Журнал "Information Security/ Информационная безопасность" #2, 2020

Петропавловск- Камчатский Первое дело (№ 1- 345/2019), где появилось обвинение по этой статье, было рассмотрено в Пет- ропавловске-Камчатском 31 мая 2019 г. Постра- давшие объекты КИИ – два сайта Роскомнадзора, для неправомерного воздействия на них использовалось специальное программное обеспечение, выполняющее функции нагру- зочного тестирования интернет- ресурсов. Саму такую функцио- нальность суд определил как "заведомо предназначенную для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для бло- кирования информации, содер- жащейся в ней". В результате доступ к сайтам был затруднен в общей сложности примерно на 25 мин. Подсудимый раскаялся и был полностью освобожден от уголовной ответственности. Волгоград Чуть позже та же ч. 1 ст. 274.1 УК РФ фигурировала в деле № 1-337/2019 от 16.08.2019 г. в Волгограде. Подробности уго- ловного дела неизвестны, но оно было прекращено в ходе первого заседания, подсудимый получил судебный штраф, согла- сился на полное возмещение ущерба и был освобожден от уголовной ответственности. Владивосток Следующие два дела были рассмотрены в сентябре того же 2019 г. во Владивостоке. Оба они связаны с осуществ- лением неправомерного досту- па к охраняемой компьютерной информации. По делу № 1-376/2019 было выявлено причинение имуще- ственного вреда оборонному предприятию – субъекту КИИ. Группа из трех лиц с помощью специализированного ПО про- никла через протокол RDP в компьютеры оборонного пред- приятия, зашифровала данные на жестком диске и потребова- ла выкуп, судя по сумме в руб- лях, в размере одного биткойна. Суд принял во внимание явку с повинной и добровольное воз- мещение ущерба и в особом порядке назначил наказание – по два года условно каждому из подсудимых. В деле № 1-368/2019 от 25.09.2019 г. выявлены нару- шения правил эксплуатации и предъявлены обвинения по ч. 4 ст. 274.1 УК РФ (служебное положение) работнику субъекта КИИ. Сотрудница отдела про- даж компании связи в день увольнения скопировала из автоматизированной системы персональные данные абонен- тов и отправила по электронной почте своему знакомому. Под- судимая признала вину, судеб- ное рассмотрение прошло в особом порядке, вынесено наказание – три года лишения свободы условно. l 22 • ПРАВО И НОРМАТИВЫ Краткий обзор судебной практики по применению статьи 274.1 Уголовного кодекса РФ ст. 274.1 УК РФ предусмотрена уголовная ответственность за неправомерное воздействие на КИИ РФ с помощью создания, распространения или использования компьютерных программ. Статистически значимой судебной практики по применению ст. 274.1 УК РФ пока нет, ниже приведен краткий обзор нескольких судебных дел. В Алексей Подмарев, Ассоциация руководителей служб информационной безопасности (АРСИБ), Комитет по безопасности критической информационной инфраструктуры Следует отметить, что под правилами эксплуатации, упоминаемыми в судебных процессах, понимаются не только внутренние нормативные акты организации, которой принадлежит информационная система, но и правила, определяющие порядок работы с ЭВМ, – нормативные акты, государственные стандарты, инструкции, правила, техническое описание, положение, приказы и т.д., установленные изготовителями оборудования, разработчиками ПО, а также компетентными государственными органами. Мнение, что только субъект КИИ (владелец информационной системы) может устанавливать правила эксплуатации объекта КИИ, является ошибочным. Приказ № 239 ФСТЭК требует от субъекта КИИ проводить анализ уязвимостей на периодической основе и выполнять управление обновлениями. Когда (и если будет) реализована успешная атака на объект КИИ с причинением существенного вреда, невыполнение этих требований будет квалифицировано как уголовное преступление, ответственность за которое лежит на субъекте КИИ. Понятие "существенный вред" – оценочное. Эта неоднозначность в сочетании с большим сроком давности может сделает статью удобной для оказания давления со стороны следствия. Владельцы объекта информационной инфраструктуры, понимая, что самостоятельно должны определить, относятся ли они к субъектам КИИ, предпочитают указать, что таковыми не являются, или пытаются передать сервисное обслуживание имеющихся информационных ресурсов другому юридическому лицу. Оператор, которому передан на эксплуатацию информационный ресурс, может не попадать под действия 187-ФЗ и не знать, для обеспечения каких процессов используется инфраструктура. Была ли присвоена правильная категория значимости или категорирование вообще не проводилось, для уголовной ответственности не играет никакой роли. Ст. 274.1 УК РФ распространяется даже на тех владельцев систем, которые не провели категорирование и не считают себя субъектами КИИ. Ваше мнение и вопросы присылайте по адресу is@groteck.ru