Дайджест по посадкам. ИБ-специалисту на заметку
Весна, карантин и заколосившаяся рассада на подоконнике навеяли забавное название для поста. Но содержимое его вполне серьёзно. Работаю я в SearchInform и раньше довольно часто доводилось слышать мнение, что DLP-система и суд — понятия несовместимые. Мол, эта игра не стоит свеч. Так было лет 9 назад, когда основной причиной нежелания идти в суд была «бумажная» неподготовленность компании по части этапа Pre-DLP. Другой причиной была неуверенность (порой обоснованная), что суд не захочет вникать в тонкости защиты информации с помощью специализированного ПО. Однако в последние пару лет такая позиция озвучивалась всё реже и реже. Стало интересно, изменилась ли ситуация в судах или просто народ устал. Поэтому, с одобрямса руководства, мы с коллегой засели за поиск и анализ дел, которые в 2019 году рассматривали суды по четырем статьям УК РФ о манипуляции с компьютерной информацией. Результаты под катом.
Нас интересовали дела о махинациях с документами, базами данных и любой конфиденциальной информацией с использованием служебного положения.
Это нарушения по статьям УК РФ:
- 183 (ч.2 и 3) — незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну;
- 272 (ч.1, 2 и 3) — неправомерный доступ к компьютерной информации;
- 159.6 (ч.3) — мошенничество в сфере компьютерной информации;
- 138 (ч.2) — нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.
И здесь сразу хотелось бы обозначить несколько моментов:
- Почему именно эти статьи? Выбор статей УК РФ был продиктован деятельностью компании. Они нам интересны в первую очередь. Но так как исследование (теперь) решено проводить ежегодно, мы готовы расширить перечень. Охватить всё вряд ли получится, но чем чёрт не шутит.
- Откуда дровишки? По 262-ФЗ суды обязаны публиковать тексты дел, но не всех (подробности тут). Поэтому мы смогли без ограничений посмотреть число рассмотренных дел, решение по ним, а вот содержание — не по всем. Тем не менее даже с ограничениями статистика с sudrf.ru рисует вполне живописную картину.
- Насколько полное исследование? Полное настолько, насколько это было возможным. Во-первых, материалы на публичных ресурсах публикуются не сразу. Задержка примерно с месяц. Во-вторых, часть дел во время рассмотрения переходит в другой правовой статус. В-третьих, бывают апелляции. Поэтому в 2019 году присутствуют как дела «родом» из прошлых лет, так и те, которые были начаты, но перешли в 2020-й. Наконец, в-четвёртых. Бывают дела с обвинением сразу по нескольким статьям. Например, ст. 138 часто «ходит парой» со ст. 272. В итоге подобные дела в рамках статподсчёта мы относили в обе группы.
В общем, цели претендовать на академичность изначально не стояло. И тем не менее, по каждому делу информация перепроверена и не раз, законспектирована из огромной простыни юридического языка в абзац человеческого — по существу. Поехали.
За что судили
Больше всего исков было предъявлено к нарушителям из телеком-отрасли, на них приходится порядка 70% дел. Но такая ситуация складывается главным образом за счет массовости нарушений по ст.138 (ч.2) — нарушение тайны переписки. Операторы связи и их «дочки» подают в суд на сотрудников за неправомерное обращение к информации о детализации звонков.
Обстоятельства дел, как правило, очень похожи. Сотрудники обращаются к данным без служебной нужды из-за желания продать информацию о переговорах абонентов (т.н. «пробив»). Реже встречались случаи «слива по дружбе», когда мотивом действий выступало желание бескорыстно помочь другу. На сотрудников салонов связи\телеком-операторов часто выходят со стороны — просят об информации за вознаграждение. Как правило, очень скромное — не более нескольких сотен рублей.
Также часто сотрудников из телеком-сферы судят и по статье 272 (ч.1, 2, 3, неправомерный доступ к информации). Самый распространенный сценарий — это внесение изменений в базу данных с целью замены сим-карты. Такое состояние дел совсем не радует, т.к. сотрудник совершает манипуляции с информацией, как правило, с целью вывода денег со счета абонента (как в этом деле) или за вознаграждение по просьбе третьего лица (как здесь).
Распределение исков по отраслям, ст.272
Встречаются и другие мотивы. В одном случае осужденная перевыпускала сим-карты знакомых ей клиентов «из мести и неприязни»: заходила к ним в аккаунты в соцсетях, где размещала компрометирующую информацию.
Несколько приговоров было вынесено в отношении сотрудников, которые из мести удаляли или портили информацию на сайтах своих организаций.
IТ-специалист районного суда после увольнения вошел под чужим паролем в систему управления сайтом, сменил доступы и удалил там информацию (говорится о 645 событиях по удалению, в том числе целых разделов). Пароль, кстати, нарушитель нашел прямо на рабочем месте — он был записан на листке бумаги, оставленном в серверной. Осужденного приговорили к шести месяцам исправительных работ с удержанием 10% заработка в доход государства (ссылка на его дело).
По другим статьям обстоятельства инцидентов не столь однородны. По 183 ст. (ч.2 и ч.3, разглашение коммерческой, налоговой или банковской тайны) тоже часто осуждают сотрудников телеком-операторов и работников салонов связи (40%), но столько же в суде оказывается и представителей банковской сферы.
Сотрудник заходил в специализированную программу, когда находился в кабинете один. После нахождения сведений о нужном клиенте в базе данных (а он искал конкретных лиц) сотрудник получал доступ к полным персональным данным, счетам клиентов, открытым счетам во всех отделениях банка, остаткам, данным о совершенных операциях. Всего в деле говорится, что специалист совершил 514 операций по собиранию сведений о счетах 110 клиентов. В большинстве случаев после просмотра информации, входил в конкретные счета клиентов и печатал реквизиты. Банк провел расследование по этим действиям, в ходе него выяснилось, что скорее всего сотрудник использовал счета клиентов, чтобы без их ведома «прогонять» деньги для дальнейшей обналички. Этот вывод сделали, т.к. проследили взаимосвязь: банковский сотрудник печатал реквизиты счетов, а в течение недели на эти счета поступали деньги от юрлиц. При этом сами клиенты сообщили, что не знали о зачислении на их счета денег (ссылка на дело).
Распределение исков по отраслям, ст.183
По ст. 159.6 рассматривают дела, связанные с модификацией информации — файлов, баз данных. В прошлом году было вынесено 79 решений по этой статье, но по служебным нарушениям в открытом доступе опубликовано недостаточно текстов, поэтому сложно делать выводы о типичных поводах, которые приводили работодателей в суд.
Самое заметное дело, информация по которому опубликована, — история сотрудника ульяновского отделения крупного федерального банка. В программе для работы с платежными картами клиентов он несколько раз увеличивал лимит по собственной карте, а позже — по карте подельника. Сначала суммы были небольшие, потом выросли — до 25,9 млн рублей.
Красноречивее сухого юридического текста новости в местных СМИ о «самом большом киберинциденте» в регионе. Журналисты описали процесс против подельника банковского сотрудника. Он помогал выводить деньги и купил на них шесть дорогостоящих автомобилей (Audi, Volvo, Mercedes-Benz), золотые слитки, мобильные телефоны и ювелирные украшения и другие товары. Все это богатство он тут же продал, чтобы легализовать похищенные средства. Под суд попал в январе 2019 года. Но нас интересует процесс против должностного лица. Его поймали позже, суд над ним состоялся летом (ссылка на дело). Дали 5 лет и 3 месяца в колонии общего режима и штраф 250000 рублей.
Бизнес свои интересы почти не защищает
Для своих заказчиков в судебной статистике мы пытались найти и дела, раскрывающие подробности корпоративного мошенничества, когда в качестве потерпевшего выступает сама компания. Такие дела рассматриваются в основном по 183-й статье (разглашение коммерческой тайны). Такие иски есть, но они гораздо более редкие. Вот два примера:
Сотрудница страховой компании выгружала данные из системы и передавала информацию в конкурирующую компанию по корпоративной почте. Всего в решении суда идет речь про 45 эпизодов. Суд прекратил дело, назначив штраф в 10 тыс. рублей. В похожем иске к сотруднице производственной компании наказание составило 1,5 года исправительных работ с удержанием 20% из заработка в доход государства (ссылка на текст первого дела и второго).
Распределение исков по отраслям, данные по 4 статьям
Так получается, что компании гораздо охотнее ходят в суд под угрозой имиджевых рисков, когда может серьёзно пострадать «лицо». Свои интересы предпочитают защищать в досудебном порядке, большинство просто увольняет нарушителей (60% по данным нашего исследования).
Наказания
Наказания, применяемые по ст. 272 (ч.1, 2, 3), 183 (ч.2, 3), 138 (ч.2)
Что касается наказаний, обращает на себя внимание, что за преступления, связанные с передачей персональных данных и детализации переговоров, наказывают достаточно легко. Часто в приговорах фигурирует отсылка к ст.73 УК РФ (Условное осуждение). И хотя конкретного указания пункта нет, скорее всего ссылаются на п.2: При назначении условного осуждения суд учитывает характер и степень общественной опасности совершенного преступления, личность виновного, в том числе смягчающие и отягчающие обстоятельства. Логика, видимо, такая: нарушения совершены «по глупости» или из небольшой корысти, а наказание носит как бы воспитательный характер. Но дела эти обманчиво безобидны. Персданные интересуют неограниченное число злоумышленников и могут «гулять» в свободном доступе до бесконечности.
Применение штрафа как наказания в рамках обвинительного приговора по статьям
А вот к чему суд относится гораздо внимательнее — это к тем сливам и неправомерному доступу, которые связаны или могут привести к изменению личной информации, краже денег со счетов. Так, по ст.272 гораздо чаще назначают не штраф, а условный срок или ограничение свободы. Но соразмерность штрафа и наказания и тут вызывает вопросы. Вот пример.
Один из самых малых штрафов — 5 тыс. рублей — суд назначил сотруднику УФМС, который по просьбе знакомого удалил информацию о судимости из одной карточки базы «Мигрант-1». Он смог сделать это из дома, воспользовавшись удаленным доступом к базе данных (дело).
По трем остальным статьям наиболее частое решение — прекращение дела и назначение судебного штрафа — от 8 до 110 тыс. рублей (подсудимый признает вину, оплачивает штраф, судимость не получает). Чаще всего суд избавлял от уголовной ответственности тех, кого судили по ст. 138, ч.2 — нарушение тайны переписки. По этой статье судебный штраф был присужден в 63% случаев.
Если дело доводилось до приговора, то и здесь штраф оказывался самым распространенным наказанием — в 31% случаев. Немного реже судьи наказывали условным сроком и ограничением свободы — в сумме в 29% случаев. Реальный срок предусмотрен в качестве наказания по всем рассматриваемым статьям. Но судьи почти не применяют его. В рассмотренных делах встретили санкцию только однажды, в деле о выводе из банка 25+ млн рублей (история упоминалась выше).
Итого
Выводы можно сделать разные. Например, что жизнь как всегда богаче любой выдумки: любопытство, корысть, месть, глупость, ошибка — мотивов, по которым люди посягают на чужую информацию масса.
Мы же с коллегой со своими «ибэшными» соображениями. За весь 2019 год в судах мы насчитали 327 дел по всем четырем статьям в частях, которые указывались в начале поста Если опираться на данные ежегодного опроса-исследования от компании, которые говорят, что только 12% компаний идет в суд, общее число исков, очевидно, могло бы быть значительно больше.
Хотят ли компании идти в суд? И да, и нет. В суд идут либо ради поддержки имиджа добрых и справедливых, либо, когда поднимается шумиха и бездействовать становится себе дороже.