Контакты
Подписка 2024
Статьи по информационной безопасности

Обзор судебной практики по ст. 274.1 УК РФ в 2020-2021 гг.

Редакция журнала "Информационная безопасность", 30/05/22

Судебная практика по ст. 274.1 УК РФ о неправомерном воздействии на критическую информационную инфраструктуру Российской Федерации в 2020–2021 гг. по-прежнему не очень богатая, но уже вполне можно выделить типовые кейсы.

В большинстве случаев на скамье подсудимых оказываются сотрудники салонов сотовой связи, которые либо сливают данные о телефонных разговорах за вознаграждение, либо оформляют сим-карты на фиктивных абонентов, чтобы выполнить план продаж. Любопытно, что во всех подобных случаях фигурирует только один оператор связи.

Петушки, дело No 1-146/2021, ст. 274.1 ч. 3

Сотрудница салона сотовой связи для выполнения плана продаж внесла в автоматизированную систему расчетов данные с где-то раздобытого скана паспорта незнакомого человека. Этим, согласно приговору суда, был нанесен вред критической информационной инфраструктуре РФ, поскольку оператор является субъектом КИИ, а автоматизированная система расчетов – значимым объектом КИИ.

Приговор: 1 год и 6 месяцев условно с лишением права заниматься деятельностью, связанной с доступом к критической информационной инфраструктуре Российской Федерации, на срок 2 года.

Ярославль, дело No 1-202/2021, ст. 274.1 ч. 4

Аналогичный случай произошел в Ярославле. Но здесь сотрудник салона сотовой связи для выполнения плана продаж вносил в автоматизированную систему расчетов вымышленные данные, включая вымышленные номера паспортов, а сим-карты продавал через Интернет как фродовые. Автоматизированная система расчетов – значимый объект КИИ.

Приговор: 1 год и 6 месяцев условно.

Калуга, дело No 1-1135/2021, ст. 274.1 ч. 4

Сотрудник салона сотовой связи, используя свой доступ к автоматизированной системе расчетов, включенной в реестр значимых объектов КИИ, в качестве подработки на неизвестного скачивал за денежное вознаграждение детализацию телефонных звонков. Этим, согласно приговору суда, была нарушена целостность данных в автоматизированной системе.

Приговор: 3 года и 6 месяцев условно.

Кизилюрт, дело No 1-148/2021, ст. 274.1 ч. 4

Программист городской больницы воспользовался доступом коллеги к Единой государственной информационной системе в сфере здравоохранения (ЕГИСЗ), чтобы незаконно получить сертификат о вакцинации от коронавируса и QR-код для себя и своих родственников. Поскольку имелась в виду двухкомпонентная вакцина, то через 21 день были проделаны аналогичные действия.

Параметры доступа программист узнал, когда коллега, имевшая доступ к ЕГИСЗ, попросила его внести логин и пароль в настройки браузера: пароль был длинный и его сложно было запомнить.

История вскрылась, когда одному из родственников поступил проверочный вопрос из больницы, реально ли была пройдена вакцинация. Родственник был не в курсе ситуации и ответил отрицательно. После этого программист сам пришел к руководству и во всем сознался.

Приговор: 3 года и 6 месяцев условно с лишением права заниматься деятельностью в сфере компьютерных технологий на 2 года.

Волгоград, дело No 1-338/2021, ст. 274.1 ч. 1

Машинист электровоза с целью получения положительного результата тестирования знаний техническо-распорядительных актов железнодорожных станций для своего помощника использовал стороннюю программу, напрямую меняющую результаты тестов.

Обвиняемый признал вину, внес добровольное пожертвование личных денежных средств на расчетный счет местной средней школы, чем, по мнению суда, загладил вред, причиненный его противоправным деянием. Какого-либо ущерба по уголовному делу не установлено.

Постановление суда: назначить судебный штраф в размере 40 тыс. руб. и прекратить уголовное дело.

Примечательно, что в этом деле, в отличие от предыдущих, принадлежность организации, которая владеет программой для тестирования, была установлена судом не по письму ФСТЭК России, подтверждающему включение информационной системы в реестр значимых объектов КИИ, а непосредственно по сопоставлению отраслевой принадлежности юридического лица со списком отраслей, приведенным в 187-ФЗ.

Омск, дело No 1-398/2021, ст. 274.1 ч. 1

Доморощенный хакер решил использовать оборудование компьютерного клуба для установки специализированного ПО и поиска уязвимостей в вебсайтах. В качестве объекта поиска был выбран муниципальный сайт, который суд на основе применения определения из 187-ФЗ отнес к объектам критической информационной инфраструктуры. Из судебного акта не понятно, каким образом вскрылись эти действия, но тем не менее дело было открыто. Логи на десктопе в компьютерном клубе подтвердили факт преступления. Подсудимый признал свою вину, согласился на особый порядок рассмотрения дела.

Приговор: 1 год исправительных работ условно.

Пермь, дело No 1-181/2021, ст. 274.1 ч. 4

Это дело оказалось наиболее любопытным как с точки зрения запутанности обстоятельств, так и с точки зрения судебного решения. Сотрудник оборонного предприятия решил помочь знакомой, уходившей на дистанционное обучение, найти активатор лицензии для офисного пакета известного производителя. Со служебного компьютера он скачал активатор, решив его проверить на работоспособность, и в нагрузку получил троян. При этом антивирус на рабочем месте оказался просроченным и не обновленным, хотя суд не исключил, что обвиняемый специально внес в него исключение для запуска активатора, – это обстоятельство следствию установить не удалось. В результате троян в течение некоторого времени отправлял хартбит на ip-адрес, находящийся на территории США, что включило сигнал тревоги на межсетевом экране.

Обвинение было предъявлено по ст. 273 ч. 2 и ст. 274.1 ч. 4.

Суть судебного расследования заключалась в том, чтобы подтвердить или исключить вред, причиненный сети оборонного предприятия, которое, само собой, является субъектом КИИ. Трафик, отправлявшийся за пределы периметра, по объемам не мог содержать никакой ценной информации, сам троян был удален вместе с переустановкой операционной системы. Более того, экспертами высказывалось мнение, что активатор, будучи скачанным из сети субъекта КИИ, мог получать в нагрузку троян, а при скачивании, например, с адресов обычных домохозяйств такую нагрузку не получал. Кроме этого, в судебном акте зафиксирована любопытная гипотеза, объясняющая отсутствие активных действий со стороны трояна: он мог понять, что находится в сети объекта КИИ, и самостоятельно деактивироваться, поняв всю серьезность обстоятельств.

Тем не менее, поскольку никакого наблюдаемого вреда сети объекта КИИ выявлено не было, суд оправдал подсудимого по ст. 274.1 ч. 4, оставив только ст. 273.2.

Приговор: 1 год ограничения свободы (на ночное время).

Волгоград, дело No 1-215/2021, ст. 274.1 ч. 1

Помощник машиниста решил пройти тестирование на получение допуска к выезду с помощью бота – специального ПО, устанавливаемого на тестирующий компьютер. Автоматизированная система для тестирования машинистов является ОКИИ. Бот с флешки был установлен, тестирование пройдено на "отлично", допуск получен. Затем, согласно материалам дела, подсудимый явился с повинной. Суд прошел в особом порядке.

Приговор: 2 года условно и штраф 50 тыс. руб.

Иваново, дело No 1-88/21, ст. 274.1 ч. 4

Сотрудник салона сотовой связи выписывал клиентам через автоматизированную систему, являющуюся ОКИИ, сим-карты без их согласия. Один из клиентов, купивший два мобильных телефона, обнаружил в своем чеке и симкарту, после чего обратился напрямую к оператору. С помощью системы видеонаблюдения был выявлен виновный, на предварительном следствии он признал вину.

Приговор: 3 года условно.

Волгоград, дело No 1-108/2021, ст. 274.1 ч. 4

Директор салона сотовой связи поддалась на уговоры знакомого и сливала за вознаграждение детализацию звонков по запросу. Подсудимая пользовалась не только своим легальным доступом к информационной системе, являющейся ОКИИ, но и доступом своих подчиненных. Вину признала.

