Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Краткий  обзор  судебной  практики  по  применению  статьи  274.1  Уголовного  кодекса  РФ

Алексей Подмарев, 01/06/20

В ст. 274.1 УК РФ предусмотрена уголовная ответственность за неправомерное воздействие на КИИ РФ с помощью создания, распространения или использования компьютерных программ. Статистически значимой судебной практики по применению ст. 274.1 УК РФ пока нет, ниже приведен краткий обзор нескольких судебных дел.

Автор: Алексей Подмарев, Ассоциация руководителей служб информационной безопасности (АРСИБ), Комитет по безопасности критической информационной инфраструктуры

Петропавловск-Камчатский

Первое дело (№ 1345/ 2019), где появилось обвинение по этой статье, было рассмотрено в Петропавловске-Камчатском 31 мая 2019 г. Пострадавшие объекты КИИ – два сайта Роскомнадзора, для неправомерного воздействия на них использовалось специальное программное обеспечение, выполняющее функции нагрузочного тестирования интернет-ресурсов. Саму такую функциональность суд определил как "заведомо предназначенную для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для блокирования информации, содержащейся в ней. В результате доступ к сайтам был затруднен в общей сложности примерно на 25 мин. Подсудимый раскаялся и был полностью освобожден от уголовной ответственности.

Волгоград

Чуть позже та же ч. 1 ст. 274.1 УК РФ фигурировала в деле № 1-337/2019 от 16.08.2019 г. в Волгограде. Подробности уголовного дела неизвестны, но оно было прекращено в ходе первого заседания, подсудимый получил судебный штраф, согласился на полное возмещение ущерба и был освобожден от уголовной ответственности.

Владивосток

Следующие два дела были рассмотрены в сентябре того же 2019 г. во Владивостоке. Оба они связаны с осуществлением неправомерного доступа к охраняемой компьютерной информации.

По делу № 1-376/2019 было выявлено причинение имущественного вреда оборонному предприятию – субъекту КИИ. Группа из трех лиц с помощью специализированного ПО проникла через протокол RDP в компьютеры оборонного предприятия, зашифровала данные на жестком диске и потребовала выкуп, судя по сумме в рублях, в размере одного биткойна. Суд принял во внимание явку с повинной и добровольное возмещение ущерба и в особом порядке назначил наказание – по два года условно каждому из подсудимых.

В деле № 1-368/2019 от 25.09.2019 г. выявлены нарушения правил эксплуатации и предъявлены обвинения по ч. 4 ст. 274.1 УК РФ (служебное положение) работнику субъекта КИИ. Сотрудница отдела продаж компании связи в день увольнения скопировала из автоматизированной системы персональные данные абонентов и отправила по электронной почте своему знакомому. Подсудимая признала вину, судебное рассмотрение прошло в особом порядке, вынесено наказание – три года лишения свободы условно.

Следует отметить, что под правилами эксплуатации, упоминаемыми в судебных процессах, понимаются не только внутренние нормативные акты организации, которой принадлежит информационная система, но и правила, определяющие порядок работы с ЭВМ, нормативные акты, государственные стандарты, инструкции, правила, техническое описание, положение, приказы и т.д., установленные изготовителями оборудования, разработчиками ПО, а также компетентными государственными органами. Мнение, что только субъект КИИ (владелец информационной системы) может устанавливать правила эксплуатации объекта КИИ, является ошибочным. Приказ № 239 ФСТЭК требует от субъекта КИИ проводить анализ уязвимостей на периодической основе и выполнять управление обновлениями. Когда (и если будет) реализована успешная атака на объект КИИ с причинением существенного вреда, невыполнение этих требований будет квалифицировано как уголовное преступление, ответственность за которое лежит на субъекте КИИ. Понятие "существенный вред" оценочное.
Эта неоднозначность в сочетании с большим сроком давности может сделает статью удобной для оказания давления со стороны следствия. Владельцы объекта информационной инфраструктуры, понимая, что самостоятельно должны определить, относятся ли они к субъектам КИИ, предпочитают указать, что таковыми не являются, или пытаются передать сервисное обслуживание имеющихся информационных ресурсов другому юридическому лицу. Оператор, которому передан на эксплуатацию информационный ресурс, может не попадать под действия 187-ФЗ и не знать, для обеспечения каких процессов используется инфраструктура. Была ли присвоена правильная категория значимости или категорирование вообще не проводилось, для уголовной ответственности не играет никакой роли. Ст. 274.1 УК РФ распространяется даже на тех владельцев систем, которые не провели категорирование и не считают себя субъектами КИИ.

УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации

  1. Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации, - наказываются принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
  2. Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации, - наказывается принудительными работами на срок до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет и с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
  3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, - наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
  4. Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения, - наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
  5. Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия, - наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.
Темы:Право и нормативыКИИЖурнал "Информационная безопасность" #2, 2020

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором

More...