ЮрФак: изучение права онлайн

Неправомерное воздействие на критическую информационную инфраструктуру: уголовная ответственность ее владельцев и эксплуатантов

Автор: Трунцевский Ю.В.

Переход к информационному обществу в России приводит к тому, что значительное число бизнес-процессов и систем управления в стратегических отраслях экономики и государственного управления осуществляется на основе информационных технологий[1]. Национальное благополучие во многом сейчас зависит от безопасной и устойчивой критической инфраструктуры (системы и сети, лежащие в основе организации общества). Причинение критической информационной инфраструктуре (далее — КИИ) ущерба может привести к разрушающим и необратимым последствиям для их защищенности, а исходя из того, что КИИ выступает связующим звеном между другими областями национальной инфраструктуры, это неизбежно приведет к негативным для них последствиям.

"Многие киберинциденты становятся возможными из-за отсутствия устойчивости и надежности инфраструктуры частных и общественных сетей, плохо защищенных баз данных и других недостатков в критической информационной инфраструктуре"[2].

Современное киберпространство характеризуется неадекватностью кибербезопасности[3]. В последние годы существенно увеличилось число инцидентов, связанных с компьютерными атаками[4], и злоумышленники постоянно находят новые способы их совершения. По оценкам ФСБ России, в 2016 г. было зафиксировано около 70 млн попыток атак на объекты КИИ России[5]. По наблюдениям экспертов в сфере информационной безопасности, в 2017 г. число АРТ-атак выросло в два раза[6]. Последняя крупная мировая кибератака[7] произошла в мае 2017 г. — хакеры запустили в сеть вирус WCry, который поразил сначала больницы Великобритании, а потом стал распространяться и на другие страны. Вирус атаковал компьютеры в Бельгии, Германии, во Франции, в Португалии, Испании, Китае, США, Бразилии, Украине, Италии, Индии, Чехии, Турции, Канаде, России и других странах (жертвами стали пользователи 75 стран)[8].

Согласно ст. 14 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее — Закон о безопасности КИИ) "нарушение требований настоящего Федерального закона и принятых в соответствии с ним иных нормативных правовых актов влечет за собой ответственность в соответствии с законодательством Российской Федерации". За нарушение законодательства о безопасности КИИ предусмотрена уголовная ответственность.

"Именно масштабы потенциальной общественной опасности стали поводом для разработки и принятия данного Федерального закона"[9]. В целях формирования нормативной базы в части уголовной ответственности за нарушения Закона о безопасности КИИ был принят Федеральный закон от 26 июля 2017 г. N 194-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации", вносящий изменения в УК РФ.

В Уголовный кодекс включена специальная ст. 274.1 "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации", подследственность уголовных дел по которой (наряду со ст. ст. 272, 273 и 274) передана ФСБ России, а также следователям органа, выявившего эти преступления (ч. 5 ст. 151 УПК РФ). Данные изменения вступили в силу с 1 января 2018 г., и пока какая-либо судебная практика по преступлениям, описанным в ч. ч. 3 — 5 ст. 274.1 УК РФ, отсутствует[10].

Части 3 — 5 ст. 274.1 УК РФ распространяются на владельцев/эксплуатантов КИИ. Санкции за совершение данных деяний предусматривают, с учетом различных квалифицирующих признаков, такие наказания, как штраф, принудительные работы, лишение свободы с лишением права занимать определенные должности или заниматься определенной деятельностью.

Объектом преступления (ч. ч. 3 — 5 ст. 274.1 УК РФ) выступают общественные отношения по обеспечению правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в вышеуказанных системах, а также правил доступа к указанным объектам.

Предметом преступления (ч. ч. 3 — 5 ст. 274.1 УК РФ) являются КИИ России; информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, сети электросвязи, относящиеся к КИИ Российской Федерации. Под КИИ понимаются ИТ-системы государственных и коммерческих организаций, сбои в которых (в том числе в результате хакерских атак) могут привести к тяжелым социальным, политическим, экологическим и прочим последствиям.

Термин "критическая" относится к инфраструктуре, которая при выведении из строя или разрушении приведет к катастрофическому и далеко идущему ущербу. Критическая инфраструктура страны обеспечивает ключевые услуги, которые лежат в основе российского общества.

Понятие критической информационной инфраструктуры Российской Федерации содержится в п. 6 ст. 2 Закона о безопасности КИИ; информационной системы — в ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"[11]; информационно-телекоммуникационной сети — в п. 4 ст. 2 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"; автоматизированной системы управления — в п. 1 ст. 2 Закона о безопасности КИИ; сети электросвязи (средства связи) — в п. 28 ст. 2 Федерального закона от 7 июля 2003 г. N 126-ФЗ "О связи".