Приговор: 3 года и 6 месяцев лишения свободы условно с лишением права заниматься деятельностью в сфере предоставления услуг связи, связанной с соблюдением конфиденциальности информации, доступ к которой ограничен федеральными законами, сроком на 1 год.

Калуга, дело No 1-1-362/2021, ст. 274.1 ч. 4

Сотрудник салона сотовой связи передавал детализацию телефонных звонков абонентов неустановленному лицу за вознаграждение. Автоматизированная система, откуда копировалась информация, является ОКИИ.

Приговор: 3 года условно.

Комментарий эксперта

Евгений Царев, управляющий RTM Group

До введения ст. 274.1 УК РФ судами в отношении КИИ применялась ст. 274 УК РФ, где для наступления ответственности требовался ущерб в размере от 1 млн руб. Это резко сокращало количество рассматриваемых дел, оставались в производстве только случаи причинения крупного ущерба. Но ст. 274.1 сняла минимальный порог наступления ответственности, и правоприменительная практика поменялась: стало приниматься больше обвинительных приговоров в отношении лиц, причинивших вред КИИ.

Обзор дел показывает, что под действие ст. 274.1 попадают либо злоумышленники, преследующие цель обогащения, либо лица, наносящие непреднамеренный ущерб объектам критической инфраструктуры. Причем злоумышленники могут уже иметь легитимный привилегированный доступ к объектам КИИ (сотрудники субъектов КИИ), а могут получать его незаконным образом с помощью специального хакерского программного обеспечения.

Ко второй же категории относятся, к примеру, сотрудники организаций – субъектов КИИ, которые по незнанию использовали вредоносное программное обеспечение, что и стало причиной уничтожения информации, содержащейся в ОКИИ.

Интересен вопрос, будет ли ст. 274.1 активно применяться к отделам ИБ, недостаточно защищающим вверенные им объекты. Но на настоящий момент прогнозировать такую правоприменительную практику довольно сложно. Кроме того, с момента появления ст. 274.1 в нее неоднократно предлагались правки, которые, впрочем, так и не были приняты. Так, к примеру, в 2020 г. Минэкономразвития как раз и предлагало уточнить формулировки статьи в части установления минимального порогового ущерба, однако предложение осталось без рассмотрения.

В любом случае фигурантами дел, скорее всего, не окажутся сотрудники организаций – субъектов КИИ обученные основам информационной безопасности на рабочем месте, – им была объяснена важность безопасности КИИ и ее суть. Сотрудники прошли подробный инструктаж, тестирование и только после этого были допущены к непосредственной работе с объектами КИИ. Вряд ли окажутся фигурантами таких дел и лица, для которых установлена материальная ответственность за нарушение должностных обязанностей, в том числе за нарушение работы КИИ, в качестве дополнительного барьера.

 
Темы:КИИЖурнал "Информационная безопасность" №2, 2022Судебная практика

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Решения для криптографической защиты сетевого взаимодействия объектов КИИ на базе платформы m-TrusT
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Специализированный компьютер с аппаратной защитой данных m-TrusT выпускается серийно и предоставляется вендорам СКЗИ для сертификации своих СКЗИ
  • Мантра о неизвлекаемом ключе. Криптографическая защита в КИИ
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Остановимся на одном, на первый взгляд самоочевидном, требовании регулятора к СКЗИ высокого класса – неизвлекаемом ключе. Казалось бы, эта тема должна быть раскрыта в современных СКЗИ в полной мере, однако в ней есть важные для применения в КИИ особенности.
  • Проблемы импортозамещения компонентов объектов КИИ в 2024 году
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В ноябре 2023 года практически завершилось формирование нормативно-правовой базы в части импортозамещения компонентов объектов КИИ.
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Подходы и проблематика моделирования угроз для объектов КИИ
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Необходимость анализа угроз для ОКИИ обусловлена как требованиями законодательства, так и практической значимостью для построения системы безопасности.
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"