Журнал "Information Security/ Информационная безопасность" #4, 2022

Целенаправленные атаки на объекты КИИ Первое, на что следует обратить вни- мание, – это сфера действия 187-ФЗ. В ст. 1 закреплено, что он регулирует отношения в области обеспечения без- опасности критической информацион- ной инфраструктуры Российской Феде- рации в целях ее устойчивого функ- ционирования при проведении в отно- шении нее компьютерных атак. Таким образом, вред, причиняемый уголовно наказуемым деянием по ст. 274.1 УК РФ, должен быть нераз- рывно связан с нарушением состояния защищенности (безопасности) крити- ческой информационной инфраструк- туры при целенаправленном воздей- ствии на нее программных и/или про- граммно-аппаратных средств. Такие правовые понятия, как целост- ность, объективность, достоверность и актуальность компьютерной инфор- мации в системе КИИ, фигурирующие в рассматриваемых примерах судебной практики, в 187-ФЗ даже не упоми- наются и, соответственно, именно дан- ным федеральным законом не охра- няются. Кроме того, 187-ФЗ недвусмысленно указывает, что область его применения связана с обеспечением устойчивости к компьютерным атакам, направлен- ным на нарушение и/или прекращение функционирования объектов КИИ и/или создания угрозы безопасности обрабатываемой такими объектами информации. Соответственно, целью специального закона о безопасности КИИ и обеспечивающей его исполне- ние ст. 274.1 УК РФ является обес- печение устойчивости информацион- ных систем при совершении на них целенаправленных компьютерных атак. Противоправные действия, связанные с корректировкой информации, содер- жащейся в КИИ, или с внесением в нее недостоверных сведений никоим обра- зом не отражается на устойчивости функционирования объектов КИИ. Вышеуказанные примеры из судеб- ной практики, по мнению автора, не могут образовывать состава преступ- ления, предусмотренного ст. 274.1 УК РФ, поскольку они не связаны с нару- шением работоспособности объектов КИИ и не выполняются с помощью компьютерных атак. Вред, наносимый объектам КИИ? Вторым ключевым моментом в уго- ловных делах рассматриваемой кате- гории является вопрос правильной про- цессуальной оценки вреда, наступление которого образует состав преступления по ст. 274.1 УК РФ. Вред, в понимании данной статьи, является оценочной категорией. Факт его причинения опре- деляется органом следствия и судом в каждом конкретном случае. Для надлежащего понимания кате- гории "вред" по ст. 274.1. УК РФ логич- но вновь обратиться к положению вышеуказанного специального закона, поскольку он содержит в себе указание, на предотвращение каких именно последствий он направлен. Из сово- купного анализа положений ст. 1 и 2 187-ФЗ следует, что нарушение работы и прекращение деятельности инфор- мационных систем, информационно- телекоммуникационных сетей, АСУ субъектов КИИ признается причинени- ем вреда охраняемым законом право- вым отношениям. Ст. 7 закона дает более детальное описание причинения вреда, а именно: прекращение или нарушение функцио- нирования объектов обеспечения жиз- недеятельности населения, транспорт- ной инфраструктуры, сетей связи, а также максимальное по времени отсутствие доступа к государственной услуге для получателей услуг. Автор полагает, что в этой статье законода- тель дал правовой ориентир на право- вые последствия, расцениваемые как тяжкие, наступление которых должно квалифицироваться по ч. 5 ст. 274.1 УК РФ. Таким образом, Федеральный закон 187-ФЗ и ст. 274.1 УК РФ определяют, что вред, причиняемый критической информационной инфраструктуре Рос- сийской Федерации, состоит в наруше- нии и/или прекращении функциониро- вания объектов КИИ и/или создании угрозы безопасности обрабатываемой такими объектами информации. Данные, влияющие на работоспособность объекта КИИ Как уже отмечалось ранее, цель 187-ФЗ – это поддержание устойчивого функционирования критической инфор- мационной инфраструктуры при ком- пьютерных атаках. Руководствуясь закрепленными в ст. 2 закона право- выми понятиями, преступными по ст. 274.1 УК РФ признаются действия, посягающие на безопасность значимых объектов в области здравоохранения, науки, транспорта, связи, энергетики, в банковской и иных сферах финансо- вого рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, гор- нодобывающей, металлургической, химической промышленности и других областях. Значимым объектом КИИ признается объект, которому присвоена одна из категорий значимости и который вклю- чен в соответствующий реестр. Крите- рии значимости объектов определяются в соответствии с постановлением Пра- вительства РФ № 127 от 08.02.2018 г., которое признает таковыми показатели возможного причинения ущерба жизни и здоровью людей, возможного пре- кращения или нарушения функциони- рования объектов обеспечения жизне- деятельности населения, транспортной инфраструктуры, сетей связи, возмож- ного прекращения или нарушения про- ведения клиентами операций по бан- ковским счетам и т.д. Иными словами, названные нормы очерчивают круг информационных дан- ных, неправомерное воздействие на которые оказывает влияние на устой- чивое функционирование объектов КИИ, и посягательство на которые представляет реальную опасность для интересов общества, безопасности граждан и государства. Очевидно, что неправомерное воз- действие на автоматизированную систему управления транспортным потоком или подстанцию электросетей, в результате которого нарушается или прекращается функционирование этих объектов, должно преследоваться по ст. 274.1 УК РФ, поскольку объектом преступного посягательства здесь являются критические важные инфор- мационные системы, связанные с лич- ной и общественной безопасностью. В то же время в судебной практике присутствуют такие прецеденты при- влечения к ответственности по ст. 274.1 УК РФ, когда рядовой сотрудник значи- мого объекта КИИ внес изменение в систему учета рабочего времени, скрыв подобным образом факт своего опоз- дания на рабочее место. Вопрос "Каким образом сотрудник повлиял на инфор- мационные данные, отвечающие за устойчивую работоспособность объекта КИИ?" скорее риторический. По мнению автора, инициация уго- ловного преследования за воздействие на объект КИИ без установления кон- кретного предмета посягательства является недопустимой. В каждом слу- чае правоприменитель обязан устано- вить, находится ли подвергшаяся неправомерному воздействию инфор- мационная система или информация в прямой технической взаимосвязи с устойчивостью функционирования объекта КИИ по своему основному предназначению, например, была ли компьютерная атака направлена на прекращение подачи электроэнергии потребителям или на организацию сбоя в работе светофорного регули- рования дорожной сети. Случаи неправомерного доступа к ком- пьютерной информации, напрямую не затрагивающей основную деятельность объекта КИИ, например изменение содержимого интернет-сайта такого объ- екта, не могут квалифицироваться как совершение преступления по ст. 274.1 УК РФ. l • 5 ПРАВО И НОРМАТИВЫ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru