СТ 274 УК РФ.
1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, — наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, — наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок.
Комментарий к Ст. 274 Уголовного кодекса
1. Объективная сторона характеризуется деянием в форме действия или бездействия, заключающимся в нарушении правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования либо правил доступа к информационно-телекоммуникационным сетям. Указанные правила представляют собой обязательные к соблюдению технические правила, разработанные изготовителями оборудования, разработчиками программ, службами, обслуживающими оборудование, а также уполномоченными государственными органами.
2. Состав преступления материальный; предполагается два последствия, наступающих друг за другом и причинно связанных. Первое описывается в законе как уничтожение, блокирование, модификация или копирование компьютерной информации (см. комментарий к ст. 272 УК), что, в свою очередь, вызывает второе последствие в виде крупного ущерба (примечание 2 к ст. 272 УК).
3. Субъективная сторона может характеризоваться как умышленной, так и неосторожной формой вины.
4. Субъект преступления специальный: лицо, обязанное соблюдать соответствующие правила.
5. Тяжкие последствия в ч. 2 схожи по содержанию с соответствующим признаком в ч. 3 ст. 273 УК.
В ст. 274.1 УК РФ предусмотрена уголовная ответственность за неправомерное воздействие на КИИ РФ с помощью создания, распространения или использования компьютерных программ. Статистически значимой судебной практики по применению ст. 274.1 УК РФ пока нет, ниже приведен краткий обзор нескольких судебных дел.
Автор: Алексей Подмарев, Ассоциация руководителей служб информационной безопасности (АРСИБ), Комитет по безопасности критической информационной инфраструктуры
Петропавловск-Камчатский
Первое дело (№ 1345/ 2019), где появилось обвинение по этой статье, было рассмотрено в Петропавловске-Камчатском 31 мая 2021 г. Пострадавшие объекты КИИ – два сайта Роскомнадзора, для неправомерного воздействия на них использовалось специальное программное обеспечение, выполняющее функции нагрузочного тестирования интернет-ресурсов. Саму такую функциональность суд определил как «заведомо предназначенную для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для блокирования информации, содержащейся в ней. В результате доступ к сайтам был затруднен в общей сложности примерно на 25 мин. Подсудимый раскаялся и был полностью освобожден от уголовной ответственности.
Волгоград
Чуть позже та же ч. 1 ст. 274.1 УК РФ фигурировала в деле № 1-337/2019 от 16.08.2019 г. в Волгограде. Подробности уголовного дела неизвестны, но оно было прекращено в ходе первого заседания, подсудимый получил судебный штраф, согласился на полное возмещение ущерба и был освобожден от уголовной ответственности.
Владивосток
Следующие два дела были рассмотрены в сентябре того же 2021 г. во Владивостоке. Оба они связаны с осуществлением неправомерного доступа к охраняемой компьютерной информации.
По делу № 1-376/2019 было выявлено причинение имущественного вреда оборонному предприятию – субъекту КИИ. Группа из трех лиц с помощью специализированного ПО проникла через протокол RDP в компьютеры оборонного предприятия, зашифровала данные на жестком диске и потребовала выкуп, судя по сумме в рублях, в размере одного биткойна. Суд принял во внимание явку с повинной и добровольное возмещение ущерба и в особом порядке назначил наказание – по два года условно каждому из подсудимых.
В деле № 1-368/2019 от 25.09.2019 г. выявлены нарушения правил эксплуатации и предъявлены обвинения по ч. 4 ст. 274.1 УК РФ (служебное положение) работнику субъекта КИИ. Сотрудница отдела продаж компании связи в день увольнения скопировала из автоматизированной системы персональные данные абонентов и отправила по электронной почте своему знакомому. Подсудимая признала вину, судебное рассмотрение прошло в особом порядке, вынесено наказание – три года лишения свободы условно.
Следует отметить, что под правилами эксплуатации, упоминаемыми в судебных процессах, понимаются не только внутренние нормативные акты организации, которой принадлежит информационная система, но и правила, определяющие порядок работы с ЭВМ, нормативные акты, государственные стандарты, инструкции, правила, техническое описание, положение, приказы и т.д., установленные изготовителями оборудования, разработчиками ПО, а также компетентными государственными органами. Мнение, что только субъект КИИ (владелец информационной системы) может устанавливать правила эксплуатации объекта КИИ, является ошибочным. Приказ № 239 ФСТЭК требует от субъекта КИИ проводить анализ уязвимостей на периодической основе и выполнять управление обновлениями. Когда (и если будет) реализована успешная атака на объект КИИ с причинением существенного вреда, невыполнение этих требований будет квалифицировано как уголовное преступление, ответственность за которое лежит на субъекте КИИ. Понятие «существенный вред» оценочное. Эта неоднозначность в сочетании с большим сроком давности может сделает статью удобной для оказания давления со стороны следствия. Владельцы объекта информационной инфраструктуры, понимая, что самостоятельно должны определить, относятся ли они к субъектам КИИ, предпочитают указать, что таковыми не являются, или пытаются передать сервисное обслуживание имеющихся информационных ресурсов другому юридическому лицу. Оператор, которому передан на эксплуатацию информационный ресурс, может не попадать под действия 187-ФЗ и не знать, для обеспечения каких процессов используется инфраструктура. Была ли присвоена правильная категория значимости или категорирование вообще не проводилось, для уголовной ответственности не играет никакой роли. Ст. 274.1 УК РФ распространяется даже на тех владельцев систем, которые не провели категорирование и не считают себя субъектами КИИ.
УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации
- Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации, — наказываются принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
- Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации, — наказывается принудительными работами на срок до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет и с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
- Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, — наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
- Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения, — наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
- Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия, — наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.
Второй комментарий к Ст. 274 УК РФ
1. Поскольку диспозиция статьи является бланкетной, при квалификации необходимо обратиться к соответствующим пунктам различных правил, которые могут содержаться как в подзаконных актах: Постановление Правительства РФ от 10.09.2007 № 575 «Об утверждении Правил оказания телематических услуг связи»; ведомственных актах: «Методический документ. Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России 11.02.2014); Приказ ФСБ РФ № 416, ФСТЭК РФ № 489 от 31.08.2010 «Об утверждении Требований о защите информации, содержащейся как в информационных системах общего пользования», так и локальных актах, обеспечивающих информационную безопасность на конкретных предприятиях и в организациях, например, «Политика информационной безопасности «Газпромбанк» (Открытое акционерное общество)».
2. Объективная сторона выражается в действиях или бездействии, нарушающих правила эксплуатации указанных средств, сетей и оконечного оборудования либо правила доступа к информационно-телекоммуникационным сетям, и последствия в виде крупного ущерба от уничтожения, блокирования либо копирования компьютерной информации, вызванных нарушением соответствующих правил.
3. Преступление является оконченным с наступлением последствий в виде уничтожения, блокирования либо копирования компьютерной информации (последствия первого порядка), чем причинен крупный имущественный ущерб (свыше 1 млн руб.), т.е. последствия второго порядка.
4. Субъективная сторона может выражаться как в умышленной, так и в неосторожной формах вины.
5. Субъект преступления — специальный: лицо, на котором лежат обязанности соблюдать правила эксплуатации указанных средств, сетей и оконечного оборудования либо правила доступа к информационно-телекоммуникационным сетям,
6. Квалифицирующим признаком является причинение тяжких последствий либо создание угрозы их причинения (см. комментарий к ч. 4 ст. 272 УК).
Что ожидать от судебной практики по статье 274.1 УК РФ
Прогнозировать судебную практику — занятие неблагодарное, но иногда это удается с высокой степенью уверенности в результате. Субъекта КИИ в первую очередь интересует, кто и в каком случае может быть привлечен к ответственности по ч. 3-5 статьи 274.1 УК РФ («Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации»). Для события преступления по этим составам требуется два фактора: должен быть причинен вред КИИ и причиной этого вреда должно являться невыполнение виновником правил эксплуатации «средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ
«. КИИ определена в ФЗ-187 как совокупность объектов критической информационной инфраструктуры и сетей электросвязи, используемых для организации взаимодействия таких объектов. Соответственно, причинение вреда любому объекту КИИ будет причинением вреда КИИ в целом.
Рассматриваемую предметную область можно охарактеризовать так:
- Есть объекты, инциденты с которыми могут привести к резонансным последствиям (могут погибнуть люди, остановиться производство, наступить экологические последствия и т.п.)
- Есть правила эксплуатации этих объектов, эти правила кто-то может умышленно или по незнанию нарушить, и это нарушение может стать причиной такого инцидента. При этом непонятно, о каких правилах идет речь в статье.
- Виновником нарушения может стать только вполне конкретной лицо — следствие должно установить и доказать, что бездействие этого лица или определенные действия этого лица стали причиной инцидента и причиненного им вреда. Соответственно, непонятно, кто может быть признан таким виновником в случае реального инцидента.
Статистически значимой судебной практики по применению этой статьи нет и в ближайшее время не предвидится. Но есть статья 274 УК РФ («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей»), которая на первый взгляд полностью аналогична и по которой судебная практика есть. Вот что говорится о ней в методических рекомендациях Генеральной Прокуратуры РФ:
- «Предметом данного преступления являются средства хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационные сети и оконечное оборудование.»
Тут все понятно: для события преступления требуется, чтобы вред был причинен воздействием на техническую составляющую объекта. - «Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации.»
Т.е. не существует абстрактных, по умолчанию всем известных правил — нарушить можно только требования конкретных документов. - «Эти правила должны устанавливаться правомочным лицом.»
Тут тоже понятно: никто не обязан выполнять предписания лица, которое никто такими полномочиями не наделял. В зачет идут только требования, установленные уполномоченным лицом. - «Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь, а также доказано, что наступившие последствия являются результатом нарушения правил эксплуатации… Правила, о которых идет речь в ст. 274 УК РФ, должны быть направлены только на обеспечение информационной безопасности.»
. Очевидно. - «Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах.»
Т.е. нарушением правил эксплуатации считается нарушение вообще любых обязательных к исполнению требований, в каких бы документах и нормативных актах они ни содержались.
Последний пункт хочу отметить особо: часто приходится слышать мнение, что под правилами эксплуатации понимаются только внутренние нормативные акты организации, которой принадлежит информационная система — дескать, только владелец информационной системы может устанавливать правила ее эксплуатации. Это не соответствует процитированной выше позиции Генпрокуратуры, которая явно называет одним из источников правил эксплуатации государственные стандарты — уж они-то никак не являются внутренними нормативными актами организации. Такая ошибка в трактовке обусловлена двумя факторами
Пересказывая чужое мнение, люди склонны опускать или искажать незначительные, по их мнению, подробности. Так, в учебных пособиях понятие «правила эксплуатации» пересказывается более простым языком и, к примеру, студентам Университета прокуратуры РФ преподносятся так:
Данные правила должны быть установлены уполномоченным лицом и приняты в надлежащем порядке, например утверждены письменным приказом, с которым исполнители должны быть ознакомлены под роспись. Кроме того, правила эксплуатации могут не только устанавливаться управомоченным лицом, но и определяться техническими описаниями и инструкциями, передаваемыми работодателем работнику, а также пользователю от производителя при приобретении соответствующего устройства или программного обеспечения, либо правилами доступа к информационно-телекоммуникационным сетям в определенных случаях.
Как видим, смысл разъяснений Генпрокуратуры тут сохранен, но из примеров исчезли ГОСТы и иные официальные документы, остались только внутренние нормативные документы, с которыми ознакомливается пользователь или работник. Неудивительно, что в дальнейшем выпускники не обращаются к первоисточникам, а пересказывают единожды выученный материал.
Второй фактор — ничтожно малое количество случаев применения статьи 274 УК РФ: по данным Судебного департамента при ВС РФ, за 2017-2018 годы всеми судами РФ вынесено 2 (прописью «Два») приговора, причем в обоих случаях эта статья являлась дополнительной к основному деянию. По другим источникам (спасибо Валерию Комарову), в 2010-2017 годах правоохранительными органами было возбуждено всего 21 уголовное дело с квалификацией деяния по этой статье. Поэтому, говоря о судебной практике по нарушениям правил эксплуатации, мы имеем дело со статистически ничтожной выборкой, в которую попали, в основном, преступления против коммерческих компаний, возбужденные по заявлению их владельцев. Для квалификации деяния было достаточно того, что нарушены внутренние правила потерпевших.
В КИИ, применительно к значимым объектам, мы имеем принципиально иную ситуацию: есть ряд правовых норм, которые определяют обязанности субъекта КИИ в ходе эксплуатации значимого объекта КИИ — см. например, раздел 13 приказа ФСТЭК №239. Возникает вопрос: что будет, если причиной резонансного инцидента на значимом объекте КИИ станет игнорирование требований регулятора?
Судебная практика по статье 274 УК РФ нам тут не помощник, но есть другая предметная область, обладающая точно такими же характеристиками — пожарная безопасность:
- Есть объекты, пожары на которых могут привести к резонансным последствиям (могут погибнуть люди, остановиться производство, наступить экологические последствия и т.п.)
- Есть правила пожарной безопасности этих объектов, эти правила кто-то может умышленно или по незнанию нарушить, и это нарушение может стать причиной такого инцидента. При этом точно так же непонятно, о каких правилах идет речь в статье.
- Виновником нарушения может стать только вполне конкретной лицо — следствие должно установить и доказать, что бездействие этого лица или определенные действия этого лица стали причиной инцидента и причиненного им вреда. Соответственно непонятно, кто может быть признан таким виновником в случае реального инцидента.
В обзоре судебной практики мы видим, что Пленум ВС РФ трактует понятие «правила пожарной безопасности» точно так же, как Генпрокуратура — понятие «правила эксплуатации»:
Как известно, диспозиция этой статьи является бланкетной. Законодатель не раскрывает в ней понятия «правил пожарной безопасности» и отсылает нас к нормам специального законодательства. При этом в Федеральном законе «О пожарной безопасности» один из видов нормативных документов в этой области называется «правилами пожарной безопасности». В то же время этим Федеральным законом отнесены к нормативным документам по пожарной безопасности стандарты, нормы, инструкции и иные документы, нарушение которых при наступлении указанных в диспозиции ст. 219 УК РФ последствий влечет уголовную ответственность.
Как видим, в обеих предметных областях под «правилами» судебная система РФ понимает совокупность всех норм, устанавливающих обязанности субъекта в данной предметной области, независимо от того, каким именно документом эти обязанности установлены. Значит, стоит ожидать, что и при применении статьи 274.1 УК РФ судебная система будет относить к правилам эксплуатации также и нормативные требования ФСБ и ФСТЭК, определяющие обязанности субъекта КИИ в ходе эксплуатации объекта КИИ.
Говоря проще, если п. 13.2 и 13.3 приказа ФСТЭК №239 требуют от субъекта КИИ проводить периодический анализ уязвимостей и выполнять управление обновлениями, то невыполнение этих требований в случае успешной атаки на объект КИИ вируса-шифровальщика станет самостоятельным уголовным преступлением, ответственность за которое лежит на субъекте КИИ. И тут возникает интересный вопрос: кто именно эту ответственность понесет?
И тут опять на помощь приходит судебная практика по делам о пожарной безопасности. Вот один из характерных примеров. Организация арендовала дебаркадер и оборудовала на нем общежитие. Был назначен ответственный за пожарную безопасность, но фактически требования пожарной безопасности не выполнялись или выполнялись не в полном объеме (в приговоре перечислены только нарушения). Случился пожар, погиб человек. Суд постановил:
- Несмотря на то, что приказом директора был назначен ответственный за пожарную безопасность, именно директор «не обеспечил обучение ответственных работников пожарно-техническому минимуму в объеме знаний требований нормативных правовых актов, регламентирующих пожарную безопасность, в части противопожарного режима, а также приемов и действий при возникновении пожара в организации, позволяющих выработать практические навыки по предупреждению пожара, спасению жизни, здоровья людей и имущества при пожаре, не проводил у работников проверку знаний требований пожарной безопасности»
. - Именно директор «не обеспечил исправное состояние знаков пожарной безопасности, в том числе обозначающих пути эвакуации и эвакуационные выходы, вследствие чего эвакуационное освещение не включалось автоматически при прекращении электропитания рабочего освещения
« - По вине именно директора «здание надстройки дебаркадера, являясь объектом общественного назначения не было оборудовано автоматической установкой пожарной сигнализации с установкой в помещениях дымовых извещателей
» и т.п.
Суд постановил, что все перечисленные в приговоре нарушения были совершены именно директором, осознанно, ради экономии, с пониманием возможнх последствий. Директор был признан виновным, и то, что он отделался условным сроком, который был с него снят в связи с амнистией — совсем другая история.
Подобная практика вполне применима и к значимым объектам КИИ. Если атака на объект КИИ приведет к резонансным последствиям, кто-то должен стать крайним. Следуя логике, которой руководствовался суд при вынесении рассмотренного выше приговора, персонал, ответственный за обеспечение безопасности, пожарная она или информационная, несет ответственность только за выполнение тех обязанностей, которые явно установлены для него внешними или внутренними нормативными актами. Если руководитель организации не назначил ответственных, не определил их обязанности или не обеспечил возможность исполнения ими этих обязанностей (не организовал обучение, не выделил бюджет и т.п.), то ответственность за последствия несет он сам.
Это не единственный подобный приговор, просто он первым попался в поисковой выдаче. Не факт, что следствие и суды всегда будут придерживаться этой логики. Но этот пример показывает, что в случаях, когда речь идет о гибели людей или других столь же резонансных последствиях, руководитель организации часто отвечает за последствия солидарно с ответственными работниками, а в некоторых случаях и единолично.