Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации

В ст. 274.1 УК РФ предусмотрена уголовная ответственность за неправомерное воздействие на КИИ РФ с помощью создания, распространения или использования компьютерных программ. Статистически значимой судебной практики по применению ст.

274.1 УК РФ пока нет, ниже приведен краткий обзор нескольких судебных дел.

Автор: Алексей Подмарев, Ассоциация руководителей служб информационной безопасности (АРСИБ), Комитет по безопасности критической информационной инфраструктуры

Читайте также:

Судебная практика по ст. 274.1 УК РФ по-прежнему не очень богатая, но уже вполне можно выделить типовые кейсы

Петропавловск-Камчатский

Первое дело (№ 1345/ 2019), где появилось обвинение по этой статье, было рассмотрено в Петропавловске-Камчатском 31 мая 2019 г. Пострадавшие объекты КИИ – два сайта Роскомнадзора, для неправомерного воздействия на них использовалось специальное программное обеспечение, выполняющее функции нагрузочного тестирования интернет-ресурсов. Саму такую функциональность суд определил как «заведомо предназначенную для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для блокирования информации, содержащейся в ней. В результате доступ к сайтам был затруднен в общей сложности примерно на 25 мин.

Подсудимый раскаялся и был полностью освобожден от уголовной ответственности.

Волгоград

Чуть позже та же ч. 1 ст. 274.1 УК РФ фигурировала в деле № 1-337/2019 от 16.08.2019 г. в Волгограде. Подробности уголовного дела неизвестны, но оно было прекращено в ходе первого заседания, подсудимый получил судебный штраф, согласился на полное возмещение ущерба и был освобожден от уголовной ответственности.

Владивосток

Следующие два дела были рассмотрены в сентябре того же 2019 г. во Владивостоке. Оба они связаны с осуществлением неправомерного доступа к охраняемой компьютерной информации.

По делу № 1-376/2019 было выявлено причинение имущественного вреда оборонному предприятию – субъекту КИИ. Группа из трех лиц с помощью специализированного ПО проникла через протокол RDP в компьютеры оборонного предприятия, зашифровала данные на жестком диске и потребовала выкуп, судя по сумме в рублях, в размере одного биткойна. Суд принял во внимание явку с повинной и добровольное возмещение ущерба и в особом порядке назначил наказание – по два года условно каждому из подсудимых.

В деле № 1-368/2019 от 25.09.2019 г. выявлены нарушения правил эксплуатации и предъявлены обвинения по ч. 4 ст. 274.1 УК РФ (служебное положение) работнику субъекта КИИ. Сотрудница отдела продаж компании связи в день увольнения скопировала из автоматизированной системы персональные данные абонентов и отправила по электронной почте своему знакомому.

Подсудимая признала вину, судебное рассмотрение прошло в особом порядке, вынесено наказание – три года лишения свободы условно.

Следует отметить, что под правилами эксплуатации, упоминаемыми в судебных процессах, понимаются не только внутренние нормативные акты организации, которой принадлежит информационная система, но и правила, определяющие порядок работы с ЭВМ, нормативные акты, государственные стандарты, инструкции, правила, техническое описание, положение, приказы и т.д., установленные изготовителями оборудования, разработчиками ПО, а также компетентными государственными органами. Мнение, что только субъект КИИ (владелец информационной системы) может устанавливать правила эксплуатации объекта КИИ, является ошибочным. Приказ № 239 ФСТЭК требует от субъекта КИИ проводить анализ уязвимостей на периодической основе и выполнять управление обновлениями. Когда (и если будет) реализована успешная атака на объект КИИ с причинением существенного вреда, невыполнение этих требований будет квалифицировано как уголовное преступление, ответственность за которое лежит на субъекте КИИ.

Понятие «существенный вред» оценочное.
Эта неоднозначность в сочетании с большим сроком давности может сделает статью удобной для оказания давления со стороны следствия. Владельцы объекта информационной инфраструктуры, понимая, что самостоятельно должны определить, относятся ли они к субъектам КИИ, предпочитают указать, что таковыми не являются, или пытаются передать сервисное обслуживание имеющихся информационных ресурсов другому юридическому лицу. Оператор, которому передан на эксплуатацию информационный ресурс, может не попадать под действия 187-ФЗ и не знать, для обеспечения каких процессов используется инфраструктура. Была ли присвоена правильная категория значимости или категорирование вообще не проводилось, для уголовной ответственности не играет никакой роли. Ст.

274.1 УК РФ распространяется даже на тех владельцев систем, которые не провели категорирование и не считают себя субъектами КИИ.

УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации

1. Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации, — наказываются принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
2. Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации, — наказывается принудительными работами на срок до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет и с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, — наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
4. Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения, — наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
5. Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия, — наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.

Об аспектах уголовной ответственности за неправомерное воздействие на критическую информационную инфраструктуру

На настоящий момент судебную практику по статье 274.1. УК РФ объективно нельзя охарактеризовать как обширную. Введение данной статьи в уголовный закон было продиктовано необходимостью обеспечить надлежащее исполнение одновременно принятого Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» путём установления мер уголовной ответственности в случаях существенного нарушения установленных законом требований, ограничений и запретов.

В правовом сообществе ожидалось, что статья 274.1. УК РФ будет расцениваться как специальная норма уголовного закона по отношению к статьям 272, 273, 274 УК РФ и найдет своё применение при расследовании инцидентов с информационными системами, особо охраняемых Законом о безопасности КИИ.

Что же произошло на практике, какие случаи пополнили судебную статистику привлечения к ответственности статье 274.1. УК РФ?

Привлечь квалифицированного «хакера» к уголовной ответственности и раскрыть преступление, связанное с неправомерной манипуляцией компьютерными данными, — задачи непростые, а статистика расследования уголовных дел по статье 274.1. УК РФ в районе «около ноля» просто недопустима в соответствии с устоявшимися взглядами правоохранительных органов.

С учетом подобных реалий органы обвинения начали формировать судебную практику по статье 274.1. УК РФ в отношении работников медицинских учреждений по фактам оформления ложных сертификатов о прохождении вакцинации против COVID-19, в отношении сотрудников салонов связи, оформлявших SIM-карты на чужие или вымышленные паспортные данные. Встречаются и случаи привлечения к ответственности кассиров АЗС за списание бонусных начислений с топливных карт клиентов, а также факты привлечения к ответственности сотрудников почтовых отделений, которые в целях выполнения «спущенного плана», оформляли банковские карты с использованием паспортных данных клиентов отделения.

Суть обвинения по всем вышеописанным случаям достаточно схожа. Обвиняемым лицам инкриминируется осуществление с использованием служебных полномочий неправомерного доступа к компьютерной информации, отнесенной законом к КИИ, повлекшего за собой её модификацию путем внесения в базы данных недостоверной информации. Следствие полагает, а суды соглашаются с тем, что, внося недостоверные сведения в информационные системы КИИ, обвиняемые лица «нарушают целостность» этой информационной системы, в результате чего, «циркулирующие в системе сведения теряют объективность, достоверность и актуальность«.

Подобное применение закона вызывает логичный вопрос о сопоставимости общественной опасности вышеописанных действий и предусмотренной законом суровостью уголовного наказания по статье 274.1. УК РФ. Если руководствоваться подобным взглядом правоприменителей, получается, что если лицо внесло запись о ложной вакцинации на бумажный носитель, например, в журнал учета профилактических прививок по форме № 064/у, то ответственность по статье 274.1. УК РФ ему не грозит.

Если же внесение должностным лицом такой записи в буквальном смысле было осуществлено с помощью клавиатуры, то подобные действия расцениваются уголовным законом как совершение тяжкого преступления, влекущего за собой назначение наказания в виде лишения свободы на срок от 3-х до 8-ми лет.

Очевидно, что подобная практика применения статьи 274.1. УК РФ не может расцениваться как адекватная и законная. Вряд ли законодатель вкладывал в уголовный закон посыл столь жесткого уголовного преследования за внесение несоответствующих действительности данных в информационные базы.

Виновником подобного правового «перекоса» является неверное понимание и толкование норм уголовного закона в системе общего правового регулирования.

Ответим на следующие ключевые вопросы:

• Могут ли вышеописанные случаи «нарушения целостности» информационных систем КИИ, расцениваться как совершение преступлений по статье 274.1. УК РФ?
• Какие правовые аспекты следует в обязательном порядке устанавливать и процессуально оценивать по уголовным делам о нарушении безопасности критической информационной инфраструктуры Российской Федерации?

Согласно диспозиции статьи 274.1. УК РФ уголовным законом преследуется неправомерное воздействие на компьютерную информацию, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации.

Как неоднократно подчеркивал Конституционный Суд Российской Федерации, любое преступление должно быть четко определено в законе, причем так, чтобы, исходя непосредственно из текста нормы, каждый мог предвидеть уголовно-правовые последствия своих действий или бездействия. Уголовная ответственность за правонарушения может считаться законно установленной, когда преступное деяние ясно и четко определено уголовным законом, встроенным в общую систему правового регулирования. Кроме того, оценка степени определенности содержащихся в уголовном законе понятий должна осуществляться исходя не только из самого текста закона, используемых формулировок, но и из их места в системе нормативных предписаний.

Безусловно, что в систему правового регулирования отношений, охраняемых статьей 274.1. УК РФ входит упомянутый Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации«, который был введен в национальное законодательство одновременно с изменениями в Уголовном кодексе Российской Федерации о наказуемости противоправных действий, связанных с безопасностью КИИ.

Внимательное изучение норм Федерального закона № 187-ФЗ позволяет сделать выводы о том, какие именно общественные отношения охраняет статья 274.1. УК РФ, и наступление каких именно негативных последствий расценивается как нарушение охраняемого законом порядка.

Первое, на что следует обратить внимание – это сфера действия Федерального закона № 187-ФЗ. В статье 1 Закона закреплено, что он регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении неё компьютерных атак.

Таким образом, вред, причиняемый уголовно-наказуемым деянием по статье 274.1. УК РФ, должен быть неразрывно связан с нарушением состояния защищенности (безопасности) критической информационной инфраструктуры при целенаправленном воздействии на неё программных и (или) программно-аппаратных средств.

Такие правовые понятия как «целостность, объективность, достоверность и актуальность» компьютерной информации в системе КИИ, фигурирующие в рассматриваемых примерах судебной практики, в Федеральном законе № 187-ФЗ даже не упоминаются и, соответственно, именно данным федеральным законом не охраняются.

Кроме того, поименованный закон недвусмысленно указывает, что область его применения связана с обеспечением устойчивости к компьютерным атакам, направленным на нарушение и/или прекращение функционирования объектов КИИ и/или создания угрозы безопасности обрабатываемой такими объектами информации. Соответственно, целью специального Закона о безопасности КИИ и обеспечивающей его исполнение статьи 274.1. УК РФ является обеспечение устойчивости информационных систем при совершении на них целенаправленных компьютерных атак.

Противоправные действия, связанные корректировкой информации, содержащейся в КИИ информации или с внесением в неё недостоверных сведений ни коим образом не отражается на устойчивости функционирования объектов КИИ.

Вышеуказанные примеры из судебной практики, по мнению автора, не могут образовывать состава преступления, предусмотренного статьей 274.1. УК РФ, поскольку они не связаны с нарушением работоспособности объектов КИИ и не выполняются с помощью компьютерных атак.

Вторым ключевым моментом в уголовных делах рассматриваемой категории является вопрос правильной процессуальной оценки вреда, наступление которого образует состав преступления по статье 274.1. УК РФ.

Вред, в понимании данной статьи, является оценочной категорией. Факт его причинения определяется органом следствия и судом в каждом конкретном случае.

Для надлежащего понимания категории «вред» по статье 274.1. УК РФ логично вновь обратиться к положению вышеуказанного специального закона, поскольку он содержит в себе указание, на предотвращение каких именно последствий он направлен.

Из совокупного анализа положений статей 1 и 2 Федерального закона № 187-ФЗ следует, что нарушение работы и прекращение деятельности информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления (АСУ) субъектов КИИ признается причинением вреда охраняемым законом правовым отношениям.

Статья 7 Закона дает более детальное описание причинения вреда, а именно прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальное по времени отсутствие доступа к государственной услуге для получателей услуг.

Полагаем, что в этой статье законодатель дал правовой ориентир на правовые последствия, расцениваемые как тяжкие последствия, наступление которых должно квалифицироваться по части 5 статьи 274.1. УК РФ.

Таким образом, Федеральный закон № 187-ФЗ и статья 274.1. УК РФ определяют, что вред, причиняемый критической информационной инфраструктуре Российской Федерации, состоит в нарушении и/или прекращении функционирования объектов КИИ и/или создании угрозы безопасности обрабатываемой информации такими объектами информации.

Третий момент. Как уже отмечалось ранее, цель Федерального закона № 187-ФЗ – это поддержание устойчивого функционирования критической информационной инфраструктуры при компьютерных атаках. Руководствуясь, закрепленными в статье 2 Закона правовыми понятиями, преступными по статье 274.1.

УК РФ признаются действия, посягающие на безопасность значимых объектов в области здравоохранения, науки, транспорта, связи, энергетики, в банковской и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонно-ракетно-космической, горнодобывающей, металлургической, химической промышленности и других областях.

Значимым объектом КИИ признается объект, которому присвоена одна из категорий значимости и который включен в соответствующий реестр. Критерии значимости объектов определяются в соответствии с Постановлением Правительства РФ от 08.02.2018 № 127, которое признает таковыми показатели возможного причинения ущерба жизни и здоровью людей, возможного прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, возможного прекращения или нарушения проведения клиентами операций по банковским счетам и т.д.

Иными словами, названные нормы очерчивают круг информационных данных, неправомерное воздействие на которые оказывает влияние на устойчивое функционирование объектов КИИ, и посягательство на которые представляет реальную опасность для интересов общества, безопасности граждан и государства.

Безусловно, что неправомерное воздействие на автоматизированную систему управления транспортным потоком или подстанцию электросетей, в результате которого нарушается или прекращается функционирование этих объектов, должны преследоваться по статье 274.1. УК РФ, поскольку объектом преступного посягательства здесь являются критические важные информационные системы, связанные с личной и общественной безопасностью.

В тоже время в судебной практике присутствуют прецеденты привлечения к ответственности по статье 274.1. УК РФ, когда рядовой сотрудник значимого объекта КИИ внёс изменение в систему учета рабочего времени, скрыв подобным образом факт своего опоздания на рабочее место. Вопрос, каким образом сотрудник повлиял на информационные данные, отвечающие за устойчивую работоспособность объекта КИИ, скорее риторический.

По мнению автора, инициация уголовного преследования за воздействие на объект КИИ без установления конкретного предмета посягательства является недопустимой.

В каждом случае правоприменитель обязан установить, находится ли в прямой технической взаимосвязи подвергшаяся неправомерному воздействию информационная система или информация с устойчивостью функционирования объекта КИИ по своему основному предназначению. Например, была ли компьютерная атака направлена на прекращение подачи электроэнергии потребителям или на организацию сбоя в работе светофорного регулирования дорожной сети.

Случаи неправомерного доступа к компьютерной информации, напрямую не затрагивающей основную деятельность объекта КИИ, например, изменение содержимого интернет-сайта такого объекта, не могут квалифицироваться как совершение преступления по статье 274.1. УК РФ.

Обзор судебной практики по ст. 274.1 УК РФ в 2020-2021 гг.

Судебная практика по ст. 274.1 УК РФ о неправомерном воздействии на критическую информационную инфраструктуру Российской Федерации в 2020–2021 гг. по-прежнему не очень богатая, но уже вполне можно выделить типовые кейсы.

В большинстве случаев на скамье подсудимых оказываются сотрудники салонов сотовой связи, которые либо сливают данные о телефонных разговорах за вознаграждение, либо оформляют сим-карты на фиктивных абонентов, чтобы выполнить план продаж. Любопытно, что во всех подобных случаях фигурирует только один оператор связи.

Петушки, дело No 1-146/2021, ст. 274.1 ч. 3

Сотрудница салона сотовой связи для выполнения плана продаж внесла в автоматизированную систему расчетов данные с где-то раздобытого скана паспорта незнакомого человека. Этим, согласно приговору суда, был нанесен вред критической информационной инфраструктуре РФ, поскольку оператор является субъектом КИИ, а автоматизированная система расчетов – значимым объектом КИИ.

Приговор: 1 год и 6 месяцев условно с лишением права заниматься деятельностью, связанной с доступом к критической информационной инфраструктуре Российской Федерации, на срок 2 года.

Ярославль, дело No 1-202/2021, ст. 274.1 ч. 4

Аналогичный случай произошел в Ярославле. Но здесь сотрудник салона сотовой связи для выполнения плана продаж вносил в автоматизированную систему расчетов вымышленные данные, включая вымышленные номера паспортов, а сим-карты продавал через Интернет как фродовые. Автоматизированная система расчетов – значимый объект КИИ.

Приговор: 1 год и 6 месяцев условно.

Калуга, дело No 1-1135/2021, ст. 274.1 ч. 4

Сотрудник салона сотовой связи, используя свой доступ к автоматизированной системе расчетов, включенной в реестр значимых объектов КИИ, в качестве подработки на неизвестного скачивал за денежное вознаграждение детализацию телефонных звонков. Этим, согласно приговору суда, была нарушена целостность данных в автоматизированной системе.

Приговор: 3 года и 6 месяцев условно.

Кизилюрт, дело No 1-148/2021, ст. 274.1 ч. 4

Программист городской больницы воспользовался доступом коллеги к Единой государственной информационной системе в сфере здравоохранения (ЕГИСЗ), чтобы незаконно получить сертификат о вакцинации от коронавируса и QR-код для себя и своих родственников. Поскольку имелась в виду двухкомпонентная вакцина, то через 21 день были проделаны аналогичные действия.

Параметры доступа программист узнал, когда коллега, имевшая доступ к ЕГИСЗ, попросила его внести логин и пароль в настройки браузера: пароль был длинный и его сложно было запомнить.

История вскрылась, когда одному из родственников поступил проверочный вопрос из больницы, реально ли была пройдена вакцинация. Родственник был не в курсе ситуации и ответил отрицательно. После этого программист сам пришел к руководству и во всем сознался.

Приговор: 3 года и 6 месяцев условно с лишением права заниматься деятельностью в сфере компьютерных технологий на 2 года.

Волгоград, дело No 1-338/2021, ст. 274.1 ч. 1

Машинист электровоза с целью получения положительного результата тестирования знаний техническо-распорядительных актов железнодорожных станций для своего помощника использовал стороннюю программу, напрямую меняющую результаты тестов.

Обвиняемый признал вину, внес добровольное пожертвование личных денежных средств на расчетный счет местной средней школы, чем, по мнению суда, загладил вред, причиненный его противоправным деянием. Какого-либо ущерба по уголовному делу не установлено.

Постановление суда: назначить судебный штраф в размере 40 тыс. руб. и прекратить уголовное дело.

Примечательно, что в этом деле, в отличие от предыдущих, принадлежность организации, которая владеет программой для тестирования, была установлена судом не по письму ФСТЭК России, подтверждающему включение информационной системы в реестр значимых объектов КИИ, а непосредственно по сопоставлению отраслевой принадлежности юридического лица со списком отраслей, приведенным в 187-ФЗ.

Омск, дело No 1-398/2021, ст. 274.1 ч. 1

Доморощенный хакер решил использовать оборудование компьютерного клуба для установки специализированного ПО и поиска уязвимостей в вебсайтах. В качестве объекта поиска был выбран муниципальный сайт, который суд на основе применения определения из 187-ФЗ отнес к объектам критической информационной инфраструктуры. Из судебного акта не понятно, каким образом вскрылись эти действия, но тем не менее дело было открыто. Логи на десктопе в компьютерном клубе подтвердили факт преступления.

Подсудимый признал свою вину, согласился на особый порядок рассмотрения дела.

Приговор: 1 год исправительных работ условно.

Пермь, дело No 1-181/2021, ст. 274.1 ч. 4

Это дело оказалось наиболее любопытным как с точки зрения запутанности обстоятельств, так и с точки зрения судебного решения. Сотрудник оборонного предприятия решил помочь знакомой, уходившей на дистанционное обучение, найти активатор лицензии для офисного пакета известного производителя. Со служебного компьютера он скачал активатор, решив его проверить на работоспособность, и в нагрузку получил троян. При этом антивирус на рабочем месте оказался просроченным и не обновленным, хотя суд не исключил, что обвиняемый специально внес в него исключение для запуска активатора, – это обстоятельство следствию установить не удалось.

В результате троян в течение некоторого времени отправлял хартбит на ip-адрес, находящийся на территории США, что включило сигнал тревоги на межсетевом экране.

Обвинение было предъявлено по ст. 273 ч. 2 и ст. 274.1 ч. 4.

Суть судебного расследования заключалась в том, чтобы подтвердить или исключить вред, причиненный сети оборонного предприятия, которое, само собой, является субъектом КИИ. Трафик, отправлявшийся за пределы периметра, по объемам не мог содержать никакой ценной информации, сам троян был удален вместе с переустановкой операционной системы. Более того, экспертами высказывалось мнение, что активатор, будучи скачанным из сети субъекта КИИ, мог получать в нагрузку троян, а при скачивании, например, с адресов обычных домохозяйств такую нагрузку не получал.

Кроме этого, в судебном акте зафиксирована любопытная гипотеза, объясняющая отсутствие активных действий со стороны трояна: он мог понять, что находится в сети объекта КИИ, и самостоятельно деактивироваться, поняв всю серьезность обстоятельств.

Тем не менее, поскольку никакого наблюдаемого вреда сети объекта КИИ выявлено не было, суд оправдал подсудимого по ст. 274.1 ч. 4, оставив только ст. 273.2.

Приговор: 1 год ограничения свободы (на ночное время).

Волгоград, дело No 1-215/2021, ст. 274.1 ч. 1

Помощник машиниста решил пройти тестирование на получение допуска к выезду с помощью бота – специального ПО, устанавливаемого на тестирующий компьютер. Автоматизированная система для тестирования машинистов является ОКИИ. Бот с флешки был установлен, тестирование пройдено на «отлично», допуск получен.

Затем, согласно материалам дела, подсудимый явился с повинной. Суд прошел в особом порядке.

Приговор: 2 года условно и штраф 50 тыс. руб.

Иваново, дело No 1-88/21, ст. 274.1 ч. 4

Сотрудник салона сотовой связи выписывал клиентам через автоматизированную систему, являющуюся ОКИИ, сим-карты без их согласия. Один из клиентов, купивший два мобильных телефона, обнаружил в своем чеке и симкарту, после чего обратился напрямую к оператору. С помощью системы видеонаблюдения был выявлен виновный, на предварительном следствии он признал вину.

Приговор: 3 года условно.

Волгоград, дело No 1-108/2021, ст. 274.1 ч. 4

Директор салона сотовой связи поддалась на уговоры знакомого и сливала за вознаграждение детализацию звонков по запросу. Подсудимая пользовалась не только своим легальным доступом к информационной системе, являющейся ОКИИ, но и доступом своих подчиненных. Вину признала.

Приговор: 3 года и 6 месяцев лишения свободы условно с лишением права заниматься деятельностью в сфере предоставления услуг связи, связанной с соблюдением конфиденциальности информации, доступ к которой ограничен федеральными законами, сроком на 1 год.

Калуга, дело No 1-1-362/2021, ст. 274.1 ч. 4

Сотрудник салона сотовой связи передавал детализацию телефонных звонков абонентов неустановленному лицу за вознаграждение. Автоматизированная система, откуда копировалась информация, является ОКИИ.

Приговор: 3 года условно.

Комментарий эксперта

Евгений Царев , управляющий RTM Group

До введения ст. 274.1 УК РФ судами в отношении КИИ применялась ст. 274 УК РФ, где для наступления ответственности требовался ущерб в размере от 1 млн руб.

Это резко сокращало количество рассматриваемых дел, оставались в производстве только случаи причинения крупного ущерба. Но ст. 274.1 сняла минимальный порог наступления ответственности, и правоприменительная практика поменялась: стало приниматься больше обвинительных приговоров в отношении лиц, причинивших вред КИИ.

Обзор дел показывает, что под действие ст. 274.1 попадают либо злоумышленники, преследующие цель обогащения, либо лица, наносящие непреднамеренный ущерб объектам критической инфраструктуры.

Причем злоумышленники могут уже иметь легитимный привилегированный доступ к объектам КИИ (сотрудники субъектов КИИ), а могут получать его незаконным образом с помощью специального хакерского программного обеспечения.

Ко второй же категории относятся, к примеру, сотрудники организаций – субъектов КИИ, которые по незнанию использовали вредоносное программное обеспечение, что и стало причиной уничтожения информации, содержащейся в ОКИИ.

Интересен вопрос, будет ли ст. 274.1 активно применяться к отделам ИБ, недостаточно защищающим вверенные им объекты.

Но на настоящий момент прогнозировать такую правоприменительную практику довольно сложно. Кроме того, с момента появления ст. 274.1 в нее неоднократно предлагались правки, которые, впрочем, так и не были приняты. Так, к примеру, в 2020 г. Минэкономразвития как раз и предлагало уточнить формулировки статьи в части установления минимального порогового ущерба, однако предложение осталось без рассмотрения.

В любом случае фигурантами дел, скорее всего, не окажутся сотрудники организаций – субъектов КИИ обученные основам информационной безопасности на рабочем месте, – им была объяснена важность безопасности КИИ и ее суть.

Сотрудники прошли подробный инструктаж, тестирование и только после этого были допущены к непосредственной работе с объектами КИИ. Вряд ли окажутся фигурантами таких дел и лица, для которых установлена материальная ответственность за нарушение должностных обязанностей, в том числе за нарушение работы КИИ, в качестве дополнительного барьера.

Юридическая ответственность субъекта КИИ

Прошлый, 2021-й, год был “богат” на внесение серьезных изменений в законодательные акты по вопросам безопасности критической информационной инфраструктуры, в том числе и касающиеся ответственности за нарушение законодательства. Попробуем разобраться, какая ответственность и за какие действия (бездействие) предусмотрена для субъектов КИИ.

Автор: Константин Саматов , руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Юридическая ответственность и ее виды

Напомню, что юридическая ответственность – это применение к правонарушителю предусмотренных санкцией юридической нормы мер государственного принуждения, выражающихся в форме лишений личного, организационного либо имущественного характера [1].

Юридическая ответственность бывает нескольких видов: уголовная, административная, гражданско-правовая, дисциплинарная и материальная [2].

Для субъектов КИИ (как субъектов юридической ответственности) наиболее актуальными являются уголовная, административная и гражданско-правовая ответственность. В части гражданско-правовой – каких-либо особенностей для субъекта КИИ нет. Следует лишь отметить, что в результате компьютерного инцидента может быть причинен реальный ущерб и/или моральный вред, например в случае утечки персональных данных из информационной системы, являющейся объектом КИИ.

Уголовная и административная ответственность, помимо общих норм, связанных с наказанием за совершение киберпреступлений (статьи 272–274 УК РФ [3]) и правонарушений в сфере защиты информации (статьи 13.11, 13.12, 13.13, 13.14, 13.14.1, 19.7 КоАП РФ [4]) имеют ряд специализированных в части КИИ составов. Рассмотрим их более подробно.

Уголовная ответственность в сфере КИИ

С 1 января 2018 г. вступила в силу специальная статья УК РФ, посвященная охране критической информационной инфраструктуры – ст. 274.1. «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», содержащая описание трех основных составов преступления, один из которых является формальным (ч. 1), то есть для его применения достаточно выполнения описанных в нем действий, а остальные (ч.

2 и 3) – материальными, требующими наличия вреда, а также двух квалифицированных составов (ч. 4 и 5):

1. Состав с отягчающими обстоятельствами, который, помимо признаков основного состава, содержит специальные признаки, увеличивающие наказуемость по сравнению с основным составом (квалифицированный состав).
2. Состав с особо отягчающими обстоятельствами, придающий преступлению более высокую общественную опасность (особо квалифицированный состав).

Части 1, 2 и 3 ст. 274.1 УК РФ практически полностью дублируют первые части ст. 272, 273 и 274 УК РФ, разница лишь в предмете преступного посягательства. Если в ст.

272–274 предметом является любая информационная инфраструктура, то в ст. 274.1 – только та, которая отнесена, в соответствии с законодательством, к критической.

По сути, ст. 274.1 не является какой-то новеллой, а представляет собой сборник статей гл. 28 «Преступления в сфере компьютерной информации» УК РФ применительно к сфере КИИ.

Об этом, в частности, свидетельствует и судебная практика. Так, согласно материалам исследования судебной практики по преступлениям, связанным с неправомерным воздействием на критическую информационную инфраструктуру Российской Федерации, проведенного компанией InfoWatch [5], в 2021 г. по одному из уголовных дел, возбужденных по ст. 274.1 УК РФ, обвинение в итоге было предъявлено по ст.

273 УК РФ.

Статистика уголовных дел по ст. 274.1 УК РФ, согласно исследованию компании InfoWatch, выглядит следующим образом: 2019 г. – 4 уголовных дела, 2020 г. – 12 уголовных дел, 2021 г. – 17 уголовных дел. Самой строгой мерой наказания по ст.

274.1 УК РФ за 2019– 2021 гг. стало наказание в виде условного осуждения на срок три года и штрафа в размере 70 тыс. руб.

Помимо предмета преступного посягательства отличие ст. 274.1 УК РФ от других статей содержится еще и в подследственности: предварительное следствие по уголовным делам, возбужденным по данной статье, производится следователями ФСБ России [6].

Переходя к ответственности субъекта КИИ, хотелось бы коснуться ч. 3 ст. 274.1 УК РФ, традиционно считающейся содержащей состав преступления, предусматривающий ответственность субъекта КИИ. Проведенный автором анализ показывает, что такое мнение не совсем верное. Суть данной нормы в том, что уголовной ответственности подлежит лицо, нарушившее правила эксплуатации и/или доступа к компонентам критической информационной инфраструктуры, что повлекло причинение вреда охраняемым законом интересам, то есть, по сути, интересам субъекта КИИ, установившего эти правила.

Иными словами, ч. 3 ст. 274.1 УК РФ содержит состав, охраняющий интересы субъекта КИИ, а не направленный против его интересов. Важно отметить, что субъективная сторона состава данного преступления характеризуется двумя формами вины.

Нарушение правил эксплуатации и доступа может совершаться как умышленно, при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа (например, системный администратор компании установил на элемент инфраструктуры программное обеспечение для майнинга криптовалюты, не включенное в перечень разрешенного), так и по неосторожности: программист, работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы [7]. Поэтому основной субъект данного преступления – это, как справедливо замечают некоторые эксперты [8], сотрудник субъекта КИИ, то есть, говоря языком специалиста по информационной безопасности, внутренний нарушитель.

Административная ответственность в сфере КИИ

Федеральным законом от 26 мая 2021 г. № 141-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» были введены два специальных состава административных правонарушений, касающихся субъектов КИИ:

• ст. 13.12.1. «Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации»;
• ст. 19.7.15. «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации».

Как и в случае с уголовными преступлениями, составы административных правонарушений являются специальными по отношению к общим составам: ст. 13.12 «Нарушение правил защиты информации» и ст. 19.7 «Непредставление сведений (информации)».

Как и в случае с уголовными преступлениями, разница между общими и специальными составами состоит в предмете противоправного посягательства и специфике должностных лиц, уполномоченных рассматривать дела об административных правонарушениях, коими являются сотрудники ФСТЭК [9] России и ФСБ России (ст. 23.90, 23.91 КоАП РФ). Кроме того, ввиду значимости предмета правонарушения санкции (штрафы), предусмотренные данными составами, значительно выше.

Если ч. 6 ст. 13.12 КоАП РФ предусматривает ответственность за нарушение любых требований о защите информации, то ст. 13.12.1 КоАП РФ – только за требования, предусмотренные в приказах ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239 и приказах ФСБ России от 24.07.2018 № 368 и от 19.06.2019 № 282. Соответственно, максимальный размер штрафа для юридических лиц по ч. 6 ст. 13.12 КоАП РФ составляет 50 тыс. руб., а по ч. 1 ст.

13.12.1 КоАП РФ – 150 тыс. руб. (минимальный – 50 тыс. руб.).

При этом, если в части объективной стороны состава правонарушения [10], предусмотренного ст. 13.12.1 КоАП РФ, все достаточно прозрачно (по крайней мере, автор не видит сложности в ее толковании), то вот с толкованием ст. 19.7.15 КоАП РФ есть определенные сложности (в том числе с которыми автору уже пришлось столкнуться на практике).

Так, ч. 1 ст. 19.7.15 КоАП РФ предусматривает ответственность за два вида бездействия:

• непредоставление во ФСТЭК России сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости ее присвоения, предусмотренных законодательством, то есть субъект КИИ утвердил и направил во ФСТЭК России перечень объектов КИИ, подлежащих категорированию, но не завершил категорирование в максимально установленный срок (один год) либо завершил категорирование, но «забыл» отправить сведения;
• нарушение сроков предоставления во ФСТЭК России сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости ее присвоения, предусмотренных законодательством, то есть субъект КИИ категорировался, но своевременно сведения во ФТЭК России не предоставил, а предоставил их уже по истечении установленного законодательством срока (10 рабочих дней со дня утверждения акта категорирования или утверждения требований к создаваемому объекту КИИ).

Как видно, в ч. 1 ст. 19.7.15 КоАП РФ отсутствует характерная для общего состава ответственность за действия – предоставление неполных или неверных сведений. В настоящий момент рассматриваются поправки в данную статью [11], предусматривающие ответственность за:

• предоставление во ФСТЭК России неактуальных сведений о категорировании, то есть субъект КИИ не включил в сведения все важные (значимые), по мнению регулятора, данные на момент их предоставления;
• предоставление во ФСТЭК России недостоверных сведений о категорировании, то есть субъект КИИ представил искаженные сведения о категорировании.

Планируется также дополнить ст. 19.7.15 так называемым рецидивом, то есть предусмотреть ответственность за повторное совершение правонарушения, предусмотренного ч. 1 этой статьи.

Часть 2 ст. 19.7.15 также не менее интересна. В ней предусмотрена ответственность за непредоставление или нарушение порядка либо сроков предоставления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, за исключением случаев, предусмотренных ч. 2 ст.

13.12.1 КоАП РФ.

Объективная сторона состава данного правонарушения выражается в непредоставлении или нарушении сроков и порядка предоставления информации, описанных в утвержденных приказом ФСБ России от 24.07.2018 № 367 перечне информации, предоставляемой в ГосСОПКА, и порядке ее предоставления (далее по тексту – перечень информации).

Таким образом, ответственность за совершение правонарушения, предусмотренного в ч. 2 ст. 19.7.15 КоАП РФ, несут:

• должностные лица ФСТЭК России – п. 1–4 перечня информации;
• субъекты КИИ, в случае нарушения правил предоставления информации в ГосСОПКА в отношении компьютерных инцидентов на объектах КИИ, не имеющих категории значимости (п. 5–6 перечня информации), в отношении значимых объектов КИИ, – несут ответственность по ч. 2 ст. 13.12.1 КоАП РФ, в силу наличия соответственной отсылки.

В заключение хотелось бы отметить, что я постарался кратко и на понятном широкому кругу читателей языке рассмотреть толкование правовых норм, предусматривающих ответственность за правонарушения (преступления) в сфере КИИ. Для более полного и углубленного понимания рекомендую обратиться к постатейным комментариям УК РФ и КоАП РФ.

1. Теория государства и права. Учебник для юридических вузов и факультетов. Под ред. В.М. Корельского и В.Д. Перевалова. М.: Издательская группа ИНФРА–М—НОРМА. 1997.
2. Согласно наиболее распространенной на практике классификации по отраслевому признаку.
3. Уголовный кодекс Российской Федерации
4. Кодекс об административных правонарушениях Российской Федерации.
5. https://www.infowatch.ru/analytics/analitika/issledovanie-sudebnykh-del-o-nepravomernom-vozdeystvii-na-kii
6. Федеральная служба безопасности Российской Федерации.
7. Пример взят из документа “Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации” (утв. Генпрокуратурой России).
8. https://www.iksmedia.ru/articles/5868262-KII-vrag-vnutri.html
9. Федеральная служба по техническому и экспортному контролю Российской Федерации.
10. Внешние признаки проявления правонарушения: действия, бездействие, способ совершения, последствия и т.п.
11. https://regulation.gov.ru/projects#npa=124438