2

Ответ на пост «Теле2 - без правил»1

Ответ скорее на комментарий @VanDerVaalc (#comment_283812663) , публикую постом, потому как слишком длинный коммент получился.

Предупреждаю, текст будет не просто длинным, а очень длинным. Ссылок на конкретные дела у меня нет, и номера в моей выкопировке тоже не везде есть, но все получено из открытых источников.

Итак, если говорить о преступлениях в компьютерной сфере, то стоит рассматривать статьи УК РФ 272, 273, 274, 274.1 и 274.2. При квалификации деяния они могут быть дополнены статьями 138, 146, 159.6, 183.2, 286.

При поиске судебной практики были использованы материалы портала ГАС РФ "Правосудие" https://bsr.sudrf.ru/, а также сайты региональных представительств следственного комитета https://sledcom.ru/sk_russia/structure/mapregions/ и сайты судов на платформе sudrf.ru. ГАС Правосудие лучше всего работает в выходные и ранним утром) В остальное время может конкретно висеть.

Стоит отметить, что не все дела можно посмотреть в открытом доступе - решение о публикации принимается судьей. То есть будет информация о деле - номер, кто судья, кто ответчик, но само решение выложено не будет.

Также аналитика по применению статьи 274.1 есть у Валерия Комарова: https://valerykomarov.blogspot.com/p/2741.html

В рамках статьи 272 судами рассматривается неправомерный доступ к персональным данным, переписке, коммерческой тайне и иным видам тайн.

По статье 273 рассматриваются не только дела по разработке/ использованию вредоносного ПО, но и использование программ для обхода политики лицензирования, а также программ для сканирования уязвимостей, так как такие программы ведут к нейтрализации средств защиты информации.

По нарушению правил эксплуатации (ст.274) согласно данным ГИС «Правосудие» за 2022 год поступило 1 дело по статье 274. Основным условием наступления ответственности по данной статье является крупный ущерб (сумма которого превышает один миллион рублей).

По статье 274.2 практики пока нет, потому что она вступила в силу в марте 2023.

А вот по статье 274.1 судебная практика имеется, и она включает в себя немного не то, что ожидается. Итак, по статье 274.1

Ожидание:

  • злоумышленник нарушил работу АСУ ТП, которая является объектом КИИ и за это его приговорили к 10 годам тюрьмы.

Реальность:

  • Медсестра вписала ложные данные о вакцинации против КОВИД в Единую государственную информационную систему здравоохранения (объект КИИ, вред - нарушение целостности)

  • Сотрудник салона связи осуществил неправомерные манипуляции с персональными данными абонентов. Особенно активны в этом направлении Вымпелком и Т2.

  • Горе-хацкер, который из любопытства за-ddos-ил сайт субъекта КИИ из познавательных целей.

  • Сотрудники РЖД, решившие схалтурить и не сдавать экзамен на знание своих рабочих обязанностей.

  • Сотрудники банков оформляют кредитные карты без согласия субъектов персданных.

В основном, при первом правонарушении суд дает минимальное наказание - условный срок/штраф, но в 2022 году есть 1 приговор сотруднику оператора сотовой связи с реальным сроком в 3 года.

Чтобы вы понимали, насколько велика человеческая глупость, а иначе назвать эти действия не получается, вот несколько примеров дел:

Статья 274 ч 1

Командир роты обеспечения - не обновлял пароли на модулях доверенной загрузки компов с гостайной, при проведении проверки работоспособности решил не восстанавливать по инструкции, а отключил модули доверенной загрузки. В общем, когда пришла проверка, а компы с гостайной не работают совсем, командир попал на оплату спец проверок для того чтоб снова можно было работать с гостайной - на 3,7 млн руб. А приговор? Да 70 тыщ штрафа и все.

