Статьи 272 и 273 УК РФ описывают разные, но часто связанные ситуации. Первая касается доступа к чужой компьютерной информации без права на такой доступ. Вторая касается вредоносных программ и других данных, которые помогают уничтожать, блокировать, менять, копировать информацию или обходить защиту. В реальной жизни эти нормы могут всплыть не только в деле о классическом взломе, но и после самовольной проверки сайта, скачивания чужой базы, публикации опасного кода или передачи архива с вредоносным файлом.
Закон смотрит не на то, считал ли человек себя хакером, исследователем или просто любопытным пользователем. Важны другие вопросы: было ли разрешение владельца системы, какие действия совершили с информацией, вышел ли человек за пределы своих прав, понимал ли назначение программы и мог ли код причинить вред. Поэтому фраза хотелось проверить уязвимость не заменяет договор, правила багбаунти или письменное согласие владельца ресурса.
Дальше разберем обе статьи по порядку: о чем они говорят, какие действия попадают в зону риска, чем неправомерный доступ отличается от вредоносного кода, где проходит граница для пентеста и почему обычные инструменты безопасности сами по себе не запрещены. Актуальные формулировки лучше сверять с действующей редакцией Уголовного кодекса РФ и постановлением Пленума Верховного суда РФ № 37.
Что закон называет компьютерной информацией
Компьютерная информация в УК РФ описана широко: это сведения, сообщения и данные в форме электрических сигналов, независимо от способа хранения, обработки и передачи. Проще говоря, речь не только о файлах на ноутбуке. Под это понятие попадают данные в смартфоне, сервере, облачном сервисе, корпоративной базе, почте, мессенджере, личном кабинете, системе управления сайтом, сетевом хранилище и журнале событий.
Охраняемая законом информация тоже не ограничивается государственной тайной. Это могут быть персональные данные, коммерческая тайна, закрытая переписка, банковские сведения, служебные документы, токены, резервные копии, внутренние логи, базы клиентов и учетные записи. Если владелец системы ограничил доступ паролем, ролями, VPN, токеном, ключом, списком пользователей или внутренним регламентом, такой порядок нельзя игнорировать.
Важно отличать доступ к открытой информации от входа в закрытую часть системы. Прочитать публичную страницу сайта можно. Подобрать пароль к админ-панели, зайти в чужую почту, выгрузить базу через найденный интерфейс или использовать старую учетную запись бывшего сотрудника уже совсем другая история. Для уголовной оценки будет важно, было ли право на доступ и что произошло с данными после входа.
Статья 272 УК РФ: неправомерный доступ к информации
Статья 272 УК РФ применяется, когда человек неправомерно получает доступ к охраняемой законом компьютерной информации и после этого данные уничтожают, блокируют, изменяют или копируют. Сложный технический взлом для этого не обязателен. Достаточно нарушить установленный порядок доступа: войти под чужими учетными данными, превысить свои полномочия, воспользоваться оставленной сессией или открыть закрытый раздел без разрешения владельца.
Под копированием понимается не только скачивание файла на диск. Верховный суд относит сюда отправку данных по электронной почте, распечатку, фотографирование экрана и даже переписывание сведений от руки. Блокирование тоже может выглядеть по-разному: смена пароля, отключение учетной записи, шифрование файлов, запрет владельцу пользоваться аккаунтом или сервисом. Модификация означает изменение информации, например правку записей в базе, подмену реквизитов или настройку системы вопреки установленному порядку.
На практике риск по статье 272 возникает в разных ситуациях:
- человек заходит в чужую почту, социальную сеть или личный кабинет, читает сообщения, скачивает файлы, меняет пароль или удаляет переписку;
- сотрудник имеет доступ к отдельным заявкам, но выгружает всю клиентскую базу и сохраняет ее себе;
- разработчик должен работать с тестовым стендом, но подключается к промышленной базе и меняет записи;
- бывший работник использует старый корпоративный логин после увольнения и забирает внутренние документы;
- исследователь находит открытую панель администратора, заходит внутрь без разрешения и скачивает часть базы для доказательства уязвимости.
Наличие логина не делает любое действие законным. У системного администратора могут быть широкие права, но они нужны для работы, а не для чтения личной переписки или копирования закрытых документов. У сотрудника поддержки может быть доступ к карточкам клиентов, но это не дает права выгружать полный список пользователей. В таких делах смотрят не только на техническую возможность войти, но и на служебную роль, регламенты, договоры, заявки и реальную цель доступа.
По части 1 статьи 272 предусмотрены штраф до 200 тысяч рублей, исправительные работы до одного года, ограничение свободы до двух лет, принудительные работы до двух лет или лишение свободы до двух лет. Если деяние причинило крупный ущерб или совершено из корыстной заинтересованности, максимальный срок лишения свободы вырастает до четырех лет. Крупным ущербом для этой главы УК РФ считается сумма свыше одного миллиона рублей. Группа, организованная группа, использование служебного положения, тяжкие последствия или угроза таких последствий повышают риск до пяти или семи лет лишения свободы.
Статья 273 УК РФ: вредоносные программы и опасные данные
Статья 273 УК РФ устроена иначе. Она не требует, чтобы человек уже проник в чужую систему. В центре внимания программа или другая компьютерная информация, которая заведомо предназначена для несанкционированного уничтожения, блокирования, изменения, копирования данных или нейтрализации средств защиты. Значение имеет назначение кода и понимал ли человек, для чего этот код создают, передают или запускают.
Под вредоносной программой обычно понимают не только вирус в привычном бытовом смысле. В эту зону могут попасть шифровальщики, стилеры, бэкдоры, кейлогеры, загрузчики, ботнет-клиенты, модули отключения антивируса, инструменты скрытого удаленного доступа и фрагменты кода, если они позволяют действовать без согласия владельца системы. Закон также говорит об иной компьютерной информации, поэтому опасными могут оказаться ключи доступа, наборы команд, конфиги или отдельные компоненты, если они нужны для несанкционированного воздействия.
Распространение не сводится к продаже вредоносного ПО. Передать архив в мессенджере, отправить файл по почте, загрузить в репозиторий, дать доступ закрытой группе, положить набор на файловый сервер или передать на флешке тоже может быть значимым действием. Здесь важно, что именно передали, кто получил доступ, были ли инструкции по применению и можно ли использовать материал против чужих систем.
Типичные примеры по статье 273 выглядят так:
- шифровальщик блокирует файлы и требует выкуп за восстановление доступа;
- стилер собирает пароли, куки, токены и данные автозаполнения из браузера;
- бэкдор открывает скрытый удаленный доступ к компьютеру или серверу;
- кейлогер записывает нажатия клавиш и передает их оператору;
- модуль отключает антивирус, журналирование или другие средства защиты;
- скрипт автоматически копирует данные из чужой системы без согласия владельца.
Учебная цель не дает автоматической защиты. Лабораторный код для собственного стенда, безопасный пример для курса и вредоносный инструмент для атак могут быть технически похожи, но правовая оценка зависит от контекста. Смотрят, где запускали программу, какие данные она затрагивала, была ли изоляция, есть ли признаки подготовки к несанкционированному применению, кому передали файл и какие инструкции приложили.
По части 1 статьи 273 максимальный срок лишения свободы составляет четыре года. Если деяние совершено группой, организованной группой, с использованием служебного положения, из корыстной заинтересованности или причинило крупный ущерб, верхняя планка поднимается до пяти лет. При тяжких последствиях или реальной угрозе их наступления наказание составляет от пяти до семи лет лишения свободы.
Чем 272 отличается от 273
Главная разница между статьями в том, на чем держится обвинение. По 272 оценивают доступ к конкретной охраняемой информации и последствия для данных. По 273 оценивают программу, код или иной набор данных, который предназначен для несанкционированного воздействия. Эти статьи могут пересекаться, но не заменяют друг друга.
| Критерий | Статья 272 УК РФ | Статья 273 УК РФ |
|---|---|---|
| Основной предмет | Охраняемая законом компьютерная информация | Вредоносная программа или иная опасная компьютерная информация |
| Главное действие | Доступ без права или с превышением полномочий | Создать, использовать или распространить опасный код либо данные |
| Что важно доказать | Данные уничтожили, заблокировали, изменили или скопировали | Материал предназначен для несанкционированного воздействия или обхода защиты |
| Типичный пример | Вход в чужой аккаунт и выгрузка переписки | Передача стилера или запуск шифровальщика |
| Базовый максимум | До двух лет лишения свободы | До четырех лет лишения свободы |
| Тяжкие последствия | До семи лет лишения свободы | От пяти до семи лет лишения свободы |
Один эпизод может попасть под обе статьи. Например, человек использует вредоносную программу, чтобы получить доступ к чужому серверу, а затем копирует базу или блокирует работу сервиса. В такой ситуации отдельно оценивают сам инструмент и отдельно неправомерный доступ с последствиями для информации.
Пентест, багбаунти и обычные инструменты анализа
Инструменты безопасности сами по себе не запрещены. Nmap помогает находить хосты и открытые порты, Wireshark показывает сетевые пакеты, Burp Suite и OWASP ZAP используют для проверки веб-приложений, Metasploit применяют в лабораториях и согласованных пентестах для проверки эксплуатации уязвимостей. Проблема начинается не из-за названия программы, а из-за запуска без разрешения, выхода за периметр или воздействия на чужие данные.
Для законной проверки нужны понятные условия: кто владелец системы, кто дал разрешение, какие домены, IP-адреса, приложения и API входят в периметр, какие методы запрещены, когда можно проводить тест, кому сообщать о критической находке и что делать с найденными данными. Багбаунти тоже не дает права проверять все подряд.
Перед аудитом или публикацией кода стоит проверить несколько вещей: есть ли письменное разрешение, зафиксированы ли адреса и методы проверки, не требуется ли для доказательства выгружать реальные персональные данные, не попали ли в репозиторий пароли, токены, куки, конфиги VPN, внутренние адреса и готовые инструкции для атаки. С вредоносными файлами работают в изолированной лаборатории: виртуальная машина, снапшоты, отдельные учетные записи, контроль сетевых соединений и отсутствие доступа к рабочей сети.
Частые вопросы
Можно ли просканировать чужой сайт Nmap или OWASP ZAP?
Без разрешения владельца не стоит. Само сканирование не всегда образует оконченный состав преступления по статье 272, но может стать частью доказательств, если дальше были попытки доступа, обход защиты, копирование данных, блокировка сервиса или другое воздействие.
Если доступ к чужим данным открылся случайно, что делать?
Не скачивать, не пересылать, не публиковать, не менять и не удалять данные. Доступ лучше прекратить, зафиксировать минимум технических сведений без раскрытия содержимого и обратиться к владельцу через официальный канал. Если ситуация уже спорная, безопаснее получить юридическую консультацию.
Можно ли выкладывать учебный код на GitHub?
Можно публиковать безопасные материалы, которые не дают готового способа атаковать чужую систему. Риск растет, если в репозитории есть рабочий вредоносный функционал, инструкции по применению против реальных сервисов, ключи, пароли, токены, дампы или данные, полученные без права доступа. Для учебных примеров лучше использовать локальный стенд, искусственные данные и явно ограниченный сценарий запуска.
Что важнее всего для пентестера или исследователя?
Письменное разрешение, точный периметр и аккуратная работа с данными. Проверка безопасности остается проверкой, пока специалист действует в согласованных границах, не копирует лишнюю информацию, не меняет чужие данные и не передает опасный код людям, которые могут применить его против чужих систем.
В делах по статьям 272 и 273 технические детали почти всегда разбирают вместе с документами: договорами, правилами программы, перепиской, логами, ролями пользователей и следами работы инструментов. Поэтому самый надежный способ снизить риск до начала проверки простой: сначала оформить разрешение и границы работ, а уже потом запускать сканер, прокси, эксплойт в лаборатории или анализатор трафика.
