Об аспектах уголовной ответственности за неправомерное воздействие на критическую информационную инфраструктуру

Kate

Administrator
Команда форума
На настоящий момент судебную практику по статье 274.1. УК РФ объективно нельзя охарактеризовать как обширную. Введение данной статьи в уголовный закон было продиктовано необходимостью обеспечить надлежащее исполнение одновременно принятого Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" путём установления мер уголовной ответственности в случаях существенного нарушения установленных законом требований, ограничений и запретов.

В правовом сообществе ожидалось, что статья 274.1. УК РФ будет расцениваться как специальная норма уголовного закона по отношению к статьям 272, 273, 274 УК РФ и найдет своё применение при расследовании инцидентов с информационными системами, особо охраняемых Законом о безопасности КИИ.

Что же произошло на практике, какие случаи пополнили судебную статистику привлечения к ответственности статье 274.1. УК РФ?

Привлечь квалифицированного "хакера" к уголовной ответственности и раскрыть преступление, связанное с неправомерной манипуляцией компьютерными данными, - задачи непростые, а статистика расследования уголовных дел по статье 274.1. УК РФ в районе "около ноля" просто недопустима в соответствии с устоявшимися взглядами правоохранительных органов.

С учетом подобных реалий органы обвинения начали формировать судебную практику по статье 274.1. УК РФ в отношении работников медицинских учреждений по фактам оформления ложных сертификатов о прохождении вакцинации против COVID-19, в отношении сотрудников салонов связи, оформлявших SIM-карты на чужие или вымышленные паспортные данные. Встречаются и случаи привлечения к ответственности кассиров АЗС за списание бонусных начислений с топливных карт клиентов, а также факты привлечения к ответственности сотрудников почтовых отделений, которые в целях выполнения "спущенного плана", оформляли банковские карты с использованием паспортных данных клиентов отделения.

Суть обвинения по всем вышеописанным случаям достаточно схожа. Обвиняемым лицам инкриминируется осуществление с использованием служебных полномочий неправомерного доступа к компьютерной информации, отнесенной законом к КИИ, повлекшего за собой её модификацию путем внесения в базы данных недостоверной информации. Следствие полагает, а суды соглашаются с тем, что, внося недостоверные сведения в информационные системы КИИ, обвиняемые лица "нарушают целостность" этой информационной системы, в результате чего, "циркулирующие в системе сведения теряют объективность, достоверность и актуальность".

Подобное применение закона вызывает логичный вопрос о сопоставимости общественной опасности вышеописанных действий и предусмотренной законом суровостью уголовного наказания по статье 274.1. УК РФ. Если руководствоваться подобным взглядом правоприменителей, получается, что если лицо внесло запись о ложной вакцинации на бумажный носитель, например, в журнал учета профилактических прививок по форме № 064/у, то ответственность по статье 274.1. УК РФ ему не грозит. Если же внесение должностным лицом такой записи в буквальном смысле было осуществлено с помощью клавиатуры, то подобные действия расцениваются уголовным законом как совершение тяжкого преступления, влекущего за собой назначение наказания в виде лишения свободы на срок от 3-х до 8-ми лет.

Очевидно, что подобная практика применения статьи 274.1. УК РФ не может расцениваться как адекватная и законная. Вряд ли законодатель вкладывал в уголовный закон посыл столь жесткого уголовного преследования за внесение несоответствующих действительности данных в информационные базы. Виновником подобного правового "перекоса" является неверное понимание и толкование норм уголовного закона в системе общего правового регулирования.

Ответим на следующие ключевые вопросы:

  • Могут ли вышеописанные случаи "нарушения целостности" информационных систем КИИ, расцениваться как совершение преступлений по статье 274.1. УК РФ?
  • Какие правовые аспекты следует в обязательном порядке устанавливать и процессуально оценивать по уголовным делам о нарушении безопасности критической информационной инфраструктуры Российской Федерации?
Согласно диспозиции статьи 274.1. УК РФ уголовным законом преследуется неправомерное воздействие на компьютерную информацию, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации.

Как неоднократно подчеркивал Конституционный Суд Российской Федерации, любое преступление должно быть четко определено в законе, причем так, чтобы, исходя непосредственно из текста нормы, каждый мог предвидеть уголовно-правовые последствия своих действий или бездействия. Уголовная ответственность за правонарушения может считаться законно установленной, когда преступное деяние ясно и четко определено уголовным законом, встроенным в общую систему правового регулирования. Кроме того, оценка степени определенности содержащихся в уголовном законе понятий должна осуществляться исходя не только из самого текста закона, используемых формулировок, но и из их места в системе нормативных предписаний.

Безусловно, что в систему правового регулирования отношений, охраняемых статьей 274.1. УК РФ входит упомянутый Федеральный закон от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", который был введен в национальное законодательство одновременно с изменениями в Уголовном кодексе Российской Федерации о наказуемости противоправных действий, связанных с безопасностью КИИ.

Внимательное изучение норм Федерального закона № 187-ФЗ позволяет сделать выводы о том, какие именно общественные отношения охраняет статья 274.1. УК РФ, и наступление каких именно негативных последствий расценивается как нарушение охраняемого законом порядка.

Первое, на что следует обратить внимание – это сфера действия Федерального закона № 187-ФЗ. В статье 1 Закона закреплено, что он регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении неё компьютерных атак.

Таким образом, вред, причиняемый уголовно-наказуемым деянием по статье 274.1. УК РФ, должен быть неразрывно связан с нарушением состояния защищенности (безопасности) критической информационной инфраструктуры при целенаправленном воздействии на неё программных и (или) программно-аппаратных средств.

Такие правовые понятия как "целостность, объективность, достоверность и актуальность" компьютерной информации в системе КИИ, фигурирующие в рассматриваемых примерах судебной практики, в Федеральном законе № 187-ФЗ даже не упоминаются и, соответственно, именно данным федеральным законом не охраняются.

Кроме того, поименованный закон недвусмысленно указывает, что область его применения связана с обеспечением устойчивости к компьютерным атакам, направленным на нарушение и/или прекращение функционирования объектов КИИ и/или создания угрозы безопасности обрабатываемой такими объектами информации. Соответственно, целью специального Закона о безопасности КИИ и обеспечивающей его исполнение статьи 274.1. УК РФ является обеспечение устойчивости информационных систем при совершении на них целенаправленных компьютерных атак.

Противоправные действия, связанные корректировкой информации, содержащейся в КИИ информации или с внесением в неё недостоверных сведений ни коим образом не отражается на устойчивости функционирования объектов КИИ.

Вышеуказанные примеры из судебной практики, по мнению автора, не могут образовывать состава преступления, предусмотренного статьей 274.1. УК РФ, поскольку они не связаны с нарушением работоспособности объектов КИИ и не выполняются с помощью компьютерных атак.

Вторым ключевым моментом в уголовных делах рассматриваемой категории является вопрос правильной процессуальной оценки вреда, наступление которого образует состав преступления по статье 274.1. УК РФ.

Вред, в понимании данной статьи, является оценочной категорией. Факт его причинения определяется органом следствия и судом в каждом конкретном случае.

Для надлежащего понимания категории "вред" по статье 274.1. УК РФ логично вновь обратиться к положению вышеуказанного специального закона, поскольку он содержит в себе указание, на предотвращение каких именно последствий он направлен.

Из совокупного анализа положений статей 1 и 2 Федерального закона № 187-ФЗ следует, что нарушение работы и прекращение деятельности информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления (АСУ) субъектов КИИ признается причинением вреда охраняемым законом правовым отношениям.

Статья 7 Закона дает более детальное описание причинения вреда, а именно прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальное по времени отсутствие доступа к государственной услуге для получателей услуг.

Полагаем, что в этой статье законодатель дал правовой ориентир на правовые последствия, расцениваемые как тяжкие последствия, наступление которых должно квалифицироваться по части 5 статьи 274.1. УК РФ.

Таким образом, Федеральный закон № 187-ФЗ и статья 274.1. УК РФ определяют, что вред, причиняемый критической информационной инфраструктуре Российской Федерации, состоит в нарушении и/или прекращении функционирования объектов КИИ и/или создании угрозы безопасности обрабатываемой информации такими объектами информации.

Третий момент. Как уже отмечалось ранее, цель Федерального закона № 187-ФЗ – это поддержание устойчивого функционирования критической информационной инфраструктуры при компьютерных атаках. Руководствуясь, закрепленными в статье 2 Закона правовыми понятиями, преступными по статье 274.1. УК РФ признаются действия, посягающие на безопасность значимых объектов в области здравоохранения, науки, транспорта, связи, энергетики, в банковской и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонно-ракетно-космической, горнодобывающей, металлургической, химической промышленности и других областях.

Значимым объектом КИИ признается объект, которому присвоена одна из категорий значимости и который включен в соответствующий реестр. Критерии значимости объектов определяются в соответствии с Постановлением Правительства РФ от 08.02.2018 № 127, которое признает таковыми показатели возможного причинения ущерба жизни и здоровью людей, возможного прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, возможного прекращения или нарушения проведения клиентами операций по банковским счетам и т.д.

Иными словами, названные нормы очерчивают круг информационных данных, неправомерное воздействие на которые оказывает влияние на устойчивое функционирование объектов КИИ, и посягательство на которые представляет реальную опасность для интересов общества, безопасности граждан и государства.

Безусловно, что неправомерное воздействие на автоматизированную систему управления транспортным потоком или подстанцию электросетей, в результате которого нарушается или прекращается функционирование этих объектов, должны преследоваться по статье 274.1. УК РФ, поскольку объектом преступного посягательства здесь являются критические важные информационные системы, связанные с личной и общественной безопасностью.

В тоже время в судебной практике присутствуют прецеденты привлечения к ответственности по статье 274.1. УК РФ, когда рядовой сотрудник значимого объекта КИИ внёс изменение в систему учета рабочего времени, скрыв подобным образом факт своего опоздания на рабочее место. Вопрос, каким образом сотрудник повлиял на информационные данные, отвечающие за устойчивую работоспособность объекта КИИ, скорее риторический.

По мнению автора, инициация уголовного преследования за воздействие на объект КИИ без установления конкретного предмета посягательства является недопустимой.

В каждом случае правоприменитель обязан установить, находится ли в прямой технической взаимосвязи подвергшаяся неправомерному воздействию информационная система или информация с устойчивостью функционирования объекта КИИ по своему основному предназначению. Например, была ли компьютерная атака направлена на прекращение подачи электроэнергии потребителям или на организацию сбоя в работе светофорного регулирования дорожной сети.

Случаи неправомерного доступа к компьютерной информации, напрямую не затрагивающей основную деятельность объекта КИИ, например, изменение содержимого интернет-сайта такого объекта, не могут квалифицироваться как совершение преступления по статье 274.1. УК РФ.


 
Сверху