В ст. 274.1 УК РФ предусмотрена уголовная ответственность за неправомерное воздействие на КИИ РФ с помощью создания, распространения или использования компьютерных программ. Статистически значимой судебной практики по применению ст. 274.1 УК РФ пока нет, ниже приведен краткий обзор нескольких судебных дел.
Автор: Алексей Подмарев, Ассоциация руководителей служб информационной безопасности (АРСИБ), Комитет по безопасности критической информационной инфраструктуры
Читайте также:
Обзор судебной практики по ст. 274.1 УК РФ в 2020-2021 гг.
Первое дело (№ 1345/ 2019), где появилось обвинение по этой статье, было рассмотрено в Петропавловске-Камчатском 31 мая 2019 г. Пострадавшие объекты КИИ – два сайта Роскомнадзора, для неправомерного воздействия на них использовалось специальное программное обеспечение, выполняющее функции нагрузочного тестирования интернет-ресурсов. Саму такую функциональность суд определил как "заведомо предназначенную для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для блокирования информации, содержащейся в ней. В результате доступ к сайтам был затруднен в общей сложности примерно на 25 мин. Подсудимый раскаялся и был полностью освобожден от уголовной ответственности.
Чуть позже та же ч. 1 ст. 274.1 УК РФ фигурировала в деле № 1-337/2019 от 16.08.2019 г. в Волгограде. Подробности уголовного дела неизвестны, но оно было прекращено в ходе первого заседания, подсудимый получил судебный штраф, согласился на полное возмещение ущерба и был освобожден от уголовной ответственности.
Следующие два дела были рассмотрены в сентябре того же 2019 г. во Владивостоке. Оба они связаны с осуществлением неправомерного доступа к охраняемой компьютерной информации.
По делу № 1-376/2019 было выявлено причинение имущественного вреда оборонному предприятию – субъекту КИИ. Группа из трех лиц с помощью специализированного ПО проникла через протокол RDP в компьютеры оборонного предприятия, зашифровала данные на жестком диске и потребовала выкуп, судя по сумме в рублях, в размере одного биткойна. Суд принял во внимание явку с повинной и добровольное возмещение ущерба и в особом порядке назначил наказание – по два года условно каждому из подсудимых.
В деле № 1-368/2019 от 25.09.2019 г. выявлены нарушения правил эксплуатации и предъявлены обвинения по ч. 4 ст. 274.1 УК РФ (служебное положение) работнику субъекта КИИ. Сотрудница отдела продаж компании связи в день увольнения скопировала из автоматизированной системы персональные данные абонентов и отправила по электронной почте своему знакомому. Подсудимая признала вину, судебное рассмотрение прошло в особом порядке, вынесено наказание – три года лишения свободы условно.
Следует отметить, что под правилами эксплуатации, упоминаемыми в судебных процессах, понимаются не только внутренние нормативные акты организации, которой принадлежит информационная система, но и правила, определяющие порядок работы с ЭВМ, нормативные акты, государственные стандарты, инструкции, правила, техническое описание, положение, приказы и т.д., установленные изготовителями оборудования, разработчиками ПО, а также компетентными государственными органами. Мнение, что только субъект КИИ (владелец информационной системы) может устанавливать правила эксплуатации объекта КИИ, является ошибочным. Приказ № 239 ФСТЭК требует от субъекта КИИ проводить анализ уязвимостей на периодической основе и выполнять управление обновлениями. Когда (и если будет) реализована успешная атака на объект КИИ с причинением существенного вреда, невыполнение этих требований будет квалифицировано как уголовное преступление, ответственность за которое лежит на субъекте КИИ. Понятие "существенный вред" оценочное.
Эта неоднозначность в сочетании с большим сроком давности может сделает статью удобной для оказания давления со стороны следствия. Владельцы объекта информационной инфраструктуры, понимая, что самостоятельно должны определить, относятся ли они к субъектам КИИ, предпочитают указать, что таковыми не являются, или пытаются передать сервисное обслуживание имеющихся информационных ресурсов другому юридическому лицу. Оператор, которому передан на эксплуатацию информационный ресурс, может не попадать под действия 187-ФЗ и не знать, для обеспечения каких процессов используется инфраструктура. Была ли присвоена правильная категория значимости или категорирование вообще не проводилось, для уголовной ответственности не играет никакой роли. Ст. 274.1 УК РФ распространяется даже на тех владельцев систем, которые не провели категорирование и не считают себя субъектами КИИ.