Статьи

Злочин і покарання для власників критичної інформаційної інфраструктури РФ


Вірус Petya / NotPetya / ExPetr в 2017 році був «хорошим» прикладом наскільки великий бізнес може постраждати від такого роду атаки, наприклад , Maersk оцінила збиток від «Петі»:
"We expect the cyber-attack will impact results negatively by USD 200-300m."
Ми очікуємо, що кібер-атака негативно вплине на результати в розмірі 200-300 млн доларів США
Ви пам'ятаєте, що в середині 2017 був опублікований Федеральний закон від 26.07.2017 N 187-ФЗ «Про безпеку критичної інформаційної інфраструктури Російської Федерації» і цей закон вступив в силу з 1 січня 2018 року, а разом з ним вступили в силу зміни до Кримінального кодекс РФ.
Думаю, питання відповідальності за порушення кримінального законодавства РФ є актуальним для тих, чия робота пов'язана з критичною інформаційною інфраструктурою (далі - КВІ).
Увага: в статті 2 картинки (одну ви бачили) і багато тексту

Згідно ст. 14 закону про безпеку КВІ: «Порушення вимог цього Закону та прийнятих відповідно до нього інших нормативних правових актів тягне за собою відповідальність згідно з законодавством Російської Федерації».
Уточнимо норми законодавства РФ, відповідно до якого настає кримінальна відповідальність.
З метою формування нормативної бази в частині кримінальної відповідальності за порушення закону про КІІ законодавець вніс зміни до Кримінального кодексу Російської Федерації, прийняттям окремого Федерального закону N 194-ФЗ від 26.07.2017 «Про внесення змін до окремих законодавчих актів Російської Федерації у зв'язку з прийняттям Федерального закону "Про безпеку критичної інформаційної інфраструктури Російської Федерації".
Як власників / експлуатантів КВІ нас цікавить частини 3,4,5 ст. 274.1 КК РФ. Наведу текст частин 3,4,5 статті 274.1 КК РФ повністю:
ч. 3,4,5 ст. 274.1 КК РФ Стаття 274.1. Неправомірне вплив на критичну інформаційну інфраструктуру Російської Федерації
...

3. Порушення правил експлуатації засобів зберігання, обробки або передачі охороняється комп'ютерної інформації, що міститься в критичній інформаційній інфраструктурі Російської Федерації, або інформаційних систем, інформаційно-телекомунікаційних мереж, автоматизованих систем управління, мереж електрозв'язку, що відносяться до критичної інформаційної інфраструктури Російської Федерації, яких правил доступу до вказаних інформації, інформаційних систем, інформаційно-телекомунікаційних мереж, автоматизованих система м управління, мереж електрозв'язку, якщо воно спричинило заподіяння шкоди критичної інформаційної інфраструктури Російської Федерації,
- карається примусовими роботами на строк до п'яти років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років або без такого або позбавленням волі на строк до шести років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років або без такого.


4. Дії, передбачені частинами першою, другою або третьою цієї статті, вчинені групою осіб за попередньою змовою або організованою групою, або особою з використанням свого службового становища,
- караються позбавленням волі на строк від трьох до восьми років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років або без такого.


5. Дії, передбачені частинами першою, другою, третьою або четвертою цієї статті, якщо вони спричинили тяжкі наслідки,
караються позбавленням волі на строк від п'яти до десяти років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до п'яти років або без такого.



Спробую провести аналіз даних норм і привести можливе їх застосування в рамках судової системи.
В кінці статті наведено визначення деяких юридичних понять, необхідних для коментування норм кримінального закону.
Отже, для ч. 3, 4 і 5 ст. 274.1 КК РФ, предметом злочину є електронно-обчислювальна машина (далі - ЕОМ), носій інформації, система ЕОМ, а також мережі ЕОМ, які мають відношення до критичної інформаційної інфраструктури Російської Федерації.
Об'єктом злочину виступають суспільні відносини, щодо забезпечення нормальної роботи, функціонування ЕОМ, мережі ЕОМ, системи ЕОМ, які мають відношення до критичної інформаційної інфраструктури Російської Федерації.
Об'єктивна сторона злочину може бути, як дією, так і бездіяльністю.
Порушення правил експлуатації полягає в недотриманні правил роботи з ЕОМ, мережами і ін. Устаткуванням, порушенням посадових інструкцій, а також порушенням правил поводження із охоронюваної комп'ютерної інформацією.
Порушення правил експлуатації може бути в формі активної дії, Найсвіжіший приклад : Системний адміністратор аеропорту обчислював біткоіни з використанням електричної мережі аеропорту, так і бездіяльності, наприклад: адміністратор не оновлює антивірусні бази.
Діяння, описане в ч.3 ст. 274.1 з суб'єктивної сторони характеризується виною як у формі умислу, так і необережності. За аналогією зі ст. 274 КК РФ особа передбачає заподіяння шкоди КВІ РФ в результаті "порушення ним правил експлуатації, але без достатніх до того підстав самовпевнено розраховує на запобігання наслідків. Або не передбачає зазначених в законі наслідків, хоча за необхідної пильності і передбачливості мало й могло передбачити ". (6)
Суб'єкт цього злочину - спеціальний: осудна особа, яка досягла віку 16 років, має доступ до КВІ РФ, або до об'єктів, що належать до КВІ РФ в силу виконання посадових обов'язків і зобов'язаний виконувати встановлені правила експлуатації.
Обов'язковою ознакою ч. 3 ст. 274.1 є суспільно-небезпечні наслідки у вигляді заподіяння шкоди критичної інформаційної інфраструктури Російської Федерації.
Зверніть увагу, на формулювання заподіяння "шкоди критичної інформаційної інфраструктури Російської Федерації", тут необхідно виділити слово «шкода».
Виникає питання, якого розміру в грошовому еквіваленті повинні бути втрати, щоб їх можна було віднести до категорії "шкоду"?
Варто також звернути увагу, що в п. 2 ст. 272 КК РФ є цікава примітка: "Великим збитком в статтях цієї глави визнається збиток, сума якого перевищує один мільйон рублів".
При цьому повинна бути підтверджена причинно-наслідковий зв'язок між фактом порушення експлуатації і заподіянням шкоди.
З урахуванням викладеного, а також того, що поняття "шкода" в грошовому вираженні, очевидно, вже поняття "великий збиток" - можна сказати, що під розміром "шкоди" КІІ РФ законодавець швидше за все розуміє шкоду менше одного мільйона рублів.
За аналогією зі ст. 274 КК РФ: умисні дії, що призвели до заподіяння шкоди КВІ РФ (розкрадання окремих компонентів, пошкодження або знищення обладнання) не є злочинами, передбаченими ст. 274.1 КК РФ - в цьому випадку діяння повинні кваліфікуватися за відповідними статтями гл. 21 КК РФ.
Відповідальність за злочини, описані ч. 3 ст. 274.1 КК РФ без кваліфікуючих ознак, диференційована, і вибір залишається за судом:
- примусовими роботами на строк до п'яти років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років або без такого;
- або позбавленням волі на строк до шести років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років або без такого.
Фактично суд може в одному варіанті залучити до примусових робіт з позбавленням спеціальних прав (займатися певною діяльністю або займати певні посади) або до позбавлення волі на строк до шести років з позбавленням спеціальних прав (займатися певною діяльністю або займати певні посади).
Частини 4 і 5 статті 274.1 КК РФ мають ряд кваліфікуючих ознак, розглянемо їх.
Частина 4 статті 274.1 КК РФ говорить наступне: «Діяння, передбачені частинами першою, другою або третьою цієї статті, вчинені групою осіб за попередньою змовою або організованою групою, або особою з використанням свого службового становища».
У цій частині кваліфікуючими ознаками будуть:
- групою осіб за попередньою змовою або організованою групою;
- особа;
- з використанням свого службового становища.
Тут необхідно роз'яснити поняття "використання свого службового становища". Позиція Пленуму Верховного суду РФ в загальному випадку виглядає наступним чином: під особами, які використовують своє службове становище, варто розуміти посадових осіб, службовців, а також осіб, які здійснюють управлінські функції в комерційних та інших організаціях. Більш детально можна ознайомитися у статті .
Як можна помітити, що в даному складі злочину має бути присутня група осіб попередньо, змовившись, або організована група, яка готує або вже скоїла злочин. Потрібно розуміти, що суспільна небезпека від такого роду діянь значно зростає, при цьому законодавець вводить уточнююче кваліфікуючу ознаку: «з використанням свого службового становища». У сукупності група осіб з використанням свого службового становища може завдати більш істотну шкоду.
Варто відзначити, що організація групи для вчинення злочину, так і участь в подібній групі є окремим складом злочину і в рамках судового переслідування буде розглядатися як обтяжуюча обставина см. П. (В) ст. 63 КК РФ, а також ст. 35 КК РФ і ст. 210 КК РФ, відповідно покарання буде суворішим.
Як вже вище зазначалося в ч. 4 ст. 274.1. є інший кваліфікуючу ознаку: «особа, з використанням свого службового становища».
Зазначена конструкція каже, що в рамках ч. 3 ст. 274.1 особою, яка може бути притягнуто до відповідальності, є не тільки безпосередній виконавець, а й керівник, в діях якого є такий склад злочину.
Тому законодавець вводить більш сувору відповідальність за злочини з такими кваліфікуючими ознаками:
караються позбавленням волі на строк від трьох до восьми років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років або без такого.
У зв'язку з тим, що в контексті досліджуваного питання варто звернути увагу на наявність такого ризику як: вчинення злочину з використанням свого службового становища і одночасно створення злочинної групи з використанням свого посадового становища, тобто з'являється така особа, як організатор. Зазначені дії буду окремими складами злочинів, з відповідною відповідальністю, яка буде врахована судом за правилами ст. 69 КК РФ.
Перейдемо до розгляду ч. 5 ст. 274.1 КК РФ:
"Дії, передбачені частинами першою, другою, третьою або четвертою цієї статті, якщо вони спричинили тяжкі наслідки"
Як бачимо, з'явився ще один кваліфікуючу ознаку "тяжкі наслідки".
Короткий аналіз судової практики показує, що єдиного підходу до визначення поняття «тяжких наслідків» з точки зору розміру збитку в грошовому вираженні не виявлено (більш докладно можна ознайомитися у статті ), В кожному випадку суд повинен встановити розмір шкоди / тяжкість наслідків, виходячи з обставин справи, а також контексті існуючої правозастосовної практики і невизначеності тлумачення розмірів шкоди, точно визначити категорію наслідки часто представляється вкрай складним завданням.
Однак, варто звернути увагу, що категорія "тяжкі наслідки" описує очевидно більш небезпечні наслідки, ніж "великий збиток", який був розглянутий вище і визначено як "шкоду, сума якого перевищує один мільйон рублів".
Одночасно з цим, без сумніву, можна віднести до тяжких наслідків наступні події: загибель і серйозні травми людей, руйнування інфраструктури, пошкодження будівель і споруд, нанесення шкоди безпеці держави і т.д.
Описана частина, визначає ще більш істотну відповідальність за діяння з такими наслідками:
"Караються позбавленням волі на строк від п'яти до десяти років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до п'яти років або без такого».
Думаю, варто також зупинитися на формулюванні в санкцій частини норм ч. 3,4,5 ст. 274.1 КК РФ: «з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк ... років або без такого».
З поняттям «позбавлення права» все очевидно, може бути винесено судову заборону на заміщення певних посад, наприклад: керівні посади або займатися певною діяльністю - наприклад: надавати послуги із захисту інформації. Термін дії заборони може носити як тимчасовий характер, так і безстроковий. Одночасно з цим у суду є опція не включати в вирок судова заборона на право обіймати певні посади або займатися певною діяльністю.
Наприкінці слід зазначити, що при складності і недосконалість законодавчої бази та відсутність судової практики за вчинення злочинів, описаних у ч. 3,4,5 статті 274.1 КК РФ можуть нести відповідальність як безпосередні виконавці, так і керівництво юридичних осіб / державних органів.
Розмір відповідальності законодавець логічно ставить в залежність від тяжкості шкоди / наслідків злочину, але по при цьому не встановлює правил градації визначення тяжкості наслідків, залишаючи це питання на стороні судової системи, яка в свою чергу може трактувати закон досить широко.
На малюнку нижче представлені основні моменти, відбиті в статті.

терміни та визначення
Предмет злочину - це конкретна матеріальна річ, в якій проявляються певні властивості суспільних відносин (об'єкта злочинів), шляхом фізичного або психічного впливу на який заподіюється соціально-небезпечний шкоду у сфері суспільних відносин. (1)
об'єкт злочину - це ті поставлені під охорону кримінального закону суспільні відносини, проти яких спрямовано злочин.
Об'єктивна сторона злочину - це зовнішній прояв конкретного суспільно небезпечного поведінки, здійснюваного в певних умовах, місці, часу і заподіює шкоду суспільним відносинам.
Суб'єктивна сторона злочину - це психічне ставлення особи до здійснюваного їм злочину, яке характеризується конкретною формою провини, мотивом і метою.
суб'єкт злочину - зізнається осудна фізична особа, яка досягла певного законодавцем віку, яка вчинила заборонене законом суспільно небезпечне діяння, яке заподіяло шкоду об'єкту кримінально-правової охорони. (Ст. 19 КК РФ).
PS: доповнив назву.
Leges intellegi ab omnibus debent (лат.) - закони повинні бути зрозумілі кожному.
джерела
Нормативно-правові акти
(1) ФЗ від 26.07.2017 N 187-ФЗ «Про безпеку критичної інформаційної інфраструктури Російської Федерації».
(2) «Кримінальний кодекс Російської Федерації» від 13.06.1996 N 63-ФЗ (ред. Від 20.12.2017) (з ізм. І доп., Вступ. В силу з 01.01.2018).
(3) ФЗ N 194-ФЗ від 26.07.2017 «Про внесення змін до окремих законодавчих актів Російської Федерації у зв'язку з прийняттям Федерального закону" Про безпеку критичної інформаційної інфраструктури Російської Федерації ".
література
(1) с. 17, Коржанський М.І. - Предмет злочину. - Волгоград, 1975.
(2) «Коментар до Кримінального кодексу Російської Федерації» (постатейний) (7-е видання, перероблене і доповнене) (під ред. Г.А. Есакова) ( «Проспект» 2017)
(3) Кримінальне право Росії. Загальна частина: Підручник / За ред. Ф.Р. Сундурова, І.А. Тарханова. - 2-е изд., Перераб. і доп. - М .: Статут, 2016. - 864 с.
(4) Кримінальне право Росії. Особлива частина: Підручник / За ред. Ф.Р. Сундурова, М.В. Талан. М .: Статут, 2012. - 943 с.
(5) Стаття: Наступ тяжких наслідків в результаті зловживання повноваженнями. www.s-yu.ru/articles/2012/6/5903.html
(6) Коментар до Кримінального Кодексу Російської Федерації: stykrf.ru/274