Итак, в составе КИИ выделяются информационная и телекоммуникационная среды.

Информационная среда КИИ представляет собой совокупность вычислительных и информационных ресурсов, образующих автоматизированную систему управления технологическими процессами критически важных объектов (АСУ ТП КВО). При этом вычислительные ресурсы формируются системой локальных вычислительных сетей, других программных средств и средств вычислительной техники и могут быть использованы для организации распределенных вычислений (например, при моделировании сложных социальных и физических процессов, дешифровке зашифрованного кода).

Телекоммуникационная среда КИИ образуется совокупностью телекоммуникационных устройств; линий связи и каналообразующего оборудования; систем открытых протоколов обмена информацией между телекоммуникационными устройствами; глобальной системы цифровых адресов и доменных имен (цифровых идентификаторов); программного обеспечения, реализующего алгоритмы, методы и процессы телекоммуникационной связи на основе протоколов взаимодействия локальных вычислительных сетей и предоставляющего доступ к ним и иным средствам автоматизированной обработки информации.

Субъектами КИИ согласно п. 8 ст. 2 Закона о безопасности КИИ являются государственные органы и учреждения, российские юридические лица и (или) индивидуальные предприниматели. Данным субъектам на праве собственности, аренды или на ином законном основании должны принадлежать информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления. Такие объекты должны функционировать в следующих сферах: здравоохранение, наука, транспорт, связь, энергетика, банковская и иные сферы финансового рынка, ТЭК, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Субъектами КИИ также являются российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Объективная сторона рассматриваемых составов преступления (ч. ч. 3 — 5 ст. 274.1 УК РФ) выражается в неправомерном воздействии на КИИ РФ путем:

нарушения правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в ней, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к КИИ РФ;

нарушения правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи.

Такие деяния могут совершаться в форме как активного действия, так и бездействия в отношении соблюдения указанных правил эксплуатации или доступа.

Характерный пример преступного бездействия — неустановка обновлений программного обеспечения. Работник субъекта КИИ должен провести анализ угроз и принять дополнительные меры защиты от этих угроз. Если в результате расследования компьютерного инцидента выяснится, что доступ произошел благодаря уязвимости, устраняемой посредством обновления компьютерных программ, которое на тот момент было доступным для соответствующей организации, невыполнение этих требований будет являться признаком объективной стороны преступления, предусмотренного ст. 274.1 УК РФ. Судебная практика по уголовным делам в сфере компьютерных преступлений[12] показывает, что субъектом такого преступления становится ИТ-персонал, если эти нарушения совершены им самовольно в нарушение политики информационной безопасности, принятой в организации, в том числе руководители организации, если ИТ-персонал действовал по их приказу или в его отсутствие при наличии необходимости издания соответствующего распоряжения.

По конструкции состав преступления материальный, предусматривает наступление общественно опасных последствий (как момента окончания преступления) — вреда критической информационной инфраструктуре Российской Федерации (ч. ч. 3 — 4 ст. 274.1 УК РФ) и тяжких последствий (ч. 5 ст. 274.1 УК РФ).

То есть законодатель логично ставит ответственность в зависимость от наступления общественно опасных последствий преступления, но при этом не устанавливает правил по определению размера тяжести такого вреда, оставляя данный вопрос на стороне судебной системы, которая, в свою очередь, получает возможность трактовать данное положение уголовного закона довольно широко, самостоятельно определяя порог размера малозначительности причиняемого вреда.

Согласно п. 19 Постановления Пленума ВС РФ от 29 ноября 2016 г. N 55 "О судебном приговоре" квалификация преступления по той или иной статье уголовного закона, ее части либо пункту должна быть мотивирована судом. Это относится к признанию подсудимого виновным в совершении преступления по таким оценочным признакам, как существенный вред, тяжкие последствия. При этом суды не могут ограничиваться лишь указанием на подобный признак, а в описательно-мотивировочной части приговора обязаны привести обстоятельства, которые послужили основанием для вывода о наличии в содеянном такого признака. Размер вреда — признак оценочный и определяется судом в каждом конкретном случае. В рассматриваемой статье УК РФ вред причиняется критической информационной инфраструктуре Российской Федерации. В соответствии с п. 6 ст. 2 Закона о безопасности КИИ критическую информационную инфраструктуру составляют ее объекты, а также сети электросвязи, которые используются при организации взаимодействия этих объектов. В связи с этим вред может носить либо материальный (физический), либо организационный (технологически-эксплуатационный) характер, выразившийся в нарушении и (или) прекращении функционирования объекта КИИ, сети электросвязи, которая используется при организации взаимодействия таких объектов, либо в нарушении безопасности информации, обрабатываемой таким объектом, в том числе если это произошло посредством компьютерной атаки (компьютерный инцидент).

Анализ судебной практики по преступлениям, имеющим материальный состав, показывает, что единого подхода к определению понятия "тяжкие последствия" с точки зрения их размера в денежном выражении не выявлено — в каждом случае суд должен установить размер вреда / тяжесть последствий исходя из обстоятельств дела, а также в контексте существующей правоприменительной практики и неопределенности толкования размеров ущерба точно определить категорию последствия часто представляется крайне сложной задачей.

Исходя из того, что данный признак последствий является особо квалифицированным и помещен в ч. 5 ст. 274.1 УК РФ, можно заключить, что "тяжкие последствия" включают более опасные последствия, чем "вред" КИИ, закрепленный в ч. 3 данной статьи.

Тяжкие последствия (ч. 5) в отличие от вреда (ч. 3) могут распространяться как на объекты КИИ, так и на деятельность субъектов КИИ. Такие последствия могут иметь значение для безопасности КИИ — защищенности, обеспечивающей ее устойчивое функционирование при проведении в отношении ее компьютерных атак, в том числе противоправном нарушении эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации). Например, причинение организации (субъекту КИИ) материального ущерба, репутационного вреда или возникновение иных негативных для нее последствий; нарушение технологических и бизнес-процессов организации.

В случае с КИИ тяжкие последствия не должны ограничиваться материальным ущербом, например при остановке воздушного сообщения можно говорить о наступлении тяжких последствий, учитывая критерий массовости, т.е. когда нарушаются права и свободы большого количества субъектов права, когда в результате компьютерного инцидента появляются пострадавшие люди, которые не смогли вовремя вылететь из аэропорта, лишились билетов, самолеты не смогли сесть на аэродром и т.п. В случае отказа системы и, как следствие, прерывания какого-то технологического процесса (например, атомной электростанции) финансовые и другого рода потери будут исчисляться в миллиардах рублей.

Одновременно с этим к тяжким последствиям можно отнести гибель и серьезные травмы людей, разрушения и уничтожение информационной инфраструктуры, нанесение вреда безопасности государства и т.д. То есть тяжесть последствий должна определяться с учетом причинения (или реальности созданной угрозы) тяжкого вреда здоровью людей или смерти, материального ущерба, серьезного нарушения деятельности предприятий, аварий и катастроф, уничтожения, блокирования, модификации или копирования привилегированной информации особой ценности[13].

Субъект (исполнитель) рассматриваемых составов преступлений — специальный: это вменяемое лицо, достигшее возраста 16 лет, имеющее доступ к КИИ РФ либо к относящимся к ней объектам в силу выполнения служебных обязанностей по исполнению установленных правил эксплуатации и доступа к КИИ РФ.

Под лицами, использующими свое служебное положение, в ч. 4 ст. 274.1 УК РФ следует понимать лиц, осуществляющих организационно-распорядительные или административно-хозяйственные обязанности в организации, иных лиц[14]. В организации признаками такого лица могут обладать: руководители организации или ее подразделений и работники, уполномоченные на решение задач по информационной безопасности, а также иные лица, выполняющие на основании гражданско-правовых договоров задачи по обеспечению безопасности КИИ.

Исходя из того, что к субъектам КИИ относятся российские юридические лица, которым принадлежат данные системы, в случае передачи ими КИИ на баланс аутсорсинговой компании, сделавшая это, например, нефтяная компания под определение субъекта КИИ не подходит, и поэтому ее сотрудники (руководители) не могут быть исполнителями преступления, предусмотренного ч. 3 ст. 274.1 УК РФ. Вместе с тем, если такая организация передала КИИ на аутсорсинг, но у нее остались компьютеры, через которые можно удаленно подключаться к КИИ, ее следует считать субъектом КИИ, а ее сотрудников — субъектами рассматриваемых преступлений, несмотря на то что непосредственно соответствующей КИИ она не владеет.

С субъективной стороны деяние, описанное в ч. 3 ст. 274.1 УК РФ, характеризуется виной как в форме умысла, так и неосторожности — невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, что повлекло причинение ему вреда. Такая трактовка форм вины связана с тем, что нарушения штатного режима функционирования АСУ ТП КВО могут быть следствием как ошибок в работе ее систем и устройств, так и целенаправленного воздействия на АСУ ТП КВО, т.е. важно учитывать причины возникновения нарушений. Лицо предвидит причинение вреда КИИ в результате нарушения им правил эксплуатации (доступа), но без достаточных к тому оснований самонадеянно рассчитывает на предотвращение возможного наступления последствий, либо не предвидит их, хотя при должной осмотрительности и внимательности это лицо должно было и могло их предвидеть.

Таким образом, анализ признаков составов преступлений, предусмотренных ч. ч. 3 — 5 ст. 274.1 УК РФ, позволил сформулировать положения по квалификации неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации ее владельцами и эксплуатантами. Так, диспозиция ч. 3 данной статьи включает противоправные деяния в форме как активного действия, так и бездействия в отношении соблюдения правил эксплуатации и доступа к объектам КИИ. Обязательным признаком составов рассматриваемых преступлений является наступление общественно опасных последствий: причинение вреда КИИ РФ (ч. ч. 3 и 4) и тяжкие последствия, имеющие значение для ее безопасности (ч. 5). Субъект (исполнитель) данного преступления — специальный (владелец/эксплуатант КИИ), имеющий доступ к КИИ РФ либо к относящимся к ней объектам в силу исполнения своих служебных обязанностей и обязанный исполнять установленные правила эксплуатации, доступа к КИИ.

Библиографический список

  1. Капустин А.Я. К вопросу о международно-правовой концепции угроз международной информационной безопасности // Журнал зарубежного законодательства и сравнительного правоведения. 2017. N 6.
  2. Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации. URL: https://genproc.gov.ru/documents/nauka/execution/document-104550/.
  3. Трунцевский Ю.В. Киберпреступления в корпоративной среде: риски, оценка и меры предупреждения // Российский следователь. 2014. N 21.
  4. Хабриева Т.Я. Право перед вызовами цифровой реальности // Журнал российского права. 2018. N 9.
  5. Хабриева Т.Я., Черногор Н.Н. Право в условиях цифровой реальности // Журнал российского права. 2018. N 1.
  6. Черемисинова М.Е. О формировании системы обеспечения безопасности критической информационной инфраструктуры Российской Федерации. URL: http://comitasgentium.com/ru/о-формировании-системы-обеспечения-б/.
  7. Шувалов И.И., Хабриева Т.Я., Цзинжу Фэн и др. Киберпространство БРИКС: правовое измерение: Монография / Отв. ред. Д. Руйпин, Т.Я. Хабриева; сост. Жун Фу, Н.М. Бевеликова. М., 2017.

 


[1] См., например: Хабриева Т.Я. Право перед вызовами цифровой реальности // Журнал российского права. 2018. N 9. С. 5 — 16; Хабриева Т.Я., Черногор Н.Н. Право в условиях цифровой реальности // Журнал российского права. 2018. N 1. С. 85 — 102.

[2] Пункт "h" Резолюции ЕС "О киберзащите" (On Cyber Defence) от 25 мая 2018 г. (2018/2004 (INI)). URL: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-2018-O189+0+D0c+XML+V0//EN.

[3] См.: Шувалов И.И., Хабриева Т.Я., Цзинжу Фэн и др. Киберпространство БРИКС: правовое измерение: Монография / Отв. ред. Д. Руйпин, Т.Я. Хабриева; сост. Жун Фу, Н.М. Бевеликова. М., 2017. 336 с.

[4] См.: Трунцевский Ю.В. Киберпреступления в корпоративной среде: риски, оценка и меры предупреждения // Российский следователь. 2014. N 21. С. 19 — 22.

[5] См.: Российская газета. 2017. 24 янв.

[6] URL: https://www.automation.siemens.com/solutionpartner/partnerfinder/Home/Index?lang=ru&stc=wwcg115371&s_kwcid=AL!462!90!1523820511!search!!!4754229500&ef_id=WRw0ZQAAAGivcRIw:20180813111823:s.

[7] Подробнее см.: Капустин А.Я. К вопросу о международно-правовой концепции угроз международной информационной безопасности // Журнал зарубежного законодательства и сравнительного правоведения. 2017. N 6. С. 44 — 51.

[8] URL: https://www.1tv.ru/news/2017-05-13/325215-virus_atakoval_kompyuternye_seti_po_vsemu_miru.

[9] Черемисинова М.Е. О формировании системы обеспечения безопасности критической информационной инфраструктуры Российской Федерации. URL: http://comitasgentium.com/ru/о-формировании-системы-обеспечения-б/.

[10] См.: URL: http://sudact.ru/regular/.

[11] Утв. Приказом Ростехрегулирования от 27 декабря 2006 г. N 373-ст.

[12] URL: http://sudact.ru/regular/doc/?regular-txt=%D0%98%D0%A2&regular-case_doc=&regular-lawchunkinfo=&regular-doc_type=1008&regular-date_from=&regular-date_to=&regular-workflow_stage=&regular-area=&regular-court=&regular-judge=#searchResult.

[13] См.: Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации. URL: https://genproc.gov.ru/documents/nauka/execution/document-104550/.

[14] См.: п. 10 Постановления Пленума ВС РФ от 28 июня 2011 г. N 11 "О судебной практике по уголовным делам о преступлениях экстремистской направленности".


Рекомендуется Вам: