Павел Домкин, 19/10/22
Судебную практику по ст. 274.1 УК РФ по состоянию на середину 2022 г. нельзя признать обширной. В правовом сообществе ожидалось, что ст. 274.1 УК РФ будет расцениваться как специальная норма уголовного закона по отношению к ст. 272, 273 и 274 УК РФ и найдет свое применение при расследовании инцидентов с информационными системами, особо охраняемыми законом о безопасности КИИ. Какие же случаи пополнили судебную статистику привлечения к ответственности по ст. 274.1 УК РФ?
Автор: Павел Домкин, адвокат
Введение ст. 274.1 в Уголовный кодекс было продиктовано необходимостью обеспечить надлежащее исполнение одновременно принятого Федерального закона No 187 от 26.07.2017 г. "О безопасности критической информационной инфраструктуры Российской Федерации" путем установления мер уголовной ответственности в случаях существенного нарушения установленных законом требований, ограничений и запретов.
Но раскрыть преступление, связанное с неправомерной манипуляцией компьютерными данными, привлечь квалифицированного хакера к уголовной ответственности – задачи непростые, а статистика расследования уголовных дел по ст. 274.1. УК РФ в районе "около ноля" просто недопустима в соответствии с устоявшимися взглядами правоохранительных органов.
С учетом подобных реалий органы обвинения начали формировать судебную практику по ст. 274.1. УК РФ в отношении работников медицинских учреждений по фактам оформления ложных сертификатов о прохождении вакцинации от COVID-19, в отношении сотрудников салонов связи, оформлявших симкарты на чужие или вымышленные паспортные данные. Встречаются и случаи привлечения к ответственности кассиров АЗС за списание бонусных начислений с топливных карт клиентов, а также факты привлечения к ответственности сотрудников почтовых отделений, которые в целях выполнения плана оформляли банковские карты с использованием паспортных данных клиентов отделения.
Суть обвинения по всем вышеописанным случаям достаточно схожа. Обвиняемым лицам инкриминируется осуществление с использованием служебных полномочий неправомерного доступа к компьютерным системам, отнесенным законом к ОКИИ, повлекшего за собой их модификацию путем внесения в базы данных недостоверной информации. Следствие полагает, и суды с этим соглашаются, что, внося недостоверные сведения в информационные системы КИИ, обвиняемые лица нарушают целостность этой информационной системы, в результате чего циркулирующие в системе сведения теряют объективность, достоверность и актуальность.
Подобное применение закона вызывает логичный вопрос о сопоставимости общественной опасности вышеописанных действий и предусмотренной законом суровостью уголовного наказания по ст. 274.1 УК РФ. Если руководствоваться подобным взглядом правоприменителей, получается, что если лицо внесло запись о ложной вакцинации на бумажный носитель, например в журнал учета профилактических прививок по форме 064/у, то ответственность по ст. 274.1 УК РФ ему не грозит. Но если же внесение должностным лицом такой записи в буквальном смысле было осуществлено с помощью клавиатуры, то подобные действия расцениваются уголовным законом как совершение тяжкого преступления, влекущего за собой назначение наказания в виде лишения свободы на срок от 3 до 8 лет.
Очевидно, что подобная практика применения ст. 274.1 УК РФ не может расцениваться как адекватная. Вряд ли законодатель вкладывал в уголовный закон посыл столь жесткого уголовного преследования за внесение не соответствующих действительности данных в информационные базы. Виновником подобного правового перекоса является неверное понимание и толкование норм уголовного закона в системе общего правового регулирования.
Сформулируем два ключевых вопроса.
- Могут ли вышеописанные случаи нарушения целостности информационных систем КИИ расцениваться как совершение преступлений по ст. 274.1 УК РФ?
- Какие правовые аспекты следует в обязательном порядке устанавливать и процессуально оценивать по уголовным делам о нарушении безопасности критической информационной инфраструктуры Российской Федерации?
Согласно диспозиции ст. 274.1 УК РФ уголовным законом преследуется неправомерное воздействие на компьютерную информацию, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации. Как неоднократно подчеркивал Конституционный Суд Российской Федерации, любое преступление должно быть четко определено в законе таким образом, чтобы, исходя непосредственно из текста нормы, каждый мог предвидеть уголовно-правовые последствия своих действий или бездействия. Уголовная ответственность за правонарушения может считаться законно установленной, когда преступное деяние ясно и четко определено уголовным законом, встроенным в общую систему правового регулирования. Кроме того, оценка степени определенности содержащихся в уголовном законе понятий должна осуществляться исходя не только из самого текста закона, используемых формулировок, но и из их места в системе нормативных предписаний.
Безусловно, в систему правового регулирования отношений, охраняемых ст. 274.1 УК РФ, входит и 187-ФЗ, который был введен в национальное законодательство одновременно с изменениями в Уголовном кодексе Российской Федерации о наказуемости противоправных действий, связанных с безопасностью КИИ.
Внимательное изучение норм 187-ФЗ позволяет сделать выводы о том, какие именно общественные отношения охраняет ст. 274.1 УК РФ и наступление каких именно негативных последствий расценивается как нарушение охраняемого законом порядка.
Целенаправленные атаки на объекты КИИ
Первое, на что следует обратить внимание, – это сфера действия 187-ФЗ. В ст. 1 закреплено, что он регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении нее компьютерных атак.
Таким образом, вред, причиняемый уголовно наказуемым деянием по ст. 274.1 УК РФ, должен быть неразрывно связан с нарушением состояния защищенности (безопасности) критической информационной инфраструктуры при целенаправленном воздействии на нее программных и/или программно-аппаратных средств.
