О преступлениях в ИТ простым языком
Эффективное обеспечение информационной безопасности невозможно без знания основ законодательства в области информационных технологий. В этой статье мы рассмотрим так называемые компьютерные статьи уголовного кодекса. При этом, мы не будем погружаться в юридические тонкости и нюансы, а попробуем простым языком с примерами разобраться за что и как наказывают за те или иные правонарушения.
Для начала давайте посмотрим о каких статьях УК идет речь:
Статья 272. Неправомерный доступ к компьютерной информации.
Статья 273. Создание, использование и распространение вредоносных компьютерных программ.
Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей.
Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.
Статья 274.2. Нарушение правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования.
Взлом, просто взлом
Статья 272 (не путать с «экстремистской» статьей 282) посвящена неправомерному доступу к компьютерной информации. В случае, если неправомерный доступ к охраняемой законом компьютерной информации повлек уничтожение, блокирование, модификацию либо копирование компьютерной информации, вас могут наказать штрафом до двухсот тысяч рублей в лучшем случае, или лишением свободы на срок до двух лет в худшем случае. При этом, если преступление совершено группой лиц по предварительному сговору и повлекло тяжкие последствия, то есть вероятность присесть на срок до семи лет.
Здесь сразу стоит обратить внимание на формулировку, а именно, на то, что отсутствие перечисленных последствий исключает наличие состава преступления, предусмотренного данной статьей. Вот такой пример удалось найти на одном из юридических ресурсов:
«Гражданка И., желая проверить верность ей гражданина П., посетив сайт электронного почтового сервиса, используя ранее полученный неправомерным путем логин и пароль гражданина П., осуществляет визуальный просмотр содержимого его почтового ящика. Никаких действий по копированию, изменению уничтожению информации И. она не предпринимает.»
В таком случае состав преступления отсутствует. Но если бы она скопировала хотя бы одно письмо, например для сбора доказательств, то был бы состав 272.
Про вредоносы
Следующая компьютерная статья это 273. В ней говорится о создании, использовании и распространении вредоносных компьютерных программ. Так создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, наказываются штрафом до двухсот тысяч рублей или же сроком до семи лет в случае сговора и тяжких последствий.
Ну казалось бы, здесь все понятно: написал вредонос — получи срок. Но в статье говориться не только о создании, но и об использовании и распространении и здесь все несколько сложнее. Приведем пару примеров.
«Один сисадмин скачал в интернете крякер для активации офисного пакета программ Microsoft и записал их на флешку. Для этого ему понадобилось на время отключить антивирусники.
Пограничные файерволы установленные на компьютерной сети завода, где работал данный гражданин, обнаружили несанкционированный исходящий трафик с компьютерной сети завода. Передача данных шла непродолжительное время, и сама прекратилась, конечной точкой получения информации были некие серверы в США. Факт был установлен сотрудниками подразделений безопасности предприятия, данные об инциденте передали в УФСБ по Пермскому краю, где возбудили и расследовали дело.»
Товарища оправдали по 274.1 (об этой статье мы поговорим далее), но приговорили по 273, так как скачанные им файлы содержали вредоносный код.
Это был пример «неудачного» применения вредоноса. Посмотрим также, как можно «неудачно» распространить вредонос.
На просторах сети можно найти множество «зоопарков» — ресурсов, с которых можно скачать артефакты — образцы вредоносов. На этих сайтах артефакты находятся в безопасном виде: запароленный архив, расширение, формат и т.д. Но при желании подобный артефакт можно привести во вполне рабочее состояние. Зачем это может понадобится в законопослушных целях? Например, в целях тестирования средств защиты. В таком случае, при не слишком аккуратном использовании артефактов есть ненулевой риск стать распространителем вредоносных приложений.
Когда плохо работают админы
Если предыдущие две статьи предназначались прежде всего для умышленных правонарушителей, то есть тех, кто сознательно осуществлял несанкционированный доступ или распространял вредоносы, то теперь мы будем говорить о том, как могут наказать несознательный обслуживающий персонал — администраторов и инженеров, который не слишком хорошо обеспечили работу ИТ систем.
Статья 274 посвящена нарушениям правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей. Так нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб наказывается от штрафа в размере до пятисот тысяч рублей до лишения свободы на срок до пяти лет.
С появлением ФЗ №187 «О безопасности критической информационной инфраструктуры Российской Федерации» в уголовном кодексе появилась еще одна похожая статья, посвященная именно критической инфраструктуре. Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.
В этой статье отдельными пунктами рассматривается создание, распространение и (или) использование программ, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации.
Также, рассматривается нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ. Примечательно, что максимальное наказание по данной статье может достигать десяти лет лишения свободы.
Можно найти несколько примеров использования данной статьи. Например, если кто не помнит, года три назад была актуальна повестка, связанная с пандемией, вакцинацией и соответствующими сертификатами о прививках. Так вот, одним из примеров применения 274.1 является внесение в базу информации о прививках без выполнения таковых на самом деле. Дело в том, что по мнению следствия при внесении ложных записей в информационные системы КИИ, обвиняемые лица нарушают целостность этой информационной системы, в результате чего, циркулирующие в системе сведения теряют объективность, достоверность и актуальность.
Другой пример по данной статье. Гражданин работал в большой железнодорожной компании. Ему необходимо было сдать тест на знание правил работы с оборудованием. Он не придумал ничего лучше, как скачать кряк к тестирующей программе для того, чтобы тест выдал правильные ответы. Однако, компьютер, на котором проводилось тестирование оказался частью КИИ, и в результате получился состав 274.1.
Опять все те же кряки, и компьютеры являющиеся частью КИИ. Так что, прежде чем устанавливать или лечить какое-либо ПО на рабочие компьютеры, проверьте не являются ли они частью критической инфраструктуры.
Про суверенный интернет
И завершит наш сегодняшний набор компьютерных статей, провайдерская статья 274.2. Нарушение правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования.
Здесь речь идет о нерадивых провайдерах, которые поставили «сбоку» оборудование для обеспечения работы суверенного интернета, то есть не выполнили требования, предъявляемые регуляторами по установке данного оборудования.
Здесь разброс наказаний также от штрафов до трех лет лишения свободы. Информации о применении данной статьи в свободном доступе найти не удалось.
Заключение
В этой небольшой статье мы на простом языке рассмотрели какие компьютерные статьи есть в российском уголовном кодексе. Будьте аккуратны, чтобы не столкнуться с этими статьями в реальности.
Своими знаниями в области информационной информации эксперты OTUS делятся в рамках практических онлайн-крусов. С полным каталогом курсов можно ознакомиться по ссылке.
