Журнал "Information Security/ Информационная безопасность" #4, 2022

Введение ст. 274.1 в Уголовный кодекс было продиктовано необходимостью обеспечить надлежащее исполнение одновременно принятого Федерального закона № 187 от 26.07.2017 г. "О без- опасности критической информационной инфраструктуры Российской Федерации" путем установления мер уголовной ответственности в случаях существен- ного нарушения установленных законом требований, ограничений и запретов. Но раскрыть преступление, связанное с неправомерной манипуляцией ком- пьютерными данными, привлечь квали- фицированного хакера к уголовной ответственности – задачи непростые, а статистика расследования уголовных дел по ст. 274.1. УК РФ в районе "около ноля" просто недопустима в соответствии с устоявшимися взглядами правоохра- нительных органов. С учетом подобных реалий органы обвинения начали формировать судеб- ную практику по ст. 274.1. УК РФ в отно- шении работников медицинских учреж- дений по фактам оформления ложных сертификатов о прохождении вакцина- ции от COVID-19, в отношении сотруд- ников салонов связи, оформлявших сим- карты на чужие или вымышленные пас- портные данные. Встречаются и случаи привлечения к ответственности кассиров АЗС за списание бонусных начислений с топливных карт клиентов, а также факты привлечения к ответственности сотрудников почтовых отделений, кото- рые в целях выполнения плана оформ- ляли банковские карты с использовани- ем паспортных данных клиентов отде- ления. Суть обвинения по всем вышеописан- ным случаям достаточно схожа. Обви- няемым лицам инкриминируется осу- ществление с использованием служеб- ных полномочий неправомерного досту- па к компьютерным системам, отнесен- ным законом к ОКИИ, повлекшего за собой их модификацию путем внесения в базы данных недостоверной инфор- мации. Следствие полагает, и суды с этим соглашаются, что, внося недосто- верные сведения в информационные системы КИИ, обвиняемые лица нару- шают целостность этой информационной системы, в результате чего циркули- рующие в системе сведения теряют объ- ективность, достоверность и актуаль- ность. Подобное применение закона вызы- вает логичный вопрос о сопоставимости общественной опасности вышеописан- ных действий и предусмотренной зако- ном суровостью уголовного наказания по ст. 274.1 УК РФ. Если руководство- ваться подобным взглядом правопри- менителей, получается, что если лицо внесло запись о ложной вакцинации на бумажный носитель, например в журнал учета профилактических прививок по форме 064/у, то ответственность по ст. 274.1 УК РФ ему не грозит. Но если же внесение должностным лицом такой записи в буквальном смысле было осу- ществлено с помощью клавиатуры, то подобные действия расцениваются уго- ловным законом как совершение тяжко- го преступления, влекущего за собой назначение наказания в виде лишения свободы на срок от 3 до 8 лет. Очевидно, что подобная практика при- менения ст. 274.1 УК РФ не может рас- цениваться как адекватная. Вряд ли законодатель вкладывал в уголовный закон посыл столь жесткого уголовного преследования за внесение не соответ- ствующих действительности данных в информационные базы. Виновником подобного правового перекоса является неверное понимание и толкование норм уголовного закона в системе общего правового регулирования. Сформулируем два ключевых вопро- са. 1. Могут ли вышеописанные случаи нарушения целостности информацион- ных систем КИИ расцениваться как совершение преступлений по ст. 274.1 УК РФ? 2. Какие правовые аспекты следует в обязательном порядке устанавливать и процессуально оценивать по уголов- ным делам о нарушении безопасности критической информационной инфра- структуры Российской Федерации? Согласно диспозиции ст. 274.1 УК РФ уголовным законом преследуется непра- вомерное воздействие на компьютерную информацию, если оно повлекло причи- нение вреда критической информацион- ной инфраструктуре Российской Феде- рации. Как неоднократно подчеркивал Конституционный Суд Российской Феде- рации, любое преступление должно быть четко определено в законе таким обра- зом, чтобы, исходя непосредственно из текста нормы, каждый мог предвидеть уголовно-правовые последствия своих действий или бездействия. Уголовная ответственность за правонарушения может считаться законно установленной, когда преступное деяние ясно и четко определено уголовным законом, встроенным в общую систему правового регулирования. Кроме того, оценка сте- пени определенности содержащихся в уголовном законе понятий должна осу- ществляться исходя не только из самого текста закона, используемых формули- ровок, но и из их места в системе нор- мативных предписаний. Безусловно, в систему правового регу- лирования отношений, охраняемых ст. 274.1 УК РФ, входит и 187-ФЗ, кото- рый был введен в национальное законо- дательство одновременно с изменениями в Уголовном кодексе Российской Феде- рации о наказуемости противоправных действий, связанных с безопасностью КИИ. Внимательное изучение норм 187-ФЗ позволяет сделать выводы о том, какие именно общественные отношения охра- няет ст. 274.1 УК РФ и наступление каких именно негативных последствий расценивается как нарушение охраняе- мого законом порядка. 4 • ПРАВО И НОРМАТИВЫ Критическая оценка правоприменительной практики по статье 274.1 УК РФ удебную практику по ст. 274.1 УК РФ по состоянию на середину 2022 г. нельзя признать обширной. В правовом сообществе ожидалось, что ст. 274.1 УК РФ будет расцениваться как специальная норма уголовного закона по отношению к ст. 272, 273 и 274 УК РФ и найдет свое применение при расследовании инцидентов с информационными системами, особо охраняемыми законом о безопасности КИИ. Какие же случаи пополнили судебную статистику привлечения к ответственности по ст. 274.1 УК РФ? С Павел Домкин, адвокат