтому само по себе создание ВП без ее последующего применения, распространения либо другого использования уголовной ответственности не влечет (как и несанкционированная переработка произведения в отрыве от ее дальнейшего использования не влечет наступления ответственности за нарушение авторского права), хотя формальные признаки преступления здесь имеются. Автор понимает, что результат его творчества носит заведомо вредоносный характер, т.е. может быть использован исключительно с отрицательными последствиями для владельцев информации, обладателей исключительных прав на информационную систему, собственников технических средств. Тем не менее ответственность за создание ВП наступает только в совокупности с ответственностью за ее использование. Ненаказуемо и использование ВП для личных нужд (например, для уничтожения собственной компьютерной информации).

Таким образом, авторское право на ВП возникает в силу факта ее создания. Вместе с тем использование результата творчества "вирусолога" может обернуться:

лишением свободы на срок до трех лет со штрафом в размере от 200 до 500 МРОТ либо в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев;

лишением свободы на срок от трех до семи лет (если предусмотренные ст. 273 УК РФ деяния повлекли по неосторожности тяжкие последствия).

Хакеры. В качестве создателя ВП часто выступает хорошо известный герой компьютерных "страшилок" - хакер.

Интернетовское сообщество, или назовем его информационным сообществом, уже много лет обсуждает значение термина "хакер" как общего определения для лиц, "взламывающих" автоматизированные системы. Традиционно хакерами называли тех, кто пытается исследовать системы и технологии с целью разобраться или усовершенствовать их (в большинстве случаев - бескорыстно). К злоумышленникам, которые "вламываются" в системы ЭВМ из корыстных побуждений или из любопытства, больше подходит имя "крэкер" (от англ. crack - ломать). Но компьютерная лексика эволюционировала так, что общеопределяющим для всех компьютерных "злодеев" стал термин "хакер".

Хакеры буквально творят произвол во Всемирной сети: получают доступ к закрытым данным; оперируют чужими счетами; занимаются рассылкой спама и внедрением ВП; взламывают и собирают пароли от чужих ЭВМ; перехватывают и перенаправляют сетевой трафик; устраивают настоящую войну с крупными информационными порталами. Все это зачастую делается не столько ради наживы, сколько ради развлечения, самоутверждения, "спортивного интереса".

"Взломщиками" банковского ПО могут быть просто любопытствующие и экспериментаторы, приверженцы идей о "свободном использовании программ для ЭВМ и данных", представители радикально настроенных партий и движений, недовольные сотрудники, работники фирмы-конкурента, должностные лица и т.д.

Наиболее серьезную опасность представляют не начинающие хакеры типа "подросток с компьютером" и даже не операторы или программисты, которые могут случайно или сознательно сделать ошибку при вводе данных либо написании программы, а настоящие знатоки компьютерного дела.

Хакеры могут действовать в одиночку, но в последнее время они все чаще объединяются в организованные группы. Распространены и хакерские группы по интересам, объединяющие доступные им вычислительные мощности для решения общих задач. Взламывая автоматизированные системы крупных организаций, злоумышленники могут не только копировать, искажать или блокировать их компьютерную информацию. "Захваченные" мощности и ресурсы служат им в дальнейшем для реализации иных целей, как плацдарм для атак на другие компьютеры или системы.

Группы хакеров общаются между собой, обмениваются накопленной информацией. Существуют даже соответствующие центры обучения, преподаватели которых владеют необходимыми методиками и преподносят материал не хуже, а порой эффективнее, чем это делается в университетах при подготовке IT-специалистов.

Активно внедряются методы агитации и привлечения в ряды хакеров широких масс - пользователей ресурсов сети. Интригующие, завлекающие приемы хакерского искусства, доступные любому, кто имеет компьютер, позволяют злоумышленникам вовлекать в свои ряды новых адептов, оказывать на них сильное психологическое воздействие. Все это свидетельствует о том, что хакерская деятельность носит общественно опасный характер. Нельзя не отметить тенденцию к снижению возрастного состава хакеров, что затрудняет возможность применять к ним уголовно-правовые меры воздействия.

Объектами посягательств компьютерных злоумышленников могут быть: конфиденциальные информационные ресурсы; объекты информационной системы; имидж и деловая репутация.

Многие хакерские атаки имеют негативные последствия сразу для трех указанных категорий объектов, например, когда сайт крупной компании посредством "взлома" ПО и модификации информации снабжается порнографическими иллюстрациями или экстремистскими лозунгами. Однако эти атаки слишком опасными не являются, поскольку носят вопиющий характер: у обычного пользователя Интернета при посещении такого сайта не возникнет сомнений в том, что он был атакован хакерами. Гораздо больший вред причиняют неочевидные искажения объектов информационной системы или информации, способные ввести в заблуждение потребителей, оказать влияние на общественное мнение. Подобные атаки, как правило, являются актами недобросовестной конкуренции.

Анализ материалов уголовных дел позволяет выявить некоторые характерные черты компьютерных преступлений:

многие злоумышленники (их сообщники) имеют непосредственное отношение к разработке ПО, эксплуатации компьютерной техники или администрированию компьютеров и автоматизированной системе атакуемой организации, что в значительной степени помогает им скрыть следы преступления;

несанкционированный доступ осуществляется в течение короткого времени (до одной минуты) с трудно отслеживаемого терминала, имеющего связь с автоматизированной системой организации-жертвы;

внедряется заранее разработанная программа или производится некоторая модификация существующего ПО в целях создания специальных расчетных счетов, а также рассылки фальшивых платежных поручений;

параллельно осуществляется контроль бухгалтерского ПО для сокрытия информации о факте совершения преступления.

Следует отметить, что указанные черты в основном присущи преступлениям, совершаемым для получения материальной выгоды, раскрываемость которых существенно выше, чем тех, что совершаются "не из-за денег".

Спектр санкций гражданской, административной и уголовной ответственности, к которой может быть привлечен компьютерный злоумышленник, посягнувший на интересы обладателя конфиденциальной информации, разнообразен: ответственность за нарушение исключительных прав, предписаний антимонопольного законодательства, за посягательства на личные неимущественные права граждан, деловую репутацию хозяйствующих субъектов, за незаконное использование конфиденциальной информации (коммерческой, банковской, служебной, государственной, профессиональной тайны, персональных данных и т.д.). УК РФ предусматривает непосредственно относящиеся к проблеме хакерства санкции за неправомерный доступ к компьютерной информации (ст. 272) и нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).

Однако основная проблема, как правило, возникает не при выборе мер правового воздействия, а на этапе сбора доказательств. Одна из характеристик компьютерных преступлений - высокая степень латентности, поэтому доказать факт "вторжения" в корпоративную АБС и все обусловленные этим обстоятельства нередко удается только путем проведения специальных экспертиз, довольно трудоемких и дорогостоящих.

Ответственность за посягательства на конфиденциальные информационные ресурсы может наступать в совокупности с ответственностью за нарушение исключительных прав на результаты интеллектуальной деятельности, поскольку информация и информационные системы - объекты гражданских прав, связанные между собой теснейшим образом. Эта взаимосвязь особенно проявляется в тех сферах, где интеллектуальные продукты обеспечивают реализацию бизнес-процессов и управление движением капитала. Важно подчеркнуть, что защищенность интеллектуальной собственности банка во многом зависит от защищенности используемой в АБС информации и наоборот. Это необходимо учитывать при выборе способа охраны.

А.Теренин

К. т. н.

В.Погуляев

Начальник

юридического управления

некоммерческого партнерства "ФАИР"

Подписано в печать

09.08.2006

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——