Такие правовые понятия, как целостность, объективность, достоверность и актуальность компьютерной информации в системе КИИ, фигурирующие в рассматриваемых примерах судебной практики, в 187-ФЗ даже не упоминаются и, соответственно, именно данным федеральным законом не охраняются.
Кроме того, 187-ФЗ недвусмысленно указывает, что область его применения связана с обеспечением устойчивости к компьютерным атакам, направленным на нарушение и/или прекращение функционирования объектов КИИ и/или создания угрозы безопасности обрабатываемой такими объектами информации. Соответственно, целью специального закона о безопасности КИИ и обеспечивающей его исполнение ст. 274.1 УК РФ является обеспечение устойчивости информационных систем при совершении на них целенаправленных компьютерных атак.
Противоправные действия, связанные с корректировкой информации, содержащейся в КИИ, или с внесением в нее недостоверных сведений никоим образом не отражается на устойчивости функционирования объектов КИИ.
Вышеуказанные примеры из судебной практики, по мнению автора, не могут образовывать состава преступления, предусмотренного ст. 274.1 УК РФ, поскольку они не связаны с нарушением работоспособности объектов КИИ и не выполняются с помощью компьютерных атак.
Вред, наносимый объектам КИИ?
Вторым ключевым моментом в уголовных делах рассматриваемой категории является вопрос правильной процессуальной оценки вреда, наступление которого образует состав преступления по ст. 274.1 УК РФ. Вред, в понимании данной статьи, является оценочной категорией. Факт его причинения определяется органом следствия и судом в каждом конкретном случае.
Для надлежащего понимания категории "вред" по ст. 274.1. УК РФ логично вновь обратиться к положению вышеуказанного специального закона, поскольку он содержит в себе указание, на предотвращение каких именно последствий он направлен. Из совокупного анализа положений ст. 1 и 2 187-ФЗ следует, что нарушение работы и прекращение деятельности информационных систем, информационно-телекоммуникационных сетей, АСУ субъектов КИИ признается причинением вреда охраняемым законом правовым отношениям.
Ст. 7 закона дает более детальное описание причинения вреда, а именно: прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальное по времени отсутствие доступа к государственной услуге для получателей услуг. Автор полагает, что в этой статье законодатель дал правовой ориентир на правовые последствия, расцениваемые как тяжкие, наступление которых должно квалифицироваться по ч. 5 ст. 274.1 УК РФ.
Таким образом, Федеральный закон 187-ФЗ и ст. 274.1 УК РФ определяют, что вред, причиняемый критической информационной инфраструктуре Российской Федерации, состоит в нарушении и/или прекращении функционирования объектов КИИ и/или создании угрозы безопасности обрабатываемой такими объектами информации.
Данные, влияющие на работоспособность объекта КИИ
Как уже отмечалось ранее, цель 187-ФЗ – это поддержание устойчивого функционирования критической информационной инфраструктуры при компьютерных атаках. Руководствуясь закрепленными в ст. 2 закона правовыми понятиями, преступными по ст. 274.1 УК РФ признаются действия, посягающие на безопасность значимых объектов в области здравоохранения, науки, транспорта, связи, энергетики, в банковской и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической, химической промышленности и других областях.
Значимым объектом КИИ признается объект, которому присвоена одна из категорий значимости и который включен в соответствующий реестр. Критерии значимости объектов определяются в соответствии с постановлением Правительства РФ No 127 от 08.02.2018 г., которое признает таковыми показатели возможного причинения ущерба жизни и здоровью людей, возможного прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, возможного прекращения или нарушения проведения клиентами операций по банковским счетам и т.д.
Иными словами, названные нормы очерчивают круг информационных данных, неправомерное воздействие на которые оказывает влияние на устойчивое функционирование объектов КИИ, и посягательство на которые представляет реальную опасность для интересов общества, безопасности граждан и государства.
Очевидно, что неправомерное воздействие на автоматизированную систему управления транспортным потоком или подстанцию электросетей, в результате которого нарушается или прекращается функционирование этих объектов, должно преследоваться по ст. 274.1 УК РФ, поскольку объектом преступного посягательства здесь являются критические важные информационные системы, связанные с личной и общественной безопасностью.
В то же время в судебной практике присутствуют такие прецеденты привлечения к ответственности по ст. 274.1 УК РФ, когда рядовой сотрудник значимого объекта КИИ внес изменение в систему учета рабочего времени, скрыв подобным образом факт своего опоздания на рабочее место. Вопрос "Каким образом сотрудник повлиял на информационные данные, отвечающие за устойчивую работоспособность объекта КИИ?" скорее риторический.
По мнению автора, инициация уголовного преследования за воздействие на объект КИИ без установления конкретного предмета посягательства является недопустимой. В каждом случае правоприменитель обязан установить, находится ли подвергшаяся неправомерному воздействию информационная система или информация в прямой технической взаимосвязи с устойчивостью функционирования объекта КИИ по своему основному предназначению, например, была ли компьютерная атака направлена на прекращение подачи электроэнергии потребителям или на организацию сбоя в работе светофорного регулирования дорожной сети.
Случаи неправомерного доступа к компьютерной информации, напрямую не затрагивающей основную деятельность объекта КИИ, например изменение содержимого интернет-сайта такого объекта, не могут квалифицироваться как совершение преступления по ст. 274.1 УК РФ.
