С инициативой по криминализации DDoS-атак выступил заместитель министра юстиции РФ Вадим Фёдоров на XIII Петербургском международном юридическом форуме. В настоящее время такие атаки квалифицируются по действующим статьям 272 и 273 УК РФ.
Фёдоров напомнил, что сейчас уголовная ответственность предусмотрена лишь за неправомерный доступ к охраняемой законом компьютерной информации (статья 272 УК РФ, предусматривает до 5 лет лишения свободы), а также за создание, использование и распространение вредоносных программ (статья 273 УК РФ, до 7 лет лишения свободы).
«Предлагается криминализировать неправомерное воздействие на компьютерную информацию посредством DDoS-атак», — заявил Вадим Фёдоров в ходе выступления.
В то же время, как отметил в комментарии «Ведомостям» управляющий партнёр Key Consulting Group Вадим Егулемов, DDoS-атаки уже могут квалифицироваться по текущим статьям, так как блокирование доступа к информации входит в объективную сторону этих составов преступлений.
Директор департамента расследований компании T.Hunter Игорь Бедеров считает, что действующее законодательство недостаточно точно отражает специфику DDoS-атак, что затрудняет их правовую квалификацию. Он подчеркнул, что такие атаки активно применяются хактивистами и в рамках недобросовестной конкуренции. Однако, по его мнению, слишком широкое толкование существующих норм может привести к риску уголовного преследования за непреднамеренные действия.
При этом Бедеров отмечает: без инструментов фиксации сетевого трафика, анализа работы бот-сетей и выявления источников атак собрать достаточную доказательную базу практически невозможно. В противном случае, предупреждает он, криминализация DDoS-атак может остаться лишь формальностью. Дополнительные сложности создаёт также использование злоумышленниками средств сокрытия трафика.
Руководитель аналитического отдела компании Servicepipe Антон Чемякин обращает внимание на важность точности юридических формулировок. Кроме того, по его словам, предлагаемая мера не решает проблему широкой «серой зоны» — например, автоматизированного сбора данных с сайтов с помощью ботов-парсеров. Чемякин также указывает на риск того, что под расширенное определение DDoS могут попасть и неудачные технические эксперименты с открытыми API, способные вызвать перегрузку сайта и имитировать атаку.