Уголовно-правовые риски субъектов КИИ

В статье анализируются особенности привлечения к уголовно-правовой ответственности организаций, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности (далее – субъекты КИИ).

Законодательством Российской Федерации с 01.01.2018 для субъектов КИИ предусмотрена административная ответственность за несоответствующее обеспечение безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее – значимые ОКИИ) и уголовная ответственность за нарушение установленных правил эксплуатации объектов критической информационной инфраструктуры Российской Федерации (далее – ОКИИ), если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации (см. табл. 1). При этом субъектам КИИ необходимо помнить о сроках давности по таким преступлениям. Важно также отметить, что основным надзорным органом, привлекающим субъектов КИИ к уголовной ответственности, является ФСБ России. ФСТЭК России уполномочен в проведении государственного контроля в отношении субъектов КИИ, владеющих значимыми ОКИИ. Отдельно выделим риск дисквалификации должностных лиц субъектов КИИ, владеющих значимыми ОКИИ, за невыполнение в срок законного предписания ФСТЭК России об устранении нарушений законодательства. Интересный нюанс: руководители субъекта КИИ привлекаются к административной ответственности за нарушения на значимых ОКИИ, а к уголовной ответственности привлекаются технические специалисты любого субъекта КИИ. Важной особенностью является тот факт, что требования к защите информации законодательно установлены только для значимых ОКИИ.

Наибольшую озабоченность у субъекта КИИ вызывает угроза уголовной ответственности по пп. 3-5 ст. 274.1 УК РФ "Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации". Прецеденты возбуждения уголовных дел по данной статье УК РФ в средствах массовой информации не опубликованы.

К попыткам прогнозирования применения пп. 3-5. ст. 274.1 УК РФ на основе правоприменительной практики ст. 274 УК РФ "Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей", введенной в Уголовный кодекс еще в 1996 г. в формулировке "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети", следует относится очень осторожно.

Вероятнее всего будут распространены на пп.3-п5 ст. 274.1 УК РФ следующие позиции надзорных органов ст. 274 УК РФ:

1. Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации. Эти правила должны устанавливаться правомочным лицом. Общих правил эксплуатации, распространяющихся на неограниченный круг пользователей глобальной сети Интернет, не существует. Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах.
2. Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь, а также доказано, что наступившие последствия являются результатом нарушения правил эксплуатации, а не программной ошибкой либо действиями, предусмотренными другими статьями УК РФ.
3. Субъективная сторона состава данного преступления характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа может совершаться как умышленно (при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа), так и по неосторожности (например, программист, работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы).

Отличия применения статей УК РФ за нарушение правил эксплуатации информационной системы и правил эксплуатации ОКИИ (отличие ст. 274 от пп.3-5 ст. 274.1 УК РФ) приведены в табл. 2. 

Ключевые особенности применения пп.3-5. ст. 274.1 УК РФ:

1. Нет исключений применения статьи для ОКИИ, которым не присвоена категория значимости. По сути, уже сейчас ее можно применять к любому субъекту КИИ, даже если он не провел категорирования объектов. Достаточно будет экспертного заключения от ФСБ, что поврежденная ИС организации функционирует в сферах деятельности из 187-ФЗ.
2. Расследовать будет следственное управление ФСБ России.
3. Суды предпочитают не отказывать следователем ФСБ, на это есть отдельные объективные причины.
4. Так как прописано нанесение вреда "критической инфраструктуре РФ", а не "компьютерной информации", размер вреда легко рассчитывается следователем и доказывается в суде.
5. Создание системы безопасности (не только информации, но и физической/промышленной и т.д.) по требованиям ФСТЭК России усугубляет ситуацию для субъекта КИИ, так как нарушение правил эксплуатации на оборудовании из ее состава, повлекшее нанесение вреда, – это те же пп.3-5 ст. 274.1 УК РФ.
6. Статья очень удобная для следователя: большой срок давности позволяет не спешить с следственными действиями, есть возможность "надавить" на подозреваемого путем помещения его в СИЗО, наказание серьезное – отличная отчетность и показатели.

Учитывая вышесказанное, рекомендуется провести следующие мероприятия по минимизации рисков для организации:

1. Внеплановую классификацию информационных систем для всех организаций -- владельцев информационных систем. Необходимо документально зафиксировать, что конкретная информационная система не является ОКИИ.
2. Минимизировать количество оборудования, входящего в состав ОКИИ.
3. Актуализировать инструкции по эксплуатации оборудования ОКИИ, с целью минимизации рисков по привлечению к уголовной ответственности за ее нарушение.
4. Следует очень аккуратно подходить к проведению внутренних служебных расследований инфраструктурных инцидентов и инцидентов информационной безопасности. Необходимо понимать, что отчетные документы по результатам таких проверок могут использоваться правоохранительными органами для возбуждения уголовного дела в течение последующих 10 лет.