КИИ: враг внутри

Такой вывод можно сделать из недавно опубликованного отчета компании InfoWatch «Исследование судебной практики по преступлениям, связанным с неправомерным воздействием на критическую информационную инфраструктуру Российской Федерации». 

В исследовании рассматривались все завершенные дела по ст. 274 («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей») и 274.1 («Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации») УК РФ за 2019–2020 годы. В качестве потерпевших часто выступали операторы связи, выдвинувшие претензии к своим сотрудникам. 

Типичная ситуация: при переходе на другое место работы сотрудник незаконно скопировал базу данных клиентов текущего работодателя. Более половины таких дел пришлось на «Ростелеком», в числе потерпевших также «Мегафон», МТС и «Вымпелком». 75% рассмотренных случаев закончились утечкой персональных данных. Причем эта проблема касается каждого, о чем можно судить по резкому росту телефонного спама и телефонного мошенничества с помощью социальной инженерии. Другое нередкое правонарушение – продажа действующими сотрудниками операторов связи персональных данных абонентов третьим лицам (в судебных документах фигурировали списки по 10–15 человек). 

Под статью о защите КИИ попали и сотрудники операторов связи, которые для увеличения продаж заключали фиктивные договоры на услуги связи без согласия пользователей. Основание – внесение незаконно модифицированных данных в модули, входящие в корпоративную информационную систему организации. Во всех случаях суды квалифицировали такие действия как неправомерный доступ с использованием служебного положения к охраняемой информации, содержащейся в КИИ, что повлекло причинение вреда критической информационной инфраструктуре РФ.

По мнению суда, причиненным КИИ вредом являлось копирование принадлежащей и охраняемой оператором связи привилегированной информации особой ценности. А разглашение конфиденциальных сведений о местах расположения, адресах и иных контактных данных физических и юридических лиц нанесло вред деловой репутации операторов. Наказаниями за эти преступления стали условные сроки и штрафы.

РЖД тоже обвиняло своих сотрудников в нарушении законодательства о КИИ. Работники локомотивных бригад с помощью принесенной на USB-накопителе программы модифицировали информацию в программном комплексе РЖД и сформировали положительный результат тестирования с целью получения допуска к выезду на участок обслуживания. Совершившие эти преступления получили условные сроки (максимальный – два года) и штрафы (50 тыс. руб.). В одном из случаев ограничились штрафом в 15 тыс. руб.

Формально все верно. Информационная система для тестирования на знание техническо-распорядительных актов железнодорожных станций работает в сфере транспорта, поэтому относится к КИИ. Подменил данные в такой системе – получи приговор. 

Появились обвинительные приговоры за нарушение функционирования объекта КИИ. В 2021 году суд в Пермской области рассмотрел уголовное дело сотрудника Пермского порохового завода, который для организации удаленной работы коллеги скачал и запустил на своем рабочем месте программу генерации ключей для нелицензионной версии Microsoft Word. Запущенная программа установила канал обмена информацией с IP-адресом, «принадлежащим США», куда были отправлены данные с компьютера осужденного. Идентифицировать переданную информацию не удалось. Трафик был маленьким и не мог содержать документов, поэтому суд снял обвинения по ч. 4 ст. 274.1 УК РФ и вынес приговор только по ч. 1 ст. 273 («Создание, использование и распространение вредоносных компьютерных программ»).

Осужденный получил ограничение свободы сроком на 1 год. Он не имел права покидать место постоянного проживания в ночное время кроме случаев, связанных с трудовой деятельностью и прохождением лечения. Не мог без согласия осуществляющего надзор государственного органа выезжать за пределы территории муниципального образования, менять место жительства и работы.

О новых статьях УК вспомнили и при расследовании нашумевшего дела о майнинге криптовалюты на вычислительных мощностях «Росатома» в ядерном центре в Сарове. По мнению суда, действия сотрудников «повлекли модификацию компьютерной информации, которая выразилась в генерации сетевого трафика». С помощью 3G-модема нарушители связали ПО для майнинга с интернетом и таким образом осуществили внешний доступ к защищенной сети предприятия, содержащей секретную информацию.

В ходе судебного разбирательства даже определили нанесенный ФГУП «РФЯЦ-ВНИИЭФ» материальный ущерб – 1 087 448 руб. 19 коп. Наказанием для двух сотрудников стали: условный срок (четыре года) и штраф 250 тыс. руб. и реальный срок (три года три месяца) и штраф 200 тыс. руб., а также лишение на два года права заниматься определенной деятельностью в сфере компьютерной информации, информационных систем и технологий. К наказанию по ч. 1 ст. 274 УК РФ относились только штрафы осужденных.

«Почти во всех судебных делах о неправомерном воздействии на КИИ и о нарушении правил эксплуатации средств хранения, обработки или передачи компьютерной информации, рассмотренных за 2019–2020 годы, правонарушителями были сотрудники компаний. Причем вредом, нанесенным КИИ, была не только остановка производства, но и утечка информации или подлог результатов профессионального тестирования с помощью специализированного ПО», – дал комментарий руководитель экспертно-аналитического центра InfoWatch Михаил Смирнов.

Но преступления совершались не только сотрудниками пострадавших организаций. Так, в 2019 году группа из трех лиц атаковала «Восточную верфь» в Приморском крае с целью получения выкупа. По мнению суда, они «осуществили неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, … совершив действия, приводящие к ограничению и закрытию доступа к компьютерному оборудованию и находящейся на них компьютерной информации, и причинение имущественного вреда на сумму 655 034,52 руб.». Похоже, что за зашифрованную на жестком диске информацию злоумышленники потребовали выкуп в размере биткоина. Впрочем, наказание не было слишком суровым. Суд принял во внимание явку с повинной и добровольное возмещение ущерба – обвиняемые получили по два года условно.

Изменения в Уголовном кодексе, связанные с вступлением  в силу  с 1 января 2018 года Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», начали действовать. Статистически значимой судебной практики по их применению пока нет, но число уголовных дел увеличивается. Согласно исследованию, за девять месяцев 2021 года количество уголовных дел, заведенных по ст. 274 и 274.1 УК РФ, выросло втрое по сравнению с 2020 годом.

Пока судебные дела по новому закону достаточно мелкие. Нет не только повлекших тяжелые последствия деяний, наказываемых сроком до 10 лет, но и менее тяжких правонарушений, тянущих на реальные сроки лишения свободы. Нет и уголовных дел за нарушение правил эксплуатации КИИ, наказывающих лиц, которые халатно относятся к ее защите. Хотя во многих крупных организациях живут не только без выстроенной системы информационной безопасности, но зачастую и без бэкапов, антивирусов и обновлений.

Стоит отметить, что в приговорах судов не фигурируют наиболее привлекательные для хакеров и внутренних злоумышленников финансовые организации. Видимо, для привлечения к ответственности нарушителей им хватает старых статей Уголовного кодекса, таких как ст. 272 («Неправомерный доступ к компьютерной информации») и ст. 273. Возможно, атакуемые банковские системы не классифицированы как объекты КИИ, что мешает использованию нового закона.

«Реальных инцидентов с КИИ, подпадающих под новое законодательство, значительно больше, чем доводится до суда. Многие организации не хотят выносить сор из избы, опасаясь ущерба для репутации. Некоторые не хотят тратить ресурсы на судебные разбирательства, решая проблемы своими силами. Для того чтобы привлечь по статье за нарушение правил эксплуатации КИИ, эти правила надо иметь. А они разработаны далеко не у всех, что также препятствует применению новых статей», – отметил член правления Ассоциации руководителей служб информационной безопасности Константин Саматов.

В любом случае расследование и судебное преследование внешних злоумышленников – процесс сложный и ресурсоемкий. Даже выявленных мошенников не всегда удается привлечь к суду, особенно если они находятся за границей. Поэтому пока основные фигуранты уголовных дел – сотрудники пострадавших компаний.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

<< Предыдущая статья   Вернуться к содержанию   Следующая статья >>