Статья 274.1 ч 4

Сотрудник салона сотовой связи, используя служебное положение, внес информацию об оформленном договоре и персданных клиента в информационную систему, которая является значимым ОКИИ. Далее цитата из самого дела, лучше я не напишу:

Действия ___ по заключению фиктивных договоров от имени ООО «Т2 Мобайл» причинили вред критической информационной инфраструктуре, а именно: информационной системе обслуживания абонентов __(ООО «Т2 Мобайл»), в частности, нарушили целостность интерфейса обслуживания абонентов ___,
Вред, причиненный критической информационной инфраструктуре, выразился в модификации информации в указанной базе данных, внесении в нее недостоверной информации, что нарушило целостность информационной системы, в результате чего информация, циркулирующая в ней, перестала соответствовать критериям оценки - объективности, достоверности и актуальности.

Приговор - 3 (три) года 6 (шесть) месяцев условно, испытательный срок 2 года

1-648/2022, статья 274.1:

из корыстной заинтересованности, выражавшейся в желании сэкономить собственные денежные средства на услуги связи и приобретение билетов в лотерее «Столото» (!!!!!!), осуществил выдачу SIM-карт без фактического обращения их владельцев, внес недостоверную информацию об оказанных услугах связи абонентам, и, как следствие, недостоверную информацию в информационную систему «Автоматизированная система расчетов», что повлекло причинение вреда КИИ РФ, так как его действия нарушили целостность базы данных вышеуказанной информационной системы.

Получил тоже условный срок.

А вот дело №1-51/2022, тоже 274.1 часть 4. По этому делу вынесен приговор с реальным сроком в 3 года. Дело было в МТС, далее цитата из приговора:

" Для исполнения служебных обязанностей ему (сотруднику МТС) был предоставлен логин и пароль. Он был ознакомлен с документами, которые запрещали ему как сотруднику передавать персональные данные абонентов.

Через некоторое время с ним в <данные изъяты> через акаунт <данные изъяты> связался незнакомый человек, предложив ему за денежные средства предоставлять персональные данные абонентов ПАО МТС. В связи с тяжелым материальным положением он согласился

Получал он их из системы, которая не является объектом КИИ по мнению МТС (не категорирована, и принадлежит дочерней компании ПАО МТС). Короче, продавал персданные по запросу. Причем не дорого - 5 тыщ за одно лицо вроде бы. Примечательно еще то, что в деле в качестве Свидетеля допрошен специалист ФСТЭК, который и указал, что если система принадлежит субъекту КИИ, то она автоматически является объектом КИИ и наплевать, что нет акта категорирования и сам субъект систему объектом КИИ не считает.

Или вот 22-2476/2022, тоже 274.1, только квалифицировано как часть 3.

Сотрудник В(очевидно, Вымпелком)признан виновным и осужден за нарушение правил эксплуатации средств хранения, обработки и передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ. Короче, вместо 1 симки при обращении абонента он оформлял три - 1 абоненту и 2 оставлял себе и потом перепродавал.

Приговор - 1,5 года условно и 2 года нельзя работать с КИИ.

№1-56/2022, ч.3 ст.159.6, ч.4 ст.274.1 - Начислил средства, предназначенный для компенсаций абонентам ПАО Вымпелком, на счета сообщницы. Всего 42 800. Этими действиями он нарушил целостность системы, являющейся объектом КИИ.

Приговор - 4 года условно и 3 года испытательный срок.

Ну и на закуску еще одно дело о том, как важно читать все инструкции и правила на работе. Ст.138, Ст.272

Начальника отдела ИБ обвинили в нарушении тайны переписки. В документах конторы зафиксировано: У работников есть запрет на обсуждение нерабочих вопросов в корпоративном мессенджере, у начальника отдела ИБ есть обязанность раз в месяц мониторить переписки на предмет нарушений (не то чтобы нерабочие переписки ищут, скорее коррупцию или иные неправомерные договоренности). С документами все ознакомлены под роспись.

Как было дело - сотрудники в корпоративном мессенджере стали обсуждать руководство в негативном ключе. Начальник отдела ИБ это дело запалил и написал докладную, ну и для доказательства скинул себе на флешку эти переписки (имеет право, в должностной инструкции прописано). Руководство возмутилось и сотрудникам сказало "аяйяй!".

Сотрудники оскорбились и подали на начальника отдела ИБ в суд - типа не имел право читать, о чем мы там пишем. К слову, суд первой инстанции признал начальника отдела ИБ виновным. Доказать что-то удалось только в кассации и дело отправлено на пересмотр с указанием , что надо принять во внимание должностную инструкцию начальника отдела ИБ.

0
Автор поста оценил этот комментарий
Никакой выгоды, денежных ущербов и т д нет. Это часть работы, распечатывать графические изображения для статистики. Просто подозревается, что в одино изображение вносили изменения, но не самого изменённого изображения в электронном виде, ни в печатном, нет. Просто есть слова человека, которому нужны были эти изменения и он просил якобы их ввести
раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Подозревается или подтверждается журналом доступа и изменения файла?

Назовите хоть отрасль, где в КИИ работают с изображениями? Что-то прям в голову не приходит ничего.

Получается, человек, у которого есть право требовать внесения изменений, просил их внести. А сотрудник, работающий с файлом их не внёс, но сотрудника обвинили во внесении изменений?

показать ответы
0
Автор поста оценил этот комментарий
Никакой выгоды, денежных ущербов и т д нет. Это часть работы, распечатывать графические изображения для статистики. Просто подозревается, что в одино изображение вносили изменения, но не самого изменённого изображения в электронном виде, ни в печатном, нет. Просто есть слова человека, которому нужны были эти изменения и он просил якобы их ввести
раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Подозревается или подтверждается журналом доступа и изменения файла?

Назовите хоть отрасль, где в КИИ работают с изображениями? Что-то прям в голову не приходит ничего.

Получается, человек, у которого есть право требовать внесения изменений, просил их внести. А сотрудник, работающий с файлом их не внёс, но сотрудника обвинили во внесении изменений?

0
Автор поста оценил этот комментарий
Нет, там общий доступ к информации, суть в подозрении изменения графического файла, которого ( изменения) не было, ну и много мелочей
раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Вот исходя из практики за 2022 год я видела такое:

Вред заключался как раз в том, что было обращение к файлу.

Там вопрос касался оператора сотовой связи. У них есть программа с данными клиентов. Когда клиент обращается к оператору, то сотрудник оператора смотрит карточку в этой программе. Если клиент не обращается, то сотруднику запрещено смотреть карточку клиента, так как это нарушает целостность журнала, в котором фиксируется обращение клиента к оператору сотовой связи.

Получается что вред в том, что клиент не обращался, а факт "обращения" в журнале зафиксирован. А значит сотрудник оператора связи может нахимичить - сфоткать на телефон и продать данные абонента за 5 к за карточку, приписать номер левой симки и продать её левым людям и т. Д.


Кстати, если это в первый раз, если характеризуетесь положительно, если размер вреда не большой (или вы его сможете компенсировать) то, вроде как, срок может стать условным.  По крайней мере за 2022 год я только один приговор по 274.1 видела с реальным сроком (как раз за продажу данных).

показать ответы
0
Автор поста оценил этот комментарий

много писать на самом деле, хватит на отдельный пост, я бы лично пообщался, только не знаю как лучше

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Я Вам ни чем не помогу - я не юрист, я ибшник.

Но сразу скажу, что если в документах на эксплуатацию объекта КИИ  указано, что подключаться к нему можно только сплюнув через левое плечо трижды, а пользователь не сделал это, то его, пользователя, можно привлечь по 274.1 .

показать ответы
0
Автор поста оценил этот комментарий
Это в материалах дела так написано. Вам написать что в обвинении написано или как на самом деле было?)
раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Как на самом деле конечно)

А потом ещё как в деле)

показать ответы
0
Автор поста оценил этот комментарий

ч.4 ст.247.1 дело находится в суде, поэтому ссылок нет(

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

С такой формулировкой  могу предположить, что вред ещё будет установлен.

Если несложно, опишите, что случилось в общих чертах?

Очень интересно, с точки зрения практики, вдруг привлекли за нарушение правил эксплуатации объекта КИИ...

За 2022 год я таких дел не нашла.

показать ответы
0
Автор поста оценил этот комментарий

вот это написано в обвинительном заключении, что вы на это скажите?

Иллюстрация к комментарию
раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Это по делу о вреде КИИ? Скиньте ссылку на приговор на ГАС Правосудие)

Ну а вообще, я не юрист, я аналитик в области информационной безопасности. Как-то раз делала подборку по делам, связанным с нарушениями информационной безопасности. И оценивала из с точки зрения именно инфобеза, а не юриспруденции.

показать ответы
0
Автор поста оценил этот комментарий

а если в деле написано, что вреда и ущерба нет?

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Ни разу такое не видела. Вред и ущерб в таких делах описан как "нарушение целостности информации, обрабатываемой в объекте КИИ".

показать ответы
0
Автор поста оценил этот комментарий
Смотрите, эксперт и специалист это разные вещи. Эксперту поручают выполнить экспертное исследование и дать заключение. Если к заключению есть вопросы, эксперта могут допросить по его содержанию. Специалист это просто лицо со специальными знаниями, которое помогает суду в чем-то разобраться. Его можно допросить по вопросу, требующему специальных знаний, либо он может дать письменное заключение специалиста, к которому куда меньше требований, чем к экспертному и быть допрошен для дачи пояснений к нему.

При этом специалист это относительно новая вещь (хотя ей уже больше 10 лет). Изначально суды выкручивались из ситуации, приглашая специалистов, как свидетелей. Затем законодатель уловил эту практику и ввел отдельный статус специалиста. Он очень близок к статусу свидетеля, правила допроса там очень похожи и т.п. Но свидетель это лицо, которое имеет информацию о случившемся в силу того, что оно видело, слышало и т.п. о ситуации, а специалист, это лицо, которое имеет определенное профессиональное мнение о случившемся в силу наличия специальных знаний. При этом если эксперт не может быть свидетелем (а точнее свидетель не может привлекаться, как эксперт), то специалист может быть допрошен и как свидетель (а точнее свидетель может быть задан вопрос, требующий специальных знаний). Так что тут нужно смотреть материалы. Если он был привлечен именно как эксперт соответствующим определением - это нарушение. Если он был привлечен как специалист - жто процессуальное нарушение, но небольшое и не влекущее отмены приговора, так как не повлияло на решение. Если он был привлечен изначально именно как свидетель, то нарушения и вовсе нет.

PS. Если Свидетель 3 не в оригинальном тексте, а в обезличенным, то и вовсе говорить не о чем - помощник судьи должен перед публикацией заменить все ФИО на другие слова и для всех, кто был допрошен просто делает Ctrl v, добавляя новую цифру на конце. Тогда в оригинальном решении слова Свидетель не будет вообще.
раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Спасибо, стало понятнее. Скорее всего именно при обезличивании появилось слово Свидетель

0
Автор поста оценил этот комментарий

Будет интересно почитать, буду ждать)

Мне кажется, я видела разъяснения Верховного суда о том как рассматривать дела о кии, поищу.

Ещё интересный разбор дела, в котором был реальный срок здесь:

https://cisoclub.ru/sud-razobralsya-v-poryadke-kategorirovan...

раскрыть ветку (1)
0
Автор поста оценил этот комментарий
0
Автор поста оценил этот комментарий

Квалификация судей  в технических областях вызывает большие сомнения.

У судей нет квалификации в технических областях. Поэтому суд, как самостоятельно, так и по ходатайству сторон может пригласить специалиста или назначить экспертизу в любой момент. Более того, суд может даже привлечь специалиста-правоведа, если требуется познания из другой области права, или о праве другой страны.

По поводу репутации - это отсебятина суда. Они бывают порой косноязычными. Понятно, что хотел сказать суд. Непонятно - зачем. Состав 274.1 не включает в себя такой признак. Объект посягательства этого состава - общественная безопасность в сфере компьютерной безопасности. Соответственно то, причинен вред какой-лило репутации, или нет - значения никакого для квалификации не имеет. Имеет значения только было ли нарушение правил обработки и хранения информации и причинило ли оно вред объекту КИИ. Не его репутации, а самому объекту. Как мне кажется, суд в данном случае допускает серьезную ошибку и эти дела еще будут пересматриваться, а ВС замет другую позицию. В ближайшие пару недель, возможно, у меня будет возможность переговорить по этому поводу с членом научно-консультативного совета ВС. Будет интересно узнать ее мнение. Если получится, может вернусь и поделюсь результатом.

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Вот и ещё вопрос - получается, эксперт ( в данном случае специалист ФСТЭК) может быть свидетелем?

Там в приговоре прям указано Свидетель 3, замначальника ФСТЭК по такому-то округу.

Так можно или нельзя?

показать ответы
0
Автор поста оценил этот комментарий

Квалификация судей  в технических областях вызывает большие сомнения.

У судей нет квалификации в технических областях. Поэтому суд, как самостоятельно, так и по ходатайству сторон может пригласить специалиста или назначить экспертизу в любой момент. Более того, суд может даже привлечь специалиста-правоведа, если требуется познания из другой области права, или о праве другой страны.

По поводу репутации - это отсебятина суда. Они бывают порой косноязычными. Понятно, что хотел сказать суд. Непонятно - зачем. Состав 274.1 не включает в себя такой признак. Объект посягательства этого состава - общественная безопасность в сфере компьютерной безопасности. Соответственно то, причинен вред какой-лило репутации, или нет - значения никакого для квалификации не имеет. Имеет значения только было ли нарушение правил обработки и хранения информации и причинило ли оно вред объекту КИИ. Не его репутации, а самому объекту. Как мне кажется, суд в данном случае допускает серьезную ошибку и эти дела еще будут пересматриваться, а ВС замет другую позицию. В ближайшие пару недель, возможно, у меня будет возможность переговорить по этому поводу с членом научно-консультативного совета ВС. Будет интересно узнать ее мнение. Если получится, может вернусь и поделюсь результатом.

раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Будет интересно почитать, буду ждать)

Мне кажется, я видела разъяснения Верховного суда о том как рассматривать дела о кии, поищу.

Ещё интересный разбор дела, в котором был реальный срок здесь:

https://cisoclub.ru/sud-razobralsya-v-poryadke-kategorirovan...

показать ответы
0
Автор поста оценил этот комментарий
Спасибо! Квалификация судов в делах против сотрудников выглядит неординарно, как минимум. По крайней мере с моей точки зрения. Выходит, речь не о покушении на законные интересы клиента, а на другой объект - базу данных абонентов.
раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Очевидно, что с абонентом разговаривает опсос - именно к нему абонент может предъявить претензии о возмещении морального вреда, например.

Но основная суть в том, что нарушается безопасность КИИ (хотя иногда выглядит притянуто за уши) , а это сейчас очень популярная тема.


Квалификация судей  в технических областях вызывает большие сомнения.

А уж какие в решениях есть ляпы! Просто песня! Часто встречается, например:


""Объекту КИИ был причинён репутационный вред


Но как это возможно? Если репутация есть у субъекта, а не у объекта? Я ни разу не юрист, но мне кажется, что это очевидно.

показать ответы

Темы

Политика

Теги

Популярные авторы

Сообщества

18+

Теги

Популярные авторы

Сообщества

Игры

Теги

Популярные авторы

Сообщества

Юмор

Теги

Популярные авторы

Сообщества

Отношения

Теги

Популярные авторы

Сообщества

Здоровье

Теги

Популярные авторы

Сообщества

Путешествия

Теги

Популярные авторы

Сообщества

Спорт

Теги

Популярные авторы

Сообщества

Хобби

Теги

Популярные авторы

Сообщества

Сервис

Теги

Популярные авторы

Сообщества

Природа

Теги

Популярные авторы

Сообщества

Бизнес

Теги

Популярные авторы

Сообщества

Транспорт

Теги

Популярные авторы

Сообщества

Общение

Теги

Популярные авторы

Сообщества

Юриспруденция

Теги

Популярные авторы

Сообщества

Наука

Теги

Популярные авторы

Сообщества

IT

Теги

Популярные авторы

Сообщества

Животные

Теги

Популярные авторы

Сообщества

Кино и сериалы

Теги

Популярные авторы

Сообщества

Экономика

Теги

Популярные авторы

Сообщества

Кулинария

Теги

Популярные авторы

Сообщества

История

Теги

Популярные авторы

Сообщества

Недвижимость и ремонт

Теги

Популярные авторы

Сообщества