Житель Томска получил три года ограничения свободы за использование Vipole. UPD: Прокуратура отрицает, что речь идёт об этом мессенджере

На днях Октябрьский районный суд города Томска опубликовал пресс-релиз, в котором рассказывается об одном из вынесенных приговоров, касающихся деятельности пользователей в интернете. Там сказано, что местный житель К. был осуждён по ч. 1 ст. 273 УК РФ за «использование вредоносной программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации».

Молодой человек нашёл в интернете вредоносную компьютерную программу, с помощью которой идентификация пользователя и его сетевой активности, в том числе провайдером, становилась невозможной:

«Умышленно указанную программу в целях ее последующего использования он записал на SSD диск со своего персонального компьютера, после чего в период с 2018 года по 2020 года, осознавая, что использование данной программы приведет к нейтрализации средств защиты компьютерной информации провайдеров, регулярно осуществлял запуск вредоносной компьютерной программы со своего персонального компьютера, тем самым используя ее. В результате использования гражданином К. вредоносной компьютерной программы были нейтрализованы средства защиты компьютерной информации, выразившиеся в невозможности однозначной идентификации пользователя и его сетевой активности в сети «Интернет», в том числе провайдером, оказывавшим услуги связи, включая доступ к сети «Интернет» по месту жительства гражданина К.»

Суд признал его виновным в совершении преступления, предусмотренного ч. 1 ст. 273 УК РФ, назначил ему наказание в виде 3 лет ограничения свободы. Томичу теперь нельзя выезжать за пределы родного города, запрещается также изменять место жительства (пребывания) без согласия специализированного государственного органа, осуществляющего надзор за отбыванием осужденными наказания в виде ограничения свободы.

Эта новость вызвала в Рунете большой резонанс. Многие эксперты были удивлены таким приговором, и, несмотря на отсутствие чётких подробностей, сходились в одном  — это очень плохой прецедент. Некоторые также предполагали, что речь идёт не о VPN или анонимайзерах, а о программах, с помощью которых можно «скрыться» от провайдера с целью не платить за услуги. Но потом суд выложил полный текст приговора, который по описанным в нём обстоятельствам схож с пресс-релизом, и в целом он оказался не менее интригующим.

Из приговора следует , что в октябре 2018 года Георгий Белоус «осуществил поиск вредоносной компьютерной программы „Vipole“, выражающейся в невозможности однозначной идентификации пользователя сети „Интернет“ и его сетевой активности, в том числе провайдером <…> и заведомо для него предназначенной для нейтрализации средств защиты компьютерной информации провайдеров, направленных на однозначную идентификацию пользователя», он поставил программу на домашний компьютер и пользовался ей до 20 августа 2020 года:

«В результате использования вредоносной компьютерной программы „Vipole“ были нейтрализованы средства защиты компьютерной информации, выразившиеся в невозможности однозначной идентификации пользователя и его сетевой активности в сети „Интернет“, в том числе провайдером ПАО „Ростелеком“».

Эксперты удивлены вынесенному в Томске приговору. Они также находят в нём множество нестыковок, особенно по части правоприменения статьи, которую вменили молодому человеку.

«Собственно, из приговора мы видим, что осужденный пошёл на сделку, дело рассматривалось в особом порядке, судебное разбирательство не проводилось, суд постановил то, что написал обвинитель, отдельно отмечено, что факты могут не соответствовать содержанию приговора (я грубовато и натянуто, там не совсем так, но общее направление такое), – рассуждает создатель «ЭШЕР II» Филипп Кулин . – Темы для обсуждения не будет... Из интересного. Дело шило УФСБ. В приговоре упоминается защищенный мессенджер Vipole (он ещё и платный). Что-то осужденный там натворил с использованием этого мессенджера, судя по всему. До нас доехала только верхушка айсберга».

«Суд не запрещал VPN, – отмечают «Сетевые Свободы» . – Но криминализовал приватную переписку».

Юрист «Роскомсвободы» Евгений Кравченко проанализировал статью 237 УК и её правоприменение. Он указал, что Генпрокуратура в 2014 году выложила рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации и там указано, что под компьютерной программой по смыслу данной статьи в основном понимаются программы, известные как компьютерные вирусы (черви, троянские кони, кейлоггеры, руткиты и др.):

«В российской практике по данной статье люди получали приговор из-за неправомерного доступа к информации, которая заведомо предназначена для несанкционированного уничтожения, блокирования, модификации, копирования или нейтрализации средств защиты. Например, вы используете технику с определёнными параметрами защиты, но чтобы обойти данные параметры, вы «прошиваете» технику, чтобы использовать нелицензионные  программы, то вполне вероятно, что вы можете быть привлечены по этой статье, но никак за использование анонимного мессенджера.

Анонимный мессенджер никаким образом не предназначен для несанционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты».

«Получается его за анонимность осудили, – рассуждает Кравченко, – но я думаю здесь скорее натянули сову на глобус, так как в статье нет понятия «вредоносная программа». В России не существует запрета ни на использование VPN, ни на использование анонимных сервисов. Если исходить из рекомендаций Генпрокуратуры, то вредоносные программы — это компьютерные вирусы (черви, троянские кони и прочее). Для привлечения по этой статье нужно показать — какие общественные отношения, обеспечивающие безопасность в сфере компьютерной информации, были под угрозой. Само по себе использование не наносит никакого вреда безопасности».

В свою очередь, «Сетевые Свободы» считают важным отметить в этой истории следующие факты:

• Суд рассмотрел дело в так называемом «особом порядке», то есть с полным признанием вины подсудимым и без какой-либо оценки доказательств.
• Суд полагался на работу прокуратуры, которая утвердила обвинение в представленной следствием редакции и должна была гарантировать отсутствие нарушения закона в действиях и формулировках следствия.
• Прокурор, в свою очередь, доверился оперативному сопровождению дела ФСБ (персональный компьютер в в камере хранения УФСБ России по Томской области суд также не осматривал).
• Под контролем ФСБ следователь передал прокурору дело с обвинительным заключением, очевидно противоречащим закону, поскольку для граждан запрета на применение средств шифрования, включая мессенджеры и VPN в России нет.

«Вредоносной компьютерной программой» названо приложение VIPole - шифрованный мессенджер болгарских разработчиков из Пловдива. «Ничем особенным, кроме не очень широкого распространения в России, мессенджер не отличается. Использованная судом в приговоре формулировка позволяет обвинять по статье 273 УК любого пользователя WhatsApp, Telegram, Viber, XMPP и множества других приложений», – подытоживает правозащитный проект.

«Подробности по делу за использование VPN, на самом деле там оказался не VPN, а мессенжер Vipole, – пишет директор АНО «Инфокультура» Иван Бегтин , – что ничуть не лучше, поскольку формулировки дела таковы: „...осуществил поиск вредоносной компьютерной программы «Vipole», выражающейся в невозможности однозначной идентификации пользователя сети «Интернет» и его сетевой активности...“ и „...осознавая, что использование данной программы приведет к нейтрализации средств защиты компьютерной информации провайдеров, регулярно осуществлял запуск вредоносной компьютерной программы «Vipole» со своего персонального компьютера, тем самым используя ее...“ Под эти формулировки попадают, и VPN, и мессенжеры вроде Signal и ещё много что».

С ним согласен бизнес-консультант по безопасности Cisco Алексей Лукацкий :

«Согласно опубликованным материалам дела речь идет не просто о VPN, а о защищенном мессенджере VIPole, который и использовал обвиняемый. С одной стороны, не VPN. С другой — именно функциональность защищенной связи и послужила признаком вредоносности.

Учитывая, что сегодня почти все мессенджеры обладают таким функционалом, получается, что привлечь можно почти каждого пользователя Telegram, Signal, Threema, Whatsapp и т.п. Как минимум, в зоне риска те мессенджеры, представительств которых нет в России и которые не соблюдают требования по идентификации абонентов, установленные законом.

Но! Ровно по тем же основаниям и использование VPN можно квалифицировать схожим образом».

«Осталось только непонятным, как вышли на обвиняемого? В материалах упоминается ФСБ и Ростелеком. Кто-то из них инициировал дело? Что послужило причиной?» – также задаётся вопросом эксперт.

Как и Евгений Кравченко, глава юридической практики «Роскомсвободы» Саркис Дарбинян удивлён данным судебным решением:

«Дело достаточное мутное, и точно оно не за личное использование VPN, как окрестили его СМИ. Как видно из того куцого решения суда, что было выложено в паблик, товарищ К. пошёл на сделку с ФСБ и согласился на особый порядок. Это значит, что в суде не рассматривались никакие доказательства причастности к предполагаемому преступлению в связи с признанием вины, и рассмотрение его заняло не больше 15 минут.

Каким образом использование платного мессенджера могло нейтрализовать системы защиты информации провайдера остаётся загадкой, как и то, на каком основании вполне легальный мессенджер, который можно приобрести в AppStore и Play Market, стал вредоносом?»

«Мы точно не знаем, чем именно там занимался товарищ К. с помощью этого мессенджера, но очевидно то, что следствие просто подогнало факты под нужный результат, чтобы вменить обвиняемому экспрессом хоть какую-то статью, за которую тот получит минимальное наказание. У нас не прецедентное право, и какое-то решение в Томске никак не повлияет на формирование практики за использование будь то анонимных мессенджеров, либо VPNов. Ими можно продолжать свободно пользоваться без какого либо страха. Это легально и использование программных средств для защиты собственной сетевой анонимности и конфиденциальности - это право человека, гарантированное международным правом», – подытоживает глава юрпрактики «Роскомсвободы».

UPD. Представитель прокуратуры Томской области уточнила редакции vtomske.ru, что защищенный мессенджер не имеет отношения к этому делу. Его название просто похоже на название вредоносной программы, за использование которой осудили мужчину. По данным прокуратуры, эта программа популярна среди хакеров, в открытом доступе найти ее нельзя. По какой причине в приговоре написали неверное название, в прокуратуре уточнить затруднились. В пресс-службе Октябрьского районного суда комментарий к моменту публикации не предоставили.

Технический специалист «Роскомсвободы» Вадим Мисбах-Соловьёв поясняет , что провайдер всегда точно знает:

«IP-адрес своего абонента,
IP-адрес узла, с которым он обменивается данными.

Эти две вещи скрыть невозможно принципиально. На них работает весь интернет».