Контакты
Подписка 2025
Статьи по информационной безопасности

Критическая оценка правоприменительной практики по статье 274.1 УК РФ

Павел Домкин, 19/10/22

Судебную практику по ст. 274.1 УК РФ по состоянию на середину 2022 г. нельзя признать обширной. В правовом сообществе ожидалось, что ст. 274.1 УК РФ будет расцениваться как специальная норма уголовного закона по отношению к ст. 272, 273 и 274 УК РФ и найдет свое применение при расследовании инцидентов с информационными системами, особо охраняемыми законом о безопасности КИИ. Какие же случаи пополнили судебную статистику привлечения к ответственности по ст. 274.1 УК РФ?

Автор: Павел Домкин, адвокат

Введение ст. 274.1 в Уголовный кодекс было продиктовано необходимостью обеспечить надлежащее исполнение одновременно принятого Федерального закона No 187 от 26.07.2017 г. "О безопасности критической информационной инфраструктуры Российской Федерации" путем установления мер уголовной ответственности в случаях существенного нарушения установленных законом требований, ограничений и запретов.

Но раскрыть преступление, связанное с неправомерной манипуляцией компьютерными данными, привлечь квалифицированного хакера к уголовной ответственности – задачи непростые, а статистика расследования уголовных дел по ст. 274.1. УК РФ в районе "около ноля" просто недопустима в соответствии с устоявшимися взглядами правоохранительных органов.

С учетом подобных реалий органы обвинения начали формировать судебную практику по ст. 274.1. УК РФ в отношении работников медицинских учреждений по фактам оформления ложных сертификатов о прохождении вакцинации от COVID-19, в отношении сотрудников салонов связи, оформлявших симкарты на чужие или вымышленные паспортные данные. Встречаются и случаи привлечения к ответственности кассиров АЗС за списание бонусных начислений с топливных карт клиентов, а также факты привлечения к ответственности сотрудников почтовых отделений, которые в целях выполнения плана оформляли банковские карты с использованием паспортных данных клиентов отделения.

Суть обвинения по всем вышеописанным случаям достаточно схожа. Обвиняемым лицам инкриминируется осуществление с использованием служебных полномочий неправомерного доступа к компьютерным системам, отнесенным законом к ОКИИ, повлекшего за собой их модификацию путем внесения в базы данных недостоверной информации. Следствие полагает, и суды с этим соглашаются, что, внося недостоверные сведения в информационные системы КИИ, обвиняемые лица нарушают целостность этой информационной системы, в результате чего циркулирующие в системе сведения теряют объективность, достоверность и актуальность.

Подобное применение закона вызывает логичный вопрос о сопоставимости общественной опасности вышеописанных действий и предусмотренной законом суровостью уголовного наказания по ст. 274.1 УК РФ. Если руководствоваться подобным взглядом правоприменителей, получается, что если лицо внесло запись о ложной вакцинации на бумажный носитель, например в журнал учета профилактических прививок по форме 064/у, то ответственность по ст. 274.1 УК РФ ему не грозит. Но если же внесение должностным лицом такой записи в буквальном смысле было осуществлено с помощью клавиатуры, то подобные действия расцениваются уголовным законом как совершение тяжкого преступления, влекущего за собой назначение наказания в виде лишения свободы на срок от 3 до 8 лет.

Очевидно, что подобная практика применения ст. 274.1 УК РФ не может расцениваться как адекватная. Вряд ли законодатель вкладывал в уголовный закон посыл столь жесткого уголовного преследования за внесение не соответствующих действительности данных в информационные базы. Виновником подобного правового перекоса является неверное понимание и толкование норм уголовного закона в системе общего правового регулирования.

Сформулируем два ключевых вопроса.

  1.  Могут ли вышеописанные случаи нарушения целостности информационных систем КИИ расцениваться как совершение преступлений по ст. 274.1 УК РФ?
  2.  Какие правовые аспекты следует в обязательном порядке устанавливать и процессуально оценивать по уголовным делам о нарушении безопасности критической информационной инфраструктуры Российской Федерации?

Согласно диспозиции ст. 274.1 УК РФ уголовным законом преследуется неправомерное воздействие на компьютерную информацию, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации. Как неоднократно подчеркивал Конституционный Суд Российской Федерации, любое преступление должно быть четко определено в законе таким образом, чтобы, исходя непосредственно из текста нормы, каждый мог предвидеть уголовно-правовые последствия своих действий или бездействия. Уголовная ответственность за правонарушения может считаться законно установленной, когда преступное деяние ясно и четко определено уголовным законом, встроенным в общую систему правового регулирования. Кроме того, оценка степени определенности содержащихся в уголовном законе понятий должна осуществляться исходя не только из самого текста закона, используемых формулировок, но и из их места в системе нормативных предписаний.

Безусловно, в систему правового регулирования отношений, охраняемых ст. 274.1 УК РФ, входит и 187-ФЗ, который был введен в национальное законодательство одновременно с изменениями в Уголовном кодексе Российской Федерации о наказуемости противоправных действий, связанных с безопасностью КИИ.

Внимательное изучение норм 187-ФЗ позволяет сделать выводы о том, какие именно общественные отношения охраняет ст. 274.1 УК РФ и наступление каких именно негативных последствий расценивается как нарушение охраняемого законом порядка.

Целенаправленные атаки на объекты КИИ

Первое, на что следует обратить внимание, – это сфера действия 187-ФЗ. В ст. 1 закреплено, что он регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении нее компьютерных атак.

Таким образом, вред, причиняемый уголовно наказуемым деянием по ст. 274.1 УК РФ, должен быть неразрывно связан с нарушением состояния защищенности (безопасности) критической информационной инфраструктуры при целенаправленном воздействии на нее программных и/или программно-аппаратных средств.

Такие правовые понятия, как целостность, объективность, достоверность и актуальность компьютерной информации в системе КИИ, фигурирующие в рассматриваемых примерах судебной практики, в 187-ФЗ даже не упоминаются и, соответственно, именно данным федеральным законом не охраняются.

Кроме того, 187-ФЗ недвусмысленно указывает, что область его применения связана с обеспечением устойчивости к компьютерным атакам, направленным на нарушение и/или прекращение функционирования объектов КИИ и/или создания угрозы безопасности обрабатываемой такими объектами информации. Соответственно, целью специального закона о безопасности КИИ и обеспечивающей его исполнение ст. 274.1 УК РФ является обеспечение устойчивости информационных систем при совершении на них целенаправленных компьютерных атак.

Противоправные действия, связанные с корректировкой информации, содержащейся в КИИ, или с внесением в нее недостоверных сведений никоим образом не отражается на устойчивости функционирования объектов КИИ.

Вышеуказанные примеры из судебной практики, по мнению автора, не могут образовывать состава преступления, предусмотренного ст. 274.1 УК РФ, поскольку они не связаны с нарушением работоспособности объектов КИИ и не выполняются с помощью компьютерных атак.

Вред, наносимый объектам КИИ?

Вторым ключевым моментом в уголовных делах рассматриваемой категории является вопрос правильной процессуальной оценки вреда, наступление которого образует состав преступления по ст. 274.1 УК РФ. Вред, в понимании данной статьи, является оценочной категорией. Факт его причинения определяется органом следствия и судом в каждом конкретном случае.

Для надлежащего понимания категории "вред" по ст. 274.1. УК РФ логично вновь обратиться к положению вышеуказанного специального закона, поскольку он содержит в себе указание, на предотвращение каких именно последствий он направлен. Из совокупного анализа положений ст. 1 и 2 187-ФЗ следует, что нарушение работы и прекращение деятельности информационных систем, информационно-телекоммуникационных сетей, АСУ субъектов КИИ признается причинением вреда охраняемым законом правовым отношениям.

Ст. 7 закона дает более детальное описание причинения вреда, а именно: прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальное по времени отсутствие доступа к государственной услуге для получателей услуг. Автор полагает, что в этой статье законодатель дал правовой ориентир на правовые последствия, расцениваемые как тяжкие, наступление которых должно квалифицироваться по ч. 5 ст. 274.1 УК РФ.

Таким образом, Федеральный закон 187-ФЗ и ст. 274.1 УК РФ определяют, что вред, причиняемый критической информационной инфраструктуре Российской Федерации, состоит в нарушении и/или прекращении функционирования объектов КИИ и/или создании угрозы безопасности обрабатываемой такими объектами информации.

Данные, влияющие на работоспособность объекта КИИ

Как уже отмечалось ранее, цель 187-ФЗ – это поддержание устойчивого функционирования критической информационной инфраструктуры при компьютерных атаках. Руководствуясь закрепленными в ст. 2 закона правовыми понятиями, преступными по ст. 274.1 УК РФ признаются действия, посягающие на безопасность значимых объектов в области здравоохранения, науки, транспорта, связи, энергетики, в банковской и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической, химической промышленности и других областях.

Значимым объектом КИИ признается объект, которому присвоена одна из категорий значимости и который включен в соответствующий реестр. Критерии значимости объектов определяются в соответствии с постановлением Правительства РФ No 127 от 08.02.2018 г., которое признает таковыми показатели возможного причинения ущерба жизни и здоровью людей, возможного прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, возможного прекращения или нарушения проведения клиентами операций по банковским счетам и т.д.

Иными словами, названные нормы очерчивают круг информационных данных, неправомерное воздействие на которые оказывает влияние на устойчивое функционирование объектов КИИ, и посягательство на которые представляет реальную опасность для интересов общества, безопасности граждан и государства.

Очевидно, что неправомерное воздействие на автоматизированную систему управления транспортным потоком или подстанцию электросетей, в результате которого нарушается или прекращается функционирование этих объектов, должно преследоваться по ст. 274.1 УК РФ, поскольку объектом преступного посягательства здесь являются критические важные информационные системы, связанные с личной и общественной безопасностью.

В то же время в судебной практике присутствуют такие прецеденты привлечения к ответственности по ст. 274.1 УК РФ, когда рядовой сотрудник значимого объекта КИИ внес изменение в систему учета рабочего времени, скрыв подобным образом факт своего опоздания на рабочее место. Вопрос "Каким образом сотрудник повлиял на информационные данные, отвечающие за устойчивую работоспособность объекта КИИ?" скорее риторический.

По мнению автора, инициация уголовного преследования за воздействие на объект КИИ без установления конкретного предмета посягательства является недопустимой. В каждом случае правоприменитель обязан установить, находится ли подвергшаяся неправомерному воздействию информационная система или информация в прямой технической взаимосвязи с устойчивостью функционирования объекта КИИ по своему основному предназначению, например, была ли компьютерная атака направлена на прекращение подачи электроэнергии потребителям или на организацию сбоя в работе светофорного регулирования дорожной сети.

Случаи неправомерного доступа к компьютерной информации, напрямую не затрагивающей основную деятельность объекта КИИ, например изменение содержимого интернет-сайта такого объекта, не могут квалифицироваться как совершение преступления по ст. 274.1 УК РФ.
Темы:Стандарты, нормы и требованияКИИСудебная практикаЖурнал "Информационная безопасность" №4, 2022

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (июнь) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 17-18 июня →
Статьи по той же темеСтатьи по той же теме

  • Особенности защиты данных в медицинских организациях
    Дмитрий Вощуков, GR-специалист "СёрчИнформ"
    Отрасль здравоохранения является одной из самых зарегулированных. Однако, число инцидентов ИБ растет, и цена нарушения в медучреждении высока. Разберем, с какими типовыми нарушениями сталкиваются медицинские организации и как на практике реализуются меры информационной безопасности в здравоохранении.
  • Изоляция как стратегия: однонаправленные шлюзы для промышленного сегмента сети
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Обеспечение безопасности АСУ ТП является комплексной задачей часть из направлений которой так или иначе связана с мерами по сегментации сетевой инфраструктуры и выбором решений по изоляции АСУ ТП от внешних воздействий и несанкционированного доступа. Решением по сегментации являются однонаправленные шлюзы, они же диоды данных или инфодиоды.
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.
  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.
  • Защита КИИ: уроки 2023 года
    Дмитрий Беляев, директор управления безопасности ООО “АБТ”
    2023 год стал годом значительных испытаний для российской критической инфраструктуры. Два крупных инцидента, произошедших в этот период, продемонстрировали уязвимость даже самых подготовленных организаций перед изощренными кибератаками. Эти случаи дают нам ценные уроки, которые помогут улучшить защиту КИИ в будущем.
  • Актуальные вопросы защиты КИИ в 2025 году
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В 2025 г. защита критической информационной инфраструктуры по-прежнему останется одной из приоритетных задач для организаций, работающих в ключевых отраслях экономики. Основные вызовы связаны с усилением требований регуляторов, необходимостью соблюдения новых нормативно-правовых требований, внедрением мер по импортозамещению в условиях ограниченного доступа к зарубежным технологиям и защитой от постоянно совершенствующихся компьютерных атак.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 17-18 июня →

More...
ТБ Форум 2025
18 июня | Форум ITSEC